加强身份验证,身份
在过去的几年中,密码安全性一直是一个重要的问题,Windows Hello使我们更接近无密码的世界,因为它集成并扩展了生物识别登录和两因素身份验证,以“识别”没有密码的“识别”用户。Windows Hello还设法是Windows 10的最容易访问和无法访问的安全功能。是的,它在所有Win10版本中都可以使用,但是它需要大量的硬件投资才能获得最多的产品。
为了保护凭证和钥匙,您好需要TPM 1.2或更高版本。但是对于未安装或配置TPM的设备,Hello可以使用基于软件的保护来保护凭据和钥匙,因此Windows Hello几乎可以访问任何Windows 10设备。
但是,使用Hello的最佳方法是将生物识别数据和其他身份验证信息存储在板载TPM芯片中,因为硬件保护使攻击者更难窃取它们。此外,为了充分利用生物特征识别验证,需要其他硬件(例如专门的照明红外摄像头或专用的虹膜或指纹读取器)。大多数商务级笔记本电脑和带指纹扫描仪的几行消费笔记本电脑船,使企业能够在任何版本的Windows 10下开始Hello。但是,在深度感应3D摄像头上,市场仍然有限scanners for iris-scanning, so Windows Hello’s more advanced biometrics is a future possibility for most, rather than a daily reality.
Windows Hello Companion设备可用于所有Windows 10版本,是一个允许用户使用外部设备(例如电话,访问卡或可穿戴)的框架,作为Hello的一个或多个认证因素。有兴趣使用Windows Hello Companion设备与Windows Hello凭据漫游的用户在多个Windows 10系统之间必须安装Pro或Enterprise。
Windows 10以前具有Microsoft Passport,它使用户能够通过Hello凭据登录到受信任的应用程序。随着周年更新,护照不再是单独的功能,而是将其纳入Hello中。使用快速身份在线(FIDO)规范的第三方应用程序将能够通过Hello支持单个登录。例如,可以通过Hello直接对Dropbox应用程序进行身份验证,Microsoft的Edge浏览器使与Hello集成可以扩展到Web。也可以在第三方移动设备管理平台中打开该功能。没有密码的未来即将到来,但还没有。
防止恶意软件
Windows 10还引入了设备防护罩,该技术可以将传统的防病毒软件翻转。设备护罩将Windows 10设备锁定,依靠白名单才能安装受信任的应用程序。除非通过检查文件的加密签名来确定安全性,否则不允许程序运行,这确保了所有未签名的应用程序和恶意软件无法执行。设备卫队依靠Microsoft自己的Hyper-V虚拟化技术来存储其白名单在系统管理员无法访问或篡改的屏蔽虚拟机中。为了利用设备保护,机器必须运行Windows 10 Enterprise或Education并支持TPM,硬件CPU虚拟化和I/O虚拟化。设备护罩依赖于窗户硬化,例如安全启动。
Applocker仅适用于企业和教育,可以与设备警卫一起使用代码完整性策略。例如,管理员可以决定限制可以在设备上安装Windows商店的通用应用程序。
可配置的代码完整性是另一个Windows组件,它验证了运行的代码是可信赖和鼠尾草的。内核模式代码完整性(KMCI)可防止内核执行未签名的驱动程序。管理员可以在证书机构或发布者级别以及每个二进制可执行文件的单个哈希值中管理策略。由于大部分商品恶意软件往往是未签名的,因此部署代码完整性策略使组织可以立即预防未签名的恶意软件。
Windows Defender是Windows XP的独立软件,成为Microsoft的默认恶意软件保护套件,带有Antispyware和Antivirus,在Windows 8中。如果没有安装竞争性的防病毒或安全产品,请确保已打开所有版本且没有特定硬件要求的Windows Defender。对于Windows 10企业用户,有Windows Defender高级威胁保护,该保护提供了实时行为威胁分析以检测在线攻击。
确保数据
Bitlocker在加密容器中固定文件,自Windows Vista以来就已经存在,并且在Windows 10中比以往任何时候都更好。随着周年更新,加密工具可用于Pro,Enterprise和Education Editions。就像Windows Hello一样,如果使用TPM来保护加密密钥,则Bitlocker最有效,但是如果TPM不存在或不配置,它也可以使用基于软件的钥匙保护。使用密码保护BitLocker提供了最基本的防御,但是更好的方法是使用SmartCard或加密文件系统创建文件加密证书以保护关联的文件和文件夹。
