Windows Defender能夠提供基本的保護能力，但大家仍然需要下載其它第三方反惡意軟件包——無論免費還是付費方案——作為替代。

雖然開始菜單的回歸以及重新將注意力集中于桌面環(huán)境之上的設(shè)計思路都令Windows 10在企業(yè)客戶當中獲得贊譽，但安全水平的改進才是吸引他們實施升級的戰(zhàn)略性理由。不過需要強調(diào)的是，某些關(guān)鍵性功能可能要到今年秋季才會正式發(fā)布。

Windows 10企業(yè)版在其消費版本發(fā)布的一天之后即快速面世，其中自然也為企業(yè)客戶這一主要受眾提供了立等可取的多種實用性改進。不過在Windows 10企業(yè)版當中，各類極為重要的安全功能要么被包含在了未來的主要更新當中(大家可以將其理解為服務(wù)包，即我們所熟知的SP)——可能會在今年秋季正式發(fā)布，要么將依托于企業(yè)及在線站點與服務(wù)實現(xiàn)一系列實質(zhì)性安全轉(zhuǎn)變——例如淘汰已然過時的密碼機制。換句話來說，隨著這些重要升級的推出，我們需要制定對應計劃才能最大程度發(fā)揮Windows 10的安全提升優(yōu)勢。

不過就目前來講，IT管理人員還是可以享受到大量立即起效的安全改進效果，特別是在所管轄的用戶將Windows 10設(shè)備納入日常工作的情況之下。而且其中一部分只需要簡單的策略調(diào)整即可發(fā)揮作用。

舉例來講，大部分消費級PC設(shè)備需要利用訂購反惡意軟件來保障安全;而當訂購到期時——如果用戶沒有及時進行續(xù)費(微軟方面表示，約有10%的消費級PC設(shè)備會出現(xiàn)這種狀況)，那么Windows Defender會在預設(shè)時間之后自動開啟。目前的預設(shè)時間為三天，因為殺毒軟件供應商不希望Windows Defender在產(chǎn)品過期后立即啟用，但這種機制的存在確實能夠在員工通過監(jiān)管之外的家用系統(tǒng)接入業(yè)務(wù)環(huán)境時、幫助企業(yè)更好地實現(xiàn)安全保障。

同樣需要指出的是，Windows Defender現(xiàn)在還在Windows恢復環(huán)境中內(nèi)置了一套離線版本，其作用是在我們對系統(tǒng)進行修復時繼續(xù)保護自身免受惡意軟件侵擾。

微軟公司的全新Edge瀏覽器從多個方面對安全性作出了改進，從在應用容器沙箱內(nèi)運行到移除ActiveX控件、VCScript、工具欄以及Browser Helper Object等等。這雖然能夠讓瀏覽操作整體上變得更加安全，但同時也要求大家對業(yè)務(wù)應用作出一定調(diào)整(或者在多數(shù)情況下，對員工PC設(shè)備進行配置以繼續(xù)利用IE訪問對應站點)。而且盡管引入了大量現(xiàn)代Web標準并提升了瀏覽速度，Edge目前明顯仍處于發(fā)展階段，并預計將在今年晚些時候迎來一輪主要功能更新。

如果大家是從Windows 7或者其它早期版本直接升級至Windows 10，那么其中一些繼承自Windows 8的安全功能對您來說可能同樣是初次體驗。舉例來說，受信啟動惡意軟件保護會在啟動時首先加載殺毒軟件、而后再陸續(xù)載入其它軟件，允許我們選擇運行那些經(jīng)數(shù)字化標為非惡意代碼的操作系統(tǒng)組件，同時能夠?qū)⒔?jīng)過驗證的系統(tǒng)安全啟動流程保存在受信平臺模塊(簡稱TPM)當中——這樣大家就能夠在允許設(shè)備接入關(guān)鍵性系統(tǒng)之前加以檢查，特別是在利用TPM作為虛擬智能卡的情況之下。

BitLocker全盤加密仍然只適用于Windows專業(yè)版與企業(yè)版，不過最為基礎(chǔ)的Windows 10家庭版系統(tǒng)也已經(jīng)具備了Windows 8.1發(fā)布時所提供的設(shè)備加密選項(只要配備有合適的硬件)。

Windows 10當中的其它安全功能則更為基礎(chǔ)，但它們?nèi)匀灰蟾魑挥脩糇兏幚砩矸菪畔?、驗證與訪問的方式，從而最大程度發(fā)揮其預設(shè)功能。

