如何配置Windows 10 以避免常見的安全問題?

誘人的是，可以將保護(hù)Windows 10設(shè)備的過程簡化為簡單的清單。安裝一些安全軟件，調(diào)整一些設(shè)置，進(jìn)行一兩次培訓(xùn)，然后您就可以繼續(xù)執(zhí)行任務(wù)列表中的下一項(xiàng)。

現(xiàn)實(shí)世界要復(fù)雜得多。沒有軟件的靈丹妙藥，您的初始設(shè)置只是建立了安全基準(zhǔn)。初始配置完成后，安全性需要持續(xù)的警惕和持續(xù)的努力。

保護(hù)Windows 10設(shè)備的許多工作都發(fā)生在設(shè)備本身之外。精心計(jì)劃的安全策略應(yīng)注意網(wǎng)絡(luò)流量，電子郵件帳戶，身份驗(yàn)證機(jī)制，管理服務(wù)器和其他外部連接。

本指南涵蓋了廣泛的業(yè)務(wù)用例，每個(gè)標(biāo)題都討論了決策者在部署Windows 10 PC時(shí)必須考慮的問題。

盡管它涵蓋了許多可用選項(xiàng)，但它不是動(dòng)手指南。在大型企業(yè)中，您的IT員工應(yīng)包括可以管理這些步驟的安全專家。

在沒有專門IT人員的小型企業(yè)中，將這些職責(zé)外包給具有必要專業(yè)知識的顧問可能是比較好的方法。

但是，在觸摸單個(gè)Windows設(shè)置之前，請花一些時(shí)間進(jìn)行威脅評估。特別是，在發(fā)生數(shù)據(jù)泄露或其他與安全相關(guān)的事件時(shí)，請注意您的法律和法規(guī)責(zé)任。

對于需要遵守法規(guī)要求的企業(yè)，您需要聘請一位了解您的行業(yè)并可以確保您的系統(tǒng)滿足所有適用要求的專家。以下類別適用于各種規(guī)模的企業(yè)。

管理安全更新

對于任何Windows 10 PC而言，最重要的一項(xiàng)安全設(shè)置是確保定期，可預(yù)測的時(shí)間表安裝更新。當(dāng)然，每種現(xiàn)代計(jì)算設(shè)備都是如此，但是Microsoft Windows 10引入的“ Windows即服務(wù)”模型改變了您管理更新的方式。

但是，在開始之前，重要的是要了解Windows 10更新的不同類型及其工作方式。

質(zhì)量更新每月在每個(gè)月的第二個(gè)星期二通過Windows Update交付。它們解決了安全性和可靠性問題，并且不包含新功能。(這些更新還包括針對Intel處理器中微代碼缺陷的補(bǔ)丁程序。)對于特別嚴(yán)重的安全問題，Microsoft可能選擇發(fā)布與正常每月計(jì)劃無關(guān)的帶外更新。

所有質(zhì)量更新都是累積性的，因此，在執(zhí)行Windows 10全新安裝后，您不再需要下載數(shù)十個(gè)甚至數(shù)百個(gè)更新，而是可以安裝最新的累積更新，并且您將完全保持最新。功能更新等效于以前稱為版本升級的功能。

它們包括新功能，并且需要數(shù)GB的下載量和完整的設(shè)置。Windows 10功能更新每年兩次發(fā)布，通常在4月和10月發(fā)布，并通過Windows Update提供。除非當(dāng)前的Windows 10版本已達(dá)到其支持生命周期的結(jié)束，否則不會自動(dòng)安裝它們。

默認(rèn)情況下，Windows 10設(shè)備會在Microsoft更新服務(wù)器上提供質(zhì)量更新后立即下載并安裝質(zhì)量更新。在運(yùn)行Windows 10 Home的設(shè)備上，雖然個(gè)別用戶可以將所有更新暫停最多7天，但沒有確切指定何時(shí)安裝這些更新的受支持方法。在運(yùn)行Windows 10商業(yè)版(專業(yè)版，企業(yè)版或教育版)的PC上，用戶可以將所有更新暫停最多35天，管理員可以使用組策略設(shè)置將PC上的質(zhì)量更新的安裝推遲30天。釋放。

