Windows 10: så skyddar du ditt företag
Hur gör du för att konfigurera Windows-10 St för att undvika vanliga problem med säkerhet? Det finns ingen mjukvara magic bullet, tyvärr, och verktygen är olika för små företag och företag. Här är vad du ska se upp för. Läs mer: https://zd.net/2Xg4iGp
Det är frestande att tro att processen för att säkra en Windows-10 enhet kan reduceras till en enkel checklista. Installera vissa säkerhetsprogram, justera några inställningar, håll ett träningspass eller två, och du kan gå vidare till nästa punkt på din att-göra-lista.
Tyvärr, verkligheten är långt mer komplicerad än så.
Det finns ingen programvara magic bullet, och din första setup helt enkelt etablerar en baslinje för säkerhet. Efter den inledande konfigurationen är klar, säkerhet kräver fortsatt vaksamhet och pågående arbete. Mycket av arbetet för att säkra en Windows-10 enhet som händer bort från enheten själv. En väl planerad säkerhetspolitik betalar uppmärksamhet till nät-trafik, e-postkonton, mekanismer för autentisering, hantering av servrar och andra externa anslutningar.
Denna guide täcker ett brett spektrum av företag användningsfall, med varje rubrik diskuterar en fråga som beslutsfattare måste tänka på när du installerar Windows 10 St. Och även om det omfattar många alternativ som är tillgängliga, detta är inte en praktisk guide.
I ett stort företag, din IT-personal bör omfatta säkerhets-specialister som kan hantera dessa steg. I ett litet företag utan egen IT-personal, outsourcing av detta ansvar till en konsult med nödvändig kompetens kan vara den bästa metoden.
Innan du trycker på en enda Windows-miljö, men, ta lite tid för en bedömning av hotet. I synnerhet, vara medveten om dina juridiska och rättsliga ansvar i händelse av ett dataintrång eller annan säkerhetsrelaterad händelse. För företag som är föremål för krav, du vill anlita en specialist som känner till din bransch och kan se till att ditt system uppfyller alla tillämpliga krav.
Följande kategorier tillämpas på företag av alla storlekar.
Hantera uppdateringar
Den enskilt viktigaste säkerhetsinställningarna för alla Windows-10 PC är att se till att uppdateringar installeras på ett regelbundet, förutsägbart schema. Det är sant i alla moderna datorer enhet, naturligtvis, men den “Windows as a service” – modell som införde Microsoft med Windows 10 förändringar på det sätt du hantera uppdateringar.
Se även: Här är hur Microsoft kan fixa sina Windows-10 update
Innan du börjar, är det dock viktigt att förstå om de olika typer av Windows-10 uppdateringar och hur de fungerar.
Kvalitet-uppdateringar levereras månadsvis via Windows Update. De tar itu med frågor om säkerhet och tillförlitlighet och inte omfatta nya funktioner. (Dessa uppdateringar också innehålla plåster för mikrokod brister i Intel-processorer.)
Alla kvalitets-uppdateringar är kumulativa, så att du inte längre behöver ladda ner dussintals, eller ens hundratals uppdateringar när du utför en ren installation av Windows 10. I stället kan du installera den senaste kumulativa uppdateringen och du kommer att vara helt uppdaterad.
Uppdateringar är likvärdiga med vad som brukade kallas version uppgraderingar. De omfatta nya funktioner och kräver en multi-gigabyte ladda ner och en full installation. Windows 10 uppdateringar släpps två gånger per år, i April och oktober, och är också levereras via Windows Update.
Se även: FAQ:: Hur för att hantera Windows-10 uppdateringar
Som standard Windows-10 enheter ladda ner och installera uppdateringar så snart de är tillgängliga på Microsofts servrar. På enheter som kör Windows 10 Hem, det är ingen som stöds sätt att kontrollera när uppdateringarna har installerats. Administratörer kan utöva en viss kontroll, dock över när uppdateringar som är installerade på Datorer som kör business utgåvor av Windows 10.
Som med alla säkerhet beslut, välja när man ska installera uppdateringar innebär en trade-off. Installera uppdateringar omedelbart efter att de har släppt erbjuder det bästa skyddet; uppskov uppdateringar gör det möjligt att minimera oplanerade driftstopp i samband med dessa uppdateringar.
Med hjälp av Windows Update för Affärs-funktioner inbyggda i Windows-10 Pro, Enterprise, och Education, du kan skjuta upp installationen av kvalitet uppdateringar av upp till 30 dagar. Du kan även fördröja uppdateringar genom att så mycket som två år, beroende på edition.
