Windows 10安全指南
人们很容易认为,保护Windows 10设备的过程非常简单,甚至按着一定之规操作就可以了。比如,安装一些安全软件,调整一些设置,进行一两次培训,然后你就可以高枕无忧了。
但现实世界要复杂得多,初始设置只是建立一个安全基线。在完成初始配置之后,安全性需要持续的警惕和持续的工作。保护Windows 10设备的大部分工作都是要根据实际运行环境进行的。精心策划的安全策略会关注网络流量、电子邮件帐户、身份验证机制、管理服务器和其他外部连接。
本指南涵盖了大量的实际案例,每个标题都讨论了决策者在部署Windows 10PC时必须考虑的问题。虽然它涵盖了许多可用的参考样本,但这不是一个实际意义上的操作指南。
在大型企业中, IT人员应该包括能够管理这些步骤的安全专家。在没有专门IT人员的小型企业中,将这些职责外包给具有必要专业知识的顾问可能是最好的方法。
不过,在进行单个Windows设置之前,请花一些时间进行威胁评估。特别是,在发生数据泄露或其他与安全相关的事件时,要意识到自己的法律和监管责任,以下方法适用于所有规模的企业。
管理更新
对于任何Windows 10PC来说,最重要的一个安全设置是确保定期、按时安装更新。当然,这适用于所有现代计算设备,但微软在Windows 10中引入的“Windows即服务”(Windows as a service)模式改变了你管理更新的方式。具体过程请看《微软是如何修复其Windows 10的更新问题?》。
不过,在开始之前,了解不同类型的Windows 10更新及其工作原理非常重要。
1.每月通过Windows Update发布高质量的更新;它们解决安全性和可靠性问题,不包含新特性,这些更新还包括针对英特尔处理器微代码缺陷的补丁。
2.所有高质量的更新都是累积起来的,因此在执行Windows 10的干净安装之后,你不再需要下载几十个甚至数百个更新。相反,你可以安装最新的累积更新,你将完全更新。
3.功能更新相当于以前所说的版本升级,它们包括一些新功能,需要下载几千兆字节的文件并进行完整的安装。Windows 10功能更新每年发布两次,分别在4月和10月,也通过Windows Update发布。
默认情况下,Windows 10设备会在Microsoft的更新服务器上下载并安装更新。在运行Windows 10 Home的设备上,没有自动的方法来控制何时安装更新。但是,管理员可以在运行Windows 10商业版的PC上安装更新时进行一些控制。与所有安全决策一样,选择何时安装更新需要权衡利弊。
使用Windows 10 Pro,Enterprise和Education版本中内置的Windows Update for Business功能,你可以将高质量更新的安装延迟至多30天。根据版本的不同,还可以将特性更新延迟至多两年。
将高质量的更新延迟7到15天是一种低风险的方法,可以避免出现可能导致稳定性或兼容性问题的错误更新的风险。你可以使用“设置>更新和安全>高级选项”中的控件来调整PC上的业务设置的Windows更新。
在较大的组织中,管理员可以使用组策略或移动设备管理软件为业务设置应用Windows Update。你还可以使用诸如System Center Configuration Manager或Windows Server Update Services之类的管理工具集中管理更新。
最后,你的软件更新策略不应该停留在Windows本身。确保自动安装Windows应用程序的更新,包括Microsoft Office和Adobe应用程序。
身份和用户帐户管理
每台Windows 10PC至少需要一个用户帐户,该帐户由密码和可选的身份验证机制保护。如何设置该帐户(以及任何辅助帐户)对确保设备的安全性大有帮助。
运行Windows 10商业版(专业版、企业版或教育版)的设备可以连接到Windows域。在该配置中,域管理员可以访问Active Directory特性,并可以授权用户、组和计算机访问本地和网络资源。如果你是域管理员,你可以使用完整的基于服务器的Active Directory工具来管理Windows 10PC。
与大多数小型企业不同,Windows 10PC没有加入域,你可以选择三种帐户类型:
1.本地帐户使用仅存储在设备上的凭据;
2.微软账户对消费者免费开放,允许跨pc和设备同步数据和设置,它们还支持双因素身份验证和密码恢复选项;
