Beveilig uw toestellen door gebruik te maken van Windows gezondheidsattesten om verdachte (gecompromitteerde) toestellen te detecteren. Met deze service kan AirWatch de toestelintegriteit controleren tijdens het opstarten en corrigerende acties uitvoeren.

Netwerkbeleid voor verdachte status is van toepassing op mobiele toestellen met Windows 10 en een Trusted Platform Module (TPM) 1.2 of hoger.

Procedure

  1. Navigeer naar Groepen en instellingen > Alle instellingen > Toestellen en gebruikers > Windows > Windows-telefoon > Windows-gezondheidsattest.
  2. (Optioneel) Selecteer Gebruik aangepaste server als u een aangepaste server op locatie met Gezondheidsattest gebruikt. Voer de Server-URL in.
  3. Zo configureert u de instellingen voor het gezondheidsattest:
    Tabel 1. Definitie van verdachte status
    Instellingen Omschrijvingen
    Gebruik aangepaste server

    Selecteren om een aangepaste server te configureren voor een Gezondheidsattest.

    Voor deze optie is een server met Windows Server 2016 of hoger vereist.

    Als u deze optie inschakelt, wordt het veld Server-URL weergegeven.

    Server-URL Voer de URL in voor uw aangepaste server voor een gezondheidsattest.
    Beveiligd opstarten uitgeschakeld

    Inschakelen om een toestel als verdacht aan te merken als de functie voor beveiligd opstarten is uitgeschakeld.

    Met beveiligd opstarten wordt het systeem gedwongen om op te starten naar een vertrouwde fabrieksinstelling. Wanneer beveiligd opstarten is ingeschakeld, moeten de kerncomponenten die worden gebruikt om de machine op te starten de juiste cryptografische handtekeningen hebben die de OEM vertrouwt. De UEFI-firmware verifieert de vertrouwensrelatie voordat de machine kan opstarten. Beveiligd opstarten voorkomt het opstarten als er bestanden worden ontdekt die onrechtmatig zijn gewijzigd.

    Attestation Identity Key (AIK) niet aanwezig

    Inschakelen om een toestel als verdacht aan te merken als de AIK niet op het toestel aanwezig is.

    Als er een Attestation Identity Key (AIK) op het toestel aanwezig is, betekent dat het toestel een certificaat voor een endorsement key (EK) heeft. Dit toestel is dan meer te vertrouwen dan een toestel zonder EK-certificaat.

    Data Execution Prevention (DEP)-beleid uitgeschakeld

    Inschakelen om een toestel als verdacht aan te merken als het DEP-beleid op het toestel is uitgeschakeld.

    Het Data Execution Prevention (DEP)-beleid is een geheugenbeveiligingsfunctie die is ingebouwd in het systeemniveau van het besturingssysteem. Het beleid voorkomt het uitvoeren van code van gegevenspagina's zoals de standaard heap, stacks en geheugenpools. DEP wordt afgedwongen door zowel hardware als software.

    BitLocker uitgeschakeld

    Inschakelen om een toestel als verdacht aan te merken als BitLocker-encryptie op het toestel is uitgeschakeld.

    Controle van code-integriteit uitgeschakeld

    Inschakelen om een toestel als verdacht aan te merken als de controle van code-integriteit op het toestel is uitgeschakeld.

    Code-integriteit is een functie waarmee de integriteit van een stuurprogramma of een systeembestand wordt gecontroleerd elke keer dat het in het geheugen wordt geladen. Code-integriteit controleert op niet-ondertekende stuurprogramma's of systeembestanden voordat ze in de kernel worden geladen. De controle scant ook op gebruikers met beheerdersprivileges die systeembestanden uitvoeren die door kwaadaardige software zijn gewijzigd.

    Vroeg opstartende anti-malware uitgeschakeld

    Inschakelen om een toestel als verdacht aan te merken als de anti-malwaresoftware, die tijdens het opstartproces van de computer wordt geladen, is uitgeschakeld.

    Virusbescherming met ELAM-technologie (Early Launch Anti-Malware) beschermt de computers in uw netwerk tijdens het opstarten en nog voor externe drivers initialiseren.

    Versiecontrole van de code-integriteit Inschakelen om een toestel als verdacht aan te merken als de versiecontrole van de code-integriteit een negatief resultaat oplevert.
    Versiecontrole van de opstartmanager Inschakelen om een toestel als verdacht aan te merken als de versiecontrole van de opstartmanager een negatief resultaat oplevert.
    Nummercontrole voor opstartapplicatie beveiligingsversie Inschakelen om een toestel als verdacht aan te merken als het beveiligingsversienummer van de opstartapplicatie niet overeenkomt met het ingevoerde nummer.
    Nummercontrole voor opstartmanager beveiligingsversie Inschakelen om een toestel als verdacht aan te merken als het beveiligingsversienummer van de opstartmanager niet overeenkomt met het ingevoerde nummer.
    Geavanceerde instellingen Vink deze optie aan om geavanceerde instellingen in de sectie Softwareversie-ID's te configureren

Volgende stappen

Voor meer informatie verwijzen we u naar het Microsoft TechNet-artikel over gezondheidsattesten.