当在系统驱动器上启用BitLocker并启用了蛮力保护时,Windows 10可以重新启动PC并在指定数量的不正确密码尝试后锁定对硬盘驱动器的访问。用户必须键入48个字符的Bitlocker恢复密钥才能启动设备并访问磁盘。要启用此功能,系统将需要具有UEFI固件2.3.1或更高版本。
Windows信息保护(以前是企业数据保护(EDP))仅适用于Windows 10 Pro,Enterprise或教育版。它提供了持久的文件级加密和基本权利管理,同时还将与Azure Active Directory和Wifter Management Services集成。信息保护需要某种移动设备管理 - Microsoft Intune或第三方平台,例如VMware的Airwatch-或System Center Configuration Manager(SCCM)来管理设置。管理员可以定义Windows商店或桌面应用程序的列表,该应用程序可以访问工作数据,或完全阻止它们。Windows信息保护有助于控制谁可以访问数据以防止意外信息泄漏。Microsoft表示,Active Directory有助于简化管理,但不需要使用信息保护。
虚拟化安全防御
仅适用于Windows 10 Enterprise和Education的凭证Guard可以使用基于虚拟化的安全性(VBS)隔离“秘密”,并限制对特权系统软件的访问。尽管安全研究人员最近找到了绕过保护措施的方法,但它有助于阻止传球攻击。即使这样,拥有凭证保守措施仍然比根本不拥有它要好。它仅在X64系统上运行,并且需要UEFI 2.3.1或更高的时间。必须启用Intel VT-X,AMD-V和SLAT等虚拟化扩展,以及Intel VT-D,AMD-VI和BIOS锁定等IOMMU。建议使用TPM 2.0,以启用凭证保护设备健康证明,但是如果不可用,则可以使用基于软件的保护。
Windows 10 Enterprise和Education功能是虚拟安全模式,它是一个Hyper-V容器,可保护在Windows上保存的域凭据。
其他安全用品
Windows 10支持所有版本中的移动设备管理,但需要与单独的MDM平台集成,例如Microsoft Intune或第三方平台,例如VMware的AirWatch。如果MDM在列表中,最好的情况是避免Windows 10 Home,因为并非所有功能都可以在该版本中使用。MDM和SCCM平台还可以使用Windows Device Health认证服务(跨所有版本)来管理有条件的访问方案。
组策略是Windows管理员的强大工具,但仅适用于专业,企业和教育版。域Join和Azure Active Directory Domain Join(启用用于云托管应用程序的单登录)也是专业,企业和教育版的强大管理器工具。Azure Directory域连接需要一个单独的Azure Active Directory。
尽管不是严格的安全功能,但分配的访问使管理员可以在Windows 10设备上锁定接口,以便用户仅限于特定任务。只有企业E3订阅(或教育)可用,分配的访问才能限制对服务的访问;阻止访问关闭,重新启动,睡眠和休眠命令;并防止更改开始菜单,任务栏或开始屏幕。为远程访问部署了DirectAccess基础架构的组织将需要Windows 10 Enterprise或Education连接。
选择您需要的东西
虽然Windows 10 Home在安全性方面可能是桌面版本中最有限的,但这并不意味着用户必须为Enterprise提供任何新功能。无论版本如何,Windows 10都是Microsoft迄今为止最安全的操作系统,并且不断发布安全补丁,功能更新和版本升级将保持这种状态。每个人的安全需求都不同。确保购买该版本并建立为您提供最佳安全性的配置。
相关资源
- 下载:Windows 10安装SuperGuide
- Windows 10的前10个免费故障排除工具10
- Windows 10的前25个免费应用程序
- 终极Windows 10生存指南
- 您需要了解的有关Windows 10的一切
这个故事是“锁定!硬化的Windows 10以获得最大安全性”,最初由Infoworld 。