3.Azure Active Directory (Azure AD)帐户与自定义域相关联,可以集中管理。基本Azure AD功能是免费的,包含在Office 365商业和企业订阅中;其他Azure AD功能可用作付费升级。
Windows 10PC上的第一个帐户是Administrators组的成员,有权安装软件和修改系统配置。二级帐户可以而且应该设置为标准用户,以防止未经培训的用户无意中损坏系统或安装不需要的软件。
无论帐户类型如何,都需要一个强密码。在托管网络上,管理员可以使用组策略或MDM软件执行组织密码策略。
要在特定设备上提高登录过程的安全性,可以使用Windows 10的一个名为Windows Hello的特性。Windows Hello需要两个步骤的验证过程来注册具有Microsoft帐户、Active Directory帐户、Azure AD帐户或支持FIDO 2.0版本的第三方身份提供者的设备。
注册完成后,用户可以使用个人识别码(PIN)或支持硬件的生物特征认证(如指纹或面部识别)登录。生物特征数据只存储在设备上,防止各种常见的密码窃取攻击。在连接到业务帐户的设备上,管理员可以使用Windows Hello for business来指定PIN复杂性需求。
最后,在商业pc上使用Microsoft或Azure AD帐户时,应该设置多因素身份验证(multi-factor authentication, MFA)来保护帐户免受外部攻击。对于Microsoft帐户,可以在https://account.live.com/上使用两步验证设置。对于Office 365业务和企业帐户,管理员必须首先从Office门户启用该功能,然后用户可以通过https://account.activedirectory.windowsazure.com/r#/profile管理MFA设置。
数据保护
物理安全的问题同样重要,被盗的笔记本电脑,或留在出租车或餐馆的笔记本电脑,可能会导致数据丢失的重大风险。对企业或政府机构来说,影响可能是灾难性的,而在受监管的行业或违反数据保护法需要公开披露的行业,后果甚至更糟。
在Windows 10设备上,最重要的配置更改就是启用BitLocker设备加密。Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用TPM帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。
启用BitLocker后,设备上的每一位数据都使用XTS-AES标准进行加密。使用组策略设置或设备管理工具,可以将加密强度从默认的128位设置增加到256位。
启用BitLocker需要包含可信平台模块(TPM)芯片的设备,过去六年生产的每一台商用PC都应符合这方面的要求。此外,BitLocker需要Windows 10的商业版(专业版、企业版或教育版),Home版支持强大的设备加密,但只支持Microsoft帐户,并且不允许管理BitLocker设备。
要获得完整的管理功能,你还需要使用Windows域上的Active Directory帐户或Azure Active Directory帐户设置BitLocker。在这两种配置中,恢复密钥都保存在域或AAD管理员可用的位置。
在运行Windows 10商业版的非托管设备上,可以使用本地帐户,但需要使用BitLocker管理工具对可用驱动器进行加密。
别忘了加密便携存储设备——USB闪存驱动器,便携式硬盘驱动器很容易丢失,但使用BitLocker To Go可以保护数据不被窥探,BitLocker使用密码解密驱动器的内容。
在使用Azure Active Directory的大型组织中,还可以使用Azure Information Protection和Azure权限管理服务来保护存储文件和电子邮件消息的内容。这种组合允许管理员对Office和其他应用程序中创建的文档进行分类和限制访问,而不受其本地加密状态的影响。
阻止恶意代码
随着世界变得越来越紧密,在线攻击者变得越来越复杂,传统防病毒软件的作用也发生了变化。安全软件现在只是防御策略的一个方面而已,而不是阻止安装恶意代码的全部手段。
