?一、前言
1.1 AD 域服務(wù)
什么是目錄(directory)呢?
日常生活中使用的電話薄內(nèi)記錄著親朋好友的姓名、電話與地址等數(shù)據(jù),它就是 telephone directory(電話目錄);計(jì)算機(jī)中的文件系統(tǒng)(file system)內(nèi)記錄著文件的文件名、大小與日期等數(shù)據(jù),它就是 file directory(文件目錄)。
如果這些目錄內(nèi)的數(shù)據(jù)能夠由系統(tǒng)加以整理,用戶就能夠容易且迅速地查找到所需的數(shù)據(jù),而 directory service(目錄服務(wù))提供的服務(wù),就是要達(dá)到此目的。在現(xiàn)實(shí)生活中,查號(hào)臺(tái)也是一種目錄;在 Internet 上,百度和谷歌提供的搜索功能也是一種目錄服務(wù)。
Active Directory 域內(nèi)的 directory database(目錄數(shù)據(jù)庫)被用來存儲(chǔ)用戶賬戶、計(jì)算機(jī)賬戶、打印機(jī)和共享文件夾等對(duì)象,而提供目錄服務(wù)的組件就是 Active Directory (活動(dòng)目錄)域服務(wù)(Active Directory Domain Service,AD DS),它負(fù)責(zé)目錄數(shù)據(jù)庫的存儲(chǔ)、添加、刪除、修改與查詢等操作。一般適用于一個(gè)局域網(wǎng)內(nèi)。
在 AD 域服務(wù)(AD DS)內(nèi),AD 就是一個(gè)命名空間(Namespace)。利用 AD,我們可以通過對(duì)象名稱來找到與這個(gè)對(duì)象有關(guān)的所有信息。
在 TCP/IP 網(wǎng)絡(luò)環(huán)境內(nèi)利用 Domain Name System(DNS)來解析主機(jī)名與 IP 地址的對(duì)應(yīng)關(guān)系,也就是利用 DNS 來解析來得到主機(jī)的 IP 地址。除此之外,AD 域服務(wù)也與 DNS 緊密結(jié)合在一起,它的域命名空間也是采用 DNS 架構(gòu),因此域名采用 DNS 格式來命名,例如可以將 AD 域的域名命名為 moonxy.com。
1.2 AD域?qū)ο笈c屬性
AD 域內(nèi)的資源以對(duì)象(Object)的形式存在,例如用戶、計(jì)算機(jī)與打印機(jī)等都是對(duì)象,而對(duì)象則通過屬性(Attriburte)來描述其特征,也就是說對(duì)象本身是一些屬性的集合。例如,創(chuàng)建一個(gè)賬戶張三,則必須添加一個(gè)對(duì)象類型(object class)為用戶的對(duì)象(也就是用戶賬戶),然后在這個(gè)用戶賬戶內(nèi)輸入張三的姓名、登錄賬戶、電話號(hào)碼和電子郵件等信息,這其中的用戶賬戶就是對(duì)象,而姓名、登錄賬戶等數(shù)據(jù)就是該對(duì)象的屬性,張三就是對(duì)象類型為用戶(user)的對(duì)象。
1.3 AD 域控制器 DC
AD 域服務(wù)(AD DS)的目錄數(shù)據(jù)存儲(chǔ)在域控制器(Domain Controller,DC)內(nèi)。一個(gè)域內(nèi)可以有多臺(tái)域控制器,每臺(tái)域控制器的地位幾乎是平等的,它們各自存儲(chǔ)著一份幾乎完全相同的 Active Directory。當(dāng)在任何一臺(tái)域控制器內(nèi)添加了一個(gè)用戶賬戶后,此賬戶默認(rèn)被創(chuàng)建在此域控制器的 Active Directory,之后會(huì)自動(dòng)被復(fù)制(replicate)到其他域控制器的 Active Directory,以便讓所有域控制器內(nèi)的 Active Directory 數(shù)據(jù)都能夠同步(synchronize)。