超越傳統(tǒng)密碼

生物識別技術(shù)對于PC設(shè)備而言早已算不上什么新生事物，但新型PC上的硬件使這項功能速度更快也更加靈活，而新的Windows Hello登錄功能也非常易于使用。新的指紋掃描器采用電容技術(shù)，與iPhone觸控屏幕一樣，因此用戶能夠直接將手指放上——而不必再像過去那樣在窄小的傳感器上反復滑動——即可讓系統(tǒng)同時完成指紋3D結(jié)構(gòu)驗證與手指“活性”檢查?，F(xiàn)在，英特爾公司已經(jīng)在自家推出的主板產(chǎn)品當中引入了附加生物識別傳感器，相信未來它們將在更多設(shè)備之上為安全保障貢獻自己的一份力量。

Windows 10同時能夠與手掌靜脈打印、虹膜識別與3D人臉識別等技術(shù)方案順暢協(xié)作，利用目前眾多筆記本電腦上配備的英特爾RealSense攝像頭實現(xiàn)相關(guān)功能。這項功能同時能夠利用紅外線傳感裝置檢測用戶體溫，因此不會被照片或者面具等小伎倆所愚弄。

隨著生物識別技術(shù)對標準Windows用戶密碼的逐步取代，現(xiàn)在我們能夠更為有效地防止員工受到網(wǎng)絡(luò)釣魚活動的愚弄，同時避免了員工在云服務(wù)當中重復使用工作密碼所引發(fā)的用戶名及密碼內(nèi)容泄露風險。但它并不足以應對日益增多的常見攻擊活動，因為目前攻擊者們已經(jīng)能夠?qū)我籔C設(shè)備上的惡意軟件進行控制，從而在用戶登錄Windows時收集其訪問令牌以及Kerberos證書。有了這些信息，攻擊者將得以訪問企業(yè)內(nèi)部的電子郵件、共享文件、SharePoint站點、業(yè)務(wù)應用、企業(yè)數(shù)據(jù)庫以及其它數(shù)據(jù)存儲內(nèi)容。

這些攻擊活動往往被稱為“hash回避”與“ticket回避”攻擊，具體取決于攻擊者所指向的證書類別，微軟公司的Chris Hallum解釋稱。“一旦攻擊者獲取到該令牌，也就相當于在企業(yè)環(huán)境內(nèi)擁有了自己的身份;其實際效果跟獲取到員工的用戶名及密碼是一樣的。如果他們能夠得到管理員權(quán)限，則能夠運行工具以提取到令牌信息，而后游走于網(wǎng)絡(luò)當中并在無需輸入密碼的情況下隨意訪問任何服務(wù)器。”

在Windows 10企業(yè)版(以及Windows Server 2016)當中，登錄進程運行在微軟所謂虛擬安全模式之下——這是一套安全的虛擬化容器，其中不提供任何管理員權(quán)限且訪問活動嚴格受限，用戶只能夠獲取到通過登陸服務(wù)驗證時所提供的對應功能。訪問令牌與ticket皆被保存于此并以全面隨機化與受管形式以全長度散列形式存在，這就消除了暴力破解攻擊的可能性。“即使Windows內(nèi)核被攻擊者突破，其也無法在容器之外訪問到令牌信息，”Hallum表示。“這樣，我們就能將最重要的Windows組件之一進行隔離。”

不過要利用這一Credential Guard機制保護企業(yè)證書，大家不僅需要將Windows企業(yè)版運行在具備硬件虛擬化與TPM技術(shù)的PC設(shè)備之上，同時還需要將域控制器遷移到Windows Server 2016當中。

取代密碼

大家還需要提前制定計劃以使用Windows Passport，也就是Windows 10當中剛剛出現(xiàn)的、兼容快速識別網(wǎng)絡(luò)(簡稱FIDO)技術(shù)的下一代證書。用戶可以利用這些分布式證書對現(xiàn)有公共密鑰基礎(chǔ)設(shè)施或者由Windows本身生成的密鑰對進行驗證，而且它們會以安全方式被存儲在TPM當中，并通過生物識別或者PIN(或者圖片密碼)進行解鎖。每一臺設(shè)備都能夠利用智能卡或者一次性密碼進行注冊，因此PC本身就成為驗證當中的輔助因素。當然，大家也可以利用藍牙裝置或者Wi-Fi聯(lián)網(wǎng)手機為用戶驗證多臺其它設(shè)備。

大家可以在管理政策當中設(shè)定PIN碼長度及復雜性(最多為20個字符，包括大寫與小寫字母、符號、空格以及數(shù)字)，并為不同企業(yè)證書設(shè)置各自的獨立PIN碼。如此一來，我們就能夠在不影響其他用戶的前提下對這部分信息進行清除。