Även: Windows 10 företagskunder kommer nu att få Linux-liknande stöd
Uppskov kvalitet uppdateringar av sju till 15 dagar är en låg risk sätt att undvika risken för en felaktig uppdatering som kan orsaka stabilitets-eller kompatibilitetsproblem. Du kan anpassa Windows Update för Företag inställningar för enskilda Datorer med hjälp av kontrollerna i Inställningar > Uppdatera & Säkerhet > Avancerade Alternativ.
I större organisationer, administratörer kan använda Windows Update för Affärs-inställningar med hjälp av grupprincip-eller mobile device management (MDM) programvara. Du kan också administrera uppdateringar centralt med hjälp av ett verktyg som System Center Configuration Manager eller Windows Server Update Services.
Slutligen, din programvara uppdatera strategi bör inte stanna vid själva Windows. Se till att uppdateringar för Windows-program, inklusive Microsoft Office och Adobe-program, installeras automatiskt.
Identitet och user account management
Varje Windows-10 PC kräver minst ett användarkonto, som i sin tur skyddas av ett lösenord och frivilliga mekanismer för autentisering. Hur du konfigurerar det kontot (och eventuella sekundära konton) går en lång väg mot att garantera säkerheten för enheten.
Enheter som kör en business edition av Windows 10 (Pro, Enterprise eller Utbildning) kan vara ansluten till en Windows-domän. I denna konfiguration, domänadministratörer har tillgång till Active Directory-funktioner och kan tillåta användare, grupper och datorer för att få tillgång till lokala och resurser i nätverket. Om du är en domänadministratör kan du hantera Windows-10 St att använda hela uppsättningen av server Active Directory-verktyg.
För Windows-10 pc-Datorer som inte är ansluten till en domän, som är fallet i de flesta små företag, har du ett val av tre typer konto:
Lokala konton använda autentiseringsuppgifter som endast lagras på enheten.
Microsoft-konton är gratis för konsumenten att använda och tillåta synkronisering av data och inställningar mellan Datorer och enheter; de har också stöd för två-faktor autentisering och alternativ för återställning av lösenord.
Azure Active Directory (Azure AD) konton som är förknippade med en egen domän och kan hanteras centralt. Grundläggande Azure AD funktioner är gratis och ingår i Office 365-Business-och Enterprise-abonnemang; ytterligare Azure AD funktioner finns tillgängliga som betalas uppgraderingar.
Det första kontot på en Windows-10 PC är en medlem av gruppen Administratörer för och har rätt att installera program och ändra systemkonfigurationen. Sekundära konton kan och bör ställas in som Standard för användare att förhindra ovana användare från att oavsiktligt skada system eller installation av oönskade program.
Som kräver ett starkt lösenord är ett viktigt steg oavsett typ av konto. På hanterade nätverk, administratörer kan använda grupprincip eller MDM programvara för att upprätthålla en organisation lösenord.
För att öka säkerheten i logga in-process på en viss enhet kan du använda en Windows-10 funktion som kallas Windows Hej. Windows Hej kräver en två-stegs process för verifiering att registrera enhet med ett Microsoft-konto, en Active Directory-konto, en Azure AD-konto, eller av en tredje part identitetsleverantör som stöder FIDO version 2.0.
När registreringen är klar kan användaren logga in med hjälp av en PIN-kod eller, med maskinvara som stöds, biometrisk autentisering som ett fingeravtryck eller ansiktsigenkänning. De biometriska data som lagras på enheten och förhindrar att ett antal vanliga lösenord som stjäl attacker. På enheter som är anslutna till business-konton, – administratörer kan använda Windows Hej för Företag att ange PIN-komplexa krav.
Slutligen, när du använder Microsoft eller microsofts Azure AD konton på företags-Pc, ska du ställa in multi-faktor autentisering (MFA) för att skydda kontot från externa attacker. Om Microsoft-konton, Two-step Verification inställningen är tillgänglig på https://account.live.com/proofs. För Office 365-Business-och Enterprise-konton, en administratör måste först aktivera funktionen från Kontor portal, efter vilka användare som kan hantera MFA inställningar genom att gå till https://account.activedirectory.windowsazure.com/r#/profile.
Skydd av personuppgifter
Fysisk säkerhet är lika viktigt som att frågor som rör programvara eller nätverk. En stulen laptop, eller en kvar i en taxi eller på en restaurang, kan leda till betydande risk för förlust av data. För ett företag eller en myndighet, kan effekterna bli katastrofala, och konsekvenserna är ännu värre i reglerade branscher eller där data bryter mot de lagar som kräver offentliggörande.
På en Windows-10 enhet, som är den enskilt viktigaste konfiguration förändring du kan göra är att aktivera BitLocker enhet kryptering. (BitLocker är det varumärke som används av Microsoft för kryptering verktyg tillgängliga i alla utgåvor av Windows.)