當(dāng)用戶在域內(nèi)某臺(tái)計(jì)算機(jī)登錄時(shí),會(huì)由其中一臺(tái)域控制器根據(jù)其 Active Directory 內(nèi)的賬戶數(shù)據(jù),來審核用戶輸入的賬戶與密碼是否正確。如果是正確的,用戶就可以登錄成功;反之,會(huì)被拒絕登錄。域控制器是由服務(wù)器級(jí)別的額計(jì)算機(jī)來扮演的,例如 Windows Server 2012 和 Windows Server 2008 R2 等。
通常,域控制器的 Active Directory 數(shù)據(jù)庫是可以被讀寫的,除此之外,還有 Active Directory 數(shù)據(jù)庫是只可以讀取、不可以被修改的只讀域控制器(Read-Only Domain Controller,RODC)。例如,某子公司位于遠(yuǎn)程網(wǎng)絡(luò),如果安全措施并不像總公司一樣完備,則可以使用 RODC。
1.4 LDAP
LDAP(Lightweight Directory Access Protocol),輕量目錄訪問協(xié)議,是一種用來查詢與更新 Active Directory 的目錄服務(wù)通信協(xié)議。AD 域服務(wù)利用 LDAP 命名路徑(LDAP naming path)來表示對(duì)象在 AD 內(nèi)的位置,以便用它來訪問 AD 內(nèi)的對(duì)象。
LDAP 數(shù)據(jù)的組織方式:
LDAP 名稱路徑如下:
標(biāo)識(shí)名稱(distinguished Name,DN):它是對(duì)象在 Active Directory 內(nèi)的完整路徑,DN 有三個(gè)屬性,分別是 CN,OU,DC。
DC (Domain Component):域名組件;
CN (Common Name):通用名稱,一般為用戶名或計(jì)算機(jī)名;
OU (Organizational Unit):組織單位;
例如,如上用戶賬戶,其 DN 為:
CN=張三,OU=Web前端組,OU=軟件開發(fā)部,DC=moonxy,DC=com
其中 DC(Domain Component)表示 DNS 域名中的組件,例如 moonxy.com 中的 moonxy 與 com;OU為組織單位(Organization Unit);CN為通用名稱(Common Name),一般為用戶名或服務(wù)器名。除了DC與OU之外,其他都利用CN來表示,例如用戶與計(jì)算機(jī)對(duì)象都屬于CN。上述DN表示法中的 moonxy.com 為域名,軟件研發(fā)部、Web前端組都是組織單位。此 DN 表示賬戶張三存儲(chǔ)在 moonxy.com\軟件研發(fā)部\Web前端組路徑中。
相對(duì)標(biāo)識(shí)名稱(Relative Distinguished Name,RDN):RDN用來代表DN完整路徑中的部分路徑,例如上面路徑中的 CN=張三與 OU=Web前端組等都是 RDN。
Base DN:LDAP 目錄樹的最頂部就是根,也就是所謂的 "Base DN",如 "DC=moonxy,DC=com"。
除了 DN 與 RDN 這兩個(gè)對(duì)象名稱外,另外還有如下兩個(gè)名稱:
全局唯一標(biāo)識(shí)符(Global Unique Identifier,GUID):GUID 是一個(gè)128位的數(shù)值,系統(tǒng)會(huì)自動(dòng)為每個(gè)對(duì)象指定一個(gè)唯一的GUID。雖然可以改變對(duì)象的名稱,但是其GUID永遠(yuǎn)不會(huì)改變。
用戶主體名稱(User Principal Name,UPN):每個(gè)用戶還可以有一個(gè)比DN更短、更容易記憶的 UPN,例如上面的張三隸屬于 moonxy.com,則其 UPN 可以為 zhangsan@moonxy.com。用戶登錄時(shí)所輸入的賬戶名最好是 UPN,因?yàn)闊o論此用戶的賬戶被移動(dòng)到哪一個(gè)域,其 UPN 都不會(huì)改變,因此用戶可以一直使用同一個(gè)名稱來登錄。
AD 與 LDAP 的關(guān)系:LDAP 是一種用來訪問 AD 數(shù)據(jù)庫的目錄服務(wù)協(xié)議,AD DS 會(huì)通過 LDAP 名稱路徑來表示對(duì)象在 AD 數(shù)據(jù)庫中的位置,以便用它來訪問 AD 數(shù)據(jù)庫內(nèi)的對(duì)象。LDAP 的名稱路徑包括有 DN、RDN。
openLDAP(Linux),Active Directory(Microsoft)等是對(duì) LDAP 目錄訪問協(xié)議的具體實(shí)現(xiàn),除了實(shí)現(xiàn)協(xié)議的功能,還對(duì)它進(jìn)行了擴(kuò)展。
1.5 全局編錄
雖然在域樹內(nèi)的所有域共享一個(gè) Active Directory,但是 Active Directory 數(shù)據(jù)卻分散在各個(gè)域內(nèi),而每個(gè)域僅存儲(chǔ)該域本身的數(shù)據(jù)。因此,為了讓用戶、應(yīng)用程序能夠快速找到位于其他域內(nèi)的資源,在 AD 域服務(wù)器內(nèi)設(shè)計(jì)了全局編錄(Global Catalog,GC)。
全局編錄的數(shù)據(jù)存儲(chǔ)在域控制器內(nèi),這臺(tái)域控制器被稱為全局編錄服務(wù)器,它存儲(chǔ)著林內(nèi)所有域的 AD 內(nèi)的每個(gè)對(duì)象。不過只存儲(chǔ)對(duì)象的部分屬性,這些屬性都是常用來搜索的屬性,例如用戶的電話號(hào)碼、登錄賬戶名等。全局編錄讓用戶即使不知道對(duì)象位于哪一個(gè)域內(nèi),仍然可以快速的找到所需的對(duì)象。
用戶登錄時(shí),全局編錄服務(wù)器還負(fù)責(zé)提供該用戶所屬的通用組的信息;用戶利用 UPN 登錄時(shí),它會(huì)負(fù)責(zé)提供該用戶隸屬于哪一個(gè)域的信息。
一個(gè)林內(nèi)的所有域樹共享相同的全局編錄,而林內(nèi)的第一臺(tái)域控制器默認(rèn)就是全局編錄服務(wù)器。必要時(shí),也可以另外指派其他域控制器來當(dāng)做全局編錄服務(wù)器。
二、 部署AD域控制器
首先,我們檢查第一臺(tái)已經(jīng)安裝Windows Server 2012 R2的服務(wù)網(wǎng)絡(luò)的相關(guān)配置,確定的服務(wù)器IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)的參數(shù)如下,由于該服務(wù)器既要充當(dāng)ADDC角色,又要充當(dāng)網(wǎng)絡(luò)的DNS角色 ,所以“首先DNS服務(wù)器”中配置的IP地址輸入它自己的IP地址,即192.168.20.100,同時(shí)將來會(huì)有另外一臺(tái)輔助的ADDC會(huì)加入也會(huì)承擔(dān)DNS的角色,所以 在備用服務(wù)器中的IP地址中輸入另外一臺(tái)DNS的IP地址,即192.168.20.101,操作如下:
