封锁!加强Windows 10以获得最大的安全性

要充分利用Windows 10的安全改进，您必须针对您的需要选择合适的版本和硬件

以前的 1 2 第2页

第2页2

催谷认证，身份

密码的安全性已经在过去的几年里显著的问题，和Windows你好，因为它集成并扩展生物识别登录和双因素身份验证“识别”用户无需密码使我们更接近免密码的世界。你好窗户还管理是同时的Windows 10是最方便和安全人迹罕至的功能，它是在所有Win10版本可用，但它需要显著硬件投资获得最大的是什么它提供。

为了保护证书和密钥，你好需要TPM 1.2或更高版本。但对于那些TPM未安装或配置的设备，你好可以使用基于软件的保护，以确保证书和密钥代替，所以Windows你好是访问几乎所有的Windows 10设备。

但是，使用你好最好的办法是存储生物数据和其他认证信息板载TPM芯片，作为硬件的保护使之更难以攻击者窃取他们。此外，为了充分利用生物特征认证，附加硬件 - 诸如专用照射红外摄像机或专用虹膜或指纹读取器 - 是必需的。大多数企业级笔记本电脑和消费类笔记本电脑的几行附带指纹扫描仪，使企业的Windows 10，但市场上的任何版本下上手你好仍然是有限的，当涉及到深度感应3D摄像头的面部识别和视网膜scanners for iris-scanning, so Windows Hello’s more advanced biometrics is a future possibility for most, rather than a daily reality.

Windows Hello Companion设备适用于所有Windows 10版本，它是一个允许用户使用外部设备(如电话、访问卡或可穿戴设备)作为一个或多个Hello认证因素的框架。有兴趣使用Windows Hello伴侣设备在多个Windows 10系统之间漫游的用户必须在每个系统上安装Pro或Enterprise。

的Windows 10以前有微软的Passport，它使用户能够登录到通过你好凭证信任的应用程序。随着周年更新，护照不再作为一个独立的功能，但被纳入你好。使用快速的在线身份（FIDO）规范的第三方应用程序将能够通过你好的方式来支持单点登录。例如，Dropbox的应用程序，可直接通过认证你好，和微软的边缘浏览器能够整合与你好延伸到网上。这有可能在第三方移动设备管理平台来打开该功能，也是如此。该密码的将来就要到了，但他们还没有完全。

保持了恶意软件

的Windows 10还引入了设备保护，技术，翻转发挥得淋漓尽致传统杀毒。设备保护锁定了的Windows 10的设备，依靠白名单让只有受信任的应用程序进行安装。程序不允许运行除非确定安全通过检查文件的加密签名，确保所有未签名的应用和恶意软件将无法执行。设备卫队依靠微软自己的Hyper-V虚拟化技术来存储它的白名单中屏蔽虚拟机系统管理员无法访问或篡改。为了充分利用设备卫队，计算机必须运行Windows 10或企业教育和支持TPM，硬件虚拟化的CPU和I / O虚拟化。设备卫队依靠Windows硬化等的安全引导。

AppLocker的，仅适用于企业和教育机构，可与设备卫队用来设置代码完整性策略。例如，管理员可以决定从Windows应用商店的普及应用程序可在设备上安装的限制。

配置代码的完整性是验证的代码运行的信任和鼠尾草另一个Windows组件。内核模式代码的完整性（KMCI）防止从内核执行签名的驱动程序。管理员可以管理在证书颁发机构或出版商级别每个二进制可执行文件的政策以及个人的哈希值。由于大部分商品的恶意软件往往是无符号代码部署完整性策略让组织立即防范恶意软件签名。

安装了第三方反恶意软件套件的时候的Windows Defender，首次发布的独立的软件适用于Windows XP，成为微软的默认恶意软件保护套件，与反间谍软件和防病毒软件，在Windows 8 Defender是自动禁用。如果没有安装杀毒软件的竞争或安全产品，确保Windows Defender的，在所有的版本和不特定的硬件要求可以被接通。对于Windows 10的企业用户，有Windows Defender的高级威胁防护，提供实时的威胁行为分析来检测网络攻击。

