Het is verleidelijk om te denken dat het proces van het beveiligen van een Windows-10 apparaat kan worden teruggebracht tot een eenvoudige checklist. Installeren van sommige beveiligingssoftware, pas een paar instellingen, het houden van een training of twee, en je kunt verplaatsen naar het volgende punt op uw to-do lijst.
Helaas, de echte wereld is veel ingewikkelder dan dat.
Er is geen software magic bullet, en uw initiële setup alleen wordt een security baseline. Na de initiële configuratie is voltooid, beveiliging vereist voortdurende waakzaamheid en voortdurende inspanning. Veel van het werk van het beveiligen van een Windows-10 apparaat gebeurt uit de buurt van het apparaat zelf. Een goed geplande veiligheidsbeleid besteedt aandacht aan netwerkverkeer, e-mail accounts, authenticatie mechanismen, beheer van servers en andere externe verbindingen.
Deze gids heeft betrekking op een breed spectrum van business use cases, met elke rubriek bespreken van een probleem dat beleidsmakers rekening moet houden bij het implementeren van Windows 10 Stuks. En hoewel het omvat vele opties die beschikbaar zijn, dit is niet een hands-on gids.
In een groot bedrijf, uw IT-personeel moeten zijn security specialisten die het kunnen beheren van deze stappen. In een klein bedrijf zonder eigen IT-personeel, uitbesteding van deze werkzaamheden naar een consultant met de nodige deskundigheid zou de beste aanpak.
Voordat u op een enkele Windows-instellingen, maar neem de tijd voor een dreigingsanalyse. Met name, bewust zijn van je wettelijke en reglementaire verantwoordelijkheden in geval van een inbreuk op gegevens of andere security-gerelateerde evenement. Voor bedrijven die onderworpen zijn aan de compliance-eisen te voldoen, zult u wilt huren van een specialist die kent uw branche en kan ervoor zorgen dat uw systemen voldoen aan alle van toepassing zijnde eisen.
De volgende categorieën van toepassing op bedrijven van alle soorten en maten.
Het beheren van updates
De belangrijkste instelling voor elke Windows-10 PC is ervoor te zorgen dat de updates worden geïnstalleerd op een regelmatige, voorspelbare planning. Dat geldt voor elke moderne computer-apparaat, natuurlijk, maar de “Windows-as-a-service model dat Microsoft geïntroduceerd met Windows-10 verandert de manier waarop u het beheer van updates.
Zie ook: Hier is hoe Microsoft kunt herstellen van de Windows-10 update problemen
Voordat u begint, is het echter belangrijk om te begrijpen over de verschillende soorten Windows 10 updates en hoe ze werken.
Kwaliteit-updates worden geleverd maandelijks via Windows Update. Ze pakken de veiligheid en betrouwbaarheid van problemen en niet voorzien van nieuwe functies. (Deze updates omvatten ook de patches voor de microcode gebreken in de Intel-processors.)
Alle kwaliteit updates zijn cumulatief, zodat u niet langer hoeft te downloaden tientallen of zelfs honderden updates na het uitvoeren van een schone installatie van Windows 10. In plaats daarvan kunt u installeer de meest recente cumulatieve update is geïnstalleerd en u zal volledig up-to-date.
Functie-updates zijn het equivalent van wat vroeger heette versie-upgrades. Ze zijn voorzien van nieuwe functies en vereisen een multi-gigabyte downloaden en een volledige installatie. Windows 10 functie-updates uitgebracht tweemaal per jaar, in April en oktober, en zijn ook bezorgd via Windows Update.
Zie ook: FAQ: het beheren van Windows 10 updates
Standaard Windows-10 apparaten downloaden en installeren van updates zodra ze beschikbaar zijn op Microsoft update-servers. Op apparaten met Windows-10 Huis, er is geen ondersteunde manier om te controleren wanneer er updates zijn geïnstalleerd. Beheerders kunnen uitoefenen van controle, echter, wanneer de updates worden geïnstalleerd op Pc ‘ s met business-edities van Windows 10.
