企业版的Windows 10可能只有一天后消费者版本,立即与一些有用的改进业务。但一些最重要的安全特性在Windows 10企业要么被包括在一个重大更新,你能想到的更像一个服务包),将船在今年秋季的某个时候,或将依靠企业和网站和服务做一些实质性的改变远离密码。这意味着,对于大多数升级,从Windows 10获得最安全的改进需要规划。
有一些直接的安全改进,IT经理将升值,特别是如果他们有用户将Windows 10设备工作。这些是简单的政策变化。
例如,大多数消费者个人电脑有一个审判杀毒订阅;试验结束时,如果没有得到新的(微软说发生在近10%的消费者个人电脑)——Windows防火墙会自动开启后一组时间本身。这是目前三天,因为反病毒厂商不想让它立即发生,但它确实给你更好的保护当员工从家里系统连接,你不监控。
还值得注意的是,离线版本的Windows后卫现在建在Windows故障恢复环境,防止恶意软件当你修复系统。
微软的新浏览器边缘改善安全以多种方式,从容器中运行的应用程序沙箱删除ActiveX控件,VBScript、工具栏和浏览器助手对象。使一般浏览更安全,但是你可能需要调整一些业务线应用程序(或更有可能的是,配置员工电脑使用ie来访问这些网站)。虽然它的速度非常快,实现了许多现代Web标准,边缘显然也是一个正在进行的工作,并将在今年晚些时候得到一个主要特点更新。
还有安全特性进行从Windows 8将新给你如果你从Windows 7升级或更早。可信引导恶意软件保护负载杀毒软件之前任何其他软件,例如,允许您选择只运行操作系统被数字签名块rootkit的组件,并且可以证明系统引导安全地存储在可信平台模块(TPM)——所以你可以检查之前,允许设备连接到关键系统,尤其是当你使用TPM作为虚拟智能卡。
驱动器加密整个磁盘加密仍然只能在Windows Pro和企业版,但即使Windows 10家系统设备加密选项从Windows 8.1(只要他们有合适的硬件)。
其他安全特性在Windows 10更基本,但是他们需要你改变你的方式处理身份,身份验证和访问的大多数。
超越的密码
生物识别技术并不是新电脑,但是新电脑的硬件使他们更快和更灵活的和新的Windows你好登录功能是易于使用。新指纹阅读器电容,在iPhone上,因此用户压他们的手指,而不是刷在一个狭窄的传感器,他们看的三维结构指纹的手指的“活性”。现在英特尔包括附加的互连生物传感器的主板,他们应该开始在设备变得更加普遍。
Windows为手掌静脉打印10也适用于硬件,虹膜识别和3 d人脸识别,使用英特尔RealSense相机的内置各种笔记本电脑。使用红外传感器温度特性还占了,所以它不会被照片和面具。
与生物识别技术取代了标准的Windows用户密码保护你对员工是被网络钓鱼,和版本的用户名和密码从砍云服务员工只是密码重用他们的工作。它不会帮助越来越普遍水平的攻击,攻击者有设法让恶意软件在一个电脑可以获取访问令牌和Kerberos凭据时生成用户登录窗口;这些也可能给他们访问电子邮件、文件共享,SharePoint站点,业务线应用程序,数据库和其他数据存储公司。
[相关:Windows 10评论:这是熟悉,这是强大的,但边缘浏览器不足]
这些攻击被称为“通过哈希”和“通过票”袭击,根据他们目标的凭证,微软的克里斯Hallum解释道。“一旦攻击者有令牌,他们有你的身份;这是让你的用户名和密码。如果他们可以获得管理员权限运行一个工具来提取标记和拿走它,然后移动网络访问所有这些服务器没有被要求输入密码。”
在Windows 10企业(以及Windows Server 2016),登录流程运行在微软称之为虚拟安全模式-一个安全、虚拟化容器没有管理员权限,限制访问,只有足够的能力来运行登录服务用于身份验证代理。访问令牌和门票都存储在这里,完全随机和管理,全身散列以避免蛮力攻击。“即使Windows内核被破坏,它没有访问信息的容器,”Hallum说,“所以我们可以隔离的一个最重要的Windows组件。”
