很容易认为保护Windows10设备的过程非常简单,甚至遵循一定的规则。比如,安装一些安全软件,调整一些设置,进行一两次培训,然后就可以开始了。但现实世界要复杂得多,初始设置只是为了建立安全基线。安全需要在初始配置完成后时刻保持警惕和持续工作。保护Windows10设备的大部分工作都基于实际操作环境。计划周密的安全策略会关注网络流量、电子邮件帐户、身份验证机制、管理服务器和其他外部连接。本指南涵盖了大量实际使用案例,每个标题都讨论了决策者在部署Windows10PC时必须考虑的问题。虽然它涵盖了许多可用的参考示例,但这并不是实用的操作指南。在大型企业中,IT人员应该包括可以管理这些步骤的安全专家。在没有专职IT人员的小型企业中,最好将这些职责外包给具有必要专业知识的顾问。不过,在深入研究单个Windows设置之前,请花一些时间执行威胁评估。特别是,如果发生数据泄露或其他与安全相关的事件,各种规模的企业可以通过以下方式了解其法律和监管责任。管理更新对于任何Windows10PC来说,最重要的安全设置之一是确保定期、按时安装更新。当然,这适用于所有现代计算设备,但微软随Windows10引入的“Windows即服务”模式改变了您管理更新的方式。不过,在开始之前,了解不同类型的Windows10更新及其工作原理非常重要。1、通过WindowsUpdate每月发布高质量更新;它们解决安全性和可靠性问题,不包含新功能,并且这些更新还包括针对英特尔处理器中微代码缺陷的补丁。2.所有高质量更新都是累积的,因此在执行Windows10全新安装后,您不再需要下载数十个甚至数百个更新。相反,您可以安装最新的累积更新,您将得到全面更新。3.功能更新相当于前面提到的版本升级,包括一些新的功能,需要下载几千兆的文件并完全安装。Windows10功能更新每年发布两次,分别在4月和10月,也是通过Windows更新发布的。默认情况下,Windows10设备会在Microsoft的更新服务器上下载并安装更新。在运行Windows10家庭版的设备上,无法自动控制何时安装更新。但是,管理员可以对何时在运行Windows10商业版的PC上安装更新进行一些控制。与所有安全决策一样,选择何时安装更新涉及权衡取舍。借助Windows10专业版、企业版和教育版中内置的适用于企业的Windows更新功能,您可以将高质量更新的安装延迟最多30天。根据版本的不同,功能更新也可能会延迟最多两年。将高质量更新延迟7到15天是一种低风险的方法,可以避免出现可能导致稳定性或兼容性问题的错误更新风险。您可以使用“设置”>“更新和安全”>“高级选项”中的控件调整PC上的适用于企业的Windows更新设置。在较大的组织中,管理员可以使用组策略或移动设备管理软件为业务设置应用Windows更新。您还可以使用SystemCenterConfigurationManager或WindowsServerUpdateServices等管理工具集中管理更新。最后,您的软件更新策略不应止步于Windows本身。确保自动安装Windows应用程序的更新,包括MicrosoftOffice和Adob??e应用程序。身份和用户帐户管理每台Windows10PC都需要至少一个受密码和可选身份验证机制保护的用户帐户。您如何设置该帐户(以及任何辅助帐户)对确保您的设备安全大有帮助。运行Windows10商业版(专业版、企业版或教育版)的设备可以连接到Windows域。在此配置中,域管理员可以访问ActiveDirectory功能,并可以授权用户、组和计算机访问本地和网络资源。如果您是域管理员,则可以使用基于服务器的完整ActiveDirectory工具来管理Windows10PC。与大多数小型企业不同,Windows10PC未加入域,您可以从三种帐户类型中进行选择:1.本地帐户使用仅存储在设备上的凭据;2.Microsoft帐户对消费者免费,允许跨PC和设备同步数据和设置,它们还支持双因素身份验证和密码恢复选项;3.AzureActiveDirectory(AzureAD)帐户与自定义域相关联,可以集中管理。基本的AzureAD功能是免费的,包含在Office365商业和企业订阅中;额外的AzureAD功能可作为付费升级使用。