Windows 10安全指南，你知道吗？

启用BitLocker需要包含可信平台模块(TPM)芯片的设备，过去六年生产的每一台商用PC都应符合这方面的要求。此外，BitLocker需要Windows 10的商业版(专业版、企业版或教育版)，Home版支持强大的设备加密，但只支持Microsoft帐户，并且不允许管理BitLocker设备。

要获得完整的管理功能，你还需要使用Windows域上的Active Directory帐户或Azure Active Directory帐户设置BitLocker。在这两种配置中，恢复密钥都保存在域或AAD管理员可用的位置。

在运行Windows 10商业版的非托管设备上，可以使用本地帐户，但需要使用BitLocker管理工具对可用驱动器进行加密。

别忘了加密便携存储设备——USB闪存驱动器，便携式硬盘驱动器很容易丢失，但使用BitLocker To Go可以保护数据不被窥探，BitLocker使用密码解密驱动器的内容。

在使用Azure Active Directory的大型组织中，还可以使用Azure Information Protection和Azure权限管理服务来保护存储文件和电子邮件消息的内容。这种组合允许管理员对Office和其他应用程序中创建的文档进行分类和限制访问，而不受其本地加密状态的影响。

阻止恶意代码

随着世界变得越来越紧密，在线攻击者变得越来越复杂，传统防病毒软件的作用也发生了变化。安全软件现在只是防御策略的一个方面而已，而不是阻止安装恶意代码的全部手段。

Windows 10的每一次安装都包括内置的杀毒软件Windows Defender，它使用与Windows Update相同的机制进行自我更新。Windows Defender被设计成一个set-it-and-forget-it特性，不需要任何手动配置。如果你安装了一个第三方安全包，WindowsDefender就会主动让道，允许第三方软件检测并移除潜在的威胁。

使用Windows企业版的大型组织可以部署Windows Defender Advanced Threat Protection，这是一个使用行为传感器监控Windows 10 PC等端点的安全平台。使用基于云的分析，Windows Defender ATP可以识别可疑行为并向管理员发出潜在威胁警报。

对于规模较小的企业来说，最重要的挑战是首先防止恶意代码进入PC。微软的SmartScreen技术是另一项内置功能，可以扫描下载文件，并阻止已知恶意文件的执行。SmartScreen技术还可以阻止无法识别的程序，但在必要时允许用户覆盖这些设置。

值得注意的是，Windows 10中的SmartScreen独立于基于浏览器的技术，比如谷歌的安全浏览服务和微软Edge中的SmartScreen筛选服务。

在非托管pc上，SmartScreen是另一个不需要手动配置的功能。你可以使用Windows 10的Windows安全应用程序中的程序和浏览器控件设置来调整它的配置。

管理潜在恶意代码的另一个关键载体是电子邮件，在电子邮件中，看似无害的文件附件和指向恶意网站的链接可能导致感染。虽然电子邮件客户端软件可以在这方面提供一些保护，但在服务器级别阻止这些威胁是防止对PC的攻击的最有效方法。

防止用户运行不想要的程序(包括恶意代码)的有效方法是配置一台Windows 10PC，使其不能运行任何应用程序，除非你特别授权了这些应用程序。要在一台PC上调整这些设置，请转到设置>应用>应用和功能，在“安装应用程序”标题下，选择“仅允许商店中的应用程序”。此设置允许以前安装的应用程序运行，但禁止从微软商店外部安装任何下载的程序。

管理员可以使用组策略在网络上配置此设置:计算机配置>管理模板> Windows组件> WindowsDefenderSmartScreen> Explorer >配置App安装控件。

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!