Verdacht toestel detecteren met gezondheidsattest
De service voor gezondheidsattest scant toestellen tijdens opstarten om toestellen waarvan de integriteit is beschadigd te vinden. Gebruik gezondheidsattesten om gecompromitteerde Windows desktoptoestellen te detecteren terwijl deze worden beheerd onder Workspace ONE UEM.
Zowel in implementaties met BYOD-toestellen als in implementaties met bedrijfseigen toestellen is het belangrijk te weten dat toestellen niet gecompromitteerd zijn wanneer ze toegang zoeken tot bedrijfsnetwerken. De Windows gezondheidsattestatieservice bekijkt opstartgegevens (boot information) vanaf de cloud via beveiligde communicatiekanalen. Deze gegevens worden gemeten en vergeleken met andere datapunten om te verzekeren dat het toestel normaal opstart en niet het slachtoffer is geworden van beveiligingsrisico's of bedreigingen. Secure Boot, Code Integrity, BitLocker en de Boot Manager worden o.a. gemeten.
Met Workspace ONE UEM kunt u de service voor gezondheidsattesten van Windows configureren om naleving van de netwerkregels door toestellen te garanderen. Als een toestel niet door één van de ingestelde controles komt, grijpt Workspace ONE UEM via de netwerkbeleidsengine in zoals gespecificeerd in het netwerkbeleid. Deze functie zorgt ervoor dat zakelijke gegevens beveiligd zijn tegen verdachte toestellen. Aangezien Workspace ONE UEM de benodigde informatie uit de toestelhardware ophaalt in plaats van het besturingssysteem, kunnen verdachte toestellen worden ontdekt zelfs als de kernel van het besturingssysteem gecompromitteerd is.
Gezondheidsattesten configureren voor gebruik met netwerkbeleid voor Windows Desktop
Beveilig uw toestellen door gebruik te maken van Windows gezondheidsattesten om verdachte (gecompromitteerde) toestellen te detecteren. Met deze service kan Workspace ONE UEM de toestelintegriteit controleren tijdens het opstarten en corrigerende acties uitvoeren.
-
Navigeer naar Groepen en Instellingen > Alle instellingen > Toestellen en gebruikers > Windows > Windows desktop > Windows gezondheidsattest.
-
Selecteer Gebruik aangepaste server als u een aangepaste server op locatie met Gezondheidsattest gebruikt. Voer de Server-URL in.
-
Zo configureert u de instellingen voor het gezondheidsattest:
Instellingen Omschrijvingen Gebruik aangepaste server Selecteren om een aangepaste server te configureren voor een Gezondheidsattest.
Voor deze optie is een server met Windows Server 2016 of hoger vereist.
Als u deze optie inschakelt wordt het veld server-URL weergegeven.Server-URL Voer de URL in voor uw aangepaste server voor een gezondheidsattest. Beveiligd opstarten gedeactiveerd Inschakelen om een toestel als verdacht aan te merken als de functie voor beveiligd opstarten is gedeactiveerd.
Met beveiligd opstarten wordt het systeem gedwongen om op te starten naar een vertrouwde fabrieksinstelling. Wanneer beveiligd opstarten is ingeschakeld, moeten de kerncomponenten die worden gebruikt om de machine op te starten de juiste cryptografische handtekeningen hebben die de OEM vertrouwt. De UEFI-firmware verifieert de vertrouwensrelatie voordat de machine kan opstarten. Beveiligd opstarten voorkomt het opstarten als er bestanden worden ontdekt die onrechtmatig zijn gewijzigd.Attestation Identity Key (AIK) niet aanwezig Inschakelen om een toestel als verdacht aan te merken als de AIK niet op het toestel aanwezig is.
Als er een Attestation Identity Key (AIK) op het toestel aanwezig is, betekent dat het toestel een certificaat voor een endorsement key (EK) heeft. Dit toestel is dan meer te vertrouwen dan een toestel zonder EK-certificaat.Data Execution Prevention (DEP)-beleid Gedeactiveerd Inschakelen om een toestel als verdacht aan te merken als het DEP-beleid op het toestel is gedeactiveerd.
Het Data Execution Prevention (DEP)-beleid is een geheugenbeveiligingsfunctie die is ingebouwd in het systeemniveau van het besturingssysteem. Het beleid voorkomt het uitvoeren van code van gegevenspagina's zoals de standaard heap, stacks en geheugenpools. DEP wordt afgedwongen door zowel hardware als software.BitLocker gedeactiveerd Inschakelen om een toestel als verdacht aan te merken als BitLocker-encryptie op het toestel is gedeactiveerd. Controle van code-integriteit gedeactiveerd Inschakelen om een toestel als verdacht aan te merken als de controle van code-integriteit op het toestel is gedeactiveerd.
Code-integriteit is een functie waarmee de integriteit van een stuurprogramma of een systeembestand wordt gecontroleerd elke keer dat het in het geheugen wordt geladen. Code-integriteit controleert op niet-ondertekende stuurprogramma's of systeembestanden voordat ze in de kernel worden geladen. De controle scant ook op gebruikers met beheerdersprivileges die systeembestanden uitvoeren die door kwaadaardige software zijn gewijzigd.Vroeg opstartende anti-malware gedeactiveerd Inschakelen om een toestel als verdacht aan te merken als de anti-malwaresoftware, die tijdens het opstartproces van de computer wordt geladen, is gedeactiveerd.
Virusbescherming met ELAM-technologie (Early Launch Anti-Malware) beschermt de computers in uw netwerk tijdens het opstarten en nog voor externe drivers initialiseren.Versiecontrole van de code-integriteit Inschakelen om een toestel als verdacht aan te merken als de versiecontrole van de code-integriteit een negatief resultaat oplevert. Versiecontrole van de opstartmanager Inschakelen om een toestel als verdacht aan te merken als de versiecontrole van de opstartmanager een negatief resultaat oplevert. Nummercontrole voor opstartapplicatie beveiligingsversie Inschakelen om een toestel als verdacht aan te merken als het beveiligingsversienummer van de opstartapplicatie niet overeenkomt met het ingevoerde nummer. Nummercontrole voor opstartmanager beveiligingsversie Inschakelen om een toestel als verdacht aan te merken als het beveiligingsversienummer van de opstartmanager niet overeenkomt met het ingevoerde nummer. Geavanceerde instellingen Vink deze optie aan om geavanceerde instellingen in de sectie Softwareversie-ID's te configureren -
Selecteer Opslaan.
Hoofdonderwerp: netwerkregels