Windows10PC上的第一个帐户是Administrators组的成员,具有安装软件和修改系统配置的权限。二级帐户可以而且应该设置为标准用户,以防止未经培训的用户无意中损坏系统或安装不需要的软件。无论帐户类型如何,都需要一个强密码。在托管网络上,管理员可以使用组策略或MDM软件实施组织密码策略。要提高某些设备上登录过程的安全性,您可以使用称为WindowsHello的Windows10功能。WindowsHello需要两步验证过程才能使用Microsoft帐户、ActiveDirectory帐户、AzureAD帐户或支持FIDO2.0版的第三方身份提供程序注册设备。注册完成后,用户可以使用个人识别码(PIN)或支持硬件的生物识别身份验证(例如指纹或面部识别)登录。生物识别数据仅存储在设备上,可防止各种常见的密码窃取攻击。在连接到企业帐户的设备上,管理员可以使用适用于企业的WindowsHello来指定PIN复杂性要求。最后,在商用PC上使用Microsoft或AzureAD帐户时,您应该设置多因素身份验证(MFA)以保护帐户免受外部攻击。对于Microsoft帐户,两步验证设置可在https://account.live.com/获得。对于Office365商业和企业帐户,管理员必须首先从Office门户启用该功能,然后用户可以通过https://account.activedirectory.windowsazure.com/r#/profile管理MFA设置。数据保护的物理安全问题同样重要,被盗的笔记本电脑,或者遗忘在出租车或餐厅的笔记本电脑,都可能造成数据丢失的重大风险。对于企业或政府机构而言,其影响可能是灾难性的,而在受监管行业或违反数据保护法需要公开披露的情况下,后果甚至更糟。在Windows10设备上,最重要的配置更改是启用BitLocker设备加密。WindowsBitLocker驱动器加密通过加密存储在Windows操作系统卷上的所有数据,更好地保护计算机中的数据。BitLocker使用TPM来帮助保护Windows操作系统和用户数据,并帮助确保计算机不会被篡改,即使在无人看管、丢失或被盗的情况下也是如此。启用BitLocker后,您设备上的每一位数据都会使用XTS-AES标准进行加密。可以使用组策略设置或设备管理工具将加密强度从默认的128位设置提高到256位。启用BitLocker需要包含可信平台模块(TPM)芯片的设备,过去六年生产的每台商用PC都应满足此要求。此外,BitLocker需要Windows10商业版(专业版、企业版或教育版),家庭版支持强大的设备加密,但仅限于Microsoft帐户,并且不允许管理BitLocker设备。要获得完整的管理功能,您还需要使用Windows域上的ActiveDirectory帐户或AzureActiveDirectory帐户设置BitLocker。在这两种配置中,恢复密钥都保存在域或AAD管理员可用的位置。在运行Windows10商业版的非托管设备上,可以使用本地帐户,但需要使用BitLocker管理工具对可用驱动器进行加密。不要忘记加密便携式存储设备——USB闪存驱动器、便携式硬盘驱动器很容易丢失,但可以使用BitLockerToGo保护数据免遭窥探,它使用密码来解密驱动器的内容。在使用AzureActiveDirectory的大型组织中,还可以使用Azure信息保护和Azure权限管理服务来保护存储的文件和电子邮件的内容。这种组合允许管理员对在Office和其他应用程序中创建的文档进行分类和限制访问,而不管它们的本地加密状态如何。阻止恶意代码随着世界的联系越来越紧密,在线攻击者也越来越狡猾,传统防病毒软件的作用发生了变化。安全软件现在只是防御策略的一个方面,而不是防止安装恶意代码的全部手段。Windows10的每个安装都包含内置的防病毒WindowsDefender,它使用与Windows更新相同的机制进行自我更新。WindowsDefender设计为无需任何手动配置的“设置好后不用管”的功能。如果你安装了第三方安全包,WindowsDefender会主动让开,让第三方软件检测并清除潜在的威胁。