Windows安全:如何保护您的家庭和小型企业电脑
Windows安全指南:为您的家庭和小型企业电脑提供保护措施
维护有效的安全性不应该占用过多的时间。
当涉及到家庭和小型企业的数字安全时,你是自己的守护者。大型企业通常有专门的IT人员负责确保企业网络的安全,防止外部人员窃取数据或植入勒索软件。你只能依靠自己。
特别特辑
保护您的数字资产的网络安全最佳实践
承认吧:您的个人和商业数据时刻面临威胁,保护这些数字资产在您在线购物、银行和玩耍时仍然是首要任务。好消息是:我们现在有更多面向安全的工具和策略可供选择。ENBLE的最新网络安全指南提供实用技巧,以在不断变化的威胁环境中保持安全和高效。
在您经历一次灾难性事件后才开始考虑网络安全是最糟糕的时机。现在就是最佳时机,这就是我们制作这个指南的原因。
按照我在这里列出的步骤,应该能帮助您了解哪些安全问题最重要,并基于这些知识建立安全基线。不幸的是,这不是一个一劳永逸的任务。在线攻击者很有毅力,威胁环境也在不断演变。维护有效的安全性需要持续的警惕和不断的努力。
- 现在Razer Blade 17英寸游戏笔记本电脑立减1200美元 | ENBLE
- 我花了一个月的时间与15英寸的MacBook Air相处,它让我彻底抛弃了Windows
- 2023最佳Apple AirPods:世代間的頂級選擇
这听起来令人不知所措吗?然而,维护有效的安全性不应该占用过多的时间。每周花几分钟时间查看Windows安全性,确保没有出现红色或黄色指示器,每个月在每次Patch Tuesday更新后进行更全面的审查。
在这个指南中,我主要关注在家庭或小型企业环境中管理Windows PC的PC所有者的需求,没有全职IT人员。对于需要连接到企业网络的安装,您需要将个人安全配置与公司政策协调。在某些情况下,设备管理策略将阻止您调整某些设置。
我还提供了指导,帮助您了解Windows 10和Windows 11之间的区别,以及两个操作系统(家庭版、专业版、企业版、教育版)的不同版本。我们知道仍然有很多运行Windows 10的PC存在,其中许多不符合升级到Windows 11的系统要求。
然而,在您触碰任何一个Windows设置之前,请花些时间进行威胁评估。特别要注意,在数据泄露或其他与安全相关的事件发生时,您的法律和法规责任。即使是小企业也可能需要遵守合规要求;如果适用于您,请考虑雇佣了解您行业的专业人员,确保您的系统符合所有适用的要求。
黄色感叹号或红色对勾表示您需要解决安全问题。
我从哪里可以获得Windows安全概述?
在Windows 10中,微软引入了Windows Security应用程序,将安全设置和状态信息整合到一个位置。Windows 11版本的该应用程序遵循相同基本设计,但添加了一些针对较新硬件的特定功能。无论使用哪个操作系统,该应用程序都应成为您安全监控的常规一部分。
此外: 最佳的Windows笔记本电脑
从这个起点,您可以检查(和调整)关于防病毒和反恶意软件软件、设备安全、防火墙和网络保护以及其他关键安全选项的设置。绿色勾号表示没有需要立即注意的问题。黄色和红色图标表示需要解决的安全问题。
访问此类应用程序时,自然会有点击每个类别和打开每个选项的冲动。抵制这种冲动,特别是在“应用程序和浏览器控制-利用保护”部分。您在这里进行的更改可能会在日常活动中产生意想不到的后果,特别是对于旧应用程序而言。对于大多数系统来说,使用默认设置就足够了。如果您选择在此处进行更改,请逐步进行,并且在确定之前的调整按预期工作后再进行任何其他更改。
保持Windows更新的最佳方法是什么?
