Apparaatstatusverklaring

Geïntroduceerd in Windows 10, versie 1507, bevat Device Health Attestation (DHA) het volgende:

  • Kan worden geïntegreerd met het MDM-framework (Mobile Device Management) van Windows 10 in overeenstemming met OMA-standaarden (Open Mobile Alliance).

  • Ondersteunt apparaten met een Trusted Module Platform (TPM) die zijn ingericht in een firmware- of discrete indeling.

  • Hiermee kunnen ondernemingen de beveiligingsbalk van hun organisatie verhogen naar hardware bewaakte en geteste beveiliging, met minimale of geen invloed op de operationele kosten.

Vanaf Windows Server 2016 kunt u de DHA-service nu uitvoeren als serverrol binnen uw organisatie. Gebruik dit artikel voor meer informatie over het installeren en configureren van de serverfunctie Device Health Attestation.

Overview

U kunt DHA gebruiken om de apparaatstatus te beoordelen op:

  • Windows 10- en Windows 10 Mobile-apparaten die TPM 1.2 of 2.0 ondersteunen.
  • On-premises apparaten die worden beheerd met Active Directory met internettoegang, apparaten die worden beheerd door Active Directory zonder internettoegang, apparaten die worden beheerd door Microsoft Entra ID of een hybride implementatie met zowel Active Directory als Microsoft Entra ID.

DHA-service

De DHA-service valideert de TPM- en PCR-logboeken voor een apparaat en geeft vervolgens een DHA-rapport uit. Microsoft biedt de DHA-service op drie manieren:

  • DHA-cloudservice. Een door Microsoft beheerde DHA-service die gratis is, geografisch load-balanced, en geoptimaliseerd voor toegang vanuit verschillende regio's van de wereld.

  • Lokale DHA-service. Er is een nieuwe serverfunctie geïntroduceerd in Windows Server 2016. Het is gratis beschikbaar voor klanten met een Licentie voor Windows Server 2016.

  • DHA Azure-cloudservice. Een virtuele host in Microsoft Azure. Hiervoor hebt u een virtuele host en licenties nodig voor de on-premises DHA-service.

De DHA-service kan worden geïntegreerd met MDM-oplossingen en biedt het volgende:

  • Combineer de informatie die ze ontvangen van apparaten (via bestaande communicatiekanalen voor apparaatbeheer) met het DHA-rapport
  • Een veiligere en vertrouwde beveiligingsbeslissing nemen op basis van geteste en beveiligde gegevens

Hier volgt een voorbeeld van hoe u DHA kunt gebruiken om het beveiligingsniveau voor de assets van uw organisatie te verhogen.

  1. U maakt een beleid waarmee de volgende opstartconfiguratie/-kenmerken worden gecontroleerd:
    • Beveiligd opstarten
    • BitLocker
    • ELAM
  2. De MDM-oplossing dwingt dit beleid af en activeert een corrigerende actie op basis van de DHA-rapportgegevens. Het kan bijvoorbeeld het volgende controleren:
    • Beveiligd opstarten is ingeschakeld, het apparaat heeft vertrouwde code geladen die authentiek is en het Windows-opstartlaadprogramma is niet gemanipuleerd.
    • Vertrouwde Opstart heeft succesvol de digitale handtekening van de Windows-kernel en de componenten gecontroleerd die tijdens het opstarten van het apparaat zijn geladen.
    • Meten van opstarten heeft een met TPM beveiligde audit-trail gecreëerd die extern kan worden geverifieerd.
    • BitLocker is ingeschakeld en heeft de gegevens beveiligd toen het apparaat werd uitgeschakeld.
    • ELAM is ingeschakeld in vroege opstartfasen en bewaakt de runtime.

DHA-cloudservice

De DHA-cloudservice biedt de volgende voordelen:

  • Controleert de TCG- en PCR-opstartlogboeken die het ontvangt van een apparaat dat is ingeschreven bij een MDM-oplossing.
  • Hiermee maakt u een manipulatiebestendig en manipulatiedetecteerbaar rapport (DHA-rapport) dat beschrijft hoe het apparaat is gestart op basis van gegevens die worden verzameld en beveiligd door de TPM-chip van het apparaat.
  • Levert het DHA-rapport aan de MDM-server die het rapport heeft aangevraagd in een beveiligd communicatiekanaal.

