人們很容易認為，保護Windows 10設備的過程非常簡單，甚至按著一定之規操作就可以了。比如，安裝一些安全軟件，調整一些設置，進行一兩次培訓，然后你就可以高枕無憂了。

但現實世界要復雜得多，初始設置只是建立一個安全基線。在完成初始配置之后，安全性需要持續的警惕和持續的工作。保護Windows 10設備的大部分工作都是要根據實際運行環境進行的。精心策劃的安全策略會關注網絡流量、電子郵件帳戶、身份驗證機制、管理服務器和其他外部連接。

本指南涵蓋了大量的實際案例，每個標題都討論了決策者在部署Windows 10PC時必須考慮的問題。雖然它涵蓋了許多可用的參考樣本，但這不是一個實際意義上的操作指南。

在大型企業中， IT人員應該包括能夠管理這些步驟的安全專家。在沒有專門IT人員的小型企業中，將這些職責外包給具有必要專業知識的顧問可能是最好的方法。

不過，在進行單個Windows設置之前，請花一些時間進行威脅評估。特別是，在發生數據泄露或其他與安全相關的事件時，要意識到自己的法律和監管責任，以下方法適用于所有規模的企業。

管理更新

對于任何Windows 10PC來說，最重要的一個安全設置是確保定期、按時安裝更新。當然，這適用于所有現代計算設備，但微軟在Windows 10中引入的“Windows即服務”(Windows as a service)模式改變了你管理更新的方式。

不過，在開始之前，了解不同類型的Windows 10更新及其工作原理非常重要。

1.每月通過Windows Update發布高質量的更新；它們解決安全性和可靠性問題，不包含新特性，這些更新還包括針對英特爾處理器微代碼缺陷的補丁。

2.所有高質量的更新都是累積起來的，因此在執行Windows 10的干凈安裝之后，你不再需要下載幾十個甚至數百個更新。相反，你可以安裝最新的累積更新，你將完全更新。

3.功能更新相當于以前所說的版本升級，它們包括一些新功能，需要下載幾千兆字節的文件并進行完整的安裝。Windows 10功能更新每年發布兩次，分別在4月和10月，也通過Windows Update發布。

默認情況下，Windows 10設備會在Microsoft的更新服務器上下載并安裝更新。在運行Windows 10 Home的設備上，沒有自動的方法來控制何時安裝更新。但是，管理員可以在運行Windows 10商業版的PC上安裝更新時進行一些控制。與所有安全決策一樣，選擇何時安裝更新需要權衡利弊。

使用Windows 10 Pro，Enterprise和Education版本中內置的Windows Update for Business功能，你可以將高質量更新的安裝延遲至多30天。根據版本的不同，還可以將特性更新延遲至多兩年。

將高質量的更新延遲7到15天是一種低風險的方法，可以避免出現可能導致穩定性或兼容性問題的錯誤更新的風險。你可以使用“設置>更新和安全>高級選項”中的控件來調整PC上的業務設置的Windows更新。

在較大的組織中，管理員可以使用組策略或移動設備管理軟件為業務設置應用Windows Update。你還可以使用諸如System Center Configuration Manager或Windows Server Update Services之類的管理工具集中管理更新。

最后，你的軟件更新策略不應該停留在Windows本身。確保自動安裝Windows應用程序的更新，包括Microsoft Office和Adobe應用程序。

身份和用戶帳戶管理

每臺Windows 10PC至少需要一個用戶帳戶，該帳戶由密碼和可選的身份驗證機制保護。如何設置該帳戶(以及任何輔助帳戶)對確保設備的安全性大有幫助。

運行Windows 10商業版(專業版、企業版或教育版)的設備可以連接到Windows域。在該配置中，域管理員可以訪問Active Directory特性，并可以授權用戶、組和計算機訪問本地和網絡資源。如果你是域管理員，你可以使用完整的基于服務器的Active Directory工具來管理Windows 10PC。

與大多數小型企業不同，Windows 10PC沒有加入域，你可以選擇三種帳戶類型:

1.本地帳戶使用僅存儲在設備上的憑據；

2.微軟賬戶對消費者免費開放，允許跨pc和設備同步數據和設置，它們還支持雙因素身份驗證和密碼恢復選項；

3.Azure Active Directory (Azure AD)帳戶與自定義域相關聯，可以集中管理。基本Azure AD功能是免費的，包含在Office 365商業和企業訂閱中;其他Azure AD功能可用作付費升級。