步驟 1 檢查服務(wù)器的IP地址:
步驟 2點(diǎn)擊Server2012左下角的“服務(wù)器管理器”顯示如下界面:
步驟 3點(diǎn)擊”管理”:
步驟 4點(diǎn)擊“添加角色和功能按鈕”彈出如下界面:
步驟 5這里選擇“基于角色或基于功能的安裝”,然后點(diǎn)“下一步”:
步驟 6服務(wù)器選擇這里選擇默認(rèn)的,假如你需要針對(duì)其它主機(jī)安裝AD角色,這里可以選擇你需要的主機(jī),點(diǎn)擊“下一步”:
步驟 7這里勾選“ActiveDirectory域服務(wù)”:
步驟 8當(dāng)勾選這個(gè)選項(xiàng)時(shí),會(huì)彈出如下對(duì)話框,點(diǎn)“添加功能”。
步驟 9這樣就正確選擇了安裝AD角色,點(diǎn)擊“下一步”
步驟 10功能頁面不需要做任何選擇直接點(diǎn)“下一步”
步驟 11這里是介紹AD角色的功能及注意事項(xiàng),點(diǎn)擊“下一步”
步驟 12勾選“如果需要,自動(dòng)重新啟動(dòng)目標(biāo)服務(wù)器”,然后點(diǎn)擊“安裝”
步驟 13安裝成功后我們點(diǎn)擊“關(guān)閉”,但這還沒有完全安裝成功
步驟 14點(diǎn)擊服務(wù)器右上角的“功能按鈕”, 彈出繼續(xù)配置AD的對(duì)話框
步驟 15點(diǎn)擊“部署后配置”,在紅框處填入相應(yīng)的域名
步驟 16點(diǎn)擊“下一步”選擇域功能級(jí)別,選擇相應(yīng)的功能,DNS/GC/RODC,最下面輸入目錄服務(wù)還原密碼在此設(shè)置密碼為:vancen.123
步驟 17點(diǎn)擊“下一步”后配置DNS,由于不需要委派DNS,所以這里不需要設(shè)置,直接點(diǎn)擊“下一步”
步驟 18這一步配置Netbios名,若沒有特殊需求默認(rèn)的就可以,直接點(diǎn)“下一步”
步驟 19配置日志,數(shù)據(jù)庫,SYSVOL路徑,若沒有特殊需求,默認(rèn)就可以
步驟 20查看配置信息,若沒有任何問題直接點(diǎn)“下一步”
步驟 21這個(gè)頁面是檢測是否滿足條件,滿足條件后就可以直接點(diǎn)“安裝”
步驟 22等待機(jī)器安裝配置項(xiàng),可能需要重啟
4
步驟 23重啟后我們會(huì)4看到AD角色已經(jīng)安裝完成
第一臺(tái) ADDC已經(jīng)安裝完成
三、部署額外域控制器
首先,我們檢查第二臺(tái)已經(jīng)安裝Windows Server 2012 R2的服務(wù)網(wǎng)絡(luò)的相關(guān)配置,確定的服務(wù)器IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)的參數(shù)如下,由于該服務(wù)器既要充當(dāng)輔助的ADDC角色,又要充當(dāng)網(wǎng)絡(luò)的DNS角色 ,所以“首先DNS服務(wù)器”中配置的IP地址輸入主域控制器的IP地址,即192.168.20.100,備用DNS服務(wù)器的IP地址輸入它自己的IP地址,即192.168.20.101,操作如下
步驟 1 檢查服務(wù)器的IP地址
步驟 2 修改計(jì)算機(jī)名為ADDC02,點(diǎn)擊確定
步驟 3 點(diǎn)擊“添加角色和功能按鈕”彈出如下界面
步驟 4這里選擇“基于角色或基于功能的安裝”,然后點(diǎn)“下一步”
?
