如何配置windows 10 以避免常見的安全問題？

誘人的是，可以將保護Windows 10設備的過程簡化為簡單的清單。安裝一些安全軟件，調整一些設置，進行一兩次培訓，然后您就可以繼續執行任務列表中的下一項。

現實世界要復雜得多。沒有軟件的靈丹妙藥，您的初始設置只是建立了安全基準。初始配置完成后，安全性需要持續的警惕和持續的努力。

保護Windows 10設備的許多工作都發生在設備本身之外。精心計劃的安全策略應注意網絡流量，電子郵件帳戶，身份驗證機制，管理服務器和其他外部連接。

本指南涵蓋了廣泛的業務用例，每個標題都討論了決策者在部署Windows 10 PC時必須考慮的問題。

盡管它涵蓋了許多可用選項，但它不是動手指南。在大型企業中，您的IT員工應包括可以管理這些步驟的安全專家。

在沒有專門IT人員的小型企業中，將這些職責外包給具有必要專業知識的顧問可能是最好的方法。

但是，在觸摸單個Windows設置之前，請花一些時間進行威脅評估。特別是，在發生數據泄露或其他與安全相關的事件時，請注意您的法律和法規責任。

對于需要遵守法規要求的企業，您需要聘請一位了解您的行業并可以確保您的系統滿足所有適用要求的專家。以下類別適用于各種規模的企業。

管理安全更新

對于任何Windows 10 PC而言，最重要的一項安全設置是確保定期，可預測的時間表安裝更新。當然，每種現代計算設備都是如此，但是Microsoft Windows 10引入的“ Windows即服務”模型改變了您管理更新的方式。

但是，在開始之前，重要的是要了解Windows 10更新的不同類型及其工作方式。

• 質量更新每月在每個月的第二個星期二通過Windows Update交付。它們解決了安全性和可靠性問題，并且不包含新功能。（這些更新還包括針對Intel處理器中微代碼缺陷的補丁程序。）對于特別嚴重的安全問題，Microsoft可能選擇發布與正常每月計劃無關的帶外更新。
• 所有質量更新都是累積性的，因此，在執行Windows 10全新安裝后，您不再需要下載數十個甚至數百個更新，而是可以安裝最新的累積更新，并且您將完全保持最新。功能更新等效于以前稱為版本升級的功能。
• 它們包括新功能，并且需要數GB的下載量和完整的設置。Windows 10功能更新每年兩次發布，通常在4月和10月發布，并通過Windows Update提供。除非當前的Windows 10版本已達到其支持生命周期的結束，否則不會自動安裝它們。

默認情況下，Windows 10設備會在Microsoft更新服務器上提供質量更新后立即下載并安裝質量更新。在運行Windows 10 Home的設備上，雖然個別用戶可以將所有更新暫停最多7天，但沒有確切指定何時安裝這些更新的受支持方法。在運行Windows 10商業版（專業版，企業版或教育版）的PC上，用戶可以將所有更新暫停最多35天，管理員可以使用組策略設置將PC上的質量更新的安裝推遲30天。釋放。

與所有安全性決定一樣，選擇何時安裝更新需要權衡。發行后立即安裝更新可提供最佳保護。

推遲更新可以最大程度地減少與這些更新相關的計劃外停機時間。使用Windows 10 Pro，Enterprise和Education版本中內置的Windows Update for Business功能，您可以將質量更新的安裝最多延遲30天。您還可以將功能更新最多延遲兩年，具體取決于版本。

將質量更新推遲7到15天是一種避免安裝可能導致穩定性或兼容性問題的有缺陷的更新的低風險方法。您可以使用“設置”>“更新和安全性”>“高級選項”中的控件來調整單個PC上的Windows Update for Business設置。

在大型組織中，管理員可以使用組策略或移動設備管理（MDM）軟件來應用Windows Update for Business設置。您也可以使用系統中心配置管理器或Windows Server Update Services等管理工具集中管理更新。

最后，您的軟件更新策略不應只停留在Windows本身。確保自動安裝Windows應用程序（包括Microsoft office和Adobe應用程序）的更新。

身份和用戶賬戶管理

每臺Windows 10 PC至少需要一個用戶帳戶，該用戶帳戶又受密碼和可選的身份驗證機制保護。如何設置該帳戶（以及所有輔助帳戶）對于確保設備的安全性大有幫助。

可以將運行Windows 10商業版的設備加入Windows域。在該配置中，域管理員可以訪問Active Directory功能，并且可以授權用戶，組和計算機訪問本地和網絡資源。如果您是域管理員，則可以使用全套基于服務器的Active Directory工具來管理Windows 10 PC。

與大多數小型企業一樣，對于未加入域的Windows 10 PC，您可以選擇以下三種帳戶類型：

• 本地帳戶使用僅存儲在設備上的憑據。
• Microsoft帳戶可供消費者免費使用，并允許在PC和設備之間同步數據和設置；它們還支持兩因素身份驗證和密碼恢復選項。
• Azure Active Directory（Azure AD）帳戶與自定義域關聯，可以進行集中管理。基本的Azure AD功能是免費的，并且包含在Microsoft 365和Office 365商業及企業版訂閱中；其他Azure AD功能可通過付費升級獲得。

Windows 10 PC上的第一個帳戶是Administrators組的成員，并有權安裝軟件和修改系統配置。可以并且應該將輔助帳戶設置為“標準”用戶，以防止未經培訓的用戶無意中損壞系統或安裝不需要的軟件。無論帳戶類型如何，都要求一個強密碼。

在托管網絡上，管理員可以使用組策略或MDM軟件來實施組織密碼策略。為了提高特定設備上登錄過程的安全性，您可以使用Windows 10功能，稱為Windows Hello。Windows Hello需要兩步驗證過程，才能使用支持FIDO 2.0版的Microsoft帳戶，Active Directory帳戶，Azure AD帳戶或第三方身份提供程序注冊設備。

完成該注冊后，用戶可以使用PIN或使用受支持的硬件，生物特征認證（例如指紋或面部識別）登錄。生物識別數據僅存儲在設備上，可防止各種常見的密碼竊取攻擊。在連接到企業帳戶的設備上，管理員可以使用Windows Hello企業版來指定PIN復雜性要求。

最后，在商用PC上使用Microsoft或Azure AD帳戶時，應設置多因素身份驗證（MFA）以保護該帳戶免受外部攻擊。在Microsoft帳戶上，可通過account.live.com/proofs獲得兩步驗證設置。對于Office 365商業和企業帳戶，管理員必須首先從Office門戶啟用該功能，然后用戶可以通過登錄account.activedirectory.windowsazure.com/proofup.aspx來管理MFA設置。

數據保護

物理安全與與軟件或網絡相關的問題一樣重要。筆記本電腦被盜，或者在出租車或餐館中遺留的筆記本電腦，可能會導致數據丟失的巨大風險。對于企業或政府機構而言，影響可能是災難性的，在受監管的行業或數據泄露法律要求公開披露的情況下，后果甚至更糟。

在Windows 10設備上，您可以做的最重要的配置更改就是啟用BitLocker設備加密。（BitLocker是Microsoft用于Windows商務版中可用的加密工具的商標。）

啟用BitLocker后，設備上的每一位數據都使用XTS-AES標準進行加密。使用組策略設置或設備管理工具，可以將加密強度從默認的128位設置提高到256位。

啟用BitLocker要求設備包含可信平臺模塊（TPM）芯片；過去六年中制造的每臺商用PC都應符合此條件。此外，BitLocker需要Windows 10的商業版本（Pro，Enterprise或Education）。

Home Edition支持強大的設備加密，但只能使用Microsoft帳戶，并且不允許管理BitLocker設備。為了獲得完整的管理功能，您還需要使用Windows域上的Active Directory帳戶或Azure Active Directory帳戶來設置BitLocker。

