Konfigurieren eines on-premises DHA-Servers zum Nachweis der Geräteintegrität

Beitrag von Sanket Mishra

Sie können Device Health Attestation (DHA) für Windows 10- und Windows 11-Mobilgeräte über einen On-Premises-Windows-Server aktivieren. Um DHA on-premises zu aktivieren, konfigurieren Sie zunächst einen DHA-Server.

Nach dem Konfigurieren des DHA-Servers erstellen Sie eine XenMobile Server-Richtlinie, um den DHA-Dienst on-premises zu aktivieren. Informationen zum Erstellen dieser Richtlinie finden Sie unterGeräterichtlinie für Device Health Attestation.

Voraussetzungen für einen DHA-Server

• Ein Server mit Windows Server Technical Preview 5 oder höher, installiert mit Installationsoption Desktop Experience.
• Ein oder mehrere Clientgeräte mit Windows 10 und Windows 11. Auf diesen Geräten muss TPM 1.2 oder 2.0 mit der aktuellen Version von Windows installiert sein.
• Folgende Zertifikate:
  • DHA-SSL-Zertifikat.在静脉静脉x.509-SSL-Zertifikat Kette麻省理工学院einemvertrauenswürdigen Unternehmensstammzertifikat mit exportierbarem privatem Schlüssel. Dieses Zertifikat schützt die DHA-Datenkommunikation in der Übertragung, darunter die Kommunikation von Server zu Server (DHA-Service und MDM-Server) und von Server zu Client (DHA-Service und ein Windows 10- oder Windows 11-Gerät).
  • DHA-Signaturzertifikat.Ein x.509-Zertifikat in einer Kette mit einem vertrauenswürdigen Unternehmensstammzertifikat mit exportierbarem privatem Schlüssel. Der DHA-Service verwendet dieses Zertifikat für die digitale Signatur.
  • DHA-Verschlüsselungszertifikat.Ein x.509-Zertifikat in einer Kette mit einem vertrauenswürdigen Unternehmensstammzertifikat mit exportierbarem privatem Schlüssel. Der DHA-Service verwendet dieses Zertifikat auch für die Verschlüsselung.
• Wählen Sie eines der folgenden Verfahren für die Zertifikatüberprüfung:
  • EKCert.Der EKCert-Überprüfungsmodus wurde für Geräte in Organisationen optimiert, die nicht mit dem Internet verbunden sind. Geräte, die sich mit einem DHA-Dienst im EKCert-Überprüfungsmodus verbinden, haben keinen Direktzugriff auf das Internet.
  • AIKCert.Der AIKCert-Überprüfungsmodus wurde für Betriebsumgebungen optimiert, die Zugriff auf das Internet haben. Geräte, die sich mit einem DHA-Dienst im AIKCert-Überprüfungsmodus verbinden, benötigen Direktzugriff auf das Internet und können ein AIK-Zertifikat von Microsoft erhalten.

Hinzufügen der DHA-Serverrolle zum Windows-Server

1. Klicken Sie im Windows-Server (falls der Server-Manager noch nicht geöffnet ist) aufStartund dann aufServer-Manager.
2. Klicken Sie aufRollen und Features hinzufügen.
3. Klicken Sie auf der SeiteVorbereitungaufWeiter.
4. Klicken Sie auf der SeiteInstallationstyp wählenaufRollenbasierte oder featurebasierte Installationund klicken Sie aufWeiter.
5. Klicken Sie auf der SeiteZielserver auswählenaufEinen Server aus dem Serverpool auswählen, wählen Sie den Server aus und klicken Sie aufWeiter.
6. Aktivieren Sie auf der SeiteServerrolle auswählendas Kontrollkästchen für Device Health Attestation.
7. Optional: Klicken Sie aufFeatures hinzufügen, um weitere erforderliche Rollendienste und Features zu installieren.
8. Klicken Sie aufWeiter.
9. Klicken Sie auf der SeiteFeature auswählenaufWeiter.
10. Klicken Sie auf der SeiteRolle “Webserver” (IIS)aufWeiter.
11. Klicken Sie auf der SeiteRollendienste auswählenaufWeiter.
12. Klicken Sie auf der SeiteDevice Health Attestation ServiceaufWeiter.
13. Klicken Sie auf der SeiteInstallationsauswahl bestätigenaufInstallieren.
14. Nach Abschluss der Installation klicken Sie aufSchließen.

Hinzufügen des SSL-Zertifikats zum Zertifikatspeicher des Servers

1. Gehen Sie zur SSL-Zertifikatsdatei und wählen Sie sie aus.

2. Wählen SieAktueller Benutzerals Speicherort aus und klicken Sie aufWeiter.

   

3. Geben Sie das Kennwort für den privaten Schlüssel ein.

4. Stellen Sie sicher, dass die ImportoptionAlle erweiterten Eigenschaften mit einbeziehenausgewählt ist. Klicken Sie aufWeiter.

   

5. Wenn dieses Fenster angezeigt wird, klicken Sie aufJa.

   

6. Bestätigen Sie, dass das Zertifikat installiert ist:

   1. Öffnen Sie ein Eingabeaufforderungsfenster.