步驟 5這里選擇“從服務(wù)器池中選擇服務(wù)器”,然后點(diǎn)“下一步”
步驟 6這里選擇“域服務(wù)所需的功能”,然后點(diǎn)“下一步”
步驟 7然后點(diǎn)“下一步”
步驟 8然后點(diǎn)擊“安裝”
步驟 9點(diǎn)擊“將此服務(wù)器提升為域控制器”
步驟 10由于是做已經(jīng)建立的域的輔助域控制器,所以單擊 “向域控制器添加到現(xiàn)有域”
步驟 11由于域的輔助域控制器所以選擇域系統(tǒng)(DNS)服務(wù)器和全局編錄(GC)功能,目錄還原模塊密碼vancen.123
步驟 12選擇從主域控復(fù)制數(shù)據(jù)安裝,復(fù)制自:ADDC01.VANCEN.COM
步驟 13配置文件路徑選擇默認(rèn),點(diǎn)擊“下一步”
步驟 14查看腳本后,點(diǎn)擊“下一步”
步驟 15先決條件檢查后,點(diǎn)擊“安裝”
第二臺(tái) ADDC已經(jīng)安裝完成,到此兩臺(tái)域控制都已經(jīng)安裝完成
四、驗(yàn)證安裝
步驟 1直接打開CMD命令行,輸入“netdom query fsmo”,這時(shí)會(huì)顯示五種角色都已經(jīng)安裝成功
步驟 2若要進(jìn)一步驗(yàn)證AD是否安裝正確,可以使用DCDIAG /a命令行
步驟 3使用Repadmin診斷工具檢查目錄復(fù)制問題,包括管理和修改復(fù)制拓?fù)洌瑥?qiáng)制復(fù)制事件和顯示復(fù)制元數(shù)據(jù)與最新矢量。
END
如何配置Windows 10 以避免常見的安全問題?
誘人的是,可以將保護(hù)Windows 10設(shè)備的過程簡化為簡單的清單。安裝一些安全軟件,調(diào)整一些設(shè)置,進(jìn)行一兩次培訓(xùn),然后您就可以繼續(xù)執(zhí)行任務(wù)列表中的下一項(xiàng)。
現(xiàn)實(shí)世界要復(fù)雜得多。沒有軟件的靈丹妙藥,您的初始設(shè)置只是建立了安全基準(zhǔn)。初始配置完成后,安全性需要持續(xù)的警惕和持續(xù)的努力。
保護(hù)Windows 10設(shè)備的許多工作都發(fā)生在設(shè)備本身之外。精心計(jì)劃的安全策略應(yīng)注意網(wǎng)絡(luò)流量,電子郵件帳戶,身份驗(yàn)證機(jī)制,管理服務(wù)器和其他外部連接。
本指南涵蓋了廣泛的業(yè)務(wù)用例,每個(gè)標(biāo)題都討論了決策者在部署Windows 10 PC時(shí)必須考慮的問題。
盡管它涵蓋了許多可用選項(xiàng),但它不是動(dòng)手指南。在大型企業(yè)中,您的IT員工應(yīng)包括可以管理這些步驟的安全專家。
在沒有專門IT人員的小型企業(yè)中,將這些職責(zé)外包給具有必要專業(yè)知識(shí)的顧問可能是最好的方法。
但是,在觸摸單個(gè)Windows設(shè)置之前,請(qǐng)花一些時(shí)間進(jìn)行威脅評(píng)估。特別是,在發(fā)生數(shù)據(jù)泄露或其他與安全相關(guān)的事件時(shí),請(qǐng)注意您的法律和法規(guī)責(zé)任。
對(duì)于需要遵守法規(guī)要求的企業(yè),您需要聘請(qǐng)一位了解您的行業(yè)并可以確保您的系統(tǒng)滿足所有適用要求的專家。以下類別適用于各種規(guī)模的企業(yè)。
對(duì)于任何Windows 10 PC而言,最重要的一項(xiàng)安全設(shè)置是確保定期,可預(yù)測的時(shí)間表安裝更新。當(dāng)然,每種現(xiàn)代計(jì)算設(shè)備都是如此,但是Microsoft Windows 10引入的“ Windows即服務(wù)”模型改變了您管理更新的方式。
但是,在開始之前,重要的是要了解Windows 10更新的不同類型及其工作方式。
