您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

Windows 10安全指南:如何通过配置全方位保护您的计算机

时间:2020-07-30 13:19:00  来源:  作者:
Windows 10安全指南:如何通过配置全方位保护您的计算机

 

如何配置windows 10 以避免常见的安全问题?

诱人的是,可以将保护Windows 10设备的过程简化为简单的清单。安装一些安全软件,调整一些设置,进行一两次培训,然后您就可以继续执行任务列表中的下一项。

现实世界要复杂得多。没有软件的灵丹妙药,您的初始设置只是建立了安全基准。初始配置完成后,安全性需要持续的警惕和持续的努力。

保护Windows 10设备的许多工作都发生在设备本身之外。精心计划的安全策略应注意网络流量,电子邮件帐户,身份验证机制,管理服务器和其他外部连接。

本指南涵盖了广泛的业务用例,每个标题都讨论了决策者在部署Windows 10 PC时必须考虑的问题。

尽管它涵盖了许多可用选项,但它不是动手指南。在大型企业中,您的IT员工应包括可以管理这些步骤的安全专家。

在没有专门IT人员的小型企业中,将这些职责外包给具有必要专业知识的顾问可能是最好的方法。

但是,在触摸单个Windows设置之前,请花一些时间进行威胁评估。特别是,在发生数据泄露或其他与安全相关的事件时,请注意您的法律和法规责任。

对于需要遵守法规要求的企业,您需要聘请一位了解您的行业并可以确保您的系统满足所有适用要求的专家。以下类别适用于各种规模的企业。

管理安全更新

Windows 10安全指南:如何通过配置全方位保护您的计算机

 

对于任何Windows 10 PC而言,最重要的一项安全设置是确保定期,可预测的时间表安装更新。当然,每种现代计算设备都是如此,但是Microsoft Windows 10引入的“ Windows即服务”模型改变了您管理更新的方式。

但是,在开始之前,重要的是要了解Windows 10更新的不同类型及其工作方式。

  • 质量更新每月在每个月的第二个星期二通过Windows Update交付。它们解决了安全性和可靠性问题,并且不包含新功能。(这些更新还包括针对Intel处理器中微代码缺陷的补丁程序。)对于特别严重的安全问题,Microsoft可能选择发布与正常每月计划无关的带外更新。
  • 所有质量更新都是累积性的,因此,在执行Windows 10全新安装后,您不再需要下载数十个甚至数百个更新,而是可以安装最新的累积更新,并且您将完全保持最新。功能更新等效于以前称为版本升级的功能。
  • 它们包括新功能,并且需要数GB的下载量和完整的设置。Windows 10功能更新每年两次发布,通常在4月和10月发布,并通过Windows Update提供。除非当前的Windows 10版本已达到其支持生命周期的结束,否则不会自动安装它们。

默认情况下,Windows 10设备会在Microsoft更新服务器上提供质量更新后立即下载并安装质量更新。在运行Windows 10 Home的设备上,虽然个别用户可以将所有更新暂停最多7天,但没有确切指定何时安装这些更新的受支持方法。在运行Windows 10商业版(专业版,企业版或教育版)的PC上,用户可以将所有更新暂停最多35天,管理员可以使用组策略设置将PC上的质量更新的安装推迟30天。释放。

与所有安全性决定一样,选择何时安装更新需要权衡。发行后立即安装更新可提供最佳保护。

推迟更新可以最大程度地减少与这些更新相关的计划外停机时间。使用Windows 10 Pro,Enterprise和Education版本中内置的Windows Update for Business功能,您可以将质量更新的安装最多延迟30天。您还可以将功能更新最多延迟两年,具体取决于版本。

将质量更新推迟7到15天是一种避免安装可能导致稳定性或兼容性问题的有缺陷的更新的低风险方法。您可以使用“设置”>“更新和安全性”>“高级选项”中的控件来调整单个PC上的Windows Update for Business设置。

在大型组织中,管理员可以使用组策略或移动设备管理(MDM)软件来应用Windows Update for Business设置。您也可以使用系统中心配置管理器或Windows Server Update Services等管理工具集中管理更新。

最后,您的软件更新策略不应只停留在Windows本身。确保自动安装Windows应用程序(包括Microsoft office和Adobe应用程序)的更新。

身份和用户账户管理

Windows 10安全指南:如何通过配置全方位保护您的计算机

 

每台Windows 10 PC至少需要一个用户帐户,该用户帐户又受密码和可选的身份验证机制保护。如何设置该帐户(以及所有辅助帐户)对于确保设备的安全性大有帮助。

可以将运行Windows 10商业版的设备加入Windows域。在该配置中,域管理员可以访问Active Directory功能,并且可以授权用户,组和计算机访问本地和网络资源。如果您是域管理员,则可以使用全套基于服务器的Active Directory工具来管理Windows 10 PC。

与大多数小型企业一样,对于未加入域的Windows 10 PC,您可以选择以下三种帐户类型:

  • 本地帐户使用仅存储在设备上的凭据。
  • Microsoft帐户可供消费者免费使用,并允许在PC和设备之间同步数据和设置;它们还支持两因素身份验证和密码恢复选项。
  • Azure Active Directory(Azure AD)帐户与自定义域关联,可以进行集中管理。基本的Azure AD功能是免费的,并且包含在Microsoft 365和Office 365商业及企业版订阅中;其他Azure AD功能可通过付费升级获得。

Windows 10 PC上的第一个帐户是Administrators组的成员,并有权安装软件和修改系统配置。可以并且应该将辅助帐户设置为“标准”用户,以防止未经培训的用户无意中损坏系统或安装不需要的软件。无论帐户类型如何,都要求一个强密码。

在托管网络上,管理员可以使用组策略或MDM软件来实施组织密码策略。为了提高特定设备上登录过程的安全性,您可以使用Windows 10功能,称为Windows Hello。Windows Hello需要两步验证过程,才能使用支持FIDO 2.0版的Microsoft帐户,Active Directory帐户,Azure AD帐户或第三方身份提供程序注册设备。

完成该注册后,用户可以使用PIN或使用受支持的硬件,生物特征认证(例如指纹或面部识别)登录。生物识别数据仅存储在设备上,可防止各种常见的密码窃取攻击。在连接到企业帐户的设备上,管理员可以使用Windows Hello企业版来指定PIN复杂性要求。

最后,在商用PC上使用Microsoft或Azure AD帐户时,应设置多因素身份验证(MFA)以保护该帐户免受外部攻击。在Microsoft帐户上,可通过account.live.com/proofs获得两步验证设置。对于Office 365商业和企业帐户,管理员必须首先从Office门户启用该功能,然后用户可以通过登录account.activedirectory.windowsazure.com/proofup.aspx来管理MFA设置。

数据保护

Windows 10安全指南:如何通过配置全方位保护您的计算机

 

物理安全与与软件或网络相关的问题一样重要。笔记本电脑被盗,或者在出租车或餐馆中遗留的笔记本电脑,可能会导致数据丢失的巨大风险。对于企业或政府机构而言,影响可能是灾难性的,在受监管的行业或数据泄露法律要求公开披露的情况下,后果甚至更糟。

在Windows 10设备上,您可以做的最重要的配置更改就是启用BitLocker设备加密。(BitLocker是Microsoft用于Windows商务版中可用的加密工具的商标。)

启用BitLocker后,设备上的每一位数据都使用XTS-AES标准进行加密。使用组策略设置或设备管理工具,可以将加密强度从默认的128位设置提高到256位。

启用BitLocker要求设备包含可信平台模块(TPM)芯片;过去六年中制造的每台商用PC都应符合此条件。此外,BitLocker需要Windows 10的商业版本(Pro,Enterprise或Education)。

Home Edition支持强大的设备加密,但只能使用Microsoft帐户,并且不允许管理BitLocker设备。为了获得完整的管理功能,您还需要使用Windows域上的Active Directory帐户或Azure Active Directory帐户来设置BitLocker。

在这两种配置中,恢复密钥都保存在域或AAD管理员可用的位置。在运行Windows 10商业版的非托管设备上,可以使用本地帐户,但是需要使用BitLocker管理工具来在可用驱动器上启用加密。并且不要忘记加密便携式存储设备。

USB闪存驱动器。用作扩展存储的MicroSD卡和便携式硬盘驱动器很容易丢失,但是可以使用BitLocker To Go(使用密码解密驱动器的内容)来保护数据免遭窥视。

在使用Azure Active Directory的大型组织中,还可以使用Azure信息保护和Azure权限管理服务来保护存储的文件和电子邮件的内容。这种组合使管理员可以对Office和其他应用程序中创建的文档进行分类和限制访问,而不受其本地加密状态的影响。

阻止恶意代码

Windows 10安全指南:如何通过配置全方位保护您的计算机

 

随着世界之间的联系越来越紧密,在线攻击者变得越来越复杂,传统防病毒软件的作用也发生了变化。安全软件已不再是阻止恶意代码安装的主要工具,它现在只是防御策略中的另一层。Windows 10的每个安装都包括称为Microsoft Defender Antivirus(以前称为Windows Defender)的内置防病毒,防恶意软件,该软件使用与Windows Update相同的机制进行自我更新。

Microsoft Defender防病毒软件被设计为具有“一劳永逸”功能,并且不需要任何手动配置。如果安装了第三方安全软件包,则Windows将禁用内置保护,并允许该软件检测并消除潜在威胁。

使用Windows Enterprise Edition的大型组织可以部署Microsoft Defender Advanced Threat Protection,这是一个使用行为传感器监视端点(例如Windows 10 PC)的安全平台。使用基于云的分析,Microsoft Defender ATP可以识别可疑行为,并警告管理员潜在的威胁。

对于较小的企业,最重要的挑战是首先防止恶意代码到达PC。微软的SmartScreen技术是另一种内置功能,可扫描下载并阻止执行已知为恶意的下载。

SmartScreen技术还阻止了无法识别的程序,但允许用户在必要时覆盖这些设置。值得注意的是,Windows 10中的SmartScreen可以独立于基于浏览器的技术工作,例如google的安全浏览服务和Microsoft Edge中的SmartScreen筛选器服务。