Windows 10PC上的第一個帳戶是Administrators組的成員，有權安裝軟件和修改系統配置。二級帳戶可以而且應該設置為標準用戶，以防止未經培訓的用戶無意中損壞系統或安裝不需要的軟件。

無論帳戶類型如何，都需要一個強密碼。在托管網絡上，管理員可以使用組策略或MDM軟件執行組織密碼策略。

要在特定設備上提高登錄過程的安全性，可以使用Windows 10的一個名為Windows Hello的特性。Windows Hello需要兩個步驟的驗證過程來注冊具有Microsoft帳戶、Active Directory帳戶、Azure AD帳戶或支持FIDO 2.0版本的第三方身份提供者的設備。

注冊完成后，用戶可以使用個人識別碼(PIN)或支持硬件的生物特征認證(如指紋或面部識別)登錄。生物特征數據只存儲在設備上，防止各種常見的密碼竊取攻擊。在連接到業務帳戶的設備上，管理員可以使用Windows Hello for business來指定PIN復雜性需求。

最后，在商業pc上使用Microsoft或Azure AD帳戶時，應該設置多因素身份驗證(multi-factor authentication, MFA)來保護帳戶免受外部攻擊。對于Microsoft帳戶，可以在https://account.live.com/上使用兩步驗證設置。對于Office 365業務和企業帳戶，管理員必須首先從Office門戶啟用該功能，然后用戶可以通過https://account.activedirectory.windowsazure.com/r#/profile管理MFA設置。

數據保護

物理安全的問題同樣重要，被盜的筆記本電腦，或留在出租車或餐館的筆記本電腦，可能會導致數據丟失的重大風險。對企業或政府機構來說，影響可能是災難性的，而在受監管的行業或違反數據保護法需要公開披露的行業，后果甚至更糟。

在Windows 10設備上，最重要的配置更改就是啟用BitLocker設備加密。Windows BitLocker驅動器加密通過加密Windows操作系統卷上存儲的所有數據可以更好地保護計算機中的數據。BitLocker使用TPM幫助保護Windows操作系統和用戶數據，并幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改。

啟用BitLocker后，設備上的每一位數據都使用XTS-AES標準進行加密。使用組策略設置或設備管理工具，可以將加密強度從默認的128位設置增加到256位。

啟用BitLocker需要包含可信平臺模塊(TPM)芯片的設備，過去六年生產的每一臺商用PC都應符合這方面的要求。此外，BitLocker需要Windows 10的商業版(專業版、企業版或教育版)，Home版支持強大的設備加密，但只支持Microsoft帳戶，并且不允許管理BitLocker設備。

要獲得完整的管理功能，你還需要使用Windows域上的Active Directory帳戶或Azure Active Directory帳戶設置BitLocker。在這兩種配置中，恢復密鑰都保存在域或AAD管理員可用的位置。

在運行Windows 10商業版的非托管設備上，可以使用本地帳戶，但需要使用BitLocker管理工具對可用驅動器進行加密。

別忘了加密便攜存儲設備——USB閃存驅動器，便攜式硬盤驅動器很容易丟失，但使用BitLocker To Go可以保護數據不被窺探，BitLocker使用密碼解密驅動器的內容。

在使用Azure Active Directory的大型組織中，還可以使用Azure Information Protection和Azure權限管理服務來保護存儲文件和電子郵件消息的內容。這種組合允許管理員對Office和其他應用程序中創建的文檔進行分類和限制訪問，而不受其本地加密狀態的影響。

阻止惡意代碼

隨著世界變得越來越緊密，在線攻擊者變得越來越復雜，傳統防病毒軟件的作用也發生了變化。安全軟件現在只是防御策略的一個方面而已，而不是阻止安裝惡意代碼的全部手段。

Windows 10的每一次安裝都包括內置的殺毒軟件Windows Defender，它使用與Windows Update相同的機制進行自我更新。Windows Defender被設計成一個set-it-and-forget-it特性，不需要任何手動配置。如果你安裝了一個第三方安全包，WindowsDefender就會主動讓道，允許第三方軟件檢測并移除潛在的威脅。

