的Windows 10的企业版可以只提供消费者版本后的一天,为企业立即一些有用的改进。但是,在Windows 10的企业一些最重要的安全功能,要么被包含在一个重大更新(你能想到的很像一个服务包),将某个今年秋天,或将依托企业和在线网站和服务进行一些实质性的变化,从密码搬走。这意味着,与大多数的升级,渐渐从Windows 10安全改进最需要规划。
有一些直接的安全改进,IT经理们会喜欢,尤其是当它们有用户带来的Windows 10台设备的工作。其中有些是简单的政策变化。
例如,大多数消费者个人电脑配备了审判防病毒订阅;当试用期结束 - 如果它没有得到更新(微软称发生在贴近消费者的个人电脑的10%) - 的Windows Defender将自动开启本身在设定时间后。这是目前三天,因为反病毒厂商不希望它立即发生,但它确实给你更好的保护当员工从家庭系统,你不监视连接。
另外值得注意的是,Windows Defender的离线版本,现在是内置到Windows恢复环境,以防范恶意软件,而你修复系统。
[有关:从您的电脑搞乱可选的Windows 10程序块坏更新]
微软的新浏览器的边缘以多种方式提高了安全性,从应用程序容器沙箱中运行,以消除ActiveX控件,VBScript中,工具栏和浏览器辅助对象。这使得一般浏览的安全性,但可能需要你来调整业务应用程序的一些线路(或更可能的是,配置员工的PC使用Internet Explorer访问这些网站)。虽然它的速度快,实现了许多现代Web标准,边缘也清晰工作正在进行中,并将于今年晚些时候得到一个重大的功能更新。
也有安全功能从Windows 8结转,这将是新的给你,如果你从Windows 7或更早版本的升级。可信引导恶意软件防护加载的防病毒软件,其他任何软件之前,比如,让你选择只运行工作已经数字签名,以块rootkit的系统部件,并能存储系统的可信安全启动的证明Platform Module (TPM) – so you can check for that before allowing devices to connect to critical systems, especially when you’re using the TPM as a virtual smart card.
BitLocker的全磁盘加密仍然只能在Windows专业版和企业版,但甚至是Windows 10家系统从Windows 8.1的设备加密选项(只要他们有合适的硬件)。
在Windows 10的其他安全功能是更加基础,但他们会要求你做你办理身份认证和访问从他们那里得到的最方式的变化。
超越密码
生物识别技术是不是新的电脑,但在新的PC硬件,使他们更快,更灵活,新的Windows你好登录功能易于使用。新的指纹识别器的电容,作为在iPhone上,因此用户按下他们的手指,而不是穿越狭窄的传感器刷卡,他们看指纹的手指的“活跃度”的两个三维结构。现在,英特尔已经包括了在其主板上安装生物传感器的互连,他们应该开始成为设备越来越普遍。
的Windows 10还与硬件的手掌静脉图案,虹膜识别和三维面部识别,如果您使用了被内置到各种笔记本电脑的英特尔RealSense相机。该功能还利用红外传感器占的温度,这样就不会被照片和口罩被愚弄。
生物识别更换标准的Windows用户密码保护你免受谁是钓鱼企图愚弄员工,以及对于从员工只是重用他们的工作密码破解云服务的用户名的发布和密码。它并不能帮助与越来越普遍水平攻击,即谁设法攻击者获取恶意软件到一台PC可以收获产生的访问令牌和Kerberos凭据时到Windows用户登录;这些也可以让他们访问电子邮件,文件共享,SharePoint网站,商业应用,企业数据库和其他数据存储产品线。
[有关:视窗10检讨:这是熟悉的,它的强大,但边缘浏览器达不到]
这些攻击被称为“通过散列”和“通票”的攻击,这取决于他们的目标的凭证,解释微软的克里斯·哈卢姆。“一旦攻击者拥有了那个标记,他们有自己的身份;它的好,因为有您的用户名和密码。如果他们能够获得管理员权限,他们可以运行一个工具来提取令牌,并把它,然后左右移动网络并访问所有这些服务器而没有被要求输入密码“。
在Windows 10的企业(和Windows Server 2016),在微软称之为虚拟安全模式登录过程中运行 - 无需管理员权限和非常受限访问的安全,虚拟化容器,只具有足够的能力来运行用于认证的登录服务经纪业务。访问令牌和门票都存储在这里,在完全随机和管理,全长哈希值,以避免暴力攻击。“即使Windows内核被破坏,它并没有获得获取信息的是容器的”哈卢姆说,“所以我们可以隔离的最重要的Windows组件中的一个。”
但要获得企业凭据此凭据卫队的保护,你不会只需要与硬件虚拟化和TPM的PC运行Windows的企业;您还需要您的域控制器升级到Windows服务器2016年
更换密码
You’ll also need to plan ahead to use Windows Passport, the Fast Identity Online (FIDO) -compliant next-generation credentials in Windows 10. These can be certificates distributed using an existing Public Key Infrastructure or key pairs generated by Windows itself, and they’re stored securely in the TPM, and unlocked using biometrics or a PIN (or a picture password). Each device can be enrolled using a smartcard or a one-time password, so the PC itself becomes a second factor for authentication, or you can use a Bluetooth or Wi-Fi-connected phone to authenticate multiple other devices for a user.
