如何配置windows 10 以避免常见的安全问题？

诱人的是，可以将保护Windows 10设备的过程简化为简单的清单。安装一些安全软件，调整一些设置，进行一两次培训，然后您就可以继续执行任务列表中的下一项。

现实世界要复杂得多。没有软件的灵丹妙药，您的初始设置只是建立了安全基准。初始配置完成后，安全性需要持续的警惕和持续的努力。

保护Windows 10设备的许多工作都发生在设备本身之外。精心计划的安全策略应注意网络流量，电子邮件帐户，身份验证机制，管理服务器和其他外部连接。

本指南涵盖了广泛的业务用例，每个标题都讨论了决策者在部署Windows 10 PC时必须考虑的问题。

尽管它涵盖了许多可用选项，但它不是动手指南。在大型企业中，您的IT员工应包括可以管理这些步骤的安全专家。

在没有专门IT人员的小型企业中，将这些职责外包给具有必要专业知识的顾问可能是最好的方法。

但是，在触摸单个Windows设置之前，请花一些时间进行威胁评估。特别是，在发生数据泄露或其他与安全相关的事件时，请注意您的法律和法规责任。

对于需要遵守法规要求的企业，您需要聘请一位了解您的行业并可以确保您的系统满足所有适用要求的专家。以下类别适用于各种规模的企业。

管理安全更新

对于任何Windows 10 PC而言，最重要的一项安全设置是确保定期，可预测的时间表安装更新。当然，每种现代计算设备都是如此，但是Microsoft Windows 10引入的“ Windows即服务”模型改变了您管理更新的方式。

但是，在开始之前，重要的是要了解Windows 10更新的不同类型及其工作方式。

• 质量更新每月在每个月的第二个星期二通过Windows Update交付。它们解决了安全性和可靠性问题，并且不包含新功能。（这些更新还包括针对Intel处理器中微代码缺陷的补丁程序。）对于特别严重的安全问题，Microsoft可能选择发布与正常每月计划无关的带外更新。
• 所有质量更新都是累积性的，因此，在执行Windows 10全新安装后，您不再需要下载数十个甚至数百个更新，而是可以安装最新的累积更新，并且您将完全保持最新。功能更新等效于以前称为版本升级的功能。
• 它们包括新功能，并且需要数GB的下载量和完整的设置。Windows 10功能更新每年两次发布，通常在4月和10月发布，并通过Windows Update提供。除非当前的Windows 10版本已达到其支持生命周期的结束，否则不会自动安装它们。

默认情况下，Windows 10设备会在Microsoft更新服务器上提供质量更新后立即下载并安装质量更新。在运行Windows 10 Home的设备上，虽然个别用户可以将所有更新暂停最多7天，但没有确切指定何时安装这些更新的受支持方法。在运行Windows 10商业版（专业版，企业版或教育版）的PC上，用户可以将所有更新暂停最多35天，管理员可以使用组策略设置将PC上的质量更新的安装推迟30天。释放。

与所有安全性决定一样，选择何时安装更新需要权衡。发行后立即安装更新可提供最佳保护。

推迟更新可以最大程度地减少与这些更新相关的计划外停机时间。使用Windows 10 Pro，Enterprise和Education版本中内置的Windows Update for Business功能，您可以将质量更新的安装最多延迟30天。您还可以将功能更新最多延迟两年，具体取决于版本。

将质量更新推迟7到15天是一种避免安装可能导致稳定性或兼容性问题的有缺陷的更新的低风险方法。您可以使用“设置”>“更新和安全性”>“高级选项”中的控件来调整单个PC上的Windows Update for Business设置。

在大型组织中，管理员可以使用组策略或移动设备管理（MDM）软件来应用Windows Update for Business设置。您也可以使用系统中心配置管理器或Windows Server Update Services等管理工具集中管理更新。

最后，您的软件更新策略不应只停留在Windows本身。确保自动安装Windows应用程序（包括Microsoft office和Adobe应用程序）的更新。

身份和用户账户管理

每台Windows 10 PC至少需要一个用户帐户，该用户帐户又受密码和可选的身份验证机制保护。如何设置该帐户（以及所有辅助帐户）对于确保设备的安全性大有帮助。

可以将运行Windows 10商业版的设备加入Windows域。在该配置中，域管理员可以访问Active Directory功能，并且可以授权用户，组和计算机访问本地和网络资源。如果您是域管理员，则可以使用全套基于服务器的Active Directory工具来管理Windows 10 PC。

与大多数小型企业一样，对于未加入域的Windows 10 PC，您可以选择以下三种帐户类型：

• 本地帐户使用仅存储在设备上的凭据。
• Microsoft帐户可供消费者免费使用，并允许在PC和设备之间同步数据和设置；它们还支持两因素身份验证和密码恢复选项。
• Azure Active Directory（Azure AD）帐户与自定义域关联，可以进行集中管理。基本的Azure AD功能是免费的，并且包含在Microsoft 365和Office 365商业及企业版订阅中；其他Azure AD功能可通过付费升级获得。

Windows 10 PC上的第一个帐户是Administrators组的成员，并有权安装软件和修改系统配置。可以并且应该将辅助帐户设置为“标准”用户，以防止未经培训的用户无意中损坏系统或安装不需要的软件。无论帐户类型如何，都要求一个强密码。

在托管网络上，管理员可以使用组策略或MDM软件来实施组织密码策略。为了提高特定设备上登录过程的安全性，您可以使用Windows 10功能，称为Windows Hello。Windows Hello需要两步验证过程，才能使用支持FIDO 2.0版的Microsoft帐户，Active Directory帐户，Azure AD帐户或第三方身份提供程序注册设备。

