的Windows 10的企业版可以只提供消费者版本后的一天,为企业立即一些有用的改进。但是,在Windows 10的企业一些最重要的安全功能,要么被包含在一个重大更新(你能想到的很像一个服务包),将某个今年秋天,或将依托企业和在线网站和服务进行一些实质性的变化,从密码搬走。这意味着,与大多数的升级,渐渐从Windows 10安全改进最需要规划。
IT经理们会欣赏一些即时的安全改进,特别是当用户使用Windows 10设备时。其中一些是简单的策略更改。
例如,大多数消费者电脑都预装了试用版的杀毒软件;当试用结束时,如果没有续期(微软称有近10%的个人电脑会续期),Windows卫士会在设定的时间后自动开启。目前是三天,因为杀毒软件供应商不希望它立即发生,但当员工从一个你没有监控的家庭系统连接时,它确实给你提供了更好的保护。
另外值得注意的是,Windows Defender的离线版本,现在是内置到Windows恢复环境,以防范恶意软件,而你修复系统。
[有关:从您的电脑搞乱可选的Windows 10程序块坏更新]
微软的新Edge浏览器在很多方面都提高了安全性,从在应用程序容器沙箱中运行到删除ActiveX控件、VBScript、工具栏和浏览器助手对象。这让一般的浏览更加安全,但可能需要你调整一些商业应用程序(或者更有可能的是,配置员工电脑使用Internet Explorer来访问这些网站)。虽然Edge运行速度快,而且实现了许多现代Web标准,但它显然也在不断改进中,并将在今年晚些时候进行重大的功能更新。
如果你从Windows 7或更早的版本升级,Windows 8还会有一些新的安全功能。可信引导恶意软件保护负载杀毒软件之前任何其他软件,例如,允许您选择只运行操作系统被数字签名块rootkit的组件,并且可以证明系统引导安全地存储在可信平台模块(TPM)——所以你可以检查之前,允许设备连接到关键系统,尤其是当你使用TPM作为虚拟智能卡。
BitLocker的整个磁盘加密仍然只在Windows Pro和企业版中可用,但即使是Windows 10家庭系统也有来自Windows 8.1的设备加密选项(只要它们有合适的硬件)。
在Windows 10的其他安全功能是更加基础,但他们会要求你做你办理身份认证和访问从他们那里得到的最方式的变化。
超越密码
生物识别技术是不是新的电脑,但在新的PC硬件,使他们更快,更灵活,新的Windows你好登录功能易于使用。新的指纹识别器的电容,作为在iPhone上,因此用户按下他们的手指,而不是穿越狭窄的传感器刷卡,他们看指纹的手指的“活跃度”的两个三维结构。现在,英特尔已经包括了在其主板上安装生物传感器的互连,他们应该开始成为设备越来越普遍。
Windows 10还可以与用于手掌静脉打印、虹膜识别和3D面部识别的硬件配合使用,使用的是内置在各种笔记本电脑中的英特尔RealSense摄像头。该功能还利用红外传感器来计算温度,所以它不会被照片和面具欺骗。
用生物识别技术替换标准的Windows用户密码,可以保护你免受被网络钓鱼欺骗的员工的攻击,也可以保护你免受被入侵的云服务泄露用户名和密码的攻击,因为这些云服务的员工只是重复使用了他们的工作密码。它对越来越常见的水平攻击没有帮助,在这种攻击中,当用户登录到Windows时,那些设法在一台PC上安装恶意软件的攻击者可以获取访问令牌和Kerberos凭证;他们还可以访问电子邮件、文件共享、SharePoint网站、业务应用程序、公司数据库和其他数据存储。
[有关:Windows 10评测:它很熟悉,功能强大,但Edge浏览器不够强大]
这些攻击被称为“通过散列”和“通票”的攻击,这取决于他们的目标的凭证,解释微软的克里斯·哈卢姆。“一旦攻击者拥有了那个标记,他们有自己的身份;它的好,因为有您的用户名和密码。如果他们能够获得管理员权限,他们可以运行一个工具来提取令牌,并把它,然后左右移动网络并访问所有这些服务器而没有被要求输入密码“。
在Windows 10的企业(和Windows Server 2016),在微软称之为虚拟安全模式登录过程中运行 - 无需管理员权限和非常受限访问的安全,虚拟化容器,只具有足够的能力来运行用于认证的登录服务经纪业务。访问令牌和门票都存储在这里,在完全随机和管理,全长哈希值,以避免暴力攻击。“即使Windows内核被破坏,它并没有获得获取信息的是容器的”哈卢姆说,“所以我们可以隔离的最重要的Windows组件中的一个。”
但是要获得针对企业证书的这种证书保护,您不仅需要在pc上运行带有硬件虚拟化和TPM的Windows enterprise;您还需要将域控制器移动到Windows Server 2016。
更换密码
You’ll also need to plan ahead to use Windows Passport, the Fast Identity Online (FIDO) -compliant next-generation credentials in Windows 10. These can be certificates distributed using an existing Public Key Infrastructure or key pairs generated by Windows itself, and they’re stored securely in the TPM, and unlocked using biometrics or a PIN (or a picture password). Each device can be enrolled using a smartcard or a one-time password, so the PC itself becomes a second factor for authentication, or you can use a Bluetooth or Wi-Fi-connected phone to authenticate multiple other devices for a user.