默認(rèn)情況下,Windows 10設(shè)備會(huì)在Microsoft更新服務(wù)器上提供質(zhì)量更新后立即下載并安裝質(zhì)量更新。在運(yùn)行Windows 10 Home的設(shè)備上,雖然個(gè)別用戶可以將所有更新暫停最多7天,但沒有確切指定何時(shí)安裝這些更新的受支持方法。在運(yùn)行Windows 10商業(yè)版(專業(yè)版,企業(yè)版或教育版)的PC上,用戶可以將所有更新暫停最多35天,管理員可以使用組策略設(shè)置將PC上的質(zhì)量更新的安裝推遲30天。釋放。
與所有安全性決定一樣,選擇何時(shí)安裝更新需要權(quán)衡。發(fā)行后立即安裝更新可提供最佳保護(hù)。
推遲更新可以最大程度地減少與這些更新相關(guān)的計(jì)劃外停機(jī)時(shí)間。使用Windows 10 Pro,Enterprise和Education版本中內(nèi)置的Windows Update for Business功能,您可以將質(zhì)量更新的安裝最多延遲30天。您還可以將功能更新最多延遲兩年,具體取決于版本。
將質(zhì)量更新推遲7到15天是一種避免安裝可能導(dǎo)致穩(wěn)定性或兼容性問題的有缺陷的更新的低風(fēng)險(xiǎn)方法。您可以使用“設(shè)置”>“更新和安全性”>“高級(jí)選項(xiàng)”中的控件來調(diào)整單個(gè)PC上的Windows Update for Business設(shè)置。
在大型組織中,管理員可以使用組策略或移動(dòng)設(shè)備管理(MDM)軟件來應(yīng)用Windows Update for Business設(shè)置。您也可以使用系統(tǒng)中心配置管理器或Windows Server Update Services等管理工具集中管理更新。
最后,您的軟件更新策略不應(yīng)只停留在Windows本身。確保自動(dòng)安裝Windows應(yīng)用程序(包括Microsoft Office和Adobe應(yīng)用程序)的更新。
每臺(tái)Windows 10 PC至少需要一個(gè)用戶帳戶,該用戶帳戶又受密碼和可選的身份驗(yàn)證機(jī)制保護(hù)。如何設(shè)置該帳戶(以及所有輔助帳戶)對(duì)于確保設(shè)備的安全性大有幫助。
可以將運(yùn)行Windows 10商業(yè)版的設(shè)備加入Windows域。在該配置中,域管理員可以訪問Active Directory功能,并且可以授權(quán)用戶,組和計(jì)算機(jī)訪問本地和網(wǎng)絡(luò)資源。如果您是域管理員,則可以使用全套基于服務(wù)器的Active Directory工具來管理Windows 10 PC。
與大多數(shù)小型企業(yè)一樣,對(duì)于未加入域的Windows 10 PC,您可以選擇以下三種帳戶類型:
Windows 10 PC上的第一個(gè)帳戶是Administrators組的成員,并有權(quán)安裝軟件和修改系統(tǒng)配置。可以并且應(yīng)該將輔助帳戶設(shè)置為“標(biāo)準(zhǔn)”用戶,以防止未經(jīng)培訓(xùn)的用戶無意中損壞系統(tǒng)或安裝不需要的軟件。無論帳戶類型如何,都要求一個(gè)強(qiáng)密碼。
在托管網(wǎng)絡(luò)上,管理員可以使用組策略或MDM軟件來實(shí)施組織密碼策略。為了提高特定設(shè)備上登錄過程的安全性,您可以使用Windows 10功能,稱為Windows Hello。Windows Hello需要兩步驗(yàn)證過程,才能使用支持FIDO 2.0版的Microsoft帳戶,Active Directory帳戶,Azure AD帳戶或第三方身份提供程序注冊(cè)設(shè)備。
