微软为Windows 10安全功能操碎了心,效果如何?

日期:2017-2-27作者:Ed Tittel

【TechTarget中国原创】

微软为Windows 10的安全功能可谓费尽心机,且该公司常称它是迄今为止最安全的Windows系统。

尽管如此,Windows管理员仍旧可以做很多工作来进一步加强Windows 10的安全性,特别是当构建参考或Windows镜像用于桌面部署时。制作这样的镜像,如果可采用基本安全原则,其结果将会比Windows提供的更为安全。

用于Windows镜像构建的基本安全原则

Windows管理员通常使用诸如Sysprep(微软的系统准备工具)之类的工具来创建参考Windows镜像以供日后安装。在这样做时,需要考虑的相关安全原则首先是理解OS强化。

强化安装涉及保护OS以及系统(在这种情况下指Windows 10客户端)将使用的应用,这里的基本概念是消除或减少攻击面以阻止攻击者。因此,Windows强化的关键目标必须包含所有可以用的手段来拒绝、阻止或者延迟任何类型的攻击。

为了强化Windows,最好的方法是关闭或禁用Windows中未被使用的功能。这可确保当某个功能不存在或不活动时,它不会成为攻击者可利用的攻击跳板。

最小特权原则可进一步保护强化系统免受攻击。在安全领域中,最小特权原则意味着仅提供允许用户完成其工作的访问权限与特权,此外不会再提供更多权限。首先,这需要建立一个账户政策,要求所有用户登录到标准用户账户来执行日常工作。

管理员自己只有在需要执行管理任务时才使用管理权限,并且他们以管理员登录的时间应该刚好足够完成其工作。事实上,有些可自动化的管理任务应该最小化管理员使用管理权限登录的时间。管理任务可包括安装程序;配置系统、服务和网络;以及执行系统维护工作,例如备份、更新、修复以及配置或系统管理。如果管理员在操作Windows 10时考虑这些原则,他们就会明白他们必须做什么来强化Windows 10或者其他客户端。

Windows强化的初始方法

构建强化系统镜像与典型安装不同。管理员通常会断开工作站从网络创建镜像——通过断开传统以太网网络中的有线网络线缆或者禁用通过无线互联网连接设备的WiFi。

接着使用可引导USB安装程序来执行升级安装,无论是修改现有镜像或者创建新的镜像。在初始镜像创建期间可跳过提供OS,或者名为PID.TXT可插入到USB安装程序的Sources目录中,其中包含用于所有适用客户端安装的卷许可证密钥。

更改设置以强化Windows 10

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ed Tittel
Ed Tittel

IT老兵,从事开发、网络咨询、技术培训等逾30年。

建立和管理信息安全策略>更多

相关推荐

技术手册>更多

  • SQL注入攻击防御指南

    近年来,SQL注入式攻击一直如幽灵般困扰着众多企业,成为令企业毛骨悚然的梦魇。如何防御SQL注入攻击?本技术手册将为你提供指导。

  • PDF安全使用策略指导手册

    PDF是企业常用的文件形式,但是随着企业对它的依赖性增长,PDF文件也越来越受到攻击者的关注。目前的PDF攻击采用壳代码(shellcode),它使恶意软件很难被发现和移除。然而企业需要用PDF文件来传输信息,尤其是敏感信息,所以企业应该重新评估其PDF安全策略,重视PDF的安全性。本迷你电子书将提供保护PDF文件安全的最佳实践,并且对何时使用PDF文件提出建议。

  • IDS入侵检测技术

    入侵检测系统自从上个世纪80年代后期90年代早期就出现了,它是入侵检测系统是历时最久并最普及的技术。作为网络安全的入侵警报器,IDS可以分为基于特征(Signature-based)的和基于异常(anomaly-based)的。基于特征的IDS的工作原理类似杀毒,查询和已知的恶意事件匹配的特征。基于异常的IDS查询网络协议、用户、流量行为模式或系统(核心)调用中的异常行为。

  • BYOD安全指南

    随着越来越多的移动设备涌入企业,BYOD已经不再是一个趋势,而是无可置疑的事实。但是,BYOD在给我们带来便捷的同时,也常常会导致安全问题。这个安全需要考虑很多因素。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

微软为Windows 10的安全功能可谓费尽心机,且该公司常称它是迄今为止最安全的Windows系统。

尽管如此,Windows管理员仍旧可以做很多工作来进一步加强Windows 10的安全性,特别是当构建参考或Windows镜像用于桌面部署时。制作这样的镜像,如果可采用基本安全原则,其结果将会比Windows提供的更为安全。

用于Windows镜像构建的基本安全原则

Windows管理员通常使用诸如Sysprep(微软的系统准备工具)之类的工具来创建参考Windows镜像以供日后安装。在这样做时,需要考虑的相关安全原则首先是理解OS强化。

强化安装涉及保护OS以及系统(在这种情况下指Windows 10客户端)将使用的应用,这里的基本概念是消除或减少攻击面以阻止攻击者。因此,Windows强化的关键目标必须包含所有可以用的手段来拒绝、阻止或者延迟任何类型的攻击。