使用Windows企業版的大型組織可以部署Windows Defender Advanced Threat Protection，這是一個使用行為傳感器監控Windows 10 PC等端點的安全平臺。使用基于云的分析，Windows Defender ATP可以識別可疑行為并向管理員發出潛在威脅警報。

對于規模較小的企業來說，最重要的挑戰是首先防止惡意代碼進入PC。微軟的SmartScreen技術是另一項內置功能，可以掃描下載文件，并阻止已知惡意文件的執行。SmartScreen技術還可以阻止無法識別的程序，但在必要時允許用戶覆蓋這些設置。

值得注意的是，Windows 10中的SmartScreen獨立于基于瀏覽器的技術，比如谷歌的安全瀏覽服務和微軟Edge中的SmartScreen篩選服務。

在非托管pc上，SmartScreen是另一個不需要手動配置的功能。你可以使用Windows 10的Windows安全應用程序中的程序和瀏覽器控件設置來調整它的配置。

管理潛在惡意代碼的另一個關鍵載體是電子郵件，在電子郵件中，看似無害的文件附件和指向惡意網站的鏈接可能導致感染。雖然電子郵件客戶端軟件可以在這方面提供一些保護，但在服務器級別阻止這些威脅是防止對PC的攻擊的最有效方法。

防止用戶運行不想要的程序(包括惡意代碼)的有效方法是配置一臺Windows 10PC，使其不能運行任何應用程序，除非你特別授權了這些應用程序。要在一臺PC上調整這些設置，請轉到設置>應用>應用和功能，在“安裝應用程序”標題下，選擇“僅允許商店中的應用程序”。此設置允許以前安裝的應用程序運行，但禁止從微軟商店外部安裝任何下載的程序。

管理員可以使用組策略在網絡上配置此設置:計算機配置>管理模板> Windows組件> WindowsDefenderSmartScreen> Explorer >配置App安裝控件。

鎖定Windows 10 PC的最極端方法是使用“分配的訪問”功能配置設備，使其只能運行一個應用程序。如果選擇Microsoft Edge作為應用程序，則可以將設備配置為以鎖定到一個站點的全屏模式運行，或者作為具有一組有限功能的公共瀏覽器運行。

要配置此功能，請轉到設置>家庭和其他用戶，并點擊“分配訪問”。在連接到企業帳戶的PC上，此選項位于“設置”>“其他用戶”下。

網絡安全

在過去的15年中，Windows的每個版本都包含了一個狀態檢查防火墻。在Windows 10中，這個防火墻是默認啟用的，不需要任何調整就可以生效。與之前的版本一樣，Windows 10防火墻支持三種不同的網絡配置:域、私有和公共。需要訪問網絡資源的應用程序通常可以將自己配置為初始設置的一部分。

要調整基本的Windows防火墻設置，請使用Windows Security應用程序中的“防火墻和網絡保護”選項卡。要查看一組更全面、更專業的配置工具，請點擊“高級設置”，打開帶有高級安全控制臺的老版Windows Defender防火墻。在托管網絡上，可以通過組組策略和服務器端設置來控制這些設置。

從安全角度來看，連接到無線網絡時會出現對Windows 10 PC的最大網絡威脅。大型組織可以通過添加對802.1x標準的支持來顯著提高無線連接的安全性，該標準使用訪問控制而不是WPA2無線網絡中的共享密碼。嘗試連接到此類網絡時，Windows 10將提示輸入用戶名和密碼，并拒絕未經授權的連接。

在基于Windows域的網絡上，你可以使用本機DirectAccess功能來允許安全的遠程訪問。

當你必須連接到不受信任的無線網絡時，最好的選擇是設置一個虛擬專用網(VPN)。Windows 10支持企業網絡上最流行的VPN包，要配置這種類型的連接，請轉到設置>網絡和互聯網> VPN，小型企業和個人可以從各種Windows兼容的第三方VPN服務中進行選擇。

做好這些事情，讓你的Windows10體驗超過同等配置的蘋果系統。

近年來，Windows和蘋果系統之間的差距急劇縮小，蘋果的技術優勢和價格優勢也慢慢消失了。

如今，最新的蘋果系統和頂級Windows系統之間存在的技術差距可以說已基本消失。當然，蘋果的CPU和硬件還是有一定優勢的，不過這些優勢可以通過以上技巧來彌補。