在不受管理的PC上,SmartScreen是另一个功能,不需要手动配置。您可以使用Windows 10中Windows安全应用程序中的“应用程序和浏览器控制”设置来调整其配置。

电子邮件是管理潜在恶意代码的另一个重要载体,电子邮件中看似无害的文件附件和指向恶意网站的链接可能导致感染。尽管电子邮件客户端软件可以在这方面提供一些保护,但是在服务器级别阻止这些威胁是防止对PC进行攻击的最有效方法。

防止用户运行不需要的程序(包括恶意代码)的有效方法是配置Windows 10 PC以运行除您明确授权的应用之外的任何应用。要在单台PC上调整这些设置,请依次转到设置>应用>应用和功能;在“安装应用程序”标题下,选择“仅允许来自商店的应用程序”。

此设置允许运行以前安装的应用程序,但阻止从Microsoft Store外部安装任何下载的程序。

管理员可以使用组策略通过网络配置此设置:“计算机配置”>“管理模板”>“ Windows组件”>“ Windows Defender SmartScreen”>“资源管理器”>“配置应用程序安装控件”。

锁定Windows 10 PC的最极端方法是使用“分配的访问”功能配置设备,使其只能运行一个应用程序。如果选择Microsoft Edge作为应用程序,则可以将设备配置为以全屏模式运行,并锁定到单个站点,也可以配置为功能有限的公共浏览器。

要配置此功能,请转到“设置”>“家庭和其他用户”,然后单击“分配的访问权限”。(在连接到企业帐户的PC上,此选项位于“设置”>“其他用户”下。)



Tags:Windows 10安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
如何配置Windows 10 以避免常见的安全问题?诱人的是,可以将保护Windows 10设备的过程简化为简单的清单。安装一些安全软件,调整一些设置,进行一两次培训,然后您就可以继续执行任...【详细内容】
2020-07-30  Tags: Windows 10安全  点击:(118)  评论:(0)  加入收藏
Windows 10取消了老版本Windows的F8进入安全模式,当Windows 出现问题时,需要进入安全模式来进行电脑的全面检修。特别是出现中毒或者木马,进入安全模式来进行清扫,是保护电脑的...【详细内容】
2019-10-18  Tags: Windows 10安全  点击:(137)  评论:(0)  加入收藏
▌简易百科推荐
众所周知,Windows系统流氓软件众多,其中不乏出身大厂的产品。这些带有流氓性质的软件,很多都会偷偷扫描系统数据,读取用户文件,造成电脑卡顿拖慢不说,还严重侵害了个人隐私,造成巨...【详细内容】
2021-12-06  趣玩APPS    Tags:流氓软件   点击:(16)  评论:(0)  加入收藏
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  IT野涵    Tags:sql注入   点击:(21)  评论:(0)  加入收藏
互联网时代,不论是个人还是组织,都将数据视为一项重要的资产。为了便于存储、管理,企业常常会为各项数据建立一个数据库,如果没有做好安全风险防护,一旦数据库被攻占,企业将迎来很...【详细内容】
2021-10-28  快快网络   企鹅号  Tags:数据库   点击:(50)  评论:(0)  加入收藏
前言(可能思路狭隘,有缺有错,师傅们多带带)【查看资料】Author: 0ne本篇文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告...【详细内容】
2021-10-28  IT野涵    Tags:缺口   点击:(46)  评论:(0)  加入收藏
本人也是小白一枚,大佬请绕过,这个其实是六月份的时候做的,那时候想多点实战经验,就直接用谷歌搜索找了一些网站,这个是其中一个1、目标网站 2、发现有WAF防护 3、判断存在注入...【详细内容】
2021-10-19    博客园  Tags:SQL注入   点击:(51)  评论:(0)  加入收藏
一 前言本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案...【详细内容】
2021-09-17  woaker    Tags:SQL注入漏洞   点击:(65)  评论:(0)  加入收藏
前言本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在...【详细内容】
2021-08-26  合天网安实验室    Tags:sql注入   点击:(59)  评论:(0)  加入收藏
“放纵自己的欲望是最大的祸害,窥探别人的隐私是最大的罪恶,不知自己的过失是最大的病痛”。 上文咱们知道了目前互联网的数据安全存在隐患,数据安全的问题,每天都在发生,只不过...【详细内容】
2021-08-13  小陶子矿工    Tags:IPFS   点击:(79)  评论:(0)  加入收藏
前言最近挖edusrc的时候遇到有注入点但是有waf绕不过,头疼。 可以看到还是phpstudy建站的,太熟悉了这个,不知道这个什么waf各位师傅知道的可以评论一下,所以写这篇文章是供各位...【详细内容】
2021-08-13  IT影子    Tags:sql注入   点击:(63)  评论:(0)  加入收藏
1. 使用 Burpsuite: 1. Capture the request using burpsuite. 2. Send the request to burp scanner. 3. Proceed with active scan. 4. Once the scan is finished, l...【详细内容】
2021-08-04  李志宽    Tags:SQL注入   点击:(74)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条