您可以设置密码的长度和复杂性(最多20个字符,其中包括大写和小写字母,符号和空格以及数)的策略,您可以为企业证书,你可以擦在不影响消费者单独PIN要求那些。
从长远来看,许多网站和在线服务将采用兼容FIDO的凭据,但你可以开始使用护照用自己的业务线 - 应用程序和服务。It will work with any well-designed application, Hallum says “every app should be able to take advantage of this unless you’ve done something that is not best practice, like the app forcing the user to type in their username and password instead of using Windows to prompt for a password.” But again, you will need Windows Server 2016 and either Azure Active Directory or some updates to your own AD infrastructure.
如果你选择了Azure的AD,你可以用它来提供内置的移动设备管理(MDM)客户端在Windows 10中尽快建立单点登录到域的资源和广泛的云服务为员工设立他们的电脑。微软Intune的是第一个MDM服务,可以管理Windows 10的设备,但微软与其他MDM供应商合作,将Windows 10的支持,它可以让你根据某个人在哪里从,无论他们的设备是健康的登录设置访问控制策略在合规性,以及如何敏感的应用程序,以及该设置访问限制通常的用户角色和组设置。
[有关:如何使用微软的边缘时,Windows 10的新的浏览器]
如果你想在什么可以在设备上运行,甚至更大的控制权,寻找与新设备Guard选电脑;这需要BIOS和UEFI锁定由OEM,所以你需要购买的硬件应该是准备好了,但你能正是他们可以运行哪些软件限制。这包括从Windows应用商店中的应用程序 - 台式机和通用应用程序,并从软件供应商,还有你自己的应用程序,您上传到商店挑选的应用程序 - 你在本地注册和软件,使用证书链达到微软。只要这些签名证书是由企业和软件供应商很好的保护,这应该有助于让恶意代码感染了你最关键的设备。
在一个容器中的每个文件
今年晚些时候,微软还将添加另一个关键安全选项到Windows 10:企业数据保护(EDP)。这需要容器的方法现在常见的智能手机,以保护企业的文件,使用自动存储在加密地区企业内容政策,不加密需要被每个文件手动开启。但是,与大多数智能手机的容器系统,每一个文件去在它自己的容器,使用Windows作为访问代理。
“视窗10能公司和个人数据来区分的基础上,在数据来自”哈卢姆说。“你就可以在网络上设置的位置,并且说,我们认为这些是企业;这是企业邮件服务器,这些都是企业的文件服务器,这些IP地址范围,使用这些DNS地址。如果内容来自那些位置,网络知道它从何而来,我们可以说,让我们继续前进,加密文件级别“。对于设备上创建的文件,您可以使用策略来指定哪些应用程序是个人的,哪些是企业,以及企业加密文件自动应用程序。
这将是一个跨平台的解决方案,因此文件可以在OS X,iOS和Android开放。这将是容易的Office文档,这将需要2016年版本的Office - 包括与Windows 10的免费的Office Mobile应用程序,但你需要一个业务申请覆盖它们用于商业用途。只有办公室2016 Mac版是目前进行预览的,所以Windows 10个集装箱的可用性很可能会到来,同时Windows版本的Office。微软Intune中是唯一的MDM服务,可以管理Office应用程序,但你能够管理使用一系列的MDM服务或系统中心配置管理器提供密钥和策略EDP容器。
由于在Windows 10中的其他显著安全技术,这将需要投资来最大限度地利用它。但对于保护证书,应用程序和文件与Windows 10和Windows Server 2016的组合的机会,提供安全,只是还没有在以前的Windows生态系统是可利用的水平。
这个故事,“如何获得最大的Windows 10的企业的安全功能,”最初发表CIO 。
