正常性構成証明による侵害デバイスの検出
正常性構成証明は、デバイスの起動時にスキャンを行って整合性の欠陥を検知します。正常性構成証明を使用して、Workspace ONE UEM で管理されているときに侵害状態になった Windows デスクトップ デバイスを検出します。
企業リソースにアクセスするデバイスの正常性を検証することは、BYOD と企業所有デバイス展開の双方において重要です。Windows の正常性構成証明サービスは、セキュアな接続を使用してクラウドからデバイスのブート情報にアクセスします。この情報は、測定され、関連データ ポイントに対して検証され、デバイスのブート状態が正常であること、セキュリティの脆弱性や脅威の対象になっていないことを確認します。セキュア ブート、コード整合性、BitLocker、ブート マネージャー等を測定します。
Workspace ONE UEM を使用して、Windows 正常性構成証明サービスを構成しデバイス順守を確実に行うことができます。有効にしたチェック項目のいずれかで失敗の結果が出ると、Workspace ONE UEM の順守ポリシー エンジンにより、構成されている順守ポリシーに基づく対応措置が取られます。この機能により、貴社の企業データを、侵害状態にあるデバイスからセキュアに保護することができます。Workspace ONE UEM は必要な情報を OS ではなくデバイスのハードウェアからプルするので、OS カーネルが侵害されている場合でも侵害状態デバイスを検出することができます。
Windows デスクトップ順守ポリシーの正常性構成証明を構成する
Windows の正常性認証サービスを使用して侵害デバイスを検出し、貴社のデバイスのセキュリティを保護します。このサービスにより、Workspace ONE UEM は、デバイスを起動する際に整合性を監視し、対応措置を取ることができます。
![このスクリーンショットは、[Windows デスクトップ正常性構成証明システム設定] 画面を示しています。](Images/images-MDM_Configure_the_Health_Attestation_for_Windows_Desktop_Compliance_Policies.png)
-
グループと設定 > すべての設定 > デバイスとユーザー > Windows > Windows デスクトップ > Windows 正常性構成証明 と進みます。
-
オンプレミス環境で、正常性構成証明を実行しているカスタム サーバを使用している場合、[カスタム サーバを使用] を選択します。サーバ URL フィールドの値を入力します。
-
正常性認証設定を構成します。
設定 説明 カスタム サーバを使用 正常性構成証明用のカスタム サーバを構成する場合、このオプションを有効にします。
このオプションを有効にする場合、Windows Server 2016 以降を実行しているサーバが必要です。
このオプションを有効にすると、[サーバ URL] テキスト ボックスが表示されます。サーバ URL 正常性構成証明用のカスタム サーバの URL を入力します。 セキュア ブートのアクティベーション解除 デバイス上でセキュア ブートがアクティベーション解除済みの場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
セキュア ブート機能により、システムは、信頼できる工場出荷時状態で起動します。セキュア ブートを有効にする場合、デバイス起動時に使用されるコア コンポーネントに、OEM から信頼された正しい暗号化署名が付いている必要があります。デバイス起動前に、UEFI ファームウェアによって暗号化署名が検証されます。改ざんされたファイルが検出された場合、システムは起動しません。認証 ID キー (AIK) が存在しない デバイス上に AIK がない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
デバイス上に認証 ID キー (AIK) がある場合、そのデバイス上に保証キー (EK) 証明書があることを意味します。そのデバイスは、EK 証明書を持っていないデバイスよりも信頼できます。データ実行防止 (DEP) ポリシーのアクティベーション解除 デバイス上で DEP がアクティベーション解除済みの場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
データ実行防止 (DEP) ポリシーは、システム レベルで OS に組み込まれたメモリ保護機能です。このポリシーにより、既定のヒープ、スタック、メモリ プールなどのデータ ページからコードが実行されることを禁止できます。DEP は、ハードウェアとソフトウェアの両方で適用されます。BitLocker のアクティベーション解除 デバイス上で BitLocker 暗号化がアクティベーション解除されている場合、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。 コードの整合性チェックのアクティベーション解除 デバイス上でコード整合性チェックがアクティベーション解除済みの場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
コード整合性検査とは、ドライバまたはシステム ファイルがメモリに読み込まれるたびに、その整合性を検査するものです。未署名のドライバおよびシステム ファイルは、コード整合性検査を受けてから、カーネルに読み込まれます。また、コード整合性検査では、管理者特権を持つユーザーが、悪意のあるソフトウェアによって改ざんされたシステム ファイルを実行していないかどうかが検査されます。起動時マルウェア対策のアクティベーション解除 デバイス上で起動時マルウェア対策 (ELAM) がアクティベーション解除済みの場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
ELAM を有効にした場合、ネットワーク上のコンピュータが起動した後サードパーティ製ドライバが初期化される前に、コンピュータが保護されます。コードの整合性バージョン チェック コードの整合性バージョン チェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。 ブート マネージャ バージョン チェック ブート マネージャ バージョン チェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。 ブート アプリ セキュリティのバージョン番号確認 ブート アプリ セキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。 ブートマネージャセキュリティのバージョン番号確認 ブート マネージャ セキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。 高度な設定 「ソフトウェア バージョン識別子」 セクションで高度な設定を構成するには、このオプションを有効にします。 -
[保存] を選択します。
親トピック:順守ポリシー