DHA-dienst ter plaatse

De DHA on-premisesdienst biedt alle mogelijkheden die worden geleverd door de DHA-cloudservice. Hiermee kunnen klanten ook het volgende doen:

  • Prestaties optimaliseren door de DHA-service uit te voeren in uw eigen datacenter
  • Zorg ervoor dat het DHA-rapport uw netwerk niet verlaat

DHA Azure-cloudservice

Deze service biedt dezelfde functionaliteit als de on-premises DHA-service, behalve dat de DHA Azure-cloudservice wordt uitgevoerd als een virtuele host in Microsoft Azure.

DHA-validatiemodi

U kunt de on-premises DHA-service instellen voor uitvoering in de validatiemodus EKCert of AIKCert. Wanneer de DHA-service een rapport uitgeeft, wordt aangegeven of deze is uitgegeven in de AIKCert- of EKCert-validatiemodus. AIKCert- en EKCert-validatiemodi bieden dezelfde beveiligingsgarantie zolang de vertrouwensketen van EKCert op datum up-towordt aangehouden.

Validatiemodus voor EKCert

De EKCert-validatiemodus is geoptimaliseerd voor apparaten in organisaties die niet zijn verbonden met internet. Apparaten die verbinding maken met een DHA-service die wordt uitgevoerd in de EKCert-validatiemodus, hebben geen directe toegang tot internet.

Wanneer DHA wordt uitgevoerd in de EKCert-validatiemodus, is deze afhankelijk van een beheerde vertrouwensketen die af en toe moet worden bijgewerkt (ongeveer 5 - 10 keer per jaar).

Microsoft publiceert geaggregeerde pakketten met vertrouwde Root-certificaten en intermediaire CAs voor goedgekeurde TPM-fabrikanten (zodra ze beschikbaar komen) in een openbaar toegankelijk .cab-archief. U moet de feed downloaden, de integriteit valideren en installeren op de server waarop Device Health Attestation wordt uitgevoerd.

Een voorbeeldarchief is https://go.microsoft.com/fwlink/?linkid=2097925.

AIKCert-validatiemodus

De AIKCert-validatiemodus is geoptimaliseerd voor operationele omgevingen die wel toegang hebben tot internet. Apparaten die verbinding maken met een DHA-service die wordt uitgevoerd in de AIKCert-validatiemodus, moeten directe toegang hebben tot internet en een AIK-certificaat van Microsoft kunnen verkrijgen.

De DHA-service installeren en configureren op Windows Server 2016

Gebruik de volgende secties om DHA te installeren en te configureren in Windows Server 2016.

Prerequisites

Als u een on-premises DHA-service wilt instellen en verifiëren, hebt u het volgende nodig:

  • Een server met Windows Server 2016.

  • Een (of meer) Windows 10-clientapparaten met een TPM (1.2 of 2.0) met een duidelijke/gereed status waarop de nieuwste Windows Server 2025-build wordt uitgevoerd.

  • Bepaal of u de validatiemodus EKCert of AIKCert wilt gebruiken.

  • De volgende certificaten:

    • DHA SSL-certificaat. Een x.509 SSL-certificaat dat is gekoppeld aan een vertrouwde root van een onderneming met een exporteerbare privésleutel. Dit certificaat beschermt DHA-gegevenscommunicatie tijdens overdracht, inclusief server-naar-servercommunicatie (DHA-service en MDM-server) en server-naar-clientcommunicatie (DHA-service en een Windows 10-apparaat).
    • DHA-handtekeningcertificaat. Een x.509-certificaat dat is gekoppeld aan een vertrouwde basismap van een onderneming met een exporteerbare persoonlijke sleutel. De DHA-service gebruikt dit certificaat voor digitale ondertekening.
    • DHA-versleutelingscertificaat. Een x.509-certificaat dat is gekoppeld aan een vertrouwde basismap van een onderneming met een exporteerbare persoonlijke sleutel. De DHA-service gebruikt dit certificaat ook voor versleuteling.