從長遠角度看，許多網(wǎng)站及在線服務(wù)也將采用FIDO兼容型證書，但我們可以先從將Passport引入自有業(yè)務(wù)線應用及服務(wù)作為初步嘗試。它能夠與各類經(jīng)過良好設(shè)計的應用程序順暢協(xié)作，Hallum表示“每一款應用程序都應該能夠發(fā)揮這項優(yōu)勢，除非大家不打算遵循最佳實踐，例如應用強迫用戶輸入自己的用戶名及密碼、而非使用Windows提供的密碼提示。”不過需要再次強調(diào)，大家需要具備Windows 2016以及Azure Active Directory——或者對自有Active Directory基礎(chǔ)設(shè)施進行某些更新——才能實現(xiàn)這項保護功能。

如果大家選擇使用Azure Active Directory，則可以利用它在Windows 10當中對內(nèi)置移動設(shè)備管理(簡稱MDM)客戶端進行配置，從而在員工使用PC設(shè)備的同時為其提供域資源與各類云服務(wù)的單點登錄功能。微軟Intune是第一項能夠管理Windows 10設(shè)備的MDM服務(wù)，但微軟公司目前正積極推動其它MDM供應商對Windows 10的支持——這將允許大家以多種因素為基礎(chǔ)設(shè)置訪問控制政策，包括用戶從哪里進行登錄、其設(shè)備運行狀況是否良好及是否合規(guī)、應用程序的敏感性如何并對常見用戶角色及組設(shè)置進行訪問限制設(shè)定。

如果大家希望對設(shè)備上所能運行的應用或服務(wù)進行進一步控制，則需要使用配備有新型Device Guard選項的的PC產(chǎn)品;這要求其BIOS與UEFI由OEM廠商鎖定。在這種情況下，我們需要購買符合相關(guān)要求的硬件，但卻同時獲得了限定其能夠運行哪些軟件的能力。其中包括來自Windows Store的應用程序——無論是桌面還是通用型應用、來自特定軟件供應商的應用以及我們自己上傳至Windows Store的自主開發(fā)應用——當然，大家也可以與微軟對接以設(shè)置本地證書。只要這些簽名證書受到企業(yè)及軟件供應商的嚴格保護，那么整套體系就足以將惡意軟件徹底屏蔽在大家的關(guān)鍵性設(shè)備之外。

每個文件都擁有自己的容器環(huán)境

今年晚些時候，微軟公司還將為Windows 10帶來另一項關(guān)鍵性安全選項：企業(yè)數(shù)據(jù)保護(簡稱EDP)。這項功能將利用目前常見于智能手機之上的容器方案實現(xiàn)企業(yè)文件保護，利用管理政策將業(yè)務(wù)內(nèi)容自動保存在加密位置，且無需以手動方式對每個文件進行加密。不過與大部分智能手機容器系統(tǒng)不同，在Windows 10中每個文件都擁有自己的一套容器環(huán)境，而Windows則扮演著訪問代理的角色。

“Windows 10能夠根據(jù)數(shù)據(jù)的具體來源對業(yè)務(wù)及個人數(shù)據(jù)加以區(qū)分，”Hallum指出。“大家能夠在網(wǎng)絡(luò)上設(shè)置位置，并將對應數(shù)據(jù)指定為業(yè)務(wù)類型;例如這一臺為業(yè)務(wù)郵件服務(wù)器、這些屬于業(yè)務(wù)文件服務(wù)器，一切都利用DNS地址提供的IP地址范圍實現(xiàn)。當接收到來自這些位置的內(nèi)容時，網(wǎng)絡(luò)就會識別出它的來源，我們就能夠提前從文件層級出發(fā)對其進行加密。”對于由設(shè)備生成的文件，大家可以利用管理政策指定哪些應用屬于個人而哪些屬于業(yè)務(wù)類別，并自動對來自業(yè)務(wù)應用的文件進行加密。

這將是一套跨平臺解決方案，因此文件也可以在OS X、iOS以及Android系統(tǒng)平臺上打開。Office文件的使用也很簡單，我們可以利用Office 2016版本進行打開——其中包括Windows 10所提供的免費Office Mobile應用，不過大家需要訂購商業(yè)服務(wù)以實現(xiàn)商務(wù)用途。目前只有Mac版本的Office 2016提供預覽版本，因此Windows 10容器方案很可能會隨著Windows版本Office 2016的推出而一并面世。微軟Intune是目前惟一一項能夠管理Office應用程序的MDM服務(wù)，但大家也可以利用各類MDM服務(wù)或者System Center配置管理器進行密鑰與管理政策配置，從而實現(xiàn)企業(yè)數(shù)據(jù)保護容器的管理。

隨著更多后續(xù)安全技術(shù)在Windows 10中的出現(xiàn)，我們需要制定一系列政策及投入以發(fā)揮其最大價值。不過Windows 10與Windows Server 2016所提供的安全保障水平確實能夠有效保護證書、應用程序文件，而這一切都是在以往Windows生態(tài)系統(tǒng)當中未曾出現(xiàn)過的。

原文標題：How to get the most out of Windows 10 enterprise security features