Windows 10的每一次安装都包括内置的杀毒软件Windows Defender,它使用与Windows Update相同的机制进行自我更新。Windows Defender被设计成一个set-it-and-forget-it特性,不需要任何手动配置。如果你安装了一个第三方安全包,WindowsDefender就会主动让道,允许第三方软件检测并移除潜在的威胁。
使用Windows企业版的大型组织可以部署Windows Defender Advanced Threat Protection,这是一个使用行为传感器监控Windows 10 PC等端点的安全平台。使用基于云的分析,Windows Defender ATP可以识别可疑行为并向管理员发出潜在威胁警报。
对于规模较小的企业来说,最重要的挑战是首先防止恶意代码进入PC。微软的SmartScreen技术是另一项内置功能,可以扫描下载文件,并阻止已知恶意文件的执行。SmartScreen技术还可以阻止无法识别的程序,但在必要时允许用户覆盖这些设置。
值得注意的是,Windows 10中的SmartScreen独立于基于浏览器的技术,比如谷歌的安全浏览服务和微软Edge中的SmartScreen筛选服务。
在非托管pc上,SmartScreen是另一个不需要手动配置的功能。你可以使用Windows 10的Windows安全应用程序中的程序和浏览器控件设置来调整它的配置。
管理潜在恶意代码的另一个关键载体是电子邮件,在电子邮件中,看似无害的文件附件和指向恶意网站的链接可能导致感染。虽然电子邮件客户端软件可以在这方面提供一些保护,但在服务器级别阻止这些威胁是防止对PC的攻击的最有效方法。
防止用户运行不想要的程序(包括恶意代码)的有效方法是配置一台Windows 10PC,使其不能运行任何应用程序,除非你特别授权了这些应用程序。要在一台PC上调整这些设置,请转到设置>应用>应用和功能,在“安装应用程序”标题下,选择“仅允许商店中的应用程序”。此设置允许以前安装的应用程序运行,但禁止从微软商店外部安装任何下载的程序。
管理员可以使用组策略在网络上配置此设置:计算机配置>管理模板> Windows组件> WindowsDefenderSmartScreen> Explorer >配置App安装控件。
锁定Windows 10 PC的最极端方法是使用“分配的访问”功能配置设备,使其只能运行一个应用程序。如果选择Microsoft Edge作为应用程序,则可以将设备配置为以锁定到一个站点的全屏模式运行,或者作为具有一组有限功能的公共浏览器运行。
要配置此功能,请转到设置>家庭和其他用户,并点击“分配访问”。在连接到企业帐户的PC上,此选项位于“设置”>“其他用户”下。
网络安全
在过去的15年中,Windows的每个版本都包含了一个状态检查防火墙。在Windows 10中,这个防火墙是默认启用的,不需要任何调整就可以生效。与之前的版本一样,Windows 10防火墙支持三种不同的网络配置:域、私有和公共。需要访问网络资源的应用程序通常可以将自己配置为初始设置的一部分。
要调整基本的Windows防火墙设置,请使用Windows Security应用程序中的“防火墙和网络保护”选项卡。要查看一组更全面、更专业的配置工具,请点击“高级设置”,打开带有高级安全控制台的老版Windows Defender防火墙。在托管网络上,可以通过组组策略和服务器端设置来控制这些设置。
从安全角度来看,连接到无线网络时会出现对Windows 10 PC的最大网络威胁。大型组织可以通过添加对802.1x标准的支持来显着提高无线连接的安全性,该标准使用访问控制而不是WPA2无线网络中的共享密码。尝试连接到此类网络时,Windows 10将提示输入用户名和密码,并拒绝未经授权的连接。
在基于Windows域的网络上,你可以使用本机DirectAccess功能来允许安全的远程访问。
当你必须连接到不受信任的无线网络时,最好的选择是设置一个虚拟专用网(VPN)。Windows 10支持企业网络上最流行的VPN包,要配置这种类型的连接,请转到设置>网络和互联网> VPN,小型企业和个人可以从各种Windows兼容的第三方VPN服务中进行选择。
做好这些事情,让你的Windows10体验超过同等配置的苹果系统。
近年来,Windows和苹果系统之间的差距急剧缩小,苹果的技术优势和价格优势也慢慢消失了。
如今,最新的苹果系统和顶级Windows系统之间存在的技术差距可以说已基本消失。当然,苹果的CPU和硬件还是有一定优势的,不过这些优势可以通过以上技巧来弥补。