與所有安全性決定一樣，選擇何時(shí)安裝更新需要權(quán)衡。發(fā)行后立即安裝更新可提供保護(hù)。

推遲更新可以很大程度地減少與這些更新相關(guān)的計(jì)劃外停機(jī)時(shí)間。使用Windows 10 Pro，Enterprise和Education版本中內(nèi)置的Windows Update for Business功能，您可以將質(zhì)量更新的安裝最多延遲30天。您還可以將功能更新最多延遲兩年，具體取決于版本。

將質(zhì)量更新推遲7到15天是一種避免安裝可能導(dǎo)致穩(wěn)定性或兼容性問題的有缺陷的更新的低風(fēng)險(xiǎn)方法。您可以使用“設(shè)置”>“更新和安全性”>“高級選項(xiàng)”中的控件來調(diào)整單個(gè)PC上的Windows Update for Business設(shè)置。

在大型組織中，管理員可以使用組策略或移動(dòng)設(shè)備管理(MDM)軟件來應(yīng)用Windows Update for Business設(shè)置。您也可以使用系統(tǒng)中心配置管理器或Windows Server Update Services等管理工具集中管理更新。

最后，您的軟件更新策略不應(yīng)只停留在Windows本身。確保自動(dòng)安裝Windows應(yīng)用程序(包括Microsoft Office和Adobe應(yīng)用程序)的更新。

身份和用戶賬戶管理

每臺Windows 10 PC至少需要一個(gè)用戶帳戶，該用戶帳戶又受密碼和可選的身份驗(yàn)證機(jī)制保護(hù)。如何設(shè)置該帳戶(以及所有輔助帳戶)對于確保設(shè)備的安全性大有幫助。

可以將運(yùn)行Windows 10商業(yè)版的設(shè)備加入Windows域。在該配置中，域管理員可以訪問Active Directory功能，并且可以授權(quán)用戶，組和計(jì)算機(jī)訪問本地和網(wǎng)絡(luò)資源。如果您是域管理員，則可以使用全套基于服務(wù)器的Active Directory工具來管理Windows 10 PC。

與大多數(shù)小型企業(yè)一樣，對于未加入域的Windows 10 PC，您可以選擇以下三種帳戶類型：

本地帳戶使用僅存儲在設(shè)備上的憑據(jù)。

Microsoft帳戶可供消費(fèi)者免費(fèi)使用，并允許在PC和設(shè)備之間同步數(shù)據(jù)和設(shè)置;它們還支持兩因素身份驗(yàn)證和密碼恢復(fù)選項(xiàng)。

Azure Active Directory(Azure AD)帳戶與自定義域關(guān)聯(lián)，可以進(jìn)行集中管理?；镜腁zure AD功能是免費(fèi)的，并且包含在Microsoft 365和Office 365商業(yè)及企業(yè)版訂閱中;其他Azure AD功能可通過付費(fèi)升級獲得。

Windows 10 PC上的第一個(gè)帳戶是Administrators組的成員，并有權(quán)安裝軟件和修改系統(tǒng)配置?？梢圆⑶覒?yīng)該將輔助帳戶設(shè)置為“標(biāo)準(zhǔn)”用戶，以防止未經(jīng)培訓(xùn)的用戶無意中損壞系統(tǒng)或安裝不需要的軟件。無論帳戶類型如何，都要求一個(gè)強(qiáng)密碼。

在托管網(wǎng)絡(luò)上，管理員可以使用組策略或MDM軟件來實(shí)施組織密碼策略。為了提高特定設(shè)備上登錄過程的安全性，您可以使用Windows 10功能，稱為Windows Hello。Windows Hello需要兩步驗(yàn)證過程，才能使用支持FIDO 2.0版的Microsoft帳戶，Active Directory帳戶，Azure AD帳戶或第三方身份提供程序注冊設(shè)備。

