人們很容易認(rèn)為，保護(hù)Windows 10設(shè)備的過程非常簡單，甚至按著一定之規(guī)操作就可以了。比如，安裝一些安全軟件，調(diào)整一些設(shè)置，進(jìn)行一兩次培訓(xùn)，然后你就可以高枕無憂了。

[[268079]]

但現(xiàn)實(shí)世界要復(fù)雜得多，初始設(shè)置只是建立一個(gè)安全基線。在完成初始配置之后，安全性需要持續(xù)的警惕和持續(xù)的工作。保護(hù)Windows 10設(shè)備的大部分工作都是要根據(jù)實(shí)際運(yùn)行環(huán)境進(jìn)行的。精心策劃的安全策略會(huì)關(guān)注網(wǎng)絡(luò)流量、電子郵件帳戶、身份驗(yàn)證機(jī)制、管理服務(wù)器和其他外部連接。

本指南涵蓋了大量的實(shí)際案例，每個(gè)標(biāo)題都討論了決策者在部署Windows 10PC時(shí)必須考慮的問題。雖然它涵蓋了許多可用的參考樣本，但這不是一個(gè)實(shí)際意義上的操作指南。

在大型企業(yè)中， IT人員應(yīng)該包括能夠管理這些步驟的安全專家。在沒有專門IT人員的小型企業(yè)中，將這些職責(zé)外包給具有必要專業(yè)知識(shí)的顧問可能是最好的方法。

不過，在進(jìn)行單個(gè)Windows設(shè)置之前，請花一些時(shí)間進(jìn)行威脅評(píng)估。特別是，在發(fā)生數(shù)據(jù)泄露或其他與安全相關(guān)的事件時(shí)，要意識(shí)到自己的法律和監(jiān)管責(zé)任，以下方法適用于所有規(guī)模的企業(yè)。

管理更新

對(duì)于任何Windows 10PC來說，最重要的一個(gè)安全設(shè)置是確保定期、按時(shí)安裝更新。當(dāng)然，這適用于所有現(xiàn)代計(jì)算設(shè)備，但微軟在Windows 10中引入的“Windows即服務(wù)”(Windows as a service)模式改變了你管理更新的方式。

不過，在開始之前，了解不同類型的Windows 10更新及其工作原理非常重要。

1.每月通過Windows Update發(fā)布高質(zhì)量的更新；它們解決安全性和可靠性問題，不包含新特性，這些更新還包括針對(duì)英特爾處理器微代碼缺陷的補(bǔ)丁。

2.所有高質(zhì)量的更新都是累積起來的，因此在執(zhí)行Windows 10的干凈安裝之后，你不再需要下載幾十個(gè)甚至數(shù)百個(gè)更新。相反，你可以安裝最新的累積更新，你將完全更新。

3.功能更新相當(dāng)于以前所說的版本升級(jí)，它們包括一些新功能，需要下載幾千兆字節(jié)的文件并進(jìn)行完整的安裝。Windows 10功能更新每年發(fā)布兩次，分別在4月和10月，也通過Windows Update發(fā)布。

默認(rèn)情況下，Windows 10設(shè)備會(huì)在Microsoft的更新服務(wù)器上下載并安裝更新。在運(yùn)行Windows 10 Home的設(shè)備上，沒有自動(dòng)的方法來控制何時(shí)安裝更新。但是，管理員可以在運(yùn)行Windows 10商業(yè)版的PC上安裝更新時(shí)進(jìn)行一些控制。與所有安全決策一樣，選擇何時(shí)安裝更新需要權(quán)衡利弊。

使用Windows 10 Pro，Enterprise和Education版本中內(nèi)置的Windows Update for Business功能，你可以將高質(zhì)量更新的安裝延遲至多30天。根據(jù)版本的不同，還可以將特性更新延遲至多兩年。

將高質(zhì)量的更新延遲7到15天是一種低風(fēng)險(xiǎn)的方法，可以避免出現(xiàn)可能導(dǎo)致穩(wěn)定性或兼容性問題的錯(cuò)誤更新的風(fēng)險(xiǎn)。你可以使用“設(shè)置>更新和安全>高級(jí)選項(xiàng)”中的控件來調(diào)整PC上的業(yè)務(wù)設(shè)置的Windows更新。

在較大的組織中，管理員可以使用組策略或移動(dòng)設(shè)備管理軟件為業(yè)務(wù)設(shè)置應(yīng)用Windows Update。你還可以使用諸如System Center Configuration Manager或Windows Server Update Services之類的管理工具集中管理更新。