任何Windows PC的单个最重要的安全设置是确保按照定期,可预测的时间表安装更新。当然,这对于每台现代计算设备都是如此,但微软在Windows 10中引入的“作为服务的Windows”模式改变了您管理更新的方式。
不过,在开始之前,了解不同类型的Windows更新及其工作原理很重要。
- 质量更新每月在每个月的第二个星期二通过Windows更新发布。它们解决安全性和可靠性问题,不包含新功能。(这些更新还包括用于解决Intel处理器的微代码缺陷的补丁。)对于特别严重的安全问题,微软可能会选择发布不与正常月度计划关联的特别更新。
所有质量更新都是累积的,因此在执行干净安装Windows后,您不再需要下载数十个甚至数百个更新。相反,您可以安装最新的累积更新,以完全保持最新状态。
- 功能更新相当于以前称为版本升级。它们包含新功能,并且需要下载数GB的数据并进行完整设置。Windows 10即将到达支持结束的最后期限,不再接收功能更新。对于Windows 11,微软目前的政策是每年发布一个功能更新,时间在下半年。通过Windows更新提供功能更新,但除非当前版本已达到其支持生命周期的结束,否则不会自动安装。
默认情况下,现代Windows设备会在Microsoft的更新服务器上提供更新后立即下载和安装质量更新。除非管理员阻止此操作,个人用户可以按一周一次的方式暂停所有更新,最多暂停五周。
与所有安全决策一样,选择何时安装更新涉及权衡。在其发布后立即安装更新提供了最佳的保护;推迟更新可以减少与这些更新相关的非计划停机时间。
在运行Windows Pro、Enterprise和Education版本的设备上,管理员可以在发布后将质量更新的安装推迟最多30天。对于这些版本,您还可以将功能更新延迟最多365天。在运行Windows Home版本的设备上,没有受支持的方式来指定安装这些更新的确切时间。
将质量更新推迟7到15天是避免安装可能导致稳定性或兼容性问题的错误更新的低风险方法。您可以使用本地组策略编辑器(gpedit.msc)在个人计算机上调整Windows更新的业务设置;所需的设置可在本地计算机策略 > 管理模板 > Windows 组件 > Windows 更新下找到。
在较大的组织中,管理员可以使用组策略或移动设备管理(MDM)软件应用Windows更新设置。您还可以通过使用System Center Configuration Manager或Windows Server Update Services等管理工具集中管理更新。
最后,您的软件更新策略不应限于Windows本身。确保自动安装Windows应用程序的更新,包括Microsoft Office和Adobe应用程序。
如何配置用户帐户以实现最大安全性?
微软在首次设置使用Windows 11 Home版本的PC时要求使用Microsoft帐户而引发了争议。我还见过一些对随后的政策变化感到不悦,这将要求将该要求扩展到个人使用的Windows 11 Pro机器。当然,也有一些变通方法可以绕过此限制;有关详细信息,请参阅“Windows 11设置:选择哪种用户帐户类型”的完整详情。
如果您已经拥有与Microsoft 365 Home或Family或Xbox Live帐户等服务绑定的个人Microsoft账户,使用Microsoft账户登录可以轻松访问您的Office应用程序和OneDrive存储和在线游戏。
即使您没有使用Microsoft的服务,使用Microsoft账户登录也有一个坚实的安全优势。在Windows 10或Windows 11上使用Microsoft账户登录会自动加密系统驱动器的内容,并将恢复密钥备份到一个安全位置,只需使用该Microsoft账户登录即可访问。这将最大程度地减少忘记密码导致灾难性数据丢失的风险。