Zoals met alle zekerheid besluiten, kiezen bij het installeren van de updates gaat om een trade-off. Het installeren van updates onmiddellijk nadat ze zijn vrijgegeven biedt de beste bescherming; uitstel van updates maakt het mogelijk de ongeplande uitvaltijd te minimaliseren in verband met die updates.
Met behulp van de Windows Update voor Zakelijke functies ingebouwd in de Windows-10 Pro -, Enterprise-en Onderwijs-edities kunt u uitstellen van de installatie van de kwaliteit updates tot 30 dagen. U kunt ook vertraging functie-updates door zo veel als twee jaar, afhankelijk van de editie.
Ook: Windows-10 Enterprise klanten krijgt nu een Linux-achtige ondersteuning
Uitstel van de kwaliteit updates door zeven tot 15 dagen is een laag-risico manier van het voorkomen van het risico van een gebrekkige update die kan leiden tot stabiliteit en compatibiliteit problemen. Kunt u Windows Update voor Business-instellingen op de individuele Pc ‘ s met behulp van de besturingselementen in Instellingen > Update En Beveiliging > Geavanceerde Opties.
In grotere organisaties, beheerders kunnen Windows Update voor Business-instellingen met behulp van groepsbeleid of mobile device management (MDM) software. U kunt ook het beheren van updates centraal met behulp van een management tool zoals System Center Configuration Manager of Windows Server Update Services.
Tot slot, uw software-update strategie moet niet stoppen bij Windows zelf. Zorg ervoor dat updates voor Windows-toepassingen, zoals Microsoft Office en Adobe-applicaties worden automatisch geïnstalleerd.
Identiteit en user account management
Elke Windows-10 PC moet ten minste één gebruiker, die op zijn beurt worden beschermd door een wachtwoord en een optionele authenticatie-mechanismen. Hoe u die account instellen (en eventuele secundaire accounts) gaat een lange weg in de richting van het waarborgen van de veiligheid van het apparaat.
Apparaten die het runnen van een business edition van Windows 10 (Pro, Enterprise, of Onderwijs) kunnen worden samengevoegd tot een Windows-domein. In die configuratie domein beheerders hebben toegang tot de Active Directory-functies en kan autoriseren van gebruikers, groepen en computers om toegang te krijgen tot de lokale en netwerk resources. Als je een domein beheerder, kunt u het beheer van Windows-10-Pc ‘s met de volledige set van de server op basis van Active Directory-beheerprogramma’ s.
Voor Windows-10 Pc ‘ s die niet zijn gekoppeld aan een domein, zoals het geval is in de meeste kleine bedrijven, hebt u de keuze uit drie soorten accounts:
Lokale accounts gebruik maken van de referenties die zijn opgeslagen op het apparaat.
Microsoft-accounts zijn gratis voor gebruik door de consument en het mogelijk maakt het synchroniseren van data en de instellingen voor Pc ‘ s en apparaten; ze bieden ook ondersteuning voor twee-factor authenticatie en wachtwoord herstel opties.
Azure Active Directory (Azure) – accounts zijn gekoppeld met een eigen domein en kunnen centraal worden beheerd. Basic Azure AD-functies zijn gratis en worden meegeleverd met Office 365 Business en Enterprise abonnementen; extra Azure AD-functies zijn beschikbaar als betaalde upgrades.
De eerste account op een Windows-10-PC is een lid van de groep Administrators en heeft het recht om de software te installeren en wijzigen van de configuratie van het systeem. Secundaire accounts kan en moet worden ingesteld als Standaard gebruikers om te voorkomen dat onervaren gebruikers per ongeluk schade aan het systeem of de installatie van ongewenste software.
Die vereisen een sterk wachtwoord is een essentiële stap, ongeacht het type account. Op beheerde netwerken, beheerders kunnen groepsbeleid gebruiken of MDM software om tenuitvoerlegging van een organisatie wachtwoord beleid.
Het vergroten van de veiligheid van de sign-in proces op een bepaald apparaat, kunt u gebruik maken van een Windows-10 functie genaamd Windows Hallo. Windows Hallo vereist een twee-stappen proces voor het inschrijven van het apparaat met een Microsoft-account, een Active Directory-account, een Azure AD-account, of een derde partij identity provider ondersteunt FIDO versie 2.0.