最后，你的軟件更新策略不應(yīng)該停留在Windows本身。確保自動(dòng)安裝Windows應(yīng)用程序的更新，包括Microsoft Office和Adobe應(yīng)用程序。

身份和用戶帳戶管理

每臺(tái)Windows 10PC至少需要一個(gè)用戶帳戶，該帳戶由密碼和可選的身份驗(yàn)證機(jī)制保護(hù)。如何設(shè)置該帳戶(以及任何輔助帳戶)對(duì)確保設(shè)備的安全性大有幫助。

運(yùn)行Windows 10商業(yè)版(專業(yè)版、企業(yè)版或教育版)的設(shè)備可以連接到Windows域。在該配置中，域管理員可以訪問Active Directory特性，并可以授權(quán)用戶、組和計(jì)算機(jī)訪問本地和網(wǎng)絡(luò)資源。如果你是域管理員，你可以使用完整的基于服務(wù)器的Active Directory工具來管理Windows 10PC。

與大多數(shù)小型企業(yè)不同，Windows 10PC沒有加入域，你可以選擇三種帳戶類型:

1.本地帳戶使用僅存儲(chǔ)在設(shè)備上的憑據(jù)；

2.微軟賬戶對(duì)消費(fèi)者免費(fèi)開放，允許跨pc和設(shè)備同步數(shù)據(jù)和設(shè)置，它們還支持雙因素身份驗(yàn)證和密碼恢復(fù)選項(xiàng)；

3.Azure Active Directory (Azure AD)帳戶與自定義域相關(guān)聯(lián)，可以集中管理。基本Azure AD功能是免費(fèi)的，包含在Office 365商業(yè)和企業(yè)訂閱中;其他Azure AD功能可用作付費(fèi)升級(jí)。

Windows 10PC上的第一個(gè)帳戶是Administrators組的成員，有權(quán)安裝軟件和修改系統(tǒng)配置。二級(jí)帳戶可以而且應(yīng)該設(shè)置為標(biāo)準(zhǔn)用戶，以防止未經(jīng)培訓(xùn)的用戶無意中損壞系統(tǒng)或安裝不需要的軟件。

無論帳戶類型如何，都需要一個(gè)強(qiáng)密碼。在托管網(wǎng)絡(luò)上，管理員可以使用組策略或MDM軟件執(zhí)行組織密碼策略。

要在特定設(shè)備上提高登錄過程的安全性，可以使用Windows 10的一個(gè)名為Windows Hello的特性。Windows Hello需要兩個(gè)步驟的驗(yàn)證過程來注冊具有Microsoft帳戶、Active Directory帳戶、Azure AD帳戶或支持FIDO 2.0版本的第三方身份提供者的設(shè)備。

注冊完成后，用戶可以使用個(gè)人識(shí)別碼(PIN)或支持硬件的生物特征認(rèn)證(如指紋或面部識(shí)別)登錄。生物特征數(shù)據(jù)只存儲(chǔ)在設(shè)備上，防止各種常見的密碼竊取攻擊。在連接到業(yè)務(wù)帳戶的設(shè)備上，管理員可以使用Windows Hello for business來指定PIN復(fù)雜性需求。

最后，在商業(yè)pc上使用Microsoft或Azure AD帳戶時(shí)，應(yīng)該設(shè)置多因素身份驗(yàn)證(multi-factor authentication, MFA)來保護(hù)帳戶免受外部攻擊。對(duì)于Microsoft帳戶，可以在https://account.live.com/上使用兩步驗(yàn)證設(shè)置。對(duì)于Office 365業(yè)務(wù)和企業(yè)帳戶，管理員必須首先從Office門戶啟用該功能，然后用戶可以通過https://account.activedirectory.windowsazure.com/r#/profile管理MFA設(shè)置。

數(shù)據(jù)保護(hù)

物理安全的問題同樣重要，被盜的筆記本電腦，或留在出租車或餐館的筆記本電腦，可能會(huì)導(dǎo)致數(shù)據(jù)丟失的重大風(fēng)險(xiǎn)。對(duì)企業(yè)或政府機(jī)構(gòu)來說，影響可能是災(zāi)難性的，而在受監(jiān)管的行業(yè)或違反數(shù)據(jù)保護(hù)法需要公開披露的行業(yè)，后果甚至更糟。

在Windows 10設(shè)備上，最重要的配置更改就是啟用BitLocker設(shè)備加密。Windows BitLocker驅(qū)動(dòng)器加密通過加密Windows操作系統(tǒng)卷上存儲(chǔ)的所有數(shù)據(jù)可以更好地保護(hù)計(jì)算機(jī)中的數(shù)據(jù)。BitLocker使用TPM幫助保護(hù)Windows操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計(jì)算機(jī)即使在無人參與、丟失或被盜的情況下也不會(huì)被篡改。