此外: Beyond passwords: 4 key security steps you’re probably forgetting
如果您不使用Microsoft服务,可以随时创建一个全新的Microsoft账户,作为设置过程的一部分,并仅将其用于登录Windows。您可以免费获得完整系统磁盘加密、多因素身份验证以及(如果选择使用)5GB的OneDrive存储空间。只需将其视为一个以@outlook.com结尾的本地账户。
如果您仍然想使用本地账户,可以首先使用一次性的Microsoft账户设置Windows,然后切换到本地账户。但要注意,这样做意味着您还必须找到其他加密选项,并且如果忘记登录凭据,就没有任何恢复机制。
把以上步骤都处理好后,还需要进行以下操作:
- 为您的Microsoft账户设置多因素身份验证。(您可以在这里找到详细的说明:“如何锁定您的Microsoft账户并使其免受外部攻击者的威胁”)
- 为其他用户(甚至是自己)创建标准账户。默认情况下,您的主账户具有管理员权限。如果其他人(员工或家庭成员)使用同一台计算机,给他们创建标准账户,这些账户无法更改系统设置或安装未经批准的软件。您还可以给自己创建一个用于日常使用的标准账户,但这只是一项不必要的预防措施,只会让您不得不输入密码,而不是点击“确定”以通过用户帐户控制对话框。
- 安装密码管理器,确保所有在线账户具有强大且独特的登录凭据。
- 在任何可用的地方为在线账户设置多因素身份验证。(请参阅“多因素身份验证:如何启用2FA以增强您的安全性”)
对于家庭计算机,请使用标准账户设置儿童的访问权限,并考虑在Windows 10和Windows 11中设置家庭安全功能。您可以使用这些选项设置允许年轻人在线的授权时间,并帮助他们远离互联网的不良角落。在Windows Security应用程序中,您可以找到所有需要的链接。
如何保护Windows 11硬件的安全性?
- 检查您的TPM的状态。
- 确保启用了安全引导(Secure Boot)。
- 启用Windows Hello,如果可用,则使用生物识别身份验证。
如果规范版本为2.0,则表明系统符合Windows 11的要求。
微软对于Windows 11的硬件兼容性规定提升了PC的安全性,尽管这并非没有争议。以前,每个新Windows版本的治理原则都是最大程度地保持向后兼容性,即使是10年前的PC也有资格安装新操作系统。
但是,随着Windows 11的出现,一切都发生了变化。这是历来第一次,官方的硬件规格要求(a)与之前的版本相比大幅提高,并且(b)不仅适用于PC制造商的新硬件,还适用于升级用户。
此外: 迷恋隐私?通过将Tails放在USB驱动器上并保护任何计算机
最大的变化是需要一个可信的平台模块(TPM)2.0版本,以及启用安全启动的要求(这是一个使用加密签名来确保设备使用没有被篡改的操作系统引导的功能)。如果你愿意进行一些注册表编辑,你可以在使用旧版TPM和不支持的CPU的PC上免费升级到Windows 11。详情请参阅微软支持文档:“安装Windows 11的途径。”
从Windows Security应用的设备安全页面,你可以检查这两个设置。如果你看到安全处理器和安全启动的条目,你就可以继续了。如果这两个条目中有一个或者两个都没有,你就需要进入设备的固件设置重新启用该设置。虽然在某些高级配置中,你可能需要禁用安全启动进行故障排除,但最好保持这个设置不变。
最后,如果你的设备有指纹识别器或支持面部识别的红外摄像头,设置一个Windows Hello PIN并启用生物特征认证。
如何最好地保护数据文件?
