Windows 10安全指南，你知道吗？

人们很容易认为，保护Windows 10设备的过程非常简单，甚至按着一定之规操作就可以了。比如，安装一些安全软件，调整一些设置，进行一两次培训，然后你就可以高枕无忧了。

但现实世界要复杂得多，初始设置只是建立一个安全基线。在完成初始配置之后，安全性需要持续的警惕和持续的工作。保护Windows 10设备的大部分工作都是要根据实际运行环境进行的。精心策划的安全策略会关注网络流量、电子邮件帐户、身份验证机制、管理服务器和其他外部连接。

本指南涵盖了大量的实际案例，每个标题都讨论了决策者在部署Windows 10PC时必须考虑的问题。虽然它涵盖了许多可用的参考样本，但这不是一个实际意义上的操作指南。

在大型企业中， IT人员应该包括能够管理这些步骤的安全专家。在没有专门IT人员的小型企业中，将这些职责外包给具有必要专业知识的顾问可能是最好的方法。

不过，在进行单个Windows设置之前，请花一些时间进行威胁评估。特别是，在发生数据泄露或其他与安全相关的事件时，要意识到自己的法律和监管责任，以下方法适用于所有规模的企业。

管理更新

对于任何Windows 10PC来说，最重要的一个安全设置是确保定期、按时安装更新。当然，这适用于所有现代计算设备，但微软在Windows 10中引入的“Windows即服务”(Windows as a service)模式改变了你管理更新的方式。

不过，在开始之前，了解不同类型的Windows 10更新及其工作原理非常重要。

1.每月通过Windows Update发布高质量的更新；它们解决安全性和可靠性问题，不包含新特性，这些更新还包括针对英特尔处理器微代码缺陷的补丁。

2.所有高质量的更新都是累积起来的，因此在执行Windows 10的干净安装之后，你不再需要下载几十个甚至数百个更新。相反，你可以安装最新的累积更新，你将完全更新。

3.功能更新相当于以前所说的版本升级，它们包括一些新功能，需要下载几千兆字节的文件并进行完整的安装。Windows 10功能更新每年发布两次，分别在4月和10月，也通过Windows Update发布。

默认情况下，Windows 10设备会在Microsoft的更新服务器上下载并安装更新。在运行Windows 10 Home的设备上，没有自动的方法来控制何时安装更新。但是，管理员可以在运行Windows 10商业版的PC上安装更新时进行一些控制。与所有安全决策一样，选择何时安装更新需要权衡利弊。

使用Windows 10 Pro，Enterprise和Education版本中内置的Windows Update for Business功能，你可以将高质量更新的安装延迟至多30天。根据版本的不同，还可以将特性更新延迟至多两年。

将高质量的更新延迟7到15天是一种低风险的方法，可以避免出现可能导致稳定性或兼容性问题的错误更新的风险。你可以使用“设置>更新和安全>高级选项”中的控件来调整PC上的业务设置的Windows更新。

在较大的组织中，管理员可以使用组策略或移动设备管理软件为业务设置应用Windows Update。你还可以使用诸如System Center Configuration Manager或Windows Server Update Services之类的管理工具集中管理更新。

最后，你的软件更新策略不应该停留在Windows本身。确保自动安装Windows应用程序的更新，包括Microsoft Office和Adobe应用程序。

身份和用户帐户管理

每台Windows 10PC至少需要一个用户帐户，该帐户由密码和可选的身份验证机制保护。如何设置该帐户(以及任何辅助帐户)对确保设备的安全性大有帮助。

运行Windows 10商业版(专业版、企业版或教育版)的设备可以连接到Windows域。在该配置中，域管理员可以访问Active Directory特性，并可以授权用户、组和计算机访问本地和网络资源。如果你是域管理员，你可以使用完整的基于服务器的Active Directory工具来管理Windows 10PC。

与大多数小型企业不同，Windows 10PC没有加入域，你可以选择三种帐户类型:

1.本地帐户使用仅存储在设备上的凭据；

2.微软账户对消费者免费开放，允许跨pc和设备同步数据和设置，它们还支持双因素身份验证和密码恢复选项；

3.Azure Active Directory (Azure AD)帐户与自定义域相关联，可以集中管理。基本Azure AD功能是免费的，包含在Office 365商业和企业订阅中;其他Azure AD功能可用作付费升级。

Windows 10PC上的第一个帐户是Administrators组的成员，有权安装软件和修改系统配置。二级帐户可以而且应该设置为标准用户，以防止未经培训的用户无意中损坏系统或安装不需要的软件。

无论帐户类型如何，都需要一个强密码。在托管网络上，管理员可以使用组策略或MDM软件执行组织密码策略。

要在特定设备上提高登录过程的安全性，可以使用Windows 10的一个名为Windows Hello的特性。Windows Hello需要两个步骤的验证过程来注册具有Microsoft帐户、Active Directory帐户、Azure AD帐户或支持FIDO 2.0版本的第三方身份提供者的设备。

注册完成后，用户可以使用个人识别码(PIN)或支持硬件的生物特征认证(如指纹或面部识别)登录。生物特征数据只存储在设备上，防止各种常见的密码窃取攻击。在连接到业务帐户的设备上，管理员可以使用Windows Hello for business来指定PIN复杂性需求。

最后，在商业pc上使用Microsoft或Azure AD帐户时，应该设置多因素身份验证(multi-factor authentication, MFA)来保护帐户免受外部攻击。对于Microsoft帐户，可以在https://account.live.com/上使用两步验证设置。对于Office 365业务和企业帐户，管理员必须首先从Office门户启用该功能，然后用户可以通过https://account.activedirectory.windowsazure.com/r#/profile管理MFA设置。

数据保护

物理安全的问题同样重要，被盗的笔记本电脑，或留在出租车或餐馆的笔记本电脑，可能会导致数据丢失的重大风险。对企业或政府机构来说，影响可能是灾难性的，而在受监管的行业或违反数据保护法需要公开披露的行业，后果甚至更糟。

在Windows 10设备上，最重要的配置更改就是启用BitLocker设备加密。Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用TPM帮助保护Windows操作系统和用户数据，并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。

启用BitLocker后，设备上的每一位数据都使用XTS-AES标准进行加密。使用组策略设置或设备管理工具，可以将加密强度从默认的128位设置增加到256位。

（编辑：ASP站长网）