Обеспечьте безопасность ваших устройств с помощью службы аттестации работоспособности Windows для обнаружения скомпрометированных устройств. Эта служба позволяет AirWatch отслеживать целостность устройств во время загрузки и выполнять корректирующие действия.

Политика соответствия в отношении статуса уязвимости применима к устройствам Windows 10 Mobile с модулем TPM версии 1.2 или более поздней.

Процедура

  1. Откройте Группы и настройки > Все настройки > Устройства и пользователи > Windows > Windows Phone > Аттестация работоспособности Windows.
  2. (Необязательно) Выберите Использовать пользовательский сервер, если используется пользовательский локальный сервер, на котором выполняется аттестация работоспособности. Введите URL-адрес сервера.
  3. Настройте параметры аттестации работоспособности:
    Табл. 1. Определение статуса уязвимости
    Настройки Описания
    Использовать настраиваемый сервер

    Выберите этот параметр, чтобы сконфигурировать настраиваемый сервер для аттестации работоспособности.

    Для использования этого параметра требуется сервер под управлением Windows Server 2016 или более поздней версии.

    При включении этого параметра отображается поле URL-адрес сервера.

    URL-адрес сервера Введите URL-адрес для настраиваемого сервера аттестации работоспособности.
    Функция Secure Boot отключена

    Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если функция Secure Boot отключена на устройстве.

    Функция Secure Boot принудительно загружает систему в заводское доверенное состояние. При включенной функции Secure Boot основные компоненты, используемые для загрузки компьютера, должны иметь соответствующие криптографические подписи, которым доверяет OEM-поставщик. Встроенное ПО UEFI проверяет состояние доверия перед запуском устройства. Функция Secure Boot предотвращает запуск устройства при обнаружении любых измененных файлов.

    Ключ удостоверения подлинности (AIK) отсутствует

    Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если ключ удостоверения подлинности отсутствует на устройстве.

    Ключ удостоверения подлинности (AIK) присутствует на устройстве, это означает, что устройство имеет сертификат ключа подтверждения (EK). Он может быть более доверенным, чем устройство, у которого нет сертификата ключа подтверждения.

    Отключена политика предотвращения выполнения данных (DEP)

    Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если функция DEP отключена на устройстве.

    Политика предотвращения выполнения данных (DEP) — это функция защиты памяти, встроенная на системном уровне операционной системы. Эта политика блокирует выполнение кода из таких страниц данных, как куча по умолчанию, стеки и пулы памяти. Функция DEP реализуется как аппаратным, так и программным обеспечением.

    Шифрование BitLocker отключено

    Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если шифрование BitLocker отключено на устройстве.

    Проверка целостности кода отключена

    Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если проверка целостности кода отключена на устройстве.

    Целостность кода — это функция проверки целостности драйвера или системного файла при каждой загрузке его в систему. Данная функция выполняет проверку на наличие неподписанных драйверов или системных файлов перед их загрузкой в ядро. Кроме того, эта функция проверяет наличие пользователей с административными правами, от чьего имени запущены системные файлы, измененные вредоносным ПО.

    Ранний запуск антивредоносной программы отключен

    Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если ранний запуск антивредоносной программ отключен на устройстве.

    Ранний запуск антивредоносной программы (ELAM) обеспечивает защиту для компьютеров в вашей сети при запуске и перед инициализацией драйверов сторонних производителей.

    Проверка версии целостности кода Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если проверка версии целостности кода завершилась ошибкой.
    Проверка версии диспетчера загрузки Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если проверка версии диспетчера загрузки завершилась ошибкой.
    Проверка номера версии безопасности загрузочного приложения Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если номер версии безопасности загрузочного приложения не соответствует введенному номеру.
    Проверка номера версии безопасности диспетчера загрузки Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если номер версии безопасности диспетчера загрузки не соответствует введенному номеру.
    Дополнительные настройки Включите этот параметр для настройки дополнительных параметров в разделе «Идентификаторы версий программ».

Дальнейшие действия

Дополнительные сведения см. в статье Microsoft TechNet об аттестации работоспособности.