在這兩種配置中，恢復密鑰都保存在域或AAD管理員可用的位置。在運行Windows 10商業版的非托管設備上，可以使用本地帳戶，但是需要使用BitLocker管理工具來在可用驅動器上啟用加密。并且不要忘記加密便攜式存儲設備。

USB閃存驅動器。用作擴展存儲的MicroSD卡和便攜式硬盤驅動器很容易丟失，但是可以使用BitLocker To Go（使用密碼解密驅動器的內容）來保護數據免遭窺視。

在使用Azure Active Directory的大型組織中，還可以使用Azure信息保護和Azure權限管理服務來保護存儲的文件和電子郵件的內容。這種組合使管理員可以對Office和其他應用程序中創建的文檔進行分類和限制訪問，而不受其本地加密狀態的影響。

阻止惡意代碼

隨著世界之間的聯系越來越緊密，在線攻擊者變得越來越復雜，傳統防病毒軟件的作用也發生了變化。安全軟件已不再是阻止惡意代碼安裝的主要工具，它現在只是防御策略中的另一層。Windows 10的每個安裝都包括稱為Microsoft Defender Antivirus（以前稱為Windows Defender）的內置防病毒，防惡意軟件，該軟件使用與Windows Update相同的機制進行自我更新。

Microsoft Defender防病毒軟件被設計為具有“一勞永逸”功能，并且不需要任何手動配置。如果安裝了第三方安全軟件包，則Windows將禁用內置保護，并允許該軟件檢測并消除潛在威脅。

使用Windows Enterprise Edition的大型組織可以部署Microsoft Defender Advanced Threat Protection，這是一個使用行為傳感器監視端點（例如Windows 10 PC）的安全平臺。使用基于云的分析，Microsoft Defender ATP可以識別可疑行為，并警告管理員潛在的威脅。

對于較小的企業，最重要的挑戰是首先防止惡意代碼到達PC。微軟的SmartScreen技術是另一種內置功能，可掃描下載并阻止執行已知為惡意的下載。

SmartScreen技術還阻止了無法識別的程序，但允許用戶在必要時覆蓋這些設置。值得注意的是，Windows 10中的SmartScreen可以獨立于基于瀏覽器的技術工作，例如google的安全瀏覽服務和Microsoft Edge中的SmartScreen篩選器服務。

在不受管理的PC上，SmartScreen是另一個功能，不需要手動配置。您可以使用Windows 10中Windows安全應用程序中的“應用程序和瀏覽器控制”設置來調整其配置。

電子郵件是管理潛在惡意代碼的另一個重要載體，電子郵件中看似無害的文件附件和指向惡意網站的鏈接可能導致感染。盡管電子郵件客戶端軟件可以在這方面提供一些保護，但是在服務器級別阻止這些威脅是防止對PC進行攻擊的最有效方法。

防止用戶運行不需要的程序（包括惡意代碼）的有效方法是配置Windows 10 PC以運行除您明確授權的應用之外的任何應用。要在單臺PC上調整這些設置，請依次轉到設置>應用>應用和功能；在“安裝應用程序”標題下，選擇“僅允許來自商店的應用程序”。

此設置允許運行以前安裝的應用程序，但阻止從Microsoft Store外部安裝任何下載的程序。

管理員可以使用組策略通過網絡配置此設置：“計算機配置”>“管理模板”>“ Windows組件”>“ Windows Defender SmartScreen”>“資源管理器”>“配置應用程序安裝控件”。

鎖定Windows 10 PC的最極端方法是使用“分配的訪問”功能配置設備，使其只能運行一個應用程序。如果選擇Microsoft Edge作為應用程序，則可以將設備配置為以全屏模式運行，并鎖定到單個站點，也可以配置為功能有限的公共瀏覽器。

要配置此功能，請轉到“設置”>“家庭和其他用戶”，然后單擊“分配的訪問權限”。（在連接到企業帳戶的PC上，此選項位于“設置”>“其他用戶”下。）