“Windows 10安全指南 怎么保护您的业务”

值得一提的是，我们可以将保护windows 10设备的过程汇总成一个简单的列表。 可以安装一点安全软件，稍微调整设置，进行一两次培训，然后进入任务列表中的下一个项目。

las，现实世界更多更复杂。

没有软件的灵丹妙药。 初始设定只是确立了安全基准。 初始配置完成后，安全需要持续的警惕和持续的努力。 保护windows 10设备的许多业务都发生在设备本身之外。 精心设计的安全策略需要观察互联网流量、电子邮件帐户、验证机制、管理服务器和其他外部连接。

本指南涵盖广泛的业务用例，每个标题都介绍了部署windows 10 pc时决策者需要考虑的问题。 包含多个可用选项，但不是实际的操作指南。

在大型企业中，it人员必须包括能够管理这些步骤的安全专家。 对于没有专业it人员的小型企业，将这些责任外包给具有所需专业信息的顾问可能是最好的方法。

但是，在接触各个windows设置之前，请花一点时间判断威胁。 特别是在发生数据泄露或其他安全相关问题时，应观察法律和法规的责任。 对于需要遵守法规要求的公司，必须聘请了解客户领域并确保系统满足所有适用要求的专家。

以下类别适用于所有规模的公司。

管理更新

对任何windows 10 pc来说，最重要的安全设置之一是确保以定期、可预测的时间表安装更新。 当然，所有现代计算设备都是如此，但微软windows上部署的windows或服务模式改变了管理更新的方式。

请参阅:这是微软如何解决windows 10更新问题的

但是，在开始之前，了解不同类型的windows 10更新及其实践方法很重要。

默认情况下，windows 10设备在通过Microsoftupdateserver提供更新后立即下载并安装更新。 运行windows 10家庭的设备不支持何时安装更新。 但是，管理员可以控制更新何时安装在运行window S10业务版的pc上。

与所有安全决策一样，选择何时安装更新需要进行权衡。 在发布更新后立即安装，可以获得最佳保护。 通过延迟更新，可以最大限度地减少与这些更新相关的计划外停机时间。

内置于windows 10专业版、公司版和教育版中的windows update for business功能可以将质量更新的安装延迟长达30天。 根据版本不同，功能更新最多可以延迟两年。

另外，windows 10企业版的客户现在将获得类似于linux的支持

将质量更新延迟7~15天是一种低风险的方法，可以消除可能导致稳定性和兼容性问题的有缺陷的更新风险。 安装和gt； 使用更新和安全性>高级选项控件，调整各个pc的windows更新为业务设置。

在大型组织中，管理员可以使用组策略或移动设备管理( mdm )软件应用windows update for business设置。 也可以使用系统中心配置管理器和windows服务器更新服务等管理工具集中管理更新。

最后，软件更新策略不应该只停留在windows上。 允许自动安装包含microsoft office和adobe APP应用程序的windows APP应用程序更新。

身份和账户管理

每个windows 10 pc至少需要一个帐户，并受密码和可选的认证机制保护。 该帐户以及如何设置辅助帐户有助于确保设备的安全性。

运行windows业务版、专业版或教育版的设备可以加入windows域。 在此配置中，域管理员可以访问active directory功能，同时允许客户、组和计算机访问本地和互联网资源。 域管理员可以使用一组基于服务器的活动目录工具来管理windows 10 pc。

与大多数小型企业一样，未加入域的windows 10 pc有三种帐户类型可供选择:

本地帐户使用仅存储在设备上的凭据。

微软帐户可以免费使用，并且可以在pc和设备之间同步数据和设置。 它还支持双因素身份验证和密码恢复选项。

azureactivedirectory(azuread )帐户与自定义域相关联，可以进行集中管理。 基本的azure ad功能是免费的，包含在office 365的商业版和公司版的订阅中。其他azure ad功能可以通过付费升级获得。

windows 10 pc的第一个帐户是管理员组的成员，具有安装软件和更改系统配置的权限。 必须将辅助帐户设置为标准客户，以防止未经培训的客户意外损坏系统或安装不必要的软件。

无论帐户类型如何，都需要强大的密码。 在托管internet上，管理员可以使用组策略或mdm软件实施组织密码策略。

为了提高特定设备上登录过程的安全性，可以使用被称为windows hello的windows 10功能。 在windows hello中，可以使用支持fido 2.0版的microsoft、active directory、azure ad或第三方身份提供方注册设备

注册完成后，客户可以使用pin或支持的硬件进行生物特征登录，如指纹和面部识别。 生物识别数据只存储在设备上，可以防止常见的密码被盗攻击。 对于连接到公司帐户的设备，管理员可以使用windows hello for business指定pin的数量和复杂性要求。

最后，如果在商务pc上使用微软或azure ad帐户，则必须设置多因素身份验证( mfa )以保护帐户免受外部攻击。 微软帐户可以从account.live/proofs获取两级身份验证设置。 对于office 365业务帐户和企业帐户，管理员必须首先从office门户启用此功能。 然后，客户可以访问account.activedirectory.windows azure/r #/profile来管理mfa的设置。

数据保护

物理安全性和软件和互联网相关问题一样重要。 笔记本电脑被盗，以及留在出租车和餐厅里的笔记本电脑，都可能会带来巨大的数据丢失风险。 对公司和政府机构来说，影响可能是毁灭性的，如果监管领域和数据泄露法律要求公开披露，后果可能会更糟。

windows 10设备可以进行的最重要的配置更改之一是启用bitlocker设备加密。 ( bitlocker是微软可以在windows商用版本中使用的加密工具的商标。 ）