为了强化Windows,最好的方法是关闭或禁用Windows中未被使用的功能。这可确保当某个功能不存在或不活动时,它不会成为攻击者可利用的攻击跳板。

最小特权原则可进一步保护强化系统免受攻击。在安全领域中,最小特权原则意味着仅提供允许用户完成其工作的访问权限与特权,此外不会再提供更多权限。首先,这需要建立一个账户政策,要求所有用户登录到标准用户账户来执行日常工作。

管理员自己只有在需要执行管理任务时才使用管理权限,并且他们以管理员登录的时间应该刚好足够完成其工作。事实上,有些可自动化的管理任务应该最小化管理员使用管理权限登录的时间。管理任务可包括安装程序;配置系统、服务和网络;以及执行系统维护工作,例如备份、更新、修复以及配置或系统管理。如果管理员在操作Windows 10时考虑这些原则,他们就会明白他们必须做什么来强化Windows 10或者其他客户端。

Windows强化的初始方法

构建强化系统镜像与典型安装不同。管理员通常会断开工作站从网络创建镜像——通过断开传统以太网网络中的有线网络线缆或者禁用通过无线互联网连接设备的WiFi。

接着使用可引导USB安装程序来执行升级安装,无论是修改现有镜像或者创建新的镜像。在初始镜像创建期间可跳过提供OS,或者名为PID.TXT可插入到USB安装程序的Sources目录中,其中包含用于所有适用客户端安装的卷许可证密钥。

更改设置以强化Windows 10

在初始安装完成后,在Windows 10中打开“设置”应用来锁定或关闭主要元素。在这个过程中需要更改的设置包括但不限于:

· 语音:选择时间和语言>语音>关闭麦克风设置

· 语音、墨迹和键入隐私设置:选择时间和语言>语音>语音、墨迹和键入隐私设置>停止收集有关我的信息

· 广告标识符:在设置的搜索框输入广告,如果应用可使用你的广告ID则选择关闭设置

· 让Skype帮助你连接:如果用户不使用Skype则关闭

· 位置:如果用户不需要位置数据进行搜索和访问,则搜索位置并关闭查找我的设备。然而,搜索位置设置并关闭允许Windows、应用和服务使用你的位置。

· 热点:搜索并更改Wi-Fi设置,并关闭自动连接到建议的热点以及自动临时连接到热点

· 诊断信息:限制发送给微软的数据量,除非有必要的情况。在设置应用中,选择隐私>反馈和诊断>,然后在诊断和使用情况数据部分的“向Microsoft发送你的设备数据”下拉菜单选择“基本”

· 使用页面预测:关闭这个Microsoft Edge设置以加快信息查找速度并关闭预测算法。

· 获取更新以及向互联网上其他PC发送更新:关闭这两个设置。想要关闭更新,请将互联网连接标记为按流量计费。想要阻止发送更新给互联网其他电脑,则选择更新和安全>Windows更新,然后选择高级选项来禁用从互联网其他电脑下载Windows更新或者关闭从任何其他电脑获取的更新——即使在相同的本地网络中。

通常情况下,最好查看整个Windows设置,并询问用户是否需要启用、部分锁定或者完全关闭。然后,应用所有已测试和已批准的安全更新,虽然大部分用户将使用Current Branch for Business。

最后,确保所有设备用户有权使用的设备驱动程序的安装、运行和更新。当不包括设备时,最安全的的做法是在参考镜像中禁用或卸载相应的驱动程序。

当所有这些活动完成(而不是在之前)时,为参考镜像快照用于潜在部署以及现场使用,并将其命名为“Windows 10 base,版本XXXX”,XXXX代表当前版本分支号。

自定义Windows 10镜像

Windows强化的下一步骤是使用Sysprep在审核模式中自定义基本Windows 10镜像。当在Windows 10安装的最后阶段出现设置对话框时,请按住CTRL和SHIFT键,然后再按F3功能键,而不是选择自定义或快速设置。Windows将在审核模式下重启,并显示Sysprep对话框。在使用Sysprep之前还有一些其他任务要完成,因此请按取消以关闭此对话框并继续。

下一个任务是安装Windows评估和部署工具包,这可提供对Windows系统镜像管理器(SIM)的访问。使用SIM来创建并修改答案文件,让Sysprep可根据你的要求创建自定义镜像,然后完成和自定义参考Windows镜像。并将其命名为“Windows 10 base,版本XXXX”,XXXX代表当前版本分支号。

维护强化版Windows镜像

随着时间的推移,基本镜像将根据需求变化和软件更新而更新以及修改,这需要你重复上述自定义基本镜像的相同步骤。

例如,当Windows 10更改构件号(例如从1511升级到1607时),则有必要从头开始更新。或者,你可以从基本镜像开始更新,然后重新构建Sysprep文件来更新任何应用、设置或账户信息。

请始终使用明确的文件命名约定,在进行更改时创建新文件。这样的话,当创建镜像或者修改/自定义过程出现错误或者任何问题时可返回到以前的基础镜像和应用版本。

采用本文中介绍的基本Windows强化原则,可帮助企业更好地保护Windows系统的安全。