Wanneer die inschrijving voltooid is, kan de gebruiker zich aanmelden met een PINCODE of met ondersteunde hardware, biometrische authenticatie, zoals een vingerafdruk of gezichtsherkenning. De biometrische gegevens worden opgeslagen op het apparaat en voorkomt dat een verscheidenheid aan voorkomende wachtwoorden stelen aanvallen. Op apparaten die zijn aangesloten op zakelijke accounts, kunnen beheerders met Windows Hallo voor Business-to-geef PIN-complexiteit eisen.
Tot slot, bij het gebruik van Microsoft of Azure active directory-accounts op de zakelijke Pc ‘ s, moet u het opzetten van multi-factor authenticatie (MFA) ter bescherming van het account van externe aanvallen. Over Microsoft-accounts, de Twee-staps Verificatie-instelling is beschikbaar op https://account.live.com/proofs. Voor Office 365 Business en Enterprise-accounts, moet een beheerder de eerste inschakeling van de functie van de Office-portal, waarop gebruikers kan beheren MFA instellingen door te gaan naar https://account.activedirectory.windowsazure.com/r#/profile.
Bescherming van gegevens
Fysieke beveiliging is even belangrijk als problemen in verband met de software of netwerken. Een gestolen laptop of een achtergelaten in een taxi of in een restaurant, kan leiden tot een aanzienlijk risico op verlies van gegevens. Voor een bedrijf of een overheidsinstelling, de gevolgen kunnen rampzalig zijn, en de gevolgen zijn nog erger in de gereguleerde sectoren of gegevens inbreuk op wetten bepalen dat openbare bekendmaking.
Op een Windows-10 apparaat, de belangrijkste wijziging in de configuratie die je kunt maken is om BitLocker apparaat versleuteling. (BitLocker is de merknaam die Microsoft gebruikt voor de encryptie tools beschikbaar in de business editions van Windows.)
Ook: Windows-10 Deskundige Gids: Alles wat je moet weten over BitLocker
Met BitLocker is ingeschakeld, elke bit van de data op het apparaat is versleuteld met gebruik van de XTS-AES standaard. Met behulp van de instellingen van het groepsbeleid of device management tools, kunt u de sterkte van encryptie van de standaard 128-bits instelling van 256-bits.
Het inschakelen van BitLocker vereist een apparaat dat is voorzien van een Trusted Platform Module (TPM) chip; elke business PC vervaardigd in de afgelopen zes jaar in aanmerking moeten komen in dit verband. Daarnaast BitLocker vereist een business edition van Windows 10 (Pro, Enterprise, of het Onderwijs); de Home edition ondersteunt sterk apparaat versleuteling, maar alleen met een Microsoft-account, en het doet er niet toe, het beheer van BitLocker-apparaat.
Voor het volledige beheer van vermogens, zult u ook voor het instellen van BitLocker met behulp van een Active Directory-account op een Windows-domein of een Azure Active Directory-account. In iedere configuratie, recovery key is opgeslagen in een locatie die beschikbaar is voor het domein of AAD beheerder.
Op een onbeheerde apparaat waarop een business edition van Windows 10, kunt u gebruik maken van een lokale account, maar u moet het hulpprogramma BitLocker-Management tools waarmee codering op de beschikbare schijven.
En vergeet niet te coderen draagbare opslagapparaten. USB flash drives. MicroSD-kaarten die gebruikt worden als uitbreiding van de opslag, en draagbare harde schijven zijn gemakkelijk verloren gaan, maar de data kan worden beschermd tegen nieuwsgierige ogen met het gebruik van BitLocker To Go, die gebruik maakt van een wachtwoord voor het decoderen van de schijf van de inhoud.
Ook: Windows-10 tip: Bescherm verwijderbare opslagapparaten met BitLocker-versleuteling
In grote organisaties die gebruik Azure Active Directory, het is ook mogelijk om het beschermen van de inhoud van opgeslagen bestanden en e-mailberichten met behulp van Azure Beveiliging van de Informatie en de Azuurblauwe Rights Management service. Die combinatie stelt systeembeheerders in staat te classificeren en het beperken van toegang tot documenten gemaakt in Office en andere applicaties, onafhankelijk van hun lokale codering status.