完成該注冊(cè)后,用戶可以使用PIN或使用受支持的硬件,生物特征認(rèn)證(例如指紋或面部識(shí)別)登錄。生物識(shí)別數(shù)據(jù)僅存儲(chǔ)在設(shè)備上,可防止各種常見的密碼竊取攻擊。在連接到企業(yè)帳戶的設(shè)備上,管理員可以使用Windows Hello企業(yè)版來指定PIN復(fù)雜性要求。
最后,在商用PC上使用Microsoft或Azure AD帳戶時(shí),應(yīng)設(shè)置多因素身份驗(yàn)證(MFA)以保護(hù)該帳戶免受外部攻擊。在Microsoft帳戶上,可通過account.live.com/proofs獲得兩步驗(yàn)證設(shè)置。對(duì)于Office 365商業(yè)和企業(yè)帳戶,管理員必須首先從Office門戶啟用該功能,然后用戶可以通過登錄account.activedirectory.windowsazure.com/proofup.aspx來管理MFA設(shè)置。
物理安全與與軟件或網(wǎng)絡(luò)相關(guān)的問題一樣重要。筆記本電腦被盜,或者在出租車或餐館中遺留的筆記本電腦,可能會(huì)導(dǎo)致數(shù)據(jù)丟失的巨大風(fēng)險(xiǎn)。對(duì)于企業(yè)或政府機(jī)構(gòu)而言,影響可能是災(zāi)難性的,在受監(jiān)管的行業(yè)或數(shù)據(jù)泄露法律要求公開披露的情況下,后果甚至更糟。
在Windows 10設(shè)備上,您可以做的最重要的配置更改就是啟用BitLocker設(shè)備加密。(BitLocker是Microsoft用于Windows商務(wù)版中可用的加密工具的商標(biāo)。)
啟用BitLocker后,設(shè)備上的每一位數(shù)據(jù)都使用XTS-AES標(biāo)準(zhǔn)進(jìn)行加密。使用組策略設(shè)置或設(shè)備管理工具,可以將加密強(qiáng)度從默認(rèn)的128位設(shè)置提高到256位。
啟用BitLocker要求設(shè)備包含可信平臺(tái)模塊(TPM)芯片;過去六年中制造的每臺(tái)商用PC都應(yīng)符合此條件。此外,BitLocker需要Windows 10的商業(yè)版本(Pro,Enterprise或Education)。
Home Edition支持強(qiáng)大的設(shè)備加密,但只能使用Microsoft帳戶,并且不允許管理BitLocker設(shè)備。為了獲得完整的管理功能,您還需要使用Windows域上的Active Directory帳戶或Azure Active Directory帳戶來設(shè)置BitLocker。
在這兩種配置中,恢復(fù)密鑰都保存在域或AAD管理員可用的位置。在運(yùn)行Windows 10商業(yè)版的非托管設(shè)備上,可以使用本地帳戶,但是需要使用BitLocker管理工具來在可用驅(qū)動(dòng)器上啟用加密。并且不要忘記加密便攜式存儲(chǔ)設(shè)備。
USB閃存驅(qū)動(dòng)器。用作擴(kuò)展存儲(chǔ)的MicroSD卡和便攜式硬盤驅(qū)動(dòng)器很容易丟失,但是可以使用BitLocker To Go(使用密碼解密驅(qū)動(dòng)器的內(nèi)容)來保護(hù)數(shù)據(jù)免遭窺視。
在使用Azure Active Directory的大型組織中,還可以使用Azure信息保護(hù)和Azure權(quán)限管理服務(wù)來保護(hù)存儲(chǔ)的文件和電子郵件的內(nèi)容。這種組合使管理員可以對(duì)Office和其他應(yīng)用程序中創(chuàng)建的文檔進(jìn)行分類和限制訪問,而不受其本地加密狀態(tài)的影響。