保护数据

BitLocker的，其固定在一个加密的容器文件，自Windows Vista中已经出现，并比以往在Windows 10.周年更新更好的加密工具可用于专业版，企业版，教育版。就像视窗您好，BitLocker的效果最好，如果TPM来保护加密密钥，但它也可以使用基于软件的密钥保护，如果TPM不存在或不配置。用密码保护的BitLocker提供了最基本的防守，但更好的方法是使用智能卡或加密文件系统创建一个文件加密证书，以保护相关的文件和文件夹。

BitLocker时，在系统驱动器和强力保护启用启用时，Windows 10不正确的密码尝试的指定次数后可以重新启动PC并锁定访问硬盘驱动器。用户必须键入48个字符的BitLocker恢复密钥来启动设备，并访问磁盘。要启用此功能，系统需要具有UEFI固件版本2.3.1或更高版本。

窗口的信息保护，原企业数据保护（EDP），仅可用于Windows 10专业版，企业版或教育版。它提供持久文件级加密和基本权利的管理，同时还与Azure的Active Directory和权限管理服务集成。信息保护需要某种形式的移动设备管理 - 微软Intune的或第三方平台，如VMware的在iTunes上 - 或系统中心配置管理器（SCCM）来管理这些设置。管理员可以定义Windows应用商店或桌面应用程序的列表，可以访问工作数据，或者完全阻止他们。Windows版信息保护有助于谁可以访问数据，以防止意外的信息泄漏的控制。活动目录有助于简化管理，但使用信息保护不是必需的，根据微软。

虚拟化安全防御

凭据保护，仅可用于Windows 10企业和教育机构，可以隔离“秘密”使用基于虚拟化的安全性（VBS）和限制访问特权系统软件。它有助于阻止传递的哈希攻击，尽管安全研究人员最近找到了绕过保护。即便如此，有凭据卫队仍然比在所有没有变得更好。它只能运行在x64系统上，需要UEFI 2.3.1或更高版本。虚拟化扩展例如Intel VT-X，AMD-V，和SLAT必须启用，以及IOMMU如Intel VT-d，AMD-Vi和BIOS锁定。TPM 2.0建议，以使设备运行状况证明凭据后卫，但如果TPM是不可用的，基于软件的保护可以用来代替。

另一个Windows 10企业和教育功能是虚拟安全模式，这是一个Hyper-V容器，保护保存在Windows上的域凭据。

其他安全措施

视窗10支持所有版本的移动设备管理，但需要用一个单独的MDM平台进行集成，如Microsoft Intune的或第三方平台，如VMware的在iTunes上。如果MDM是在列表中，最好的情况是避免视窗10家，因为不是所有的功能都在该版本中提供。MDM和SCCM平台也可以使用Windows设备健康证明服务，在所有版本中提供，管理条件接入场景。

组策略是Windows管理员的有力工具，但它仅适用于专业版，企业版和教育版。加入域和Azure的Active Directory域加入，这使单点登录云托管的应用程序，也可用于专业版，企业版和教育版强大的管理工具。天青Directory域加入需要一个单独的Azure的Active Directory中。

尽管不是严格意义上的安全特性，但分配访问权限允许管理员锁定Windows 10设备上的界面，这样用户就只能执行特定的任务。只有通过企业E3订阅(或教育)才能获得，分配的访问权限可以限制对服务的访问;块访问关闭、重启、休眠和休眠命令;并防止对开始菜单、任务栏或开始屏幕的更改。已经为远程访问部署了DirectAccess基础设施的组织将需要Windows 10企业或教育系统来连接。

挑选你需要什么

虽然Windows 10家庭版在安全方面可能是桌面版中最受限制的，但这并不意味着用户必须花钱购买企业版才能获得任何新功能。不管什么版本，Windows 10都是微软迄今为止最安全的操作系统，不断发布安全补丁、功能更新和版本升级将使其保持这种状态。每个人的安全需求都是不同的。请务必购买版本并建立配置，以提供您正在寻找的最佳安全性。