- 为所有数据驱动器启用BitLocker加密。
- 备份你的加密密钥。
- 将数据文件备份到云端。
- 将重要的数据文件备份到本地存储。
取代被盗的笔记本电脑是很不方便和昂贵的。处理丢失或被盗的数据是一场噩梦。物理安全有自己的挑战,但是当涉及到保护数据时,你有两个关键目标:
- 加密你的数据文件。如果你的计算机或存储设备被盗,那些受到强大加密和强密码保护的文件将无法被盗贼访问。
- 备份你的数据文件。通过良好的备份计划,你可以恢复丢失或损坏的文件(即使是由于硬件故障引起的)并尽量减少停工时间。
对于包含用户或客户的敏感个人或财务信息的文件来说,这些预防措施尤为重要。如果你在一个受监管的行业工作,或者你受到数据泄露法律的约束,影响将会更严重。
你可以做的最重要的配置更改是在系统驱动器和所有辅助驱动器(包括USB闪存驱动器)上启用BitLocker设备加密。 (BitLocker是微软用于企业版Windows中的加密工具的品牌名称。BitLocker在Windows 10和Windows 11上的功能是相同的。)
启用BitLocker后,设备上的每一位数据都将使用XTS-AES标准进行加密。BitLocker使用可信平台模块(TPM)芯片存储加密密钥。
打开加密功能的步骤因安装的Windows版本而异:
- Windows 10/11家庭版:此版本支持强大的设备加密,但仅在使用Microsoft帐户登录时可用。它不允许管理BitLocker设备。
- Windows 10/11专业版、企业版或教育版:这些商业版本提供完整的BitLocker管理工具。对于完整的管理功能,你需要在Windows域上使用Active Directory帐户或Entra ID(以前称为Azure Active Directory)帐户设置BitLocker。在运行商业版Windows的未管理设备上,你可以使用本地帐户或Microsoft帐户设置BitLocker,但需要使用BitLocker管理工具在可用驱动器上启用加密。
重要的是,你备份BitLocker加密驱动器的恢复密钥。如果你需要重新安装Windows或遇到帐户问题,你将需要这个48位数来访问数据。
如果你使用Microsoft帐户登录,BitLocker恢复密钥默认保存在OneDrive中。你可以通过在onedrive.com/recoverykey签入来访问它。我建议你打印这个密钥的副本并将其存放在安全的地方,以备不时之需。
在使用域或Entra ID帐户的托管计算机上,恢复密钥保存在对域或Entra ID管理员可用的位置上。在个人设备上,您可以使用“管理BitLocker”应用程序保存或打印该恢复密钥的副本。
不要忘记加密便携式存储设备。USB闪存驱动器,用作扩展存储的MicroSD卡和便携式硬盘很容易丢失,但使用BitLocker To Go可以保护数据免受窥视者的侵犯,它使用密码解密驱动器的内容。有关详细信息,请参见“使用BitLocker加密保护可移动存储设备。
最后,请确保将关键数据文件备份到云和本地存储(自然是加密驱动器)。如果您遭受磁盘崩溃,这项预防措施会非常有价值,它也是对勒索软件攻击的极好保护。
如果您担心将敏感文件放入云中,请使用第三方软件(例如Boxcryptor)加密这些文件。OneDrive提供了一个称为“个人保险库”的功能,需要额外验证才能访问存储在其中的文件;Dropbox也有类似的功能,称为Dropbox保险库。
如何保护我的Windows 11 PC免受恶意软件的影响?
- 配置安全软件。
- 配置反垃圾邮件保护。
- 管理标准用户帐户允许运行的应用程序。
安全软件是防御策略中的一个层次,旨在防止威胁进入计算机。它不再是最重要的层次,但拥有最新的安全软件仍然非常重要。
每个Windows 10和Windows 11的安装都包含内置的防病毒、反恶意软件软件,称为Microsoft Defender Antivirus,它使用与Windows更新相同的机制进行更新。Microsoft Defender Antivirus被设计为一种“设置并忘记”的功能,不需要任何手动配置。如果您安装了第三方安全软件包,Windows会关闭内置保护并允许该软件检测和删除潜在威胁。
要检查Microsoft Defender Antivirus的状态,请使用Windows Security应用程序中的病毒和威胁防护页面。(您将在受控文件夹访问标题下找到勒索软件保护选项。)
