Windows 10安全指南您知道吗?

发布者:上海IT外包来源:http://www.lanmon.net点击数:994

很容易认为保护Windows 10设备的过程非常简单,即使是定期的。例如,安装一些安全软件,调整一些设置,进行一两次培训,然后你就可以高枕无忧了。
但现实世界要复杂得多,初始设置只是为了建立一个安全基线。完成初始配置后,安全性需要不断保持警惕和持续工作。保护Windows 10设备的大部分工作都是根据实际的操作环境完成的。精心策划的安全策略侧重于网络流量,电子邮件帐户,身份验证机制,管理服务器和其他外部连接。
本指南涵盖了大量实际示例,每个示例都讨论了决策者在部署Windows 10PC时必须考虑的问题。虽然它涵盖了许多可用的参考样品,但这不是一个实用的指南。
在大型企业中,IT人员应该包括可以管理这些步骤的安全专家。在没有专职IT人员的小型企业中,将这些职责外包给具有必要专业知识的顾问可能是最好的方法。
但是,在进行单个Windows设置之前,请花一些时间进行威胁评估。特别是,如果发生数据泄露或其他与安全相关的事件,请注意您的法律和监管责任,以下方法适用于各种规模的企业。
管理更新
任何Windows 10 PC最重要的安全设置是确保定期,及时安装更新。当然,这适用于所有现代计算设备,但Microsoft在Windows 10中引入的“Windows即服务”模式改变了您管理更新的方式。
但是,在开始之前,了解不同类型的Windows 10更新及其工作方式非常重要。
1.每月通过Windows Update发布高质量的更新;它们解决了安全性和可靠性问题,并且不包括新功能,包括英特尔处理器微码缺陷的补丁。
2.所有高质量更新都是累积性的,因此在执行Windows 10的全新安装后,您不再需要下载数十甚至数百个更新。相反,您可以安装最新的累积更新,您将完全更新。3.功能更新等同于前面提到的版本升级。它们包括一些需要下载几千兆字节文件并执行完整安装的新功能。 Windows 10功能更新每年发布两次,即4月和10月,也通过Windows Update发布。
默认情况下,Windows 10设备在Microsoft的更新服务器上下载并安装更新。在运行Windows 10 Home的设备上,没有自动方法来控制何时安装更新。但是,管理员可以在运行Windows 10 Business Edition的PC上安装更新时进行一些控制。与所有安全决策一样,选择何时安装更新需要权衡利弊。
借助Windows 10专业版,企业版和教育版中内置的Windows Update for Business功能,您可以延迟安装高达30天的高质量更新。功能更新最多可延迟两年,具体取决于版本。
将高质量更新延迟7到15天是一种低风险的方法,可以避免错误更新的风险,从而导致稳定性或兼容性问题。你可以使用“设置”
更新和安全>
“高级选项”中的控件可调整PC上业务设置的Windows设置。
在大型组织中,管理员可以使用组策略或移动设备管理软件将Windows Update应用于业务设置。您还可以使用管理工具(如System Center Configuration Manager或Windows Server Update Services)集中管理更新。
最后,您的软件更新策略不应该留在Windows本身。确保自动安装Windows应用程序的更新,包括Microsoft Office和Adobe应用程序。
身份和用户帐户管理
每个Windows 10PC至少需要一个用户帐户,该帐户受密码和可选的身份验证机制保护。如何设置此帐户(以及任何辅助帐户)可以极大地帮助保护您的设备。
运行Windows 10 Business(专业版,企业版或教育版)的设备可以连接到Windows域。在此配置中,域管理员可以访问Active Directory功能,并可以授权用户,组和计算机访问本地和网络资源。如果您是域管理员,则可以使用基于服务器的完整Active Directory工具来管理Windows 10PC。与大多数小型企业不同,Windows 10PC不加入域,您可以选择三种帐户类型:
1.本地帐户使用仅存储在设备上的凭据;
2. Microsoft帐户对消费者免费,允许数据和设置在PC和设备之间同步。它们还支持双因素身份验证和密码恢复选项;
3. Azure Active Directory(Azure AD)帐户与自定义域关联,可以集中管理。基本Azure AD功能是免费的,包含在Office 365业务和企业订阅中;其他Azure AD功能可用作付费升级。
Windows 10PC上的第一个帐户是Administrators组的成员,并且有权安装软件和修改系统配置。辅助帐户可以而且应该设置为标准用户,以防止未经培训的用户无意中损坏系统或安装不需要的软件。
无论帐户类型如何,都需要强密码。在托管网络上,管理员可以使用组策略或MDM软件来实施组织密码策略。
要提高特定设备上登录过程的安全性,可以使用Windows Hello for Windows 10的功能.Windows Hello需要两步验证过程才能使用Microsoft帐户,Active Directory帐户,Azure AD帐户或支持FIDO 2.0的第三方身份提供商。
注册完成后,用户可以使用支持硬件的个人识别码(PIN)或生物识别身份验证(如指纹或面部识别)登录。生物识别数据仅存储在设备上,防止各种常见的密码窃取攻击。在连接到业务帐户的设备上,管理员可以使用Windows Hello for business来指定PIN复杂性要求。
最后,在商用PC上使用Microsoft或Azure AD帐户时,您应设置多重身份验证(MFA)以保护您的帐户免受外部攻击。对于Microsoft帐户,您可以在https://account.live.com/上使用两步验证设置。对于Office 365业务和公司帐户,管理员必须首先从Office门户启用此功能,并且用户可以通过https://account.activedirectory.windowsazure.com/r#/profile管理MFA设置。数据保护
物理安全问题同样重要,被盗的笔记本电脑或笔记本电脑留在出租车或餐馆,这可能会导致数据丢失的重大风险。对于企业或政府机构而言,影响可能是灾难性的,并且受监管行业或需要违反数据保护法公开披露的行业的后果更为严重。
在Windows 10设备上,最重要的配置更改是启用BitLocker设备加密。 Windows BitLocker驱动器加密通过加密存储在Windows操作系统卷上的所有数据来更好地保护计算机的数据。 BitLocker使用TPM来帮助保护Windows操作系统和用户数据,并帮助确保计算机即使无人看管,丢失或被盗也不会被篡改。
启用BitLocker后,设备上的每个数据位都使用XTS-AES标准进行加密。使用组策略设置或设备管理工具,可以将加密强度从默认的128位设置增加到256位。
启用BitLocker需要包含可信平台模块(TPM)芯片的设备,并且过去六年中生产的每台商用PC都应满足此要求。此外,BitLocker需要商业版Windows 10(专业版,企业版或教育版),它支持强大的设备加密,但仅支持Microsoft帐户,不允许管理BitLocker设备。
要进行完整管理,还需要在Windows域或Azure Active Directory帐户上使用Active Directory帐户设置BitLocker。在这两种配置中,恢复密钥都保存在域或AAD管理员可用的位置。
在运行Windows 10 Business的非托管设备上,您可以使用本地帐户,但需要使用BitLocker管理工具来加密可用的驱动器。
不要忘记加密便携式存储设备—— USB闪存驱动器,便携式硬盘很容易丢失,但使用BitLocker To Go来保护数据免受窥探,BitLocker使用密码来解密驱动器的内容。
在使用Azure Active Directory的大型组织中,Azure信息保护和Azure Rights Management Services也可用于保护存储文件和电子邮件的内容。此组合允许管理员对Office和其他应用程序中创建的文档进行分类和限制,而不受其本地加密状态的影响。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部