Windows Server 2016 installeren

Installeer Windows Server 2016 met de gewenste installatiemethode, zoals Windows Deployment Services, of voer het installatieprogramma uit vanaf opstartbare media, een USB-station of het lokale bestandssysteem. Als dit de eerste keer is dat u de on-premises DHA-service configureert, moet u Windows Server 2016 installeren met de installatieoptie Bureaubladervaring .

De serverfunctie Device Health Attestation toevoegen

U kunt de serverfunctie Device Health Attestation en de bijbehorende afhankelijkheden installeren met Behulp van Serverbeheer.

Nadat u Windows Server 2016 hebt geïnstalleerd, wordt het apparaat opnieuw opgestart en wordt Serverbeheer geopend. Als Serverbeheer niet automatisch wordt gestart, klikt u op Start en vervolgens op Serverbeheer.

  1. Klik op Rollen en onderdelen toevoegen.
  2. Op de Voordat u begint pagina, klik Volgende.
  3. Klik op de pagina Installatietype selecteren op Rolgebaseerde of functiegebaseerde installatieen klik vervolgens op Volgende.
  4. Klik op de pagina Doelserver selecteren op Een server selecteren in de servergroep, selecteer de server en klik vervolgens op Volgende.
  5. Op de pagina Selecteer serverrollen, vink het selectievakje Gezondheidsattest van het apparaat aan.
  6. Klik op Onderdelen toevoegen om andere vereiste functieservices en onderdelen te installeren.
  7. Klik op Volgende.
  8. Op de pagina Functies selecteren, klik op Volgende.
  9. Klik op de pagina Webserverfunctie (IIS) op Volgende.
  10. Klik op de pagina Functieservices selecteren op Volgende.
  11. Klik op de pagina Device Health Attestation Service op Volgende.
  12. Klik op de pagina Installatieselectie bevestigen op Installeren.
  13. Wanneer de installatie is voltooid, klikt u op Sluiten.

De ondertekenings- en versleutelingscertificaten installeren

Gebruik het volgende Windows PowerShell-script om de ondertekenings- en versleutelingscertificaten te installeren. Zie De vingerafdruk van een certificaat ophalen voor meer informatie over de vingerafdruk.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "<thumbprint>"}
$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\" + $keyname
icacls $keypath /grant <username>`:R

#<thumbprint>: Certificate thumbprint for encryption certificate or signing certificate
#<username>: Username for web service app pool, by default IIS_IUSRS

Het vertrouwde TPM-basiscertificaatpakket installeren

Als u het vertrouwde TPM-basiscertificaatpakket wilt installeren, moet u het extraheren, vertrouwde ketens verwijderen die niet worden vertrouwd door uw organisatie en vervolgens setup.cmd uitvoeren.

Het vertrouwde TPM-basiscertificaatpakket downloaden

Voordat u het certificaatpakket installeert, kunt u de meest recente lijst met vertrouwde TPM-roots downloaden van https://go.microsoft.com/fwlink/?linkid=2097925.

Belangrijk: Controleer voordat u het pakket installeert of het digitaal is ondertekend door Microsoft.

Het vertrouwde certificaatpakket extraheren

Pak het vertrouwde certificaatpakket uit door de volgende opdrachten uit te voeren.

mkdir .\TrustedTpm
expand -F:* .\TrustedTpm.cab .\TrustedTpm

Verwijder de vertrouwensketens voor TPM-leveranciers die niet worden vertrouwd door uw organisatie (optioneel)

Verwijder de mappen voor vertrouwensketens van TPM-leveranciers die niet worden vertrouwd door uw organisatie.

Notitie: Als u de AIK-certificaatmodus gebruikt, is de Microsoft-map vereist om door Microsoft uitgegeven AIK-certificaten te valideren.

Het vertrouwde certificaatpakket installeren

Installeer het vertrouwde certificaatpakket door het installatiescript uit te voeren vanuit het .cab-bestand.

.\setup.cmd

De Device Health Attestation-service configureren

U kunt Windows PowerShell gebruiken om de on-premises DHA-service te configureren.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint <encryption> -SigningCertificateThumbprint <signing> -SslCertificateStoreName My -SslCertificateThumbprint <ssl> -SupportedAuthenticationSchema "<schema>"

#<encryption>: Thumbprint of the encryption certificate
#<signing>: Thumbprint of the signing certificate
#<ssl>: Thumbprint of the SSL certificate
#<schema>: Comma-delimited list of supported schemas including AikCertificate, EkCertificate, and AikPub

Het certificaatketenbeleid configureren

Configureer het certificaatketenbeleid door het volgende Windows PowerShell-script uit te voeren:

$policy = Get-DHASCertificateChainPolicy
$policy.RevocationMode = "NoCheck"
Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy

DHA-beheeropdrachten

Hier volgen enkele Windows PowerShell-voorbeelden waarmee u de DHA-service kunt beheren.