完成该注册后，用户可以使用PIN或使用受支持的硬件，生物特征认证（例如指纹或面部识别）登录。生物识别数据仅存储在设备上，可防止各种常见的密码窃取攻击。在连接到企业帐户的设备上，管理员可以使用Windows Hello企业版来指定PIN复杂性要求。

最后，在商用PC上使用Microsoft或Azure AD帐户时，应设置多因素身份验证（MFA）以保护该帐户免受外部攻击。在Microsoft帐户上，可通过account.live.com/proofs获得两步验证设置。对于Office 365商业和企业帐户，管理员必须首先从Office门户启用该功能，然后用户可以通过登录account.activedirectory.windowsazure.com/proofup.aspx来管理MFA设置。

数据保护

物理安全与与软件或网络相关的问题一样重要。笔记本电脑被盗，或者在出租车或餐馆中遗留的笔记本电脑，可能会导致数据丢失的巨大风险。对于企业或政府机构而言，影响可能是灾难性的，在受监管的行业或数据泄露法律要求公开披露的情况下，后果甚至更糟。

在Windows 10设备上，您可以做的最重要的配置更改就是启用BitLocker设备加密。（BitLocker是Microsoft用于Windows商务版中可用的加密工具的商标。）

启用BitLocker后，设备上的每一位数据都使用XTS-AES标准进行加密。使用组策略设置或设备管理工具，可以将加密强度从默认的128位设置提高到256位。

启用BitLocker要求设备包含可信平台模块（TPM）芯片；过去六年中制造的每台商用PC都应符合此条件。此外，BitLocker需要Windows 10的商业版本（Pro，Enterprise或Education）。

Home Edition支持强大的设备加密，但只能使用Microsoft帐户，并且不允许管理BitLocker设备。为了获得完整的管理功能，您还需要使用Windows域上的Active Directory帐户或Azure Active Directory帐户来设置BitLocker。

在这两种配置中，恢复密钥都保存在域或AAD管理员可用的位置。在运行Windows 10商业版的非托管设备上，可以使用本地帐户，但是需要使用BitLocker管理工具来在可用驱动器上启用加密。并且不要忘记加密便携式存储设备。

USB闪存驱动器。用作扩展存储的MicroSD卡和便携式硬盘驱动器很容易丢失，但是可以使用BitLocker To Go（使用密码解密驱动器的内容）来保护数据免遭窥视。

在使用Azure Active Directory的大型组织中，还可以使用Azure信息保护和Azure权限管理服务来保护存储的文件和电子邮件的内容。这种组合使管理员可以对Office和其他应用程序中创建的文档进行分类和限制访问，而不受其本地加密状态的影响。

阻止恶意代码

随着世界之间的联系越来越紧密，在线攻击者变得越来越复杂，传统防病毒软件的作用也发生了变化。安全软件已不再是阻止恶意代码安装的主要工具，它现在只是防御策略中的另一层。Windows 10的每个安装都包括称为Microsoft Defender Antivirus（以前称为Windows Defender）的内置防病毒，防恶意软件，该软件使用与Windows Update相同的机制进行自我更新。

Microsoft Defender防病毒软件被设计为具有“一劳永逸”功能，并且不需要任何手动配置。如果安装了第三方安全软件包，则Windows将禁用内置保护，并允许该软件检测并消除潜在威胁。

使用Windows Enterprise Edition的大型组织可以部署Microsoft Defender Advanced Threat Protection，这是一个使用行为传感器监视端点（例如Windows 10 PC）的安全平台。使用基于云的分析，Microsoft Defender ATP可以识别可疑行为，并警告管理员潜在的威胁。

对于较小的企业，最重要的挑战是首先防止恶意代码到达PC。微软的SmartScreen技术是另一种内置功能，可扫描下载并阻止执行已知为恶意的下载。

SmartScreen技术还阻止了无法识别的程序，但允许用户在必要时覆盖这些设置。值得注意的是，Windows 10中的SmartScreen可以独立于基于浏览器的技术工作，例如google的安全浏览服务和Microsoft Edge中的SmartScreen筛选器服务。

在不受管理的PC上，SmartScreen是另一个功能，不需要手动配置。您可以使用Windows 10中Windows安全应用程序中的“应用程序和浏览器控制”设置来调整其配置。

电子邮件是管理潜在恶意代码的另一个重要载体，电子邮件中看似无害的文件附件和指向恶意网站的链接可能导致感染。尽管电子邮件客户端软件可以在这方面提供一些保护，但是在服务器级别阻止这些威胁是防止对PC进行攻击的最有效方法。

防止用户运行不需要的程序（包括恶意代码）的有效方法是配置Windows 10 PC以运行除您明确授权的应用之外的任何应用。要在单台PC上调整这些设置，请依次转到设置>应用>应用和功能；在“安装应用程序”标题下，选择“仅允许来自商店的应用程序”。

此设置允许运行以前安装的应用程序，但阻止从Microsoft Store外部安装任何下载的程序。

管理员可以使用组策略通过网络配置此设置：“计算机配置”>“管理模板”>“ Windows组件”>“ Windows Defender SmartScreen”>“资源管理器”>“配置应用程序安装控件”。

锁定Windows 10 PC的最极端方法是使用“分配的访问”功能配置设备，使其只能运行一个应用程序。如果选择Microsoft Edge作为应用程序，则可以将设备配置为以全屏模式运行，并锁定到单个站点，也可以配置为功能有限的公共浏览器。

要配置此功能，请转到“设置”>“家庭和其他用户”，然后单击“分配的访问权限”。（在连接到企业帐户的PC上，此选项位于“设置”>“其他用户”下。）