使用WindowsEnterprise的大型组织可以部署WindowsDefenderAdvancedThreatProtection,这是一个使用行为传感器来监控Windows10PC等端点的安全平台。使用基于云的分析,WindowsDefenderATP可以识别可疑行为并提醒管理员注意潜在威胁。对于小型企业而言,最重要的挑战是首先防止恶意代码进入PC。微软的SmartScreen技术是另一个内置功能,可以扫描下载并阻止已知恶意文件的执行。SmartScreen技术还可以阻止无法识别的程序,但允许用户在必要时覆盖这些设置。值得注意的是,Windows10中的SmartScreen独立于基于浏览器的技术,例如Google的安全浏览服务和MicrosoftEdge中的SmartScreen过滤服务。在非托管PC上,SmartScreen是另一个不需要手动配置的功能。您可以使用Windows10的Windows安全应用程序中的程序和浏览器控制设置来调整其配置。管理潜在恶意代码的另一个关键载体是电子邮件,其中看似无害的文件附件和指向恶意网站的链接可能会导致感染。虽然电子邮件客户端软件可以在这方面提供一些保护,但在服务器级别阻止这些威胁是防止对您的PC进行攻击的最有效方法。防止用户运行不需要的程序(包括恶意代码)的一种有效方法是配置Windows10PC,使其无法运行任何应用程序,除非您特别授权它们。要在单台PC上调整这些设置,请转到“设置”>“应用”>“应用和功能”,然后在“安装应用”标题下,选择“仅允许来自商店的应用”。此设置允许运行以前安装的应用程序,但会阻止安装从MicrosoftStore外部下载的任何程序。管理员可以使用组策略在网络上配置此设置:计算机配置>管理模板>Windows组件>WindowsDefenderSmartScreen>资源管理器>配置应用程序安装控制。锁定Windows10PC的最极端方法是使用分配的访问功能配置设备,使其只能运行一个应用程序。如果你选择MicrosoftEdge作为应用程序,你可以将设备配置为在锁定到一个站点的全屏模式下运行,或者作为具有一组有限功能的公共浏览器运行。要配置此功能,请转到“设置”>“家庭和其他用户”,然后点击“分配访问权限”。在连接到企业帐户的PC上,此选项位于“设置”>“其他用户”下。网络安全在过去的15年里,每个版本的Windows都包含状态检查防火墙。在Windows10中,此防火墙默认启用,不需要任何调整即可生效。与之前的版本一样,Windows10防火墙支持三种不同的网络配置:域、私有和公共。需要访问网络资源的应用程序通常可以将自己配置为初始设置的一部分。要调整基本的Windows防火墙设置,请使用Windows安全应用程序中的“防火墙和网络保护”选项卡。要查看更全面、更专业的配置工具集,请单击“高级设置”以使用高级安全控制台打开旧版WindowsDefender防火墙。在托管网络上,可以通过组策略和服务器端设置来控制这些设置。从安全的角度来看,Windows10PC面临的最大网络威胁发生在连接到无线网络时。大型组织可以通过添加对802.1x标准的支持来显着提高其无线连接的安全性,该标准使用访问控制而不是WPA2无线网络中的共享密码。当尝试连接到此类网络时,Windows10将提示输入用户名和密码并拒绝未经授权的连接。在基于Windows域的网络上,您可以使用本机DirectAccess功能来允许安全的远程访问。当您必须连接到不受信任的无线网络时,最好的办法是设置虚拟专用网络(VPN)。Windows10支持企业网络上最流行的VPN包。要配置此类连接,请转至设置>网络和Internet>VPN。小型企业和个人可以从多种与Windows兼容的第三方VPN服务中进行选择。做好这些事情,让你的Windows10体验比同配置的苹果系统更好。近年来,Windows与苹果系统的差距急剧缩小,苹果的技术和价格优势也慢慢消失。如今,最新的Apple系统和顶级Windows系统之间存在的技术差距可以说已经基本消失。当然,苹果的CPU和硬件还是有一定优势的,但是这些优势可以通过上面的技巧来弥补。
