Windows 10安全指南,你知道吗?
启用BitLocker需要包含可信平台模块(TPM)芯片的设备,过去六年生产的每一台商用PC都应符合这方面的要求。此外,BitLocker需要Windows 10的商业版(专业版、企业版或教育版),Home版支持强大的设备加密,但只支持Microsoft帐户,并且不允许管理BitLocker设备。 要获得完整的管理功能,你还需要使用Windows域上的Active Directory帐户或Azure Active Directory帐户设置BitLocker。在这两种配置中,恢复密钥都保存在域或AAD管理员可用的位置。 在运行Windows 10商业版的非托管设备上,可以使用本地帐户,但需要使用BitLocker管理工具对可用驱动器进行加密。 别忘了加密便携存储设备——USB闪存驱动器,便携式硬盘驱动器很容易丢失,但使用BitLocker To Go可以保护数据不被窥探,BitLocker使用密码解密驱动器的内容。 在使用Azure Active Directory的大型组织中,还可以使用Azure Information Protection和Azure权限管理服务来保护存储文件和电子邮件消息的内容。这种组合允许管理员对Office和其他应用程序中创建的文档进行分类和限制访问,而不受其本地加密状态的影响。 阻止恶意代码 随着世界变得越来越紧密,在线攻击者变得越来越复杂,传统防病毒软件的作用也发生了变化。安全软件现在只是防御策略的一个方面而已,而不是阻止安装恶意代码的全部手段。 Windows 10的每一次安装都包括内置的杀毒软件Windows Defender,它使用与Windows Update相同的机制进行自我更新。Windows Defender被设计成一个set-it-and-forget-it特性,不需要任何手动配置。如果你安装了一个第三方安全包,WindowsDefender就会主动让道,允许第三方软件检测并移除潜在的威胁。 使用Windows企业版的大型组织可以部署Windows Defender Advanced Threat Protection,这是一个使用行为传感器监控Windows 10 PC等端点的安全平台。使用基于云的分析,Windows Defender ATP可以识别可疑行为并向管理员发出潜在威胁警报。 对于规模较小的企业来说,最重要的挑战是首先防止恶意代码进入PC。微软的SmartScreen技术是另一项内置功能,可以扫描下载文件,并阻止已知恶意文件的执行。SmartScreen技术还可以阻止无法识别的程序,但在必要时允许用户覆盖这些设置。 值得注意的是,Windows 10中的SmartScreen独立于基于浏览器的技术,比如谷歌的安全浏览服务和微软Edge中的SmartScreen筛选服务。 在非托管pc上,SmartScreen是另一个不需要手动配置的功能。你可以使用Windows 10的Windows安全应用程序中的程序和浏览器控件设置来调整它的配置。 管理潜在恶意代码的另一个关键载体是电子邮件,在电子邮件中,看似无害的文件附件和指向恶意网站的链接可能导致感染。虽然电子邮件客户端软件可以在这方面提供一些保护,但在服务器级别阻止这些威胁是防止对PC的攻击的最有效方法。 防止用户运行不想要的程序(包括恶意代码)的有效方法是配置一台Windows 10PC,使其不能运行任何应用程序,除非你特别授权了这些应用程序。要在一台PC上调整这些设置,请转到设置>应用>应用和功能,在“安装应用程序”标题下,选择“仅允许商店中的应用程序”。此设置允许以前安装的应用程序运行,但禁止从微软商店外部安装任何下载的程序。 管理员可以使用组策略在网络上配置此设置:计算机配置>管理模板> Windows组件> WindowsDefenderSmartScreen> Explorer >配置App安装控件。 (编辑:惠州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |