如何配置Windows10以避免常见的安全问题?将保护Windows10设备的过程简化为一个简单的清单是很诱人的。安装一些安全软件,调整一些设置,进行一两次培训,然后您就可以继续执行待办事项列表中的下一项。现实世界要复杂得多。软件没有灵丹妙药,您的初始设置只是建立了一个安全基线。初始配置完成后,安全需要时刻保持警惕,不断努力。保护Windows10设备的大部分工作发生在设备本身之外。计划周密的安全策略应注意网络流量、电子邮件帐户、身份验证机制、管理服务器和其他外部连接。本指南涵盖广泛的业务用例,每个标题都讨论了决策者在部署Windows10PC时必须考虑的问题。尽管它涵盖了许多可用的选项,但它并不是一个实用指南。在大型企业中,您的IT员工应该包括可以管理这些步骤的安全专家。在没有专职IT人员的小型企业中,最好将这些职责外包给具有必要专业知识的顾问。但是,在接触单个Windows设置之前,请花一些时间进行威胁评估。特别是,请注意在发生数据泄露或其他安全相关事件时您的法律和监管责任。对于需要遵守法规要求的企业,您需要聘请一位了解您的行业并能够确保您的系统满足所有适用要求的专家。以下类别适用于各种规模的企业。管理安全更新对于任何Windows10PC而言,最重要的安全设置之一是确保按可预测的定期计划安装更新。当然,每个现代计算设备都是如此,但MicrosoftWindows10引入的“Windows即服务”模型改变了您管理更新的方式。然而,在我们开始之前,了解不同类型的Windows10更新及其工作方式非常重要。每月第二个星期二通过WindowsUpdate提供质量更新。它们解决了安全性和可靠性问题,并且不包含任何新功能。(这些更新还包括针对英特尔处理器中微代码缺陷的补丁。)对于特别严重的安全问题,微软可能会选择发布与正常月度计划无关的带外更新。所有质量更新都是累积更新,因此您无需在执行Windows10全新安装后下载数十个甚至数百个更新,您可以安装最新的累积更新,您将完全保持最新状态。功能更新相当于以前的版本升级。它们包括新功能并需要数GB的下载和完整设置。Windows10功能更新每年发布两次,通常在4月和10月,并通过WindowsUpdate提供。除非当前的Windows10版本已达到其支持生命周期的末尾,否则不会自动安装它们。默认情况下,Windows10设备会在Microsoft更新服务器上可用时立即下载并安装质量更新。在运行Windows10家庭版的设备上,没有受支持的方式来指定这些更新的确切安装时间,尽管个人用户可以将所有更新暂停最多7天。在运行Windows10商业版(专业版、企业版或教育版)的PC上,用户可以暂停所有更新长达35天,管理员可以使用组策略设置将PC上的质量更新安装推迟30天。释放。与所有安全决策一样,选择何时安装更新涉及权衡取舍。发布后立即安装更新可提供保护。推迟更新可以最大程度地减少与这些更新相关的计划外停机时间。使用Windows10专业版、企业版和教育版中内置的适用于企业的Windows更新功能,您可以将质量更新的安装延迟最多30天。您还可以将功能更新最多推迟两年,具体取决于版本。将质量更新推迟7到15天是一种低风险的方法,可以避免安装可能导致稳定性或兼容性问题的错误更新。您可以使用“设置”>“更新和安全”>“高级选项”中的控件调整各个PC上的适用于企业的Windows更新设置。在较大的组织中,管理员可以使用组策略或移动设备管理(MDM)软件来应用适用于企业的Windows更新设置。您还可以使用SystemCenterConfigurationManager或WindowsServerUpdateServices等管理工具集中管理更新。最后,您的软件更新策略不应止步于Windows本身。确保自动安装Windows应用程序更新,包括MicrosoftOffice和Adob??e应用程序。身份和用户帐户管理每台Windows10PC都需要至少一个用户帐户,而该帐户又受到密码和可选身份验证机制的保护。您如何设置该帐户(以及任何辅助帐户)对确保您的设备安全大有帮助。运行Windows10商业版的设备可以加入Windows域。在此配置中,域管理员可以访问ActiveDirectory功能,并可以授权用户、组和计算机访问本地和网络资源。如果您是域管理员,则可以使用一整套基于服务器的ActiveDirectory工具来管理您的Windows10电脑。与大多数小型企业一样,您可以为未加入域的Windows10电脑选择三种帐户类型:本地帐户使用仅存储在设备上的凭据。Microsoft帐户可供消费者免费使用,并允许在PC和设备之间同步数据和设置;它们还支持双因素身份验证和密码恢复选项。AzureActiveDirectory(AzureAD)帐户与自定义域相关联,可以集中管理。AzureAD的基本功能是免费的,包含在Microsoft365和Office365商业版和企业版订阅中;额外的AzureAD功能可作为付费升级使用。Windows10PC上的第一个帐户是Administrators组的成员,具有安装软件和修改系统配置的权限。可以并且应该将辅助帐户设置为“标准”用户,以防止未经培训的用户无意中损坏系统或安装不需要的软件。无论帐户类型如何,都需要一个强密码。在托管网络上,管理员可以使用组策略或MDM软件来实施组织密码策略。要提高某些设备上登录过程的安全性,您可以使用称为WindowsHello的Windows10功能。WindowsHello需要两步验证过程才能使用支持FIDO2.0版的Microsoft帐户、ActiveDirectory帐户、AzureAD帐户或第三方身份提供程序注册设备。注册完成后,用户可以使用PIN登录,或者使用支持的硬件、指纹或面部识别等生物识别身份验证登录。