保護Windows 10設(shè)備的大部分工作都是要根據(jù)實際運行環(huán)境進行的。精心策劃的安全策略會關(guān)注網(wǎng)絡(luò)流量�����、電子郵件帳戶����、身份驗證機制�、管理服務(wù)器和其他外部連接。
本指南涵蓋了大量的實際案例�����,每個標(biāo)題都討論了決策者在部署Windows 10PC時必須考慮的問題��。雖然它涵蓋了許多可用的參考樣本�,但這不是一個實際意義上的操作指南。
在大型企業(yè)中���, IT人員應(yīng)該包括能夠管理這些步驟的安全專家�����。在沒有專門IT人員的小型企業(yè)中���,將這些職責(zé)外包給具有必要專業(yè)知識的顧問可能是最好的方法��。
不過���,在進行單個Windows設(shè)置之前,請花一些時間進行威脅評估��。特別是�,在發(fā)生數(shù)據(jù)泄露或其他與安全相關(guān)的事件時,要意識到自己的法律和監(jiān)管責(zé)任���,以下方法適用于所有規(guī)模的企業(yè)���。
管理更新
對于任何Windows 10PC來說,最重要的一個安全設(shè)置是確保定期����、按時安裝更新���。當(dāng)然,這適用于所有現(xiàn)代計算設(shè)備�����,但微軟在Windows 10中引入的“Windows即服務(wù)”(Windows as a service)模式改變了你管理更新的方式��。具體過程請看《微軟是如何修復(fù)其Windows 10的更新問題���?》�����。
不過,在開始之前����,了解不同類型的Windows 10更新及其工作原理非常重要。
1.每月通過Windows Update發(fā)布高質(zhì)量的更新����;它們解決安全性和可靠性問題,不包含新特性���,這些更新還包括針對英特爾處理器微代碼缺陷的補丁����。
2.所有高質(zhì)量的更新都是累積起來的,因此在執(zhí)行Windows 10的干凈安裝之后��,你不再需要下載幾十個甚至數(shù)百個更新��。相反�����,你可以安裝最新的累積更新��,你將完全更新�。
3.功能更新相當(dāng)于以前所說的版本升級,它們包括一些新功能����,需要下載幾千兆字節(jié)的文件并進行完整的安裝。Windows 10功能更新每年發(fā)布兩次�����,分別在4月和10月��,也通過Windows Update發(fā)布。
默認情況下����,Windows 10設(shè)備會在Microsoft的更新服務(wù)器上下載并安裝更新。在運行Windows 10 Home的設(shè)備上��,沒有自動的方法來控制何時安裝更新��。但是�,管理員可以在運行Windows 10商業(yè)版的PC上安裝更新時進行一些控制。與所有安全決策一樣��,選擇何時安裝更新需要權(quán)衡利弊�����。
使用Windows 10 Pro��,Enterprise和Education版本中內(nèi)置的Windows Update for Business功能����,你可以將高質(zhì)量更新的安裝延遲至多30天�����。根據(jù)版本的不同,還可以將特性更新延遲至多兩年�。
將高質(zhì)量的更新延遲7到15天是一種低風(fēng)險的方法,可以避免出現(xiàn)可能導(dǎo)致穩(wěn)定性或兼容性問題的錯誤更新的風(fēng)險��。你可以使用“設(shè)置>更新和安全>高級選項”中的控件來調(diào)整PC上的業(yè)務(wù)設(shè)置的Windows更新���。
在較大的組織中��,管理員可以使用組策略或移動設(shè)備管理軟件為業(yè)務(wù)設(shè)置應(yīng)用Windows Update�。你還可以使用諸如System Center Configuration Manager或Windows Server Update Services之類的管理工具集中管理更新��。
最后��,你的軟件更新策略不應(yīng)該停留在Windows本身���。確保自動安裝Windows應(yīng)用程序的更新�,包括Microsoft Office和Adobe應(yīng)用程序���。
身份和用戶帳戶管理
每臺Windows 10PC至少需要一個用戶帳戶��,該帳戶由密碼和可選的身份驗證機制保護���。如何設(shè)置該帳戶(以及任何輔助帳戶)對確保設(shè)備的安全性大有幫助����。