Även: Windows 10 Expert Guide: Allt du behöver veta om BitLocker
Med BitLocker är aktiverat kommer varje bit av data på enheten är krypterad med XTS-AES-standard. Med hjälp av grupprincip-inställningar eller device management-verktyg, kan du öka kryptering styrka från sin standard 128-bitars inställning till 256-bitars.
Aktivera BitLocker kräver en enhet som innehåller en Trusted Platform Module (TPM) – chip; varje företag DATOR som tillverkats under de senaste sex åren bör komma i fråga i detta avseende. Dessutom BitLocker kräver en business edition av Windows 10 (Pro, Enterprise eller Utbildning), Home edition stöder stark enhet kryptering, men bara med ett Microsoft-konto, och det tillåter inte hantering av en BitLocker-enhet.
För full kapacitet förvaltning, du måste också konfigurera BitLocker med hjälp av en Active Directory-konto på en Windows-domän eller en Azure-för synkronisering av Active Directory-konto. Antingen konfiguration, återvinning nyckeln sparas på en plats som är tillgänglig för den domän eller AAD-administratör.
På en ohanterad-enhet som kör en business edition av Windows-10, kan du använda ett lokalt konto, men du kommer att behöva använda BitLocker-verktyg för att aktivera kryptering på tillgängliga diskar.
Och glöm inte att kryptera bärbara lagringsenheter. USB-flash-enheter. MicroSD-kort som används som expansion lagring och bärbara hårddiskar är lätta att gå förlorade, men data kan skyddas från nyfikna ögon med hjälp av BitLocker To Go, som använder ett lösenord för att dekryptera enheten innehåll.
Även: Windows 10 tips: Skydda removable storage (enheter med BitLocker kryptering
I stora organisationer som använder Azure-för synkronisering av Active Directory, det är också möjligt att skydda innehållet av lagrade filer och e-postmeddelanden med hjälp av Azure Information Skydd och Azure Rights Management service. Den kombinationen gör det möjligt för administratörer att klassificera och begränsa åtkomst till dokument som skapats i Office och andra applikationer, oberoende av deras lokala kryptering status.
Blockera skadlig kod
Eftersom världen har blivit mer uppkopplade och nätet angriparna har blivit mer sofistikerade, den roll traditionella antivirusprogram har förändrats. I stället för att vara den främsta verktyg för att blockera installationen av skadlig kod, säkerhet program är nu bara ett lager i en defensiv strategi.
Varje installation av Windows 10 har inbyggt antivirus, anti-malware program som heter Windows Defender, som uppdaterar sig själv med samma mekanism som Windows Update. Windows Defender är utformad för att vara en set-det-och-glöm-det-funktionen och inte kräver någon manuell konfiguration. Om du installerar en tredjeparts-säkerhet-paketet, Windows Defender steg åt sidan och låter som programvara för att upptäcka och ta bort eventuella hot.
Stora organisationer som använder Windows Enterprise edition kan använda Windows Defender Avancerat Skydd mot Hot, en säkerhet plattform som övervakar effektmått såsom Windows 10 St med beteendemässiga sensorer. Med cloud-baserade analysprogram, Windows Defender ATP kan identifiera misstänkt beteende och varna för administratörer att potentiella hot.
Också: Microsoft: Förbättrade funktioner säkerhet är att fördröja hackare från att attackera Windows-användare
För de mindre företagen, de viktigaste utmaning är att förhindra att skadlig kod från att nå DATORN i första hand. Microsoft SmartScreen-tekniken är en annan inbyggd funktion som söker nedladdningar och blockerar utförandet av de som är kända för att vara skadliga. SmartScreen-teknik blockerar också okända program, men tillåter användaren att åsidosätta dessa inställningar om nödvändigt.
Det är värt att notera att SmartScreen i Windows-10 fungerar oberoende av browser-baserad teknik som till exempel Googles tjänst Safe Browsing och SmartScreen-Filtret service i Microsoft Kanten.
På opåverkad Datorer, SmartScreen är en annan funktion som inte kräver någon manuell konfiguration. Du kan ändra konfigurationen med hjälp av Appen & Webbläsaren Styra inställningar i Windows Security app i Windows-10.
En annan viktig vektor för att hantera potentiellt skadlig kod är e-post, där till synes harmlösa bifogade filer och länkar till skadliga webbplatser kan leda till infektion. Även om e-postklient programvara kan erbjuda ett visst skydd i detta avseende, blockera dessa hot på servern nivå är det mest effektiva sättet att förebygga angrepp på Datorer.
En effektiv strategi för att hindra användare från att köra oönskade program (inklusive skadlig kod) för att konfigurera en Windows-10 st från att köra alla program utom de som du specifikt godkänna. För att ändra dessa inställningar på en enda DATOR går du till Inställningar > program > program & Funktioner, under det att Installera Apps rubrik, väljer Tillåter Appar Från Butiken. Denna inställning gör det möjligt för tidigare installerade program att köra, men förhindrar installation av nedladdade program från länder utanför Microsoft Store.