啟用BitLocker后，設(shè)備上的每一位數(shù)據(jù)都使用XTS-AES標(biāo)準(zhǔn)進(jìn)行加密。使用組策略設(shè)置或設(shè)備管理工具，可以將加密強(qiáng)度從默認(rèn)的128位設(shè)置增加到256位。

啟用BitLocker需要包含可信平臺(tái)模塊(TPM)芯片的設(shè)備，過去六年生產(chǎn)的每一臺(tái)商用PC都應(yīng)符合這方面的要求。此外，BitLocker需要Windows 10的商業(yè)版(專業(yè)版、企業(yè)版或教育版)，Home版支持強(qiáng)大的設(shè)備加密，但只支持Microsoft帳戶，并且不允許管理BitLocker設(shè)備。

要獲得完整的管理功能，你還需要使用Windows域上的Active Directory帳戶或Azure Active Directory帳戶設(shè)置BitLocker。在這兩種配置中，恢復(fù)密鑰都保存在域或AAD管理員可用的位置。

在運(yùn)行Windows 10商業(yè)版的非托管設(shè)備上，可以使用本地帳戶，但需要使用BitLocker管理工具對(duì)可用驅(qū)動(dòng)器進(jìn)行加密。

別忘了加密便攜存儲(chǔ)設(shè)備——USB閃存驅(qū)動(dòng)器，便攜式硬盤驅(qū)動(dòng)器很容易丟失，但使用BitLocker To Go可以保護(hù)數(shù)據(jù)不被窺探，BitLocker使用密碼解密驅(qū)動(dòng)器的內(nèi)容。

在使用Azure Active Directory的大型組織中，還可以使用Azure Information Protection和Azure權(quán)限管理服務(wù)來保護(hù)存儲(chǔ)文件和電子郵件消息的內(nèi)容。這種組合允許管理員對(duì)Office和其他應(yīng)用程序中創(chuàng)建的文檔進(jìn)行分類和限制訪問，而不受其本地加密狀態(tài)的影響。

阻止惡意代碼

隨著世界變得越來越緊密，在線攻擊者變得越來越復(fù)雜，傳統(tǒng)防病毒軟件的作用也發(fā)生了變化。安全軟件現(xiàn)在只是防御策略的一個(gè)方面而已，而不是阻止安裝惡意代碼的全部手段。

Windows 10的每一次安裝都包括內(nèi)置的殺毒軟件Windows Defender，它使用與Windows Update相同的機(jī)制進(jìn)行自我更新。Windows Defender被設(shè)計(jì)成一個(gè)set-it-and-forget-it特性，不需要任何手動(dòng)配置。如果你安裝了一個(gè)第三方安全包，WindowsDefender就會(huì)主動(dòng)讓道，允許第三方軟件檢測并移除潛在的威脅。

使用Windows企業(yè)版的大型組織可以部署Windows Defender Advanced Threat Protection，這是一個(gè)使用行為傳感器監(jiān)控Windows 10 PC等端點(diǎn)的安全平臺(tái)。使用基于云的分析，Windows Defender ATP可以識(shí)別可疑行為并向管理員發(fā)出潛在威脅警報(bào)。

對(duì)于規(guī)模較小的企業(yè)來說，最重要的挑戰(zhàn)是首先防止惡意代碼進(jìn)入PC。微軟的SmartScreen技術(shù)是另一項(xiàng)內(nèi)置功能，可以掃描下載文件，并阻止已知惡意文件的執(zhí)行。SmartScreen技術(shù)還可以阻止無法識(shí)別的程序，但在必要時(shí)允許用戶覆蓋這些設(shè)置。

值得注意的是，Windows 10中的SmartScreen獨(dú)立于基于瀏覽器的技術(shù)，比如谷歌的安全瀏覽服務(wù)和微軟Edge中的SmartScreen篩選服務(wù)。

在非托管pc上，SmartScreen是另一個(gè)不需要手動(dòng)配置的功能。你可以使用Windows 10的Windows安全應(yīng)用程序中的程序和瀏覽器控件設(shè)置來調(diào)整它的配置。

管理潛在惡意代碼的另一個(gè)關(guān)鍵載體是電子郵件，在電子郵件中，看似無害的文件附件和指向惡意網(wǎng)站的鏈接可能導(dǎo)致感染。雖然電子郵件客戶端軟件可以在這方面提供一些保護(hù)，但在服務(wù)器級(jí)別阻止這些威脅是防止對(duì)PC的攻擊的最有效方法。