運行Windows 10商業(yè)版(專業(yè)版��、企業(yè)版或教育版)的設(shè)備可以連接到Windows域�����。在該配置中�����,域管理員可以訪問Active Directory特性���,并可以授權(quán)用戶�、組和計算機訪問本地和網(wǎng)絡(luò)資源��。如果你是域管理員�,你可以使用完整的基于服務(wù)器的Active Directory工具來管理Windows 10PC。
與大多數(shù)小型企業(yè)不同���,Windows 10PC沒有加入域,你可以選擇三種帳戶類型:
1.本地帳戶使用僅存儲在設(shè)備上的憑據(jù)�;
2.微軟賬戶對消費者免費開放����,允許跨pc和設(shè)備同步數(shù)據(jù)和設(shè)置����,它們還支持雙因素身份驗證和密碼恢復(fù)選項;
3.Azure Active Directory (Azure AD)帳戶與自定義域相關(guān)聯(lián)����,可以集中管理�;続zure AD功能是免費的,包含在Office 365商業(yè)和企業(yè)訂閱中;其他Azure AD功能可用作付費升級����。
Windows 10PC上的第一個帳戶是Administrators組的成員,有權(quán)安裝軟件和修改系統(tǒng)配置�����。二級帳戶可以而且應(yīng)該設(shè)置為標(biāo)準用戶��,以防止未經(jīng)培訓(xùn)的用戶無意中損壞系統(tǒng)或安裝不需要的軟件��。
無論帳戶類型如何,都需要一個強密碼��。在托管網(wǎng)絡(luò)上���,管理員可以使用組策略或MDM軟件執(zhí)行組織密碼策略�。
要在特定設(shè)備上提高登錄過程的安全性�,可以使用Windows 10的一個名為Windows Hello的特性。Windows Hello需要兩個步驟的驗證過程來注冊具有Microsoft帳戶�、Active Directory帳戶、Azure AD帳戶或支持FIDO 2.0版本的第三方身份提供者的設(shè)備���。
注冊完成后�����,用戶可以使用個人識別碼(PIN)或支持硬件的生物特征認證(如指紋或面部識別)登錄�。生物特征數(shù)據(jù)只存儲在設(shè)備上�,防止各種常見的密碼竊取攻擊。在連接到業(yè)務(wù)帳戶的設(shè)備上�����,管理員可以使用Windows Hello for business來指定PIN復(fù)雜性需求��。
最后,在商業(yè)pc上使用Microsoft或Azure AD帳戶時��,應(yīng)該設(shè)置多因素身份驗證(multi-factor authentication, MFA)來保護帳戶免受外部攻擊���。對于Microsoft帳戶,可以在https://account.live.com/上使用兩步驗證設(shè)置�����。對于Office 365業(yè)務(wù)和企業(yè)帳戶����,管理員必須首先從Office門戶啟用該功能,然后用戶可以通過https://account.activedirectory.windowsazure.com/r#/profile管理MFA設(shè)置��。
數(shù)據(jù)保護
物理安全的問題同樣重要�����,被盜的筆記本電腦���,或留在出租車或餐館的筆記本電腦�,可能會導(dǎo)致數(shù)據(jù)丟失的重大風(fēng)險���。對企業(yè)或政府機構(gòu)來說�����,影響可能是災(zāi)難性的�����,而在受監(jiān)管的行業(yè)或違反數(shù)據(jù)保護法需要公開披露的行業(yè)�����,后果甚至更糟����。
在Windows 10設(shè)備上,最重要的配置更改就是啟用BitLocker設(shè)備加密��。Windows BitLocker驅(qū)動器加密通過加密Windows操作系統(tǒng)卷上存儲的所有數(shù)據(jù)可以更好地保護計算機中的數(shù)據(jù)�。BitLocker使用TPM幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù),并幫助確保計算機即使在無人參與�、丟失或被盜的情況下也不會被篡改。