Även: Windows 10 tips: för att Hålla oönskade program av Datorer du stöd
Administratörer kan konfigurera den här inställningen över ett nätverk med hjälp av grupprincip: Dator Konfiguration > Administrativa Mallar, Windows-Komponenter > Windows Defender SmartScreen > Explorer > Konfigurera Appen installera Kontrollen.
De mest extrema strategi för att låsa ner en Windows-10 PC är att använda den som Tilldelats Åtkomst till att konfigurera enheten så att den kan köras endast en enda app. Om du väljer Microsoft Kant som app, kan du konfigurera enheten för att köra i helskärmsläge låst till en enda plats eller en allmän webbläsare med en begränsad uppsättning funktioner.
För att konfigurera denna funktion, gå till Inställningar > Familj Och Andra Användare och klicka på Tilldelats Åtkomst. (På en PC ansluten till ett business-konto, är detta alternativ under Inställningar > Andra Användare.)
Måste läsa
Windows 10: En lathund TechRepublicMicrosoft ‘ s besatthet med Windows är slut CNET
Nätverk
Varje version av Windows under de senaste 15 åren har inkluderat en stateful inspection brandvägg. I Windows 10, brandväggen är aktiverad som standard och inte behöver några justeringar för att vara effektiva. Som med dess föregångare, Windows 10 brandväggen har stöd för tre olika nätverkskonfigurationer: Domän, Privata och Offentliga. Appar som behöver åtkomst till nätverksresurser kan i allmänhet som konfigurerar sig själva som en del av den inledande installationen.
För att justera grundläggande inställningar i Windows-brandväggen, använd Brandvägg & Network Protection tab i Windows Security app. För en långt mer omfattande, expert-bara en uppsättning verktyg konfiguration, klicka på Avancerade Inställningar för att öppna den äldre Windows Defender-Brandväggen med Avancerad Säkerhet konsolen. På hanterade nätverk, dessa inställningar kan styras via en kombination av grupprincip och server-sidan inställningar.
Även: Windows RDP-fel: “Installera Microsofts patch, aktivera din brandvägg’
Ur säkerhetssynpunkt, den största nätverksbaserade hot till en Windows-10 PC uppstå när du ansluter till trådlösa nätverk. Stora organisationer kan avsevärt förbättra säkerheten för trådlösa anslutningar genom att lägga till stöd för 802,1 x-standard, som använder access-kontroll i stället för gemensamt lösenord som WPA2 trådlösa nätverk. Windows-10 kommer att fråga efter användarnamn och lösenord när du försöker ansluta till den här typen av nätverk och kommer att avvisa obehöriga anslutningar.
På Windows-domän-baserade nätverk, kan du använda den ursprungliga direktåtkomst för att möjliggöra säker fjärråtkomst.
För tillfällen då du måste ansluta till en betrodd trådlöst nätverk, det bästa alternativet är att sätta upp ett virtuellt privat nätverk (VPN). Windows-10 har stöd för de flesta populära VPN-paket som används på företagets nätverk, för att konfigurera den här typen av anslutning, gå till Inställningar > Nätverk Och Internet – > VPN. Små företag och enskilda personer kan välja från en mängd olika Windows-kompatibel tredje part VPN-tjänster.
Även VPN-tjänster: Den ultimata guiden till att skydda dina data på internet
Tidigare och relaterade täckning:
Hur att installera, installera, uppgradera och aktivera Windows-10
Här hittar du allt du behöver veta innan du reparera, installera eller uppgradera Windows 10, inklusive information om aktivering och produktnycklar.
Efter Windows 10 uppgradera, gör dessa sju saker omedelbart
ou har precis uppgraderat till den senaste versionen av Windows 10. Innan du gå tillbaka till arbetet, använd den här checklistan för att se till att din integritet och säkerhet inställningar är korrekta och att du har klippt olägenheter till ett minimum.
Hur du uppgraderar från Windows 10 Hem till Pro gratis
Du har fått en ny DATOR som kör Windows 10 Hem. Du vill uppgradera till Windows 10 Pro. Här är hur att få uppgraderingen gratis. Allt du behöver är en Pro/Ultimate-produktnyckel från en äldre version av Windows.
Relaterade artiklar:
Windows 7 jämfört med Windows 10: Här kommer sista showdownWindows 7 migration varning: Planera nu för att undvika oro för säkerheten laterI som Windows 7: Varför ska jag betala för att flytta Windows-10?
Relaterade Ämnen:
Affärssystem
Microsoft
Windows
St
Recensioner