使用Windows 11企业版的大型组织可以部署Microsoft Defender for Endpoint,这是一个安全平台,使用行为感知器监视Windows 11 PC和其他托管设备。使用基于云的分析工具,这些工具可以识别可疑行为并向管理员报告潜在威胁。
对于较小的企业来说,最重要的挑战是防止恶意代码首次到达计算机。微软的SmartScreen技术是另一个内置功能,它扫描下载并阻止已知为恶意的下载。SmartScreen技术还会阻止未识别的程序,但允许用户在必要时覆盖这些设置。
另外:钓鱼攻击有了大幅上升,其中一个起了作用
<p href="/?s=Google's Safe Browsing service" 值得注意的是,windows中的smartscreen独立于基于浏览器的技术,如Google的安全浏览服务和Microsoft Edge中的SmartScreen过滤器服务。
在未管理的计算机上,SmartScreen是另一个无需手动配置的功能。您可以使用Windows Security应用程序中的应用程序和浏览器控制设置来调整其配置。
管理潜在恶意代码的另一个关键途径是电子邮件,其中似乎无害的文件附件和指向恶意网站的链接可能导致感染。虽然电子邮件客户端软件在这方面提供了一定的保护,但在服务器级别上阻止这些威胁是防止攻击计算机的最有效方法。
一个有效的方法,可以防止标准账户的用户运行不需要的程序(包括恶意代码),是配置 Windows PC,使其无法运行除您明确授权的应用程序以外的任何应用程序。要在单个 PC 上调整这些设置,请转到设置 > 应用 > 应用和功能;在选择应用的位置标题下,选择仅限 Microsoft Store。此设置允许之前安装的应用程序运行,但防止从商店外部下载的任何程序的安装。(请注意,现在许多传统的桌面程序,包括受欢迎的 VLC 媒体播放器和 iTunes,都可以从 Microsoft Store 获取。)
防止网络攻击的最佳方式是什么?
- 使用硬件防火墙。
- 保持 Windows 防火墙开启。
- 保护您的 Wi-Fi 账户。
您的电缆、光纤、DSL 或其他 ENBLE 互联网连接的网关应包含防火墙功能,以防止外部人员连接到您内部网络上的计算机。检查该设备的管理接口(通常通过连接到类似于 192.168.1.1 或 10.0.0.1 的私有 IP 地址的基于 Web 的门户进行访问)。确保启用了这些安全功能,并考虑将默认的管理凭据(admin/password 是常见的)更改为更安全的凭据。
过去二十年发货的每个 Windows 版本都包含状态检查防火墙。在 Windows 10 和 Windows 11 中,默认情况下启用此防火墙,并且不需要进行任何调整即可发挥作用。Windows 防火墙支持三种不同的网络配置:域、私有和公共。通常可以在初始设置的一部分中将需要访问网络资源的应用程序配置为自己。
要调整基本的 Windows 防火墙设置,可以使用 Windows 安全应用中的“防火墙和网络保护”选项卡。对于更全面、专业的配置工具,单击高级设置以打开传统的“带有高级安全性的 Windows Defender 防火墙”控制台。在受管理的网络上,可以通过一组组策略和服务器端设置来控制这些设置。
同时还要查看:最好的旅行 VPN,经过测试和评价
从安全的角度来看,连接到无线网络时 Windows PC 面临的最大基于网络的威胁是什么。大型组织可以通过增加对 802.1x 标准的支持(使用访问控制而不是共享密码,就像 WPA2 无线网络一样)大大提高无线连接的安全性。Windows 10 和 Windows 11 在尝试连接这种类型的网络时会提示输入用户名和密码,并拒绝未经授权的连接。在使用共享密码的网络上,请确保访客连接到单独的访客网络。
在必须使用不受信任的无线网络进行连接时,最佳选择是设置虚拟私人网络(VPN)。Windows 10 和 Windows 11 都支持在企业网络上使用的最流行的 VPN 包;要配置此类连接,请转到设置 > 网络和 Internet > VPN。中小型企业和个人可以从各种兼容 Windows 的第三方 VPN 服务中选择。
/cdn.vox-cdn.com/uploads/chorus_asset/file/25018668/screenshot_mgs3_1_1684982806235_bmae.jpg)