啟用BitLocker后���,設(shè)備上的每一位數(shù)據(jù)都使用XTS-AES標(biāo)準進行加密����。使用組策略設(shè)置或設(shè)備管理工具,可以將加密強度從默認的128位設(shè)置增加到256位����。
啟用BitLocker需要包含可信平臺模塊(TPM)芯片的設(shè)備��,過去六年生產(chǎn)的每一臺商用PC都應(yīng)符合這方面的要求���。此外�����,BitLocker需要Windows 10的商業(yè)版(專業(yè)版��、企業(yè)版或教育版)���,Home版支持強大的設(shè)備加密,但只支持Microsoft帳戶�����,并且不允許管理BitLocker設(shè)備�����。
要獲得完整的管理功能,你還需要使用Windows域上的Active Directory帳戶或Azure Active Directory帳戶設(shè)置BitLocker���。在這兩種配置中����,恢復(fù)密鑰都保存在域或AAD管理員可用的位置����。
在運行Windows 10商業(yè)版的非托管設(shè)備上,可以使用本地帳戶����,但需要使用BitLocker管理工具對可用驅(qū)動器進行加密。
別忘了加密便攜存儲設(shè)備——USB閃存驅(qū)動器����,便攜式硬盤驅(qū)動器很容易丟失,但使用BitLocker To Go可以保護數(shù)據(jù)不被窺探���,BitLocker使用密碼解密驅(qū)動器的內(nèi)容��。
在使用Azure Active Directory的大型組織中���,還可以使用Azure Information Protection和Azure權(quán)限管理服務(wù)來保護存儲文件和電子郵件消息的內(nèi)容�。這種組合允許管理員對Office和其他應(yīng)用程序中創(chuàng)建的文檔進行分類和限制訪問�,而不受其本地加密狀態(tài)的影響。
阻止惡意代碼
隨著世界變得越來越緊密����,在線攻擊者變得越來越復(fù)雜,傳統(tǒng)防病毒軟件的作用也發(fā)生了變化��。安全軟件現(xiàn)在只是防御策略的一個方面而已�,而不是阻止安裝惡意代碼的全部手段��。
Windows 10的每一次安裝都包括內(nèi)置的殺毒軟件Windows Defender����,它使用與Windows Update相同的機制進行自我更新。Windows Defender被設(shè)計成一個set-it-and-forget-it特性��,不需要任何手動配置����。如果你安裝了一個第三方安全包,WindowsDefender就會主動讓道�,允許第三方軟件檢測并移除潛在的威脅�。
使用Windows企業(yè)版的大型組織可以部署Windows Defender Advanced Threat Protection��,這是一個使用行為傳感器監(jiān)控Windows 10 PC等端點的安全平臺���。使用基于云的分析����,Windows Defender ATP可以識別可疑行為并向管理員發(fā)出潛在威脅警報����。
對于規(guī)模較小的企業(yè)來說,最重要的挑戰(zhàn)是首先防止惡意代碼進入PC�����。微軟的SmartScreen技術(shù)是另一項內(nèi)置功能�,可以掃描下載文件�����,并阻止已知惡意文件的執(zhí)行。SmartScreen技術(shù)還可以阻止無法識別的程序���,但在必要時允許用戶覆蓋這些設(shè)置���。
值得注意的是�,Windows 10中的SmartScreen獨立于基于瀏覽器的技術(shù)�,比如谷歌的安全瀏覽服務(wù)和微軟Edge中的SmartScreen篩選服務(wù)。
在非托管pc上����,SmartScreen是另一個不需要手動配置的功能。你可以使用Windows 10的Windows安全應(yīng)用程序中的程序和瀏覽器控件設(shè)置來調(diào)整它的配置��。
管理潛在惡意代碼的另一個關(guān)鍵載體是電子郵件�����,在電子郵件中��,看似無害的文件附件和指向惡意網(wǎng)站的鏈接可能導(dǎo)致感染���。雖然電子郵件客戶端軟件可以在這方面提供一些保護,但在服務(wù)器級別阻止這些威脅是防止對PC的攻擊的最有效方法�。