完成該注冊后，用戶可以使用PIN或使用受支持的硬件，生物特征認(rèn)證(例如指紋或面部識別)登錄。生物識別數(shù)據(jù)僅存儲在設(shè)備上，可防止各種常見的密碼竊取攻擊。在連接到企業(yè)帳戶的設(shè)備上，管理員可以使用Windows Hello企業(yè)版來指定PIN復(fù)雜性要求。

最后，在商用PC上使用Microsoft或Azure AD帳戶時(shí)，應(yīng)設(shè)置多因素身份驗(yàn)證(MFA)以保護(hù)該帳戶免受外部攻擊。在Microsoft帳戶上，可通過account.live.com/proofs獲得兩步驗(yàn)證設(shè)置。對于Office 365商業(yè)和企業(yè)帳戶，管理員必須首先從Office門戶啟用該功能，然后用戶可以通過登錄account.activedirectory.windowsazure.com/proofup.aspx來管理MFA設(shè)置。

數(shù)據(jù)保護(hù)

物理安全與與軟件或網(wǎng)絡(luò)相關(guān)的問題一樣重要。筆記本電腦被盜，或者在出租車或餐館中遺留的筆記本電腦，可能會導(dǎo)致數(shù)據(jù)丟失的巨大風(fēng)險(xiǎn)。對于企業(yè)或政府機(jī)構(gòu)而言，影響可能是災(zāi)難性的，在受監(jiān)管的行業(yè)或數(shù)據(jù)泄露法律要求公開披露的情況下，后果甚至更糟。

在Windows 10設(shè)備上，您可以做的最重要的配置更改就是啟用BitLocker設(shè)備加密。(BitLocker是Microsoft用于Windows商務(wù)版中可用的加密工具的商標(biāo)。)

啟用BitLocker后，設(shè)備上的每一位數(shù)據(jù)都使用XTS-AES標(biāo)準(zhǔn)進(jìn)行加密。使用組策略設(shè)置或設(shè)備管理工具，可以將加密強(qiáng)度從默認(rèn)的128位設(shè)置提高到256位。

啟用BitLocker要求設(shè)備包含可信平臺模塊(TPM)芯片;過去六年中制造的每臺商用PC都應(yīng)符合此條件。此外，BitLocker需要Windows 10的商業(yè)版本(Pro，Enterprise或Education)。

Home Edition支持強(qiáng)大的設(shè)備加密，但只能使用Microsoft帳戶，并且不允許管理BitLocker設(shè)備。為了獲得完整的管理功能，您還需要使用Windows域上的Active Directory帳戶或Azure Active Directory帳戶來設(shè)置BitLocker。

在這兩種配置中，恢復(fù)密鑰都保存在域或AAD管理員可用的位置。在運(yùn)行Windows 10商業(yè)版的非托管設(shè)備上，可以使用本地帳戶，但是需要使用BitLocker管理工具來在可用驅(qū)動(dòng)器上啟用加密。并且不要忘記加密便攜式存儲設(shè)備。

USB閃存驅(qū)動(dòng)器。用作擴(kuò)展存儲的MicroSD卡和便攜式硬盤驅(qū)動(dòng)器很容易丟失，但是可以使用BitLocker To Go(使用密碼解密驅(qū)動(dòng)器的內(nèi)容)來保護(hù)數(shù)據(jù)免遭窺視。

在使用Azure Active Directory的大型組織中，還可以使用Azure信息保護(hù)和Azure權(quán)限管理服務(wù)來保護(hù)存儲的文件和電子郵件的內(nèi)容。這種組合使管理員可以對Office和其他應(yīng)用程序中創(chuàng)建的文檔進(jìn)行分類和限制訪問，而不受其本地加密狀態(tài)的影響。