但得到这个证书警卫保护企业的凭证,你不会只需要Windows个人电脑上运行的企业硬件虚拟化和TPM;你还需要把你的Windows Server 2016的域控制器。
更换密码
你还需要提前计划使用Windows护照,快速在线身份(狗)兼容的下一代凭证在Windows 10。这些可以使用现有的公钥证书分布式基础设施或密钥对生成的窗口本身,他们安全地存储在TPM,解锁使用生物识别技术或销(或图片密码)。每个设备可以注册使用智能卡或一次性密码,所以电脑本身变成了第二个因素进行验证,或者你可以使用蓝牙或Wi-Fi-connected电话多个其他设备的用户进行身份验证。
你可以设置销长度和复杂性(20个字符,包括大写和小写字符,符号和空格以及数字)根据政策,你可以有单独的销要求企业证书,你可以擦在不影响消费者的。
从长远来看,许多网站和在线服务将采用FIDO-compliant凭证,但你可以开始使用护照和自己的业务线应用程序和服务。它将与任何设计良好的应用程序中,Hallum说:“每一个应用程序应该能够利用这个除非你所做的东西不是最佳实践,如应用迫使用户输入自己的用户名和密码,而不是使用Windows提示输入密码。“但是,你将需要Windows Server 2016和Azure Active Directory或一些基础设施更新自己的广告。
如果你选择Azure的广告,你可以用它来提供内置的移动设备管理(MDM)客户10在Windows建立单点登录域资源和广泛的云服务一旦员工设置他们的个人电脑。微软Intune是第一个MDM服务,可以管理Windows 10设备,但微软正在与其他MDM供应商添加Windows 10支持,允许设置访问控制政策基于某人在哪里登录,是否健康,按照他们的设备,以及敏感的应用程序,以及通常的用户角色和组的设置,设置访问限制。
如果你想要更大的控制可以在一个设备上运行,寻找个人电脑新设备保护选项;这需要BIOS和OEM UEFI锁定,所以你需要购买硬件的准备,但是你可以限制他们可以运行什么软件。包括从Windows应用程序商店(包括桌面和普遍应用,并从软件供应商选择程序,以及你上传你自己的应用商店,你在本地的软件,使用微软的证书链。只要这些签名证书由企业和软件供应商良好的保护,这将有助于保持恶意软件从你最关键的设备。
每个文档在一个容器中
今年晚些时候微软还将添加另一个关键的安全选项窗口10:企业数据保护(EDP)。这需要容器的方法现在常见的智能手机来保护企业文件,使用自动存储企业的政策内容加密位置,没有加密需要打开手动为每个文件。但与大多数智能手机容器系统,每个文件都在自己的容器,与Windows作为一个访问代理。
“Windows 10能够区分企业和个人数据,根据数据从哪里来,”Hallum说。“你可以设置网络上的位置,并说我们认为这些企业;这是公司邮件服务器,这些公司文件服务器,在这些IP地址范围,使用这些DNS地址。当内容来自那些地点,网络知道它来自哪里,我们可以说我们在文件级别的加密。”在设备上创建的文件,您可以使用政策指定的个人和企业,哪些应用程序自动从业务应用和加密文件。
这将是一个跨平台的解决方案,所以文件可以打开在OS X, iOS和Android。对办公文档是很简单的事情,需要2016年版本的办公室,包括免费的移动应用程序,与Windows 10,但你需要一个业务订阅覆盖商业用途。目前的Mac版Office 2016的预览,所以Windows 10个集装箱的可用性可能会在同一时间的Windows版本的办公室。微软Intune是唯一的MDM服务管理办公室应用程序,但你将能够管理EDP容器使用一系列MDM服务或系统中心配置管理器提供键和政策。
与其他重大安全技术在Windows,这将需要投资,充分利用它。但保护的机会凭证,应用程序和文件与Windows和Windows Server 2016的结合提供了一个可用的安全级别,只是没有在之前的Windows的生态系统。
这个故事,“如何充分利用Windows 10企业安全特性”最初发表的首席信息官 。