隨著世界之間的聯(lián)系越來越緊密,在線攻擊者變得越來越復(fù)雜,傳統(tǒng)防病毒軟件的作用也發(fā)生了變化。安全軟件已不再是阻止惡意代碼安裝的主要工具,它現(xiàn)在只是防御策略中的另一層。Windows 10的每個(gè)安裝都包括稱為Microsoft Defender Antivirus(以前稱為Windows Defender)的內(nèi)置防病毒,防惡意軟件,該軟件使用與Windows Update相同的機(jī)制進(jìn)行自我更新。
Microsoft Defender防病毒軟件被設(shè)計(jì)為具有“一勞永逸”功能,并且不需要任何手動(dòng)配置。如果安裝了第三方安全軟件包,則Windows將禁用內(nèi)置保護(hù),并允許該軟件檢測并消除潛在威脅。
使用Windows Enterprise Edition的大型組織可以部署Microsoft Defender Advanced Threat Protection,這是一個(gè)使用行為傳感器監(jiān)視端點(diǎn)(例如Windows 10 PC)的安全平臺(tái)。使用基于云的分析,Microsoft Defender ATP可以識(shí)別可疑行為,并警告管理員潛在的威脅。
對(duì)于較小的企業(yè),最重要的挑戰(zhàn)是首先防止惡意代碼到達(dá)PC。微軟的SmartScreen技術(shù)是另一種內(nèi)置功能,可掃描下載并阻止執(zhí)行已知為惡意的下載。
SmartScreen技術(shù)還阻止了無法識(shí)別的程序,但允許用戶在必要時(shí)覆蓋這些設(shè)置。值得注意的是,Windows 10中的SmartScreen可以獨(dú)立于基于瀏覽器的技術(shù)工作,例如Google的安全瀏覽服務(wù)和Microsoft Edge中的SmartScreen篩選器服務(wù)。
在不受管理的PC上,SmartScreen是另一個(gè)功能,不需要手動(dòng)配置。您可以使用Windows 10中Windows安全應(yīng)用程序中的“應(yīng)用程序和瀏覽器控制”設(shè)置來調(diào)整其配置。
電子郵件是管理潛在惡意代碼的另一個(gè)重要載體,電子郵件中看似無害的文件附件和指向惡意網(wǎng)站的鏈接可能導(dǎo)致感染。盡管電子郵件客戶端軟件可以在這方面提供一些保護(hù),但是在服務(wù)器級(jí)別阻止這些威脅是防止對(duì)PC進(jìn)行攻擊的最有效方法。
防止用戶運(yùn)行不需要的程序(包括惡意代碼)的有效方法是配置Windows 10 PC以運(yùn)行除您明確授權(quán)的應(yīng)用之外的任何應(yīng)用。要在單臺(tái)PC上調(diào)整這些設(shè)置,請(qǐng)依次轉(zhuǎn)到設(shè)置>應(yīng)用>應(yīng)用和功能;在“安裝應(yīng)用程序”標(biāo)題下,選擇“僅允許來自商店的應(yīng)用程序”。
此設(shè)置允許運(yùn)行以前安裝的應(yīng)用程序,但阻止從Microsoft Store外部安裝任何下載的程序。
管理員可以使用組策略通過網(wǎng)絡(luò)配置此設(shè)置:“計(jì)算機(jī)配置”>“管理模板”>“ Windows組件”>“ Windows Defender SmartScreen”>“資源管理器”>“配置應(yīng)用程序安裝控件”。
鎖定Windows 10 PC的最極端方法是使用“分配的訪問”功能配置設(shè)備,使其只能運(yùn)行一個(gè)應(yīng)用程序。如果選擇Microsoft Edge作為應(yīng)用程序,則可以將設(shè)備配置為以全屏模式運(yùn)行,并鎖定到單個(gè)站點(diǎn),也可以配置為功能有限的公共瀏覽器。
要配置此功能,請(qǐng)轉(zhuǎn)到“設(shè)置”>“家庭和其他用戶”,然后單擊“分配的訪問權(quán)限”。(在連接到企業(yè)帳戶的PC上,此選項(xiàng)位于“設(shè)置”>“其他用戶”下。)