L'attestazione dell'integrità esegue la scansione dei dispositivi durante l'avvio per verificare che non vi siano errori di integrità. Utilizzare l'attestazione di integrità per individuare i desktop Windows che sono stati compromessi mentre erano gestiti da Workspace ONE UEM.

Nelle distribuzioni dei dispositivi BYOD e aziendali, è importante sapere che i dispositivi sono integri quando accedono alle risorse aziendali. Il servizio di attestazione dell'integrità di Windows accede alle informazioni relative all'avvio del dispositivo dal cloud tramite comunicazioni protette. Queste informazioni vengono misurate e confrontate con i punti di dati correlati, per garantire che il dispositivo si è avviato come previsto e che non sia vittima di vulnerabilità o minacce di sicurezza. Le misure includono l'avvio protetto, l'integrità del codice, BitLocker e il gestore di avvio.

Workspace ONE UEM consente di configurare il servizio di attestazione dell'integrità di Windows per garantire la conformità del dispositivo. Se uno dei controlli abilitati non riesce, il motore dei criteri di conformità di Workspace ONE UEM applica le misure di sicurezza in base ai criteri di conformità configurati. Questa funzionalità consente di proteggere i dati aziendali dai dispositivi compromessi. Poiché Workspace ONE UEM estrae le informazioni necessarie dall'hardware del dispositivo e non dal sistema operativo, i dispositivi compromessi vengono rilevati anche quando il kernel del sistema operativo è compromesso.

Configurare l'attestazione dell'integrità per i criteri di conformità di Windows Desktop

È possibile proteggere i propri dispositivi utilizzando il servizio di attestazione dell'integrità di Windows per il rilevamento dei dispositivi compromessi. Questo servizio consente a Workspace ONE UEM di verificare l'integrità del dispositivo durante l'avvio e di eseguire azioni correttive.

  1. Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Windows > Windows Desktop > Attestazione dell'integrità di Windows.

  2. Selezionare Utilizza il server personalizzato se si utilizza un server on-premise personalizzato che esegue l'attestazione dell'integrità. Inserire l'URL del server.

  3. Configurare le impostazioni dell'attestazione dell'integrità:

    Impostazioni Descrizione
    Utilizza il server personalizzato Seleziona per configurare un server personalizzato per l’attestazione dell'integrità.

    Questa opzione richiede un server che esegua Windows Server 2016 o versioni successive.

    Abilitando questa opzione viene visualizzato il campo URL del server.
    URL del server Immettere l'URL del server per l’attestazione di integrità personalizzata.
    Avvio sicuro disattivato Attivare questa opzione per contrassegnare lo stato del dispositivo come compromesso, se Avvio sicuro è disattivato sul dispositivo.

    Avvio sicuro forza il sistema all'avvio in uno stato di fabbrica attendibile. Quando Avvio sicuro è abilitato, i componenti principali utilizzati per l'avvio devono disporre di firme crittografiche corrette che sono ritenute attendibili dall’OEM. Il firmware UEFI verifica l'attendibilità prima di consentire l'avvio della macchina. Avvio sicuro impedisce l'avvio se viene rilevato qualsiasi file manomesso.
    Chiave di attestazione identità (AIK) non presente Abilita questa opzione per contrassegnare lo stato come compromesso quando AIK non è presente sul dispositivo.

    Se la chiave di identità dell'attestazione (AIK) è presente sul dispositivo, il dispositivo ha un certificato di verifica dell'autenticità (EK). Può essere più affidabile di un dispositivo che non dispone di un certificato EK.
    Criterio della prevenzione dell'esecuzione dei dati (DEP) disattivato Attivare questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il DEP è disattivato.

    Il criterio di prevenzione esecuzione dati (DEP) è una funzionalità di protezione della memoria incorporata a livello del sistema operativo. Il criterio impedisce l'esecuzione di codici dalle pagine di dati, come dai pool di heap, stack e della memoria predefinita. DEP è applicata sia dall'hardware che dal software.
    BitLocker disattivato Attivare questa opzione per contrassegnare lo stato del dispositivo come compromesso quando la crittografia BitLocker è disattivata.
    Controllo dell'integrità del codice disattivato Attivare questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il controllo dell'integrità del codice è disattivato.

    Integrità del codice è una funzionalità che conferma l'integrità di un file di sistema o driver ogni volta che viene caricato nella memoria. Integrità del codice verifica i driver non firmati o i file di sistema prima che siano caricati nel kernel. La verifica controlla anche gli utenti con privilegi amministrativi che eseguono file modificati da software dannosi.
    Anti malware ad esecuzione anticipata disattivato Attivare questa opzione per contrassegnare lo stato del dispositivo come compromesso quando l'avvio precoce dell’anti malware è disattivato.

    Antimalware ad esecuzione anticipata (ELAM) protegge i computer nel proprio network quando vengono avviati e prima dell'inizializzazione dei driver di terze parti.
    Controllo della versione dell'integrità del codice Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il controllo della versione dell'integrità codice fallisce.
    Controllo della versione del manager di avvio Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il controllo della versione boot manager fallisce.
    Controllo del numero di versione della sicurezza dell'app di avvio Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il numero versione protezione app di avvio non soddisfa il numero immesso.
    Controllo del numero di versione della sicurezza del gestore di avvio Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il numero della versione protezione boot manager non soddisfa il numero immesso.
    Impostazioni avanzate Abilitare questa opzione per configurare le impostazioni avanzate nella sezione Identificatori della versione del software.
  4. Seleziona Salva.

Argomento principale: Criteri di conformità

check-circle-line exclamation-circle-line close-line
Scroll to top icon