防止用戶運行不想要的程序(包括惡意代碼)的有效方法是配置一臺Windows 10PC,使其不能運行任何應(yīng)用程序���,除非你特別授權(quán)了這些應(yīng)用程序�����。要在一臺PC上調(diào)整這些設(shè)置�,請轉(zhuǎn)到設(shè)置>應(yīng)用>應(yīng)用和功能,在“安裝應(yīng)用程序”標(biāo)題下����,選擇“僅允許商店中的應(yīng)用程序”。此設(shè)置允許以前安裝的應(yīng)用程序運行�,但禁止從微軟商店外部安裝任何下載的程序。
管理員可以使用組策略在網(wǎng)絡(luò)上配置此設(shè)置:計算機配置>管理模板> Windows組件> WindowsDefenderSmartScreen> Explorer >配置App安裝控件�。
鎖定Windows 10 PC的最極端方法是使用“分配的訪問”功能配置設(shè)備,使其只能運行一個應(yīng)用程序����。如果選擇Microsoft Edge作為應(yīng)用程序,則可以將設(shè)備配置為以鎖定到一個站點的全屏模式運行����,或者作為具有一組有限功能的公共瀏覽器運行。
要配置此功能�����,請轉(zhuǎn)到設(shè)置>家庭和其他用戶,并點擊“分配訪問”���。在連接到企業(yè)帳戶的PC上�����,此選項位于“設(shè)置”>“其他用戶”下�。
網(wǎng)絡(luò)安全
在過去的15年中�����,Windows的每個版本都包含了一個狀態(tài)檢查防火墻���。在Windows 10中���,這個防火墻是默認啟用的,不需要任何調(diào)整就可以生效�����。與之前的版本一樣����,Windows 10防火墻支持三種不同的網(wǎng)絡(luò)配置:域、私有和公共����。需要訪問網(wǎng)絡(luò)資源的應(yīng)用程序通常可以將自己配置為初始設(shè)置的一部分����。
要調(diào)整基本的Windows防火墻設(shè)置,請使用Windows Security應(yīng)用程序中的“防火墻和網(wǎng)絡(luò)保護”選項卡��。要查看一組更全面����、更專業(yè)的配置工具,請點擊“高級設(shè)置”�,打開帶有高級安全控制臺的老版Windows Defender防火墻。在托管網(wǎng)絡(luò)上��,可以通過組組策略和服務(wù)器端設(shè)置來控制這些設(shè)置���。
從安全角度來看�,連接到無線網(wǎng)絡(luò)時會出現(xiàn)對Windows 10 PC的最大網(wǎng)絡(luò)威脅���。大型組織可以通過添加對802.1x標(biāo)準的支持來顯著提高無線連接的安全性�,該標(biāo)準使用訪問控制而不是WPA2無線網(wǎng)絡(luò)中的共享密碼。嘗試連接到此類網(wǎng)絡(luò)時����,Windows 10將提示輸入用戶名和密碼,并拒絕未經(jīng)授權(quán)的連接���。
在基于Windows域的網(wǎng)絡(luò)上��,你可以使用本機DirectAccess功能來允許安全的遠程訪問���。
當(dāng)你必須連接到不受信任的無線網(wǎng)絡(luò)時,最好的選擇是設(shè)置一個虛擬專用網(wǎng)(VPN)���。Windows 10支持企業(yè)網(wǎng)絡(luò)上最流行的VPN包�����,要配置這種類型的連接�����,請轉(zhuǎn)到設(shè)置>網(wǎng)絡(luò)和互聯(lián)網(wǎng)> VPN�,小型企業(yè)和個人可以從各種Windows兼容的第三方VPN服務(wù)中進行選擇�����。
做好這些事情����,讓你的Windows10體驗超過同等配置的蘋果系統(tǒng)。
近年來�,Windows和蘋果系統(tǒng)之間的差距急劇縮小,蘋果的技術(shù)優(yōu)勢和價格優(yōu)勢也慢慢消失了��。
如今�����,最新的蘋果系統(tǒng)和頂級Windows系統(tǒng)之間存在的技術(shù)差距可以說已基本消失�����。當(dāng)然��,蘋果的CPU和硬件還是有一定優(yōu)勢的�,不過這些優(yōu)勢可以通過以上技巧來彌補。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