防止用戶運(yùn)行不想要的程序(包括惡意代碼)的有效方法是配置一臺(tái)Windows 10PC，使其不能運(yùn)行任何應(yīng)用程序，除非你特別授權(quán)了這些應(yīng)用程序。要在一臺(tái)PC上調(diào)整這些設(shè)置，請轉(zhuǎn)到設(shè)置>應(yīng)用>應(yīng)用和功能，在“安裝應(yīng)用程序”標(biāo)題下，選擇“僅允許商店中的應(yīng)用程序”。此設(shè)置允許以前安裝的應(yīng)用程序運(yùn)行，但禁止從微軟商店外部安裝任何下載的程序。

管理員可以使用組策略在網(wǎng)絡(luò)上配置此設(shè)置:計(jì)算機(jī)配置>管理模板> Windows組件> WindowsDefenderSmartScreen> Explorer >配置App安裝控件。

鎖定Windows 10 PC的最極端方法是使用“分配的訪問”功能配置設(shè)備，使其只能運(yùn)行一個(gè)應(yīng)用程序。如果選擇Microsoft Edge作為應(yīng)用程序，則可以將設(shè)備配置為以鎖定到一個(gè)站點(diǎn)的全屏模式運(yùn)行，或者作為具有一組有限功能的公共瀏覽器運(yùn)行。

要配置此功能，請轉(zhuǎn)到設(shè)置>家庭和其他用戶，并點(diǎn)擊“分配訪問”。在連接到企業(yè)帳戶的PC上，此選項(xiàng)位于“設(shè)置”>“其他用戶”下。

網(wǎng)絡(luò)安全

在過去的15年中，Windows的每個(gè)版本都包含了一個(gè)狀態(tài)檢查防火墻。在Windows 10中，這個(gè)防火墻是默認(rèn)啟用的，不需要任何調(diào)整就可以生效。與之前的版本一樣，Windows 10防火墻支持三種不同的網(wǎng)絡(luò)配置:域、私有和公共。需要訪問網(wǎng)絡(luò)資源的應(yīng)用程序通常可以將自己配置為初始設(shè)置的一部分。

要調(diào)整基本的Windows防火墻設(shè)置，請使用Windows Security應(yīng)用程序中的“防火墻和網(wǎng)絡(luò)保護(hù)”選項(xiàng)卡。要查看一組更全面、更專業(yè)的配置工具，請點(diǎn)擊“高級(jí)設(shè)置”，打開帶有高級(jí)安全控制臺(tái)的老版Windows Defender防火墻。在托管網(wǎng)絡(luò)上，可以通過組組策略和服務(wù)器端設(shè)置來控制這些設(shè)置。

從安全角度來看，連接到無線網(wǎng)絡(luò)時(shí)會(huì)出現(xiàn)對(duì)Windows 10 PC的最大網(wǎng)絡(luò)威脅。大型組織可以通過添加對(duì)802.1x標(biāo)準(zhǔn)的支持來顯著提高無線連接的安全性，該標(biāo)準(zhǔn)使用訪問控制而不是WPA2無線網(wǎng)絡(luò)中的共享密碼。嘗試連接到此類網(wǎng)絡(luò)時(shí)，Windows 10將提示輸入用戶名和密碼，并拒絕未經(jīng)授權(quán)的連接。

在基于Windows域的網(wǎng)絡(luò)上，你可以使用本機(jī)DirectAccess功能來允許安全的遠(yuǎn)程訪問。

當(dāng)你必須連接到不受信任的無線網(wǎng)絡(luò)時(shí)，最好的選擇是設(shè)置一個(gè)虛擬專用網(wǎng)(VPN)。Windows 10支持企業(yè)網(wǎng)絡(luò)上最流行的VPN包，要配置這種類型的連接，請轉(zhuǎn)到設(shè)置>網(wǎng)絡(luò)和互聯(lián)網(wǎng)> VPN，小型企業(yè)和個(gè)人可以從各種Windows兼容的第三方VPN服務(wù)中進(jìn)行選擇。

做好這些事情，讓你的Windows10體驗(yàn)超過同等配置的蘋果系統(tǒng)。

近年來，Windows和蘋果系統(tǒng)之間的差距急劇縮小，蘋果的技術(shù)優(yōu)勢和價(jià)格優(yōu)勢也慢慢消失了。

如今，最新的蘋果系統(tǒng)和頂級(jí)Windows系統(tǒng)之間存在的技術(shù)差距可以說已基本消失。當(dāng)然，蘋果的CPU和硬件還是有一定優(yōu)勢的，不過這些優(yōu)勢可以通過以上技巧來彌補(bǔ)。