健全狀況證明會在裝置啟動期間掃描裝置完整性是否有問題。由 Workspace ONE UEM 管理時,請使用健康情況證明來偵測遭破解的 Windows 桌面裝置。
在 BYOD 和公司所屬的裝置部署中,存取公司資源時必須瞭解該裝置的健全狀況良好。Windows 健康情況證明服務會透過安全通訊,從雲端存取裝置開機資訊。系統會依據相關資料點來測量和檢查此資訊,此資訊測量,確保裝置是在預期情況下開機,而不受安全性漏洞或威脅之害。測量包括安全開機、程式碼完整性、BitLocker 及開機管理程式。
Workspace ONE UEM 可讓您設定 Windows 健康情況證明服務,以確保裝置合規性。如果任何啟用的檢查失敗,則 Workspace ONE UEM 合規原則引擎就會依據設定的合規原則套用安全措施。此功能可讓您保護企業資料免於遭破解裝置的侵害。由於 Workspace ONE UEM 會從裝置硬體提取必要資訊,而不是從作業系統,所以即使作業系統核心遭到破解,仍可偵測遭破解的裝置。
透過 Windows 健康情況證明服務偵測遭破解的裝置以保護裝置安全。此服務可讓 Workspace ONE UEM 在啟動期間監測裝置完整性,並採取更正動作。
導覽至群組與設定 > 所有設定 > 裝置與使用者 > Windows > Windows 桌面 > Windows 健康情況證明。
如果您使用執行健康情況證明的自訂內部部署伺服器,請選取使用自訂伺服器。輸入伺服器 URL。
配置健全狀況證明設定:
| 設定 | 描述 |
|---|---|
| 使用自訂伺服器 | 選取此選項可為「健康情況證明」配置自訂伺服器。 此選項需要執行 Windows Server 2016 或更新版本的伺服器。 啟用此選項將顯示「伺服器 URL」文字方塊。 |
| 伺服器 URL | 輸入自訂「健康情況證明」伺服器的 URL。 |
| 已停用安全開機 | 啟用此選項可在裝置停用安全開機功能時,標記遭破解裝置的狀態。 「安全開機」功能會強制系統進行原廠的信任式開機。啟用「安全開機」功能後,用於啟動機器的核心元件必須具有 OEM 信任的正確加密編譯簽章。UEFI 韌體驗證信任後,才會允許機器啟動。如果偵測到任何遭篡改的檔案,安全啟動會禁止啟動。 |
| 證明識別金鑰 (AIK) 不存在 | 啟用此選項可在裝置沒有 AIK 時,標記遭破解裝置的狀態。 裝置上有證明識別金鑰 (AIK),代表該裝置具有簽署金鑰 (EK) 憑證,比沒有 EK 憑證的裝置更受人信任。 |
| 已停用資料執行防止 (DEP) 原則 | 啟用此選項可在裝置停用 DEP 時,標記遭破解裝置的狀態。 資料執行防止 (DEP) 原則是內建於作業系統中系統層級的記憶體保護功能,主要作用是禁止從堆積、堆疊和記憶體集區等資料頁執行程式碼。DEP 是由硬體和軟體強制執行。 |
| 已停用 BitLocker | 啟用此選項可在裝置停用 BitLocker 加密時,標記遭破解裝置的狀態。 |
| 已停用程式碼完整性檢查 | 啟用此選項可在裝置停用程式碼完整性檢查時,標記遭破解裝置的狀態。 程式碼完整性功能可在每次驅動程式或系統檔案載入記憶體時驗證其完整性。程式碼完整性功能會在未簽署的驅動程式或系統檔案載入核心之前先進行檢查。這項檢查也會掃描具有管理權限的使用者是否執行由惡意軟體修改的系統檔案。 |
| 已停用初期啟動的反惡意程式碼 | 啟用此選項可在裝置停用初期啟動的反惡意程式碼時,標記遭破解裝置的狀態。 初期啟動的反惡意程式碼 (ELAM) 可以在電腦啟動時或在第三方驅動程式初始化之前,為您網絡中的電腦提供保護。 |
| 程式碼完整性版本檢查 | 啟用此選項可在程式碼完整性版本檢查失敗時,標記遭破解裝置的狀態。 |
| 開機管理程式版本檢查 | 啟用此選項可在開機管理程式版本檢查失敗時,標記遭破解裝置的狀態。 |
| 開機 APP 安全性版本號碼檢查 | 啟用此選項可在開機管理程式版本號碼不符合輸入的數字時,標記遭破解裝置的狀態。 |
| 開機管理程式安全性版本號碼檢查 | 啟用此選項可在開機管理程式安全性版本號碼不符合輸入的數字時,標記遭破解裝置的狀態。 |
| 進階設定 | 啟用此選項可在「軟體版本識別碼」區段中進行進階設定。 |
選取儲存。
上層主題:合規原則