您可以根据策略设置PIN长度和复杂性(最多20个字符,包括大小写字符、符号和空格以及数字),还可以为企业凭证设置单独的PIN要求,可以在不影响消费者凭证的情况下清除这些要求。
从长远来看,许多网站和在线服务将采用兼容FIDO的凭据,但你可以开始使用护照用自己的业务线 - 应用程序和服务。It will work with any well-designed application, Hallum says “every app should be able to take advantage of this unless you’ve done something that is not best practice, like the app forcing the user to type in their username and password instead of using Windows to prompt for a password.” But again, you will need Windows Server 2016 and either Azure Active Directory or some updates to your own AD infrastructure.
如果你选择了Azure的AD,你可以用它来提供内置的移动设备管理(MDM)客户端在Windows 10中尽快建立单点登录到域的资源和广泛的云服务为员工设立他们的电脑。微软Intune的是第一个MDM服务,可以管理Windows 10的设备,但微软与其他MDM供应商合作,将Windows 10的支持,它可以让你根据某个人在哪里从,无论他们的设备是健康的登录设置访问控制策略在合规性,以及如何敏感的应用程序,以及该设置访问限制通常的用户角色和组设置。
[有关:如何使用Windows 10的新浏览器Microsoft Edge]
如果你想要更大的控制权,什么可以运行在一个设备上,寻找pc与新的设备保护选项;这需要原始设备制造商的BIOS和UEFI锁定,所以您需要购买为它准备好的硬件,但是您将能够精确地限制它们可以运行的软件。这包括来自Windows商店的应用程序——桌面应用程序和通用应用程序,以及从软件供应商选择的应用程序,以及你上传至商店的自己的应用程序——以及使用微软的证书在本地签名的软件。只要这些签名证书受到企业和软件供应商的良好保护,这应该有助于防止恶意软件进入你最关键的设备。
容器中的每个文档
今年晚些时候,微软还将添加另一个关键安全选项到Windows 10:企业数据保护(EDP)。这需要容器的方法现在常见的智能手机,以保护企业的文件,使用自动存储在加密地区企业内容政策,不加密需要被每个文件手动开启。但是,与大多数智能手机的容器系统,每一个文件去在它自己的容器,使用Windows作为访问代理。
哈勒姆表示:“Windows 10能够根据数据的来源,区分企业数据和个人数据。”“你可以在网络上设置位置,然后说我们认为这些是公司的;这是公司邮件服务器,这是公司文件服务器,在这些IP地址范围内,使用这些DNS地址。当内容来自这些位置时,网络知道它来自哪里,我们可以说,让我们继续在文件级加密它。“对于在设备上创建的文件,你可以使用策略来指定哪些应用程序是私人的,哪些是公司的,并自动加密来自业务应用程序的文件。”
这将是一个跨平台的解决方案,因此文件可以在OS X、iOS和Android上打开。这对Office文档来说很容易,因为它们需要2016版的Office——包括Windows 10附带的免费Office移动应用程序,不过你需要商业订阅才能用于商业用途。目前只有Mac版的Office 2016还没有预览版,所以Windows 10容器的可用性可能会与Windows版Office同时发布。Microsoft Intune是惟一能够管理Office应用程序的MDM服务,但是您可以使用一系列MDM服务或System Center配置管理器来管理EDP容器,从而提供密钥和策略。
由于在Windows 10中的其他显著安全技术,这将需要投资来最大限度地利用它。但对于保护证书,应用程序和文件与Windows 10和Windows Server 2016的组合的机会,提供安全,只是还没有在以前的Windows生态系统是可利用的水平。
这篇题为“如何最大限度地利用Windows 10企业安全特性”的文章最初是由CIO 。