Device Health Attestation нужен не для «общей безопасности Windows», а для конкретной задачи: получить от управляемого устройства доказательство, что оно загрузилось через доверенную цепочку — UEFI, Secure Boot, загрузчик, ядро, драйверы ранней загрузки и TPM-измерения. Для проверки целостности прошивки это один из рабочих механизмов, но использовать его нужно правильно: DHA показывает состояние загрузочной цепочки, а не сканирует BIOS как антивирус.
На практике его настраивают через Microsoft Intune или Configuration Manager. Локально, одной галкой в Windows, это обычно не делают: аттестация завязана на управление устройством, TPM, Secure Boot и службу проверки отчётов.
Что именно проверяет Device Health Attestation
Windows при загрузке записывает хэши ключевых компонентов в регистры TPM. Это называется measured boot. Потом Device Health Attestation отправляет защищённый отчёт в службу проверки: Microsoft Health Attestation Service или внутреннюю службу организации. Служба сверяет отчёт с политикой и возвращает результат: устройство соответствует требованиям или нет.
Для целостности прошивки здесь важны несколько вещей:
- Secure Boot не даёт загрузиться неподписанным компонентам.
- TPM хранит измерения загрузочной цепочки и подтверждает, что отчёт не подделан.
- Measured Boot фиксирует, какие компоненты участвовали в загрузке.
- Boot revocation / Boot Manager помогает отследить известные небезопасные загрузочные компоненты.
- System Guard Secure Launch усиливает защиту ранней стадии загрузки на поддерживаемых устройствах.
DHA не доказывает на 100%, что в прошивке нет скрытого вредоносного кода. Если устройство старое, TPM отключён, Secure Boot выключен или загрузочная цепочка не измеряется, отчёт будет слабым. Для серьёзной защиты прошивки нужны ещё обновления UEFI/BIOS, исправления от производителя, TPM 2.0, Secure Boot и контроль изменений firmware.
Что должно быть готово до настройки
Перед включением политики лучше проверить устройства. Иначе половина парка уйдёт в non-compliant не потому, что её атаковали, а потому что Secure Boot выключен, TPM не инициализирован или устройство грузится через Legacy/CSM.
- Проверьте редакцию Windows. Обычно DHA используют на Windows 10/11 Enterprise или Education, управляемых через Intune


