Обнаружение скомпрометированных устройств с помощью аттестации работоспособности

Аттестация работоспособности сканирует устройства во время запуска на предмет сбоев целостности. Функция аттестации работоспособности используется для обнаружения скомпрометированных устройств Windows Desktop под управлением Workspace ONE UEM.

При развертывании личных устройств сотрудников и корпоративных устройств важно знать, что устройства работают нормально при доступе к корпоративным ресурсам. Служба аттестации работоспособности Windows получает доступ к информации о загрузке устройства из облака по защищенному подключению. Эта информация измеряется и сверяется со связанными точками данных, чтобы гарантировать, что устройство загружается должным образом и не подвержено уязвимостям или угрозам безопасности. Измерения включают безопасную загрузку, целостность кода, BitLocker и диспетчер загрузки.

Workspace ONE UEM позволяет настроить службу аттестации работоспособности Windows для обеспечения соответствия устройства. В случае сбоя любой из включенных проверок механизм политики соответствия Workspace ONE UEM применяет меры безопасности на основе настроенной политики соответствия. Эта функциональность позволяет защитить корпоративные данные от взломанных устройств. Поскольку Workspace ONE UEM извлекает необходимую информацию из аппаратного обеспечения устройства, а не из операционной системы, скомпрометированные устройства обнаруживаются даже в том случае, если ядро ОС находится под угрозой.

Настройка аттестации работоспособности для политик соответствия Windows Desktop

Обеспечьте безопасность ваших устройств с помощью службы аттестации работоспособности Windows для обнаружения скомпрометированных устройств. Она позволяет Workspace ONE UEM отслеживать исправность устройств во время запуска и выполнять корректирующие действия.

На этом снимку экрана показан экран «Windows настройки системы аттестации работоспособности настольного компьютера».

  1. Пройдите в Группы и настройки > Все настройки > Устройства и пользователи > Windows > Windows Desktop > Аттестация работоспособности Windows.

  2. Выберите Использовать пользовательский сервер, если используется пользовательский локальный сервер, на котором выполняется аттестация работоспособности. Введите URL-адрес сервера.

  3. Настройте параметры аттестации работоспособности:

    Настройки Описания
    Использовать настраиваемый сервер Выберите этот параметр, чтобы сконфигурировать настраиваемый сервер для аттестации работоспособности.

    Для использования этого параметра требуется сервер под управлением Windows Server 2016 или более поздней версии.

    При включении этого параметра отображается текстовое поле «URL-адрес сервера».
    URL-адрес сервера Введите URL-адрес для настраиваемого сервера аттестации работоспособности.
    Функция Secure Boot деактивирована Включите этот параметр, чтобы отметить статус скомпрометированного устройства в том случае, если функция Secure Boot деактивирована на устройстве.

    Функция Secure Boot принудительно загружает систему в заводское доверенное состояние. При включенной функции Secure Boot основные компоненты, используемые для загрузки компьютера, должны иметь соответствующие криптографические подписи, которым доверяет OEM-поставщик. Встроенное ПО UEFI проверяет состояние доверия перед запуском устройства. Функция Secure Boot предотвращает запуск устройства при обнаружении любых измененных файлов.
    Kлюч удостоверения подлинности (AIK) отсутствует Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если ключ удостоверения подлинности отсутствует на устройстве.

    Ключ удостоверения подлинности (AIK) присутствует на устройстве, это означает, что устройство имеет сертификат ключа подтверждения (EK). Он может быть более доверенным, чем устройство, у которого нет сертификата ключа подтверждения.
    Политика предотвращения выполнения данных (DEP) деактивирована Включите этот параметр, чтобы отметить статус скомпрометированного устройства в том случае, если функция DEP деактивирована на устройстве.

    Политика предотвращения выполнения данных (DEP) — это функция защиты памяти, встроенная на системном уровне операционной системы. Эта политика блокирует выполнение кода из таких страниц данных, как куча по умолчанию, стеки и пулы памяти. Функция DEP реализуется как аппаратным, так и программным обеспечением.
    Шифрование BitLocker деактивировано Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если шифрование BitLocker деактивировано на устройстве.
    Проверка целостности кода деактивирована Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если проверка целостности кода деактивирована на устройстве.

    Целостность кода — это функция проверки целостности драйвера или системного файла при каждой загрузке его в систему. Данная функция выполняет проверку на наличие неподписанных драйверов или системных файлов перед их загрузкой в ядро. Кроме того, эта функция проверяет наличие пользователей с административными правами, от чьего имени запущены системные файлы, измененные вредоносным ПО.
    Ранний запуск антивредоносной программы деактивирован Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если ранний запуск антивредоносной программ деактивирован на устройстве.

    Ранний запуск антивредоносной программы (ELAM) обеспечивает защиту для компьютеров в вашей сети при запуске и перед инициализацией драйверов сторонних производителей.
    Проверка версии целостности кода Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если проверка версии целостности кода завершилась ошибкой.
    Проверка версии диспетчера загрузки Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если проверка версии диспетчера загрузки завершилась ошибкой.
    Проверка номера версии безопасности загрузочного приложения Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если номер версии безопасности загрузочного приложения не соответствует введенному номеру.
    Проверка номера версии безопасности диспетчера загрузки Включите этот параметр, чтобы отметить состояние скомпрометированного устройства в том случае, если номер версии безопасности диспетчера загрузки не соответствует введенному номеру.
    Дополнительные настройки Включите этот параметр для настройки дополнительных параметров в разделе «Идентификаторы версий программ».

  4. Нажмите Сохранить.

Исходная тема: Политики соответствия требованиям

check-circle-line exclamation-circle-line close-line
Scroll to top icon