Het blokkeren van kwaadaardige code
Als de wereld heeft meer verbinding en online aanvallers steeds geavanceerder geworden, de rol van de traditionele antivirus software is veranderd. In plaats van het primaire programma voor het blokkeren van de installatie van kwaadaardige code, security-software is nu slechts een andere laag in een defensieve strategie.
Elke installatie van Windows 10 bevat ingebouwde antivirus, anti-malware software, genaamd Windows Defender die updates zelf, via hetzelfde mechanisme als Windows Update. Windows Defender is ontworpen om een set-it-and-forget-it-functie, en vereist geen handmatige configuratie. Als je installeert van een derde partij security pakket, Windows Defender een stap opzij en maakt het mogelijk dat software detecteren en verwijderen van potentiële bedreigingen.
Grote organisaties die gebruik maken van Windows Enterprise edition kunt implementeren met Windows Defender Geavanceerde Bescherming tegen bedreigingen, een security platform, die toezicht houdt op de eindpunten, zoals het Windows-10-Pc ‘ s met gedrags-sensoren. Met behulp van cloud-gebaseerde analyses, Windows Defender ATP kan het identificeren van verdacht gedrag en beheerders waarschuwen voor mogelijke bedreigingen.
Ook: Microsoft: Verbeterde beveiligingsfuncties zijn het uitstellen van aanvallen van hackers op Windows-gebruikers
Voor kleinere bedrijven is de belangrijkste uitdaging is om te voorkomen dat schadelijke code van het bereiken van de PC in de eerste plaats. Microsoft SmartScreen-technologie is een andere ingebouwde functie voor het scannen van downloads en blokken uitvoering van degenen die bekend zijn kwaadaardig is. Het SmartScreen-technologie blokkeert ook niet-herkende programma ‘ s, maar laat de gebruiker toe om te overschrijven de instellingen, indien nodig.
Het is vermeldenswaard dat in Windows SmartScreen-10 werkt onafhankelijk van de browser-gebaseerde technologieën zoals Safe Browsing van Google service en het SmartScreen-Filter-service in Microsoft Rand.
Op onbeheerde Pc ‘ s, het SmartScreen-is een ander kenmerk dat vereist geen handmatige configuratie. U kunt aanpassen van de configuratie met behulp van de App En Browser-instellingen in het Windows-Security-app in Windows 10.
Een andere belangrijke vector voor het beheren van mogelijk kwaadaardige code e-mail, waar schijnbaar onschuldige bijlagen en links naar kwaadaardige websites kan leiden tot infectie. Hoewel e-mail client software kan bieden enige bescherming in dit verband, het blokkeren van deze bedreigingen op server niveau is de meest effectieve manier om te voorkomen dat aanvallen op Pc ‘ s.
Een effectieve aanpak om te voorkomen dat gebruikers van het lopen ongewenste programma ‘ s (met inbegrip van kwaadaardige code) is om het configureren van een Windows-10 PC draait alle apps, behalve die u specifiek toestemming geeft. Om deze instellingen aanpassen op een enkele PC, gaat u naar Instellingen > Apps > Apps En Functies; onder de Apps Installeren post, kies Toestaan dat Apps Uit De Store. Deze instelling maakt het mogelijk eerder geïnstalleerde apps te draaien, maar voorkomt dat de installatie van gedownloade programma ‘ s van buiten de Microsoft Store.
Ook: Windows-10 tip: Houd ongewenste software op Pc ‘ s die u ondersteunen
Beheerders kunnen deze instellingen configureren via een netwerk met behulp van groepsbeleid: Computer Configuration > Administrative Templates > Windows-Onderdelen > Windows Defender SmartScreen – > Explorer > Configureren App installeren Controle.
De meest extreme aanpak voor het vergrendelen van een Windows-10 PC is het gebruik van de Toegewezen Toegangs-functie voor het configureren van het apparaat, zodat het kan maar één app. Als u kiest voor Microsoft Rand van de app, kunt u het apparaat configureren om te worden uitgevoerd in de modus volledig scherm vergrendeld aan een enkele site of als een publieke browser met een beperkt aantal functies.
