L'attestazione dell'integrità esegue la scansione dei dispositivi durante l'avvio per verificare che non vi siano errori di integrità. Utilizzare l'attestazione di integrità per individuare i desktop Windows che sono stati compromessi mentre erano gestiti da Workspace ONE UEM.

Nelle distribuzioni dei dispositivi BYOD e aziendali, è importante sapere che i dispositivi sono integri quando accedono alle risorse aziendali. Il servizio di attestazione dell'integrità di Windows accede alle informazioni relative all'avvio del dispositivo dal cloud tramite comunicazioni protette. Queste informazioni vengono misurate e confrontate con i punti di dati correlati, per garantire che il dispositivo si è avviato come previsto e che non sia vittima di vulnerabilità o minacce di sicurezza. Le misure includono l'avvio protetto, l'integrità del codice, BitLocker e il gestore di avvio.

Workspace ONE UEM consente di configurare il servizio di attestazione dell'integrità di Windows per garantire la conformità del dispositivo. Se uno dei controlli abilitati non riesce, il motore dei criteri di conformità di Workspace ONE UEM applica le misure di sicurezza in base ai criteri di conformità configurati. Questa funzionalità consente di proteggere i dati aziendali dai dispositivi compromessi. Poiché Workspace ONE UEM estrae le informazioni necessarie dall'hardware del dispositivo e non dal sistema operativo, i dispositivi compromessi vengono rilevati anche quando il kernel del sistema operativo è compromesso.

Configurare l'attestazione dell'integrità per i criteri di conformità di Windows Desktop

È possibile proteggere i propri dispositivi utilizzando il servizio di attestazione dell'integrità di Windows per il rilevamento dei dispositivi compromessi. Questo servizio consente a Workspace ONE UEM di verificare l'integrità del dispositivo durante l'avvio e di eseguire azioni correttive.

  1. Passare a Gruppi e impostazioni > Tutte le impostazioni > Dispositivi e utenti > Windows > Windows Desktop > Attestazione dell'integrità di Windows.

  2. Selezionare Utilizza il server personalizzato se si utilizza un server on-premise personalizzato che esegue l'attestazione dell'integrità. Inserire l'URL del server.

  3. Configurare le impostazioni dell'attestazione dell'integrità:

    Impostazioni Descrizione
    Utilizza il server personalizzato Seleziona questa opzione per configurare un server personalizzato per l'attestazione dell'integrità.

    Questa opzione richiede un server che esegue Windows Server 2016 o versione successiva.

    Se si abilita questa opzione, viene visualizzato il campo URL del server.
    URL del server Immettere l'URL del server per l’attestazione di integrità personalizzata.
    Avvio sicuro disabilitato Abilitare questa opzione per contrassegnare come compromessi i dispositivi in cui Avvio sicuro è disattivato.

    Avvio sicuro impone l'avvio del sistema in uno stato di fabbrica attendibile. Quando Avvio sicuro è abilitato, i componenti principali utilizzati per l'avvio devono disporre di firme crittografiche corrette che sono ritenute attendibili dall’OEM. Il firmware UEFI verifica l'attendibilità prima di consentire l'avvio della macchina. Avvio sicuro impedisce l'avvio se viene rilevato qualsiasi file manomesso.
    Chiave di attestazione identità (AIK) non presente Abilitare questa opzione per contrassegnare come compromessi i dispositivi privi di AIK.

    La chiave di identità dell'attestazione (AIK) di un dispositivo indica che il dispositivo dispone di un certificato di verifica dell'autenticità (EK). Può essere più affidabile di un dispositivo che non dispone di un certificato EK.
    Criterio della prevenzione dell'esecuzione dei dadi (DEP) disabilitato Abilitare questa opzione per contrassegnare come compromesso un dispositivo con il criterio DEP disattivato.

    Il criterio di prevenzione dell'esecuzione dei dati (DEP, Data Execution Prevention) è una funzionalità di protezione della memoria integrata a livello di sistema operativo. Il criterio impedisce l'esecuzione di codici dalle pagine di dati, come dai pool di heap, stack e della memoria predefinita. DEP è applicata sia dall'hardware che dal software.
    BitLocker disabilitato Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando la crittografia BitLocker è disabilitata.
    Controllo dell'integrità del codice disattivato Abilitare questa opzione per contrassegnare come compromessi i dispositivi in cui il controllo dell'integrità del codice è disattivato.

    Il controllo dell'integrità del codice è una funzionalità che convalida l'integrità di un driver o file di sistema ogni volta che viene caricato in memoria. Integrità del codice verifica i driver non firmati o i file di sistema prima che siano caricati nel kernel. La verifica controlla anche gli utenti con privilegi amministrativi che eseguono file modificati da software dannosi.
    Antimalware ad esecuzione anticipata disabilitato Abilitare questa opzione per contrassegnare come compromessi i dispositivi in cui la funzione Antimalware ad esecuzione anticipata è disattivata.

    La funzione Antimalware ad esecuzione anticipata (ELAM) protegge i computer nella rete quando vengono avviati e prima dell'esecuzione dei driver di terze parti.
    Controllo della versione dell'integrità del codice Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il controllo della versione dell'integrità codice fallisce.
    Controllo della versione del manager di avvio Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il controllo della versione boot manager fallisce.
    Controllo del numero di versione della sicurezza dell'app di avvio Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il numero versione protezione app di avvio non soddisfa il numero immesso.
    Controllo del numero di versione della sicurezza del gestore di avvio Abilita questa opzione per contrassegnare lo stato del dispositivo come compromesso quando il numero della versione protezione boot manager non soddisfa il numero immesso.
    Impostazioni avanzate Abilitare questa opzione per configurare le impostazioni avanzate nella sezione Identificatori della versione del software.
  4. Seleziona Salva.

Argomento principale: Criteri di conformità

check-circle-line exclamation-circle-line close-line
Scroll to top icon