阻止惡意代碼

隨著世界之間的聯(lián)系越來越緊密，在線攻擊者變得越來越復(fù)雜，傳統(tǒng)防病毒軟件的作用也發(fā)生了變化。安全軟件已不再是阻止惡意代碼安裝的主要工具，它現(xiàn)在只是防御策略中的另一層。Windows 10的每個(gè)安裝都包括稱為Microsoft Defender Antivirus(以前稱為Windows Defender)的內(nèi)置防病毒，防惡意軟件，該軟件使用與Windows Update相同的機(jī)制進(jìn)行自我更新。

Microsoft Defender防病毒軟件被設(shè)計(jì)為具有“一勞永逸”功能，并且不需要任何手動(dòng)配置。如果安裝了第三方安全軟件包，則Windows將禁用內(nèi)置保護(hù)，并允許該軟件檢測并消除潛在威脅。

使用Windows Enterprise Edition的大型組織可以部署Microsoft Defender Advanced Threat Protection，這是一個(gè)使用行為傳感器監(jiān)視端點(diǎn)(例如Windows 10 PC)的安全平臺。使用基于云的分析，Microsoft Defender ATP可以識別可疑行為，并警告管理員潛在的威脅。

對于較小的企業(yè)，最重要的挑戰(zhàn)是首先防止惡意代碼到達(dá)PC。微軟的SmartScreen技術(shù)是另一種內(nèi)置功能，可掃描下載并阻止執(zhí)行已知為惡意的下載。

SmartScreen技術(shù)還阻止了無法識別的程序，但允許用戶在必要時(shí)覆蓋這些設(shè)置。值得注意的是，Windows 10中的SmartScreen可以獨(dú)立于基于瀏覽器的技術(shù)工作，例如Google的安全瀏覽服務(wù)和Microsoft Edge中的SmartScreen篩選器服務(wù)。

在不受管理的PC上，SmartScreen是另一個(gè)功能，不需要手動(dòng)配置。您可以使用Windows 10中Windows安全應(yīng)用程序中的“應(yīng)用程序和瀏覽器控制”設(shè)置來調(diào)整其配置。

電子郵件是管理潛在惡意代碼的另一個(gè)重要載體，電子郵件中看似無害的文件附件和指向惡意網(wǎng)站的鏈接可能導(dǎo)致感染。盡管電子郵件客戶端軟件可以在這方面提供一些保護(hù)，但是在服務(wù)器級別阻止這些威脅是防止對PC進(jìn)行攻擊的最有效方法。

防止用戶運(yùn)行不需要的程序(包括惡意代碼)的有效方法是配置Windows 10 PC以運(yùn)行除您明確授權(quán)的應(yīng)用之外的任何應(yīng)用。要在單臺PC上調(diào)整這些設(shè)置，請依次轉(zhuǎn)到設(shè)置>應(yīng)用>應(yīng)用和功能;在“安裝應(yīng)用程序”標(biāo)題下，選擇“僅允許來自商店的應(yīng)用程序”。

此設(shè)置允許運(yùn)行以前安裝的應(yīng)用程序，但阻止從Microsoft Store外部安裝任何下載的程序。

管理員可以使用組策略通過網(wǎng)絡(luò)配置此設(shè)置：“計(jì)算機(jī)配置”>“管理模板”>“ Windows組件”>“ Windows Defender SmartScreen”>“資源管理器”>“配置應(yīng)用程序安裝控件”。

鎖定Windows 10 PC的最極端方法是使用“分配的訪問”功能配置設(shè)備，使其只能運(yùn)行一個(gè)應(yīng)用程序。如果選擇Microsoft Edge作為應(yīng)用程序，則可以將設(shè)備配置為以全屏模式運(yùn)行，并鎖定到單個(gè)站點(diǎn)，也可以配置為功能有限的公共瀏覽器。

要配置此功能，請轉(zhuǎn)到“設(shè)置”>“家庭和其他用戶”，然后單擊“分配的訪問權(quán)限”。(在連接到企業(yè)帳戶的PC上，此選項(xiàng)位于“設(shè)置”>“其他用戶”下。)