另外，请参阅windows 10专家指南:关于bitlocker的所有新闻

启用bitlocker后，设备上的所有数据都将使用xts-aes标准进行加密。 组策略设置或设备管理工具可以将加密强度从默认的128位设置提高到256位。

设备必须配备可信平板模块( TPM )芯片才能启用bitlocker。 过去6年制造的所有商用pc都必须满足这个条件。 bitlocker还需要windows 10的业务版本( pro、企业或教育)。 虽然家庭版支持强大的设备加密，但是只能使用微软帐户，不允许管理bitlocker设备。

要获得高级管理功能，还必须使用windows域中的active directory帐户或azure active directory帐户来配置bitlocker。 在这两种配置中，恢复密钥都将保留在域或aad管理员可以使用的位置。

运行windows10businessedition的非托管设备可以使用本地帐户，但必须使用bitlocker管理工具在可用驱动器上启用加密。

另外，也不要忘记对便携式存储设备进行加密。 UB闪存驱动器。 虽然用作扩展存储的microsd卡和便携式硬盘容易丢失，但是可以使用bitlocker to go (解密驱动器的拷贝)来保护数据免遭盗窃。

使用azure active directory的大型组织还可以使用azurenewsprotection和azureprivilegemanagement服务来保护存储的文件和电子邮件的副本。 这种组合允许管理员独立于本地加密状态对在office和其他APP上创建的文档进行分类，从而限制访问。

阻止恶意代码

随着世界之间联系的加深，在线攻击者越来越多，越来越复杂，以前流传下来的杀毒软件的作用也发生了变化。 安全软件不再是阻止恶意代码安装的主要工具，而只是防御战略的另一个层面。

每个windows 10 10安装都包括一个名为windows defender的内置防病毒、防恶意软件软件，该软件将通过与windows更新相同的机制进行自我更新。 windows defender旨在一次性工作，无需手动配置。 如果安装了第三方安全软件包，windows defender将被搁置，以便检测和消除潜在的威胁。

使用windows企业版的大型组织使用windows 10 pc等行为传感器监控端点的安全平台——windowsdefenderadvancedthreatprotection windows defender atp采用基于云的分解，可以识别可疑行为并向管理员发出潜在威胁的警告。

对于中小企业来说，最重要的挑战首先是防止恶意代码到达pc。 微软的智能屏幕技术是一种内置功能，可以扫描下载，阻止恶意下载的执行。 虽然智能屏幕技术会阻止无法识别的程序，但它会允许客户根据需要改写这些设置。

值得注意的是，windows 10智能屏幕独立于基于浏览器的技术业务，如谷歌安全浏览服务和微软边缘智能屏幕筛选器服务。

对于未被管理的pc，智能屏幕是另一个功能，不需要手动配置。 可以使用windows 10的windows安全APP APP和浏览器控制设置来调整配置。

电子邮件是另一种管理潜在恶意代码的重要载体，指向看起来无害的文件附件或恶意网站的链接可能会导致感染。 虽然电子邮件客户端软件在这方面可以提供一点保护，但是在服务器级别阻止这些威胁是防止pc受到攻击的最有效方法。

为了防止客户运行不必要的程序(包括恶意代码)，配置windows 10 pc以运行经批准的APP之外的APP应用程序是非常有效的。 要在各个pc上调整这些设置，请转到“设置”。 APP & GT； 在APP和功能安装APP的标题下，选择“仅允许从存储区APP”。 此设置允许您运行以前安装的APP，但不能安装从microsoft store外部下载的程序。

管理员可以使用组策略通过互联网配置此设置。 计算机结构>； 管理模板>； windows组件>； windows供应商智能屏幕与GT； 资源管理器>； 设置APP应用程序安装控件。

锁定windows 10 pc的最极端方法是使用分配的访问功能配置设备，使其只能运行一个APP。 如果选择microsoft edge作为APP，则可以将设备配置为以全屏模式运行并锁定在一个站点上，也可以将设备配置为功能有限的公共浏览器。

要设置此功能，请执行以下操作: 单击“家人”、“其他客户”和“分配的权限”。 (在连接到公司帐户的pc上，该选项是设置>； 其他客户。 ）

网络连接

在过去的15年中，每个windows版本都包含状态检查防火墙。 在windows 10上，默认启用此防火墙，无需调整即可启用。 与以前的版本一样，windows 10防火墙支持三种不同的互联网配置:域、专用和公共。 需要访问internet资源的APP应用程序通常可以通过初始设置自行配置。

要调整基本的windows防火墙设置，请使用windows安全APP应用程序的防火墙和互联网保护选项卡。 要获取更全面且仅供专家使用的配置工具集，请单击“高级”以打开具有高级安全控制台的旧版windows防火墙。 在受控internet上，可以通过组策略和服务器端设置的组合来控制这些设置。

从安全角度看，连接无线互联网时，基于互联网的最大威胁出现在windows 10 pc上。 对于大型组织，通过添加对wpa2无线互联网采用访问控制而不是共享密码的802.1x标准的支持，可以大幅提高无线连接的安全性。 如果尝试连接此类型的互联网，windows 10将提示您输入客户名称和密码，然后拒绝非法连接。

在基于windows域的互联网上，可以使用本机直接访问功能来允许安全的远程访问。

如果您需要连接到不受信任的无线互联网，建议您设置虚拟专用互联网( vpn )。 windows 10支持企业互联网上最受欢迎的vpn软件包。 要设置这种类型的连接，请执行以下操作: 互联网和互联网>； vpn 小型企业和个人可以从各种兼容windows的第三方vpn服务中选择。

本文：《“Windows 10安全指南 怎么保护您的业务”》