Om deze functie configureren, gaat u naar Instellingen > Familie En Andere Gebruikers en klik op Toegewezen Toegangs. (Op een PC die is aangesloten op een business account, is deze optie onder Instellingen > Andere Gebruikers.)
Moet lezen
Windows 10: Een cheat sheet TechRepublicMicrosoft ‘ s obsessie met Windows is afgesloten, CNET
Netwerken
Elke versie van Windows in de afgelopen 15 jaar heeft opgenomen een stateful inspection firewall. In Windows 10, deze firewall is standaard ingeschakeld en hoeft niet elke tweaken om effectief te zijn. Net als bij zijn voorgangers, de Windows-10 firewall ondersteunt drie verschillende netwerkconfiguraties: Domein, Privé en Openbaar. Apps die toegang moeten krijgen tot hulpbronnen in het netwerk kan in het algemeen configureren zichzelf als een onderdeel van de eerste installatie.
Aanpassen basic-Windows firewall-instellingen, het gebruik van de Firewall En Netwerk tabblad Beveiliging in het Windows-Security-app. Voor een veel uitgebreidere, expert-alleen het instellen van de configuratie tools, klikt u op Geavanceerde Instellingen te openen met een oudere Windows Defender Firewall met een Geavanceerde Beveiliging met de console. Op beheerde netwerken, deze instellingen kunnen worden gecontroleerd door middel van een combinatie van het groepsbeleid en van de server-side-instellingen.
Ook: Windows RDP-fout: ‘het Installeren van de patch van Microsoft, schakel uw firewall’
Voor de veiligheid, het grootste netwerk-gebaseerde bedreigingen naar een Windows-10 PC ontstaan bij het aansluiten op draadloze netwerken. Grote organisaties kan een aanzienlijke verbetering van de beveiliging van draadloze verbindingen door het toevoegen van ondersteuning voor de 802.1 x standaard, die gebruik maakt van de toegangscontrole in plaats van gedeelde wachtwoorden in WPA2 draadloze netwerken. Windows 10 wordt gevraagd een gebruikersnaam en wachtwoord wanneer u probeert verbinding te maken met dit type netwerk en zal weigeren onbevoegde verbindingen.
Op Windows-gebaseerde netwerken, kunt u gebruik maken van de native DirectAccess-functie voor veilige externe toegang.
Wanneer moet u verbinding maken met een niet-vertrouwde draadloze netwerk, het beste alternatief is het opzetten van een virtual private network (VPN). Windows 10 ondersteunt de meeste populaire VPN-pakketten gebruikt door zakelijke netwerken; configureren van dit type verbinding, gaat u naar Instellingen > Netwerk & Internet > VPN. Kleine bedrijven en particulieren kunnen kiezen uit een verscheidenheid van Windows-compatibele externe VPN-diensten.
Ook: de VPN-diensten: De ultieme gids om uw gegevens te beschermen op het internet
Vorige en aanverwante dekking:
Hoe te installeren, opnieuw installeren, upgraden en activeren van Windows 10
Hier is alles wat u moet weten voordat u repareren, installeren of upgraden van Windows 10, met inbegrip van details over activering en productcodes.
Nadat Windows 10 upgrade, deze zeven dingen onmiddellijk
ou heb net een upgrade naar de meest recente versie van Windows 10. Voordat u weer aan het werk, gebruik deze checklist om ervoor te zorgen dat uw privacy en de veiligheid van de instellingen juist zijn en dat u hebt geknipt ergernissen tot een minimum te beperken.
Hoe om te upgraden van Windows-10 Home Pro gratis
Je hebt een nieuwe PC met Windows 10 Thuis. U wilt upgraden naar Windows 10 Pro. Hier is hoe je die upgrade gratis. Alles wat je nodig hebt is een Pro/Ultimate productcode van een oudere versie van Windows.
Verwante artikelen:
Windows 7 versus Windows-10: Hier komt de laatste showdownWindows 7 migratie waarschuwing: Plan nu is om te voorkomen dat de veiligheid zorgen, laterI, zoals Windows 7: Waarom moet ik betalen om te verhuizen naar Windows 10?
Verwante Onderwerpen:
Enterprise Software
Microsoft
Windows
Pc ‘ s
Beoordelingen