   2. Geben Siemmcein und drücken Sie die Eingabetaste. Zur Anzeige der Zertifikate im Speicher der lokalen Maschine müssen Sie die Administratorrolle haben.

   3. Klicken Sie im Menü “Datei” aufSnap-In hinzufügen/entfernen.

   4. Klicken Sie aufHinzufügen.

   5. Wählen Sie im Dialogfeld “Eigenständiges Snap-In hinzufügen” die OptionZertifikate.

   6. Klicken Sie aufHinzufügen.

   7. Wählen Sie im Dialogfeld “Zertifikat-Snap-In” die OptionEigenes Benutzerkontoaus. (Wenn Sie als Dienstkontoinhaber angemeldet sind, wählen SieDienstkonto.)

   8. Klicken Sie im Dialogfeld “Computer auswählen” aufFertig stellen.

      

7. Navigieren Sie zuServer-Manager > IISund wählen Sie das SymbolServerzertifikateaus.

   

8. Wählen Sie im Menü “Aktion” den BefehlImportieren…, um das SSL-Zertifikat zu importieren.

   

Abrufen und Speichern des Zertifikatfingerabdrucks

1. Geben Sie in der Suchleiste des Datei-Explorersmmcein.

2. Klicken Sie im Fenster “Konsolenstamm” aufDatei > Snap-In hinzufügen/entfernen….

   

3. Wählen Sie das Zertifikat in der Liste der verfügbaren Snap-Ins aus und fügen Sie es den ausgewählten Snap-Ins hinzu.

   

4. Wählen SieEigenes Benutzerkonto.

   

5. Wählen Sie das Zertifikat aus und klicken Sie aufOK.

   

6. Doppelklicken Sie auf das Zertifikat und wählen Sie die RegisterkarteDetails. Führen Sie einen Bildlauf nach unten durch, um den Fingerabdruck des Zertifikats anzuzeigen.

   

7. Kopieren Sie den Fingerabdruck in eine Datei. Entfernen Sie die Leerstellen, wenn Sie den Fingerabdruck in PowerShell-Befehlen verwenden.

Installieren der Signatur- und Verschlüsselungszertifikate

Mit folgenden PowerShell-Befehlen können Sie die Signatur- und Verschlüsselungszertifikate auf dem Windows-Server installieren:

Ersetzen Sie den Platzhalter “ReplaceWithThumbprint” und schließen Sie ihn wie gezeigt in Anführungszeichen ein.

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"} $keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName $keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys" + $keyname icacls $keypath /grant IIS_IUSRS`:R 

Extrahieren des TPM-Stammzertifikats und Installieren des Pakets vertrauenswürdiger Zertifikate

Führen Sie folgende Befehle auf dem Windows-Server aus:

mkdir .\TrustedTpm expand -F:* .\TrustedTpm.cab .\TrustedTpm cd .\TrustedTpm .\setup.cmd 

Konfigurieren des DHA-Diensts

Führen Sie folgenden Befehl auf dem Windows-Server aus, um den DHA-Dienst zu konfigurieren.

Ersetzen Sie den Platzhalter “ReplaceWithThumbprint”.

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint -SigningCertificateThumbprint ReplaceWithThumbprint -SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint -SupportedAuthenticationSchema "AikCertificate" 

Führen Sie folgende Befehle auf dem Windows-Server aus, um die Richtlinie “Zertifikatskette” für den DHA-Dienst einzurichten:

$policy = Get-DHASCertificateChainPolicy $policy.RevocationMode = "NoCheck" Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy 

Reagieren Sie auf die Eingabeaufforderungen wie folgt:

Confirm Are you sure you want to perform this action? Performing the operation "Install-DeviceHealthAttestation" on target "WIN-N27D1FKCEBT". [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A Adding SSL binding to website 'Default Web Site'. Add SSL binding? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding application pool 'DeviceHealthAttestation_AppPool' to IIS. Add application pool? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding web application 'DeviceHealthAttestation' to website 'Default Web Site'. Add web application? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Adding firewall rule 'Device Health Attestation Service' to allow inbound connections on port(s) '443'. Add firewall rule? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Setting initial configuration for Device Health Attestation Service. Set initial configuration? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y Registering User Access Logging. Register User Access Logging? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y 

Überprüfen der Konfiguration

Um zu prüfen, ob das Zertifikat “DHASActiveSigningCertificate” aktiviert wurde, führen Sie folgenden Befehl auf dem Server aus:

Get-DHASActiveSigningCertificate

Wenn das Zertifikat aktiv ist, werden der Zertifikatstyp (Signatur) und der Fingerabdruck angezeigt.

Um zu prüfen, ob das Zertifikat “DHASActiveSigningCertificate” aktiviert wurde, führen Sie folgende Befehle auf dem Server aus

Ersetzen Sie den Platzhalter “ReplaceWithThumbprint” und schließen Sie ihn wie gezeigt in Anführungszeichen ein.

Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force Get-DHASActiveEncryptionCertificate 

Wenn das Zertifikat aktiv ist, wird der Fingerabdruck angezeigt.

Rufen Sie zum Durchführen einer letzten Prüfung diese URL auf:

https:///DeviceHeathAttestation/ValidateHealthCertificate/v1

Wenn der DHA-Dienst ausgeführt wird, wird “Methode unzulässig” angezeigt.