Как настроить Device Health Attestation в Windows для проверки целостности прошивки

Device Health Attestation нужен не для «общей безопасности Windows», а для конкретной задачи: получить от управляемого устройства доказательство, что оно загрузилось через доверенную цепочку — UEFI, Secure Boot, загрузчик, ядро, драйверы ранней загрузки и TPM-измерения. Для проверки целостности прошивки это один из рабочих механизмов, но использовать его нужно правильно: DHA показывает состояние загрузочной цепочки, а не сканирует BIOS как антивирус.

На практике его настраивают через Microsoft Intune или Configuration Manager. Локально, одной галкой в Windows, это обычно не делают: аттестация завязана на управление устройством, TPM, Secure Boot и службу проверки отчётов.

Что именно проверяет Device Health Attestation

Windows при загрузке записывает хэши ключевых компонентов в регистры TPM. Это называется measured boot. Потом Device Health Attestation отправляет защищённый отчёт в службу проверки: Microsoft Health Attestation Service или внутреннюю службу организации. Служба сверяет отчёт с политикой и возвращает результат: устройство соответствует требованиям или нет.

Для целостности прошивки здесь важны несколько вещей:

  • Secure Boot не даёт загрузиться неподписанным компонентам.
  • TPM хранит измерения загрузочной цепочки и подтверждает, что отчёт не подделан.
  • Measured Boot фиксирует, какие компоненты участвовали в загрузке.
  • Boot revocation / Boot Manager помогает отследить известные небезопасные загрузочные компоненты.
  • System Guard Secure Launch усиливает защиту ранней стадии загрузки на поддерживаемых устройствах.

DHA не доказывает на 100%, что в прошивке нет скрытого вредоносного кода. Если устройство старое, TPM отключён, Secure Boot выключен или загрузочная цепочка не измеряется, отчёт будет слабым. Для серьёзной защиты прошивки нужны ещё обновления UEFI/BIOS, исправления от производителя, TPM 2.0, Secure Boot и контроль изменений firmware.

Что должно быть готово до настройки

Перед включением политики лучше проверить устройства. Иначе половина парка уйдёт в non-compliant не потому, что её атаковали, а потому что Secure Boot выключен, TPM не инициализирован или устройство грузится через Legacy/CSM.

  1. Проверьте редакцию Windows. Обычно DHA используют на Windows 10/11 Enterprise или Education, управляемых через Intune
Оцените статью
PEFile — Безопасность и технологии простым языком