透過 Windows 健康情況證明服務偵測遭破解的裝置以保護裝置安全。此服務可讓 Workspace ONE UEM 在開機期間檢查裝置完整性,並採取更正動作。

程序

  1. 導覽至群組 & 設定 > 所有設定 > 裝置 & 使用者 > Windows > Windows 桌面版 > Windows 健康情況證明
  2. (選擇性) 如果您使用執行健康情況證明的自訂內部部署伺服器,請選取使用自訂伺服器。輸入伺服器 URL
  3. 配置健全狀況證明設定:
    設定 描述
    使用自訂伺服器

    選取此選項可為「健康情況證明」配置自訂伺服器。

    此選項需要執行 Windows Server 2016 或更新版本的伺服器。

    啟用此選項會顯示伺服器 URL 欄位。

    伺服器 URL 輸入自訂「健康情況證明」伺服器的 URL。
    已停用安全開機的功能

    啟用此選項可在裝置停用安全開機功能時,標記遭破解裝置的狀態。

    「安全開機」功能會強制系統進行原廠的信任式開機。啟用「安全開機」功能後,用於啟動機器的核心元件必須具有 OEM 信任的正確加密編譯簽章。UEFI 韌體驗證信任後,才會允許機器啟動。如果偵測到任何遭篡改的檔案,安全啟動會禁止啟動。

    證明識別金鑰 (AIK) 不存在

    啟用此選項可在裝置沒有 AIK 時,標記遭破解裝置的狀態。

    裝置上有證明識別金鑰 (AIK),代表該裝置具有簽署金鑰 (EK) 憑證,比沒有 EK 憑證的裝置更受人信任。

    已停用資料執行防止(DEP)原則

    啟用此選項可在裝置停用 DEP 時,標記遭破解裝置的狀態。

    資料執行防止 (DEP) 原則是內建於作業系統中系統層級的記憶體保護功能,主要作用是禁止從堆積、堆疊和記憶體集區等資料頁執行程式碼。DEP 是由硬體和軟體強制執行。

    已停用 BitLocker 啟用此選項可在裝置停用 BitLocker 加密時,標記遭破解裝置的狀態。
    已停用程式碼完整性檢查

    啟用此選項可在裝置停用程式碼完整性檢查時,標記遭破解裝置的狀態。

    程式碼完整性功能可在每次驅動程式或系統檔案載入記憶體時驗證其完整性。程式碼完整性功能會在未簽署的驅動程式或系統檔案載入核心之前先進行檢查。這項檢查也會掃描具有管理權限的使用者是否執行由惡意軟體修改的系統檔案。

    已停用儘早啟動的反惡意程式碼原則

    啟用此選項可在裝置停用儘早啟動的反惡意程式碼原則時,標記遭破解裝置的狀態。

    初期啟動的反惡意程式碼 (ELAM) 可以在電腦啟動時或在第三方驅動程式初始化之前,為您網絡中的電腦提供保護。

    程式碼完整性版本檢查 啟用此選項可在程式碼完整性版本檢查失敗時,標記遭破解裝置的狀態。
    開機管理程式版本檢查 啟用此選項可在開機管理程式版本檢查失敗時,標記遭破解裝置的狀態。
    開機 APP 安全性版本號碼檢查 啟用此選項可在開機管理程式版本號碼不符合輸入的數字時,標記遭破解裝置的狀態。
    開機管理程式安全性版本號碼檢查 啟用此選項可在開機管理程式安全性版本號碼不符合輸入的數字時,標記遭破解裝置的狀態。
    進階設定 啟用此選項可在「軟體版本識別碼」區段中進行進階設定。
  4. 選取儲存