生物识别数据仅存储在设备上,可防止各种常见的密码窃取攻击。在连接到企业帐户的设备上,管理员可以使用WindowsHello企业版来指定PIN复杂性要求。最后,在商用PC上使用Microsoft或AzureAD帐户时,您应该设置多因素身份验证(MFA)以保护该帐户免受外部攻击。对于Microsoft帐户,两步验证设置可在account.live.com/proofs上获得。对于Office365商业和企业帐户,管理员必须首先从Office门户启用该功能,然后用户可以通过登录account.activedirectory.windowsazure.com/proofup.aspx来管理MFA设置。数据保护物理安全与软件或网络相关问题同样重要。被盗的笔记本电脑,或者遗忘在出租车或餐厅的笔记本电脑,可能会带来巨大的数据丢失风险。对于企业或政府机构而言,影响可能是灾难性的,在受监管行业或数据泄露法律要求公开披露的行业中甚至更糟。在Windows10设备上,您可以进行的最重要的配置更改是启用BitLocker设备加密。(BitLocker是Microsoft在Windows商业版中提供的加密工具的商标。)启用BitLocker后,您设备上的每一位数据都使用XTS-AES标准进行加密。可以使用组策略设置或设备管理工具将加密强度从默认的128位设置提高到256位。启用BitLocker需要设备包含可信平台模块(TPM)芯片;过去六年中生产的每台商用PC都应符合此条件。此外,BitLocker需要Windows10商业版(专业版、企业版或教育版)。家庭版支持强大的设备加密,但仅限于Microsoft帐户,并且不允许管理BitLocker设备。对于完整的管理功能,您还需要使用Windows域上的ActiveDirectory帐户或AzureActiveDirectory帐户来设置BitLocker。在这两种配置中,恢复密钥都保存在域或AAD管理员可用的位置。在运行Windows10商业版的非托管设备上,可以使用本地帐户,但需要BitLocker管理工具才能在可用驱动器上启用加密。并且不要忘记加密便携式存储设备。USB闪存盘。用作扩展存储的MicroSD卡和便携式硬盘驱动器很容易丢失,但BitLockerToGo(使用密码来解密驱动器的内容)可用于保护数据免遭窥探。在使用AzureActiveDirectory的大型组织中,还可以使用Azure信息保护和Azure权限管理服务来保护存储的文件和电子邮件的内容。这种组合允许管理员对在Office和其他应用程序中创建的文档进行分类和限制访问,而不管它们的本地加密状态如何。阻止恶意代码随着世界的联系越来越紧密,在线攻击者也越来越狡猾,传统防病毒软件的作用已经发生了变化。安全软件不再是阻止安装恶意代码的主要工具,它现在只是防御策略中的另一层。Windows10的每次安装都包含一个内置的防病毒、反恶意软件,称为MicrosoftDefenderAntivirus(以前称为WindowsDefender),它使用与Windows更新相同的机制进行自我更新。MicrosoftDefender防病毒软件被设计为一种“一劳永逸”的功能,不需要任何手动配置。如果安装了第三方安全软件包,Windows将禁用内置保护并允许软件检测并消除潜在威胁。使用WindowsEnterpriseEdition的大型组织可以部署MicrosoftDefenderAdvancedThreatProtection,这是一个使用行为传感器来监控端点(例如Windows10PC)的安全平台。使用基于云的分析,MicrosoftDefenderATP可以识别可疑行为并提醒管理员注意潜在威胁。对于小型企业而言,最重要的挑战是首先防止恶意代码到达PC。微软的SmartScreen技术是另一项内置功能,可以扫描下载并防止执行已知的恶意下载。SmartScreen技术还可以阻止无法识别的程序,但允许用户在必要时覆盖这些设置。值得注意的是,Windows10中的SmartScreen独立于基于浏览器的技术工作,例如Google的安全浏览服务和MicrosoftEdge中的SmartScreen过滤服务。在非托管PC上,SmartScreen是另一个不需要手动配置的功能。您可以使用Windows10中Windows安全应用程序中的“应用程序和浏览器控制”设置来调整其配置。电子邮件是管理潜在恶意代码的另一种重要工具,其中看似无害的文件附件和指向恶意网站的链接可能会导致感染。虽然电子邮件客户端软件可以在这方面提供一些保护,但在服务器级别阻止这些威胁是防止对您的PC进行攻击的最有效方法。防止用户运行不需要的程序(包括恶意代码)的一种有效方法是将Windows10PC配置为运行除您明确授权的应用程序之外的任何应用程序。要在单台PC上调整这些设置,请转到“设置”>“应用”>“应用和功能”;在“安装应用程序”标题下,选择“仅允许应用商店中的应用程序”。此设置允许运行以前安装的应用程序,但阻止安装任何从MicrosoftStore外部下载的程序。管理员可以使用组策略通过网络配置此设置:计算机配置>管理模板>Windows组件>WindowsDefenderSmartScreen>资源管理器>配置应用程序安装控制。锁定Windows10PC的最极端方法是使用分配的访问功能配置设备,使其只能运行一个应用程序。如果选择MicrosoftEdge作为应用程序,则可以将设备配置为以全屏模式运行、锁定到单个站点或作为功能有限的公共浏览器。要配置此功能,请转到“设置”>“家庭和其他用户”,然后单击“分配的访问权限”。(在连接到企业帐户的PC上,此选项位于“设置”>“其他用户”下。)