De DHA-service voor de eerste keer configureren

Install-DeviceHealthAttestation -SigningCertificateThumbprint "<HEX>" -EncryptionCertificateThumbprint "<HEX>" -SslCertificateThumbprint "<HEX>" -Force

De DHA-serviceconfiguratie verwijderen

Uninstall-DeviceHealthAttestation -RemoveSslBinding -Force

Het actieve handtekeningcertificaat ophalen

Get-DHASActiveSigningCertificate

Het actieve handtekeningcertificaat instellen

Set-DHASActiveSigningCertificate -Thumbprint "<hex>" -Force

Notitie: Dit certificaat moet worden geïmplementeerd op de server waarop de DHA-service wordt uitgevoerd in het certificaatarchief LocalMachine\My . Wanneer het actieve handtekeningcertificaat is ingesteld, wordt het bestaande actieve handtekeningcertificaat verplaatst naar de lijst met inactieve handtekeningcertificaten.

De inactieve handtekeningcertificaten weergeven

Get-DHASInactiveSigningCertificate

Alle inactieve handtekeningcertificaten verwijderen

Remove-DHASInactiveSigningCertificate -Force
Remove-DHASInactiveSigningCertificate  -Thumbprint "<hex>" -Force

Notitie: Er kan maar één inactief certificaat (van elk type) op elk gewenst moment in de service aanwezig zijn. Certificaten moeten worden verwijderd uit de lijst met inactieve certificaten zodra ze niet meer nodig zijn.

Het actieve versleutelingscertificaat ophalen

Get-DHASActiveEncryptionCertificate

Het actieve versleutelingscertificaat instellen

Set-DHASActiveEncryptionCertificate -Thumbprint "<hex>" -Force

Het certificaat moet op het apparaat worden geïmplementeerd in de LocalMachine\My certificaatopslag.

Wanneer het actieve versleutelingscertificaat is ingesteld, wordt het bestaande actieve versleutelingscertificaat verplaatst naar de lijst met inactieve versleutelingscertificaten.

De inactieve versleutelingscertificaten weergeven

Get-DHASInactiveEncryptionCertificate

Alle inactieve versleutelingscertificaten verwijderen

Remove-DHASInactiveEncryptionCertificate -Force
Remove-DHASInactiveEncryptionCertificate -Thumbprint "<hex>" -Force

Het ophalen van de X509ChainPolicy-configuratie

Get-DHASCertificateChainPolicy

De X509ChainPolicy-configuratie wijzigen

$certificateChainPolicy = Get-DHASInactiveEncryptionCertificate
$certificateChainPolicy.RevocationFlag = <X509RevocationFlag>
$certificateChainPolicy.RevocationMode = <X509RevocationMode>
$certificateChainPolicy.VerificationFlags = <X509VerificationFlags>
$certificateChainPolicy.UrlRetrievalTimeout = <TimeSpan>
Set-DHASCertificateChainPolicy = $certificateChainPolicy

DHA-servicerapportage

Hier volgt een lijst met berichten die door de DHA-service worden gerapporteerd aan de MDM-oplossing:

  • 200 HTTP OK. Het certificaat wordt geretourneerd.
  • 400 Ongeldige aanvraag. Ongeldige aanvraagindeling, ongeldig gezondheidsattest, certificaathandtekening komt niet overeen, ongeldige Health Attestation Blob of een ongeldige Health Status Blob. Het antwoord bevat ook een bericht, zoals beschreven in het antwoordschema, met een foutcode en een foutbericht dat kan worden gebruikt voor diagnostische gegevens.
  • 500 Interne serverfout. Dit kan gebeuren als er problemen zijn die verhinderen dat de service certificaten uitgeeft.
  • 503 Aanvraagbeperkingen voorkomen dat de server overbelast raakt.
  • Last updated on