Как настроить ПК с Windows 10, чтобы избежать распространенных проблем безопасности? К сожалению, не существует универсального программного обеспечения, средства для малого бизнеса и для предприятий – разные. Вот чего стоит остерегаться.
Хотелось бы думать, что процесс обеспечения безопасности ПК с Windows 10 мог бы быть сведен к обычному контрольному списку. Установите программное обеспечение безопасности, настройте несколько параметров, потренируйтесь еще пару раз и можете приступать к следующему пункту в Вашем списке дел.
Увы, реальный мир намного сложнее.
Не существует волшебного программного обеспечения, и Ваша первоначальная настройка просто устанавливает базовый уровень безопасности. После того, как первоначальная настройка завершена, безопасность требует постоянной бдительности и постоянных усилий. Большая часть работы по обеспечению безопасности устройства с Windows 10 происходит удаленно от самого устройства. Хорошо спланированная политика безопасности обращает внимание на сетевой трафик, учетные записи электронной почты, механизмы аутентификации, сервера управления и другие внешние соединения.
Это руководство охватывает широкий спектр случаев использования в бизнесе, причем в каждом разделе обсуждается проблема, которую лица, принимающие решения, должны учитывать при развертывании ПК с Windows 10. И хотя оно охватывает много доступных вариантов, это не практическое руководство.
В большом бизнесе ИТ-команда должна включать в себя специалистов по безопасности, которые могут управлять этими действиями. В малом же бизнесе без специального ИТ-персонала, лучшим подходом будет передача обязанностей аутсорсинговой компании. 
Прежде чем Вы коснетесь одного параметра Windows, потратьте некоторое время на оценку угрозы. В частности, помните о своих юридических и нормативных обязанностях в случае нарушения данных или другого события, связанного с безопасностью. Для бизнеса, который подлежит соответствию требованиям, Вы захотите нанять специалиста, который знает Вашу отрасль и может обеспечить соответствие ваших систем всем применимым требованиям.
Следующие категории применимы к бизнесу всех размеров.
Единственный самый важный параметр безопасности для любого ПК с Windows 10 – это обеспечение того, чтобы обновления устанавливались по регулярному, предсказуемому расписанию. Конечно, это верно для каждого современного вычислительного устройства, но модель “Windows как услуга”, которую Microsoft представила в Windows 10, меняет способ управления обновлениями.
Однако, прежде чем начать, важно понять, какие существуют разные типы обновления Windows 10 и как они работают.
- Качественные обновления доставляются ежемесячно через Windows Update. Они решают проблемы безопасности и надежности и не включают новые функции. (Эти обновления также включают исправления для недостатков микрокода в процессорах Intel.)
- Все качественные обновления являются накопительными, поэтому вам больше не нужно загружать десятки или даже сотни обновлений после выполнения чистой установки Windows 10. Вместо этого вы можете установить последнее накопительное обновление, и Ваше устройство будет полностью обновлено.
- Обновления функций эквивалентны обновлениям версий. Они включают в себя новые функции и требуют загрузки в несколько гигабайт и полной настройки. Обновления функций Windows 10 выпускаются два раза в год, в апреле и октябре, и тоже через Windows Update.
По умолчанию устройства с Windows 10 загружают и устанавливают обновления, как только они становятся доступны на серверах обновлений Microsoft. На устройствах управляемые Windows 10 Home нет поддерживаемого способа контролировать, когда установлены обновления. Однако администраторы могут осуществлять некоторый контроль над установкой обновлений на ПК под управлением бизнес-версий Windows 10.
Как и во всех решениях в области безопасности, выбор времени установки обновлений подразумевает компромисс. Установка обновлений сразу после их выпуска обеспечивает лучшую защиту; отсрочка обновлений позволяет минимизировать незапланированные простои, связанные с этими обновлениями.
Используя функции Windows Update для бизнеса, встроенные в выпуски Windows 10 Pro, Enterprise и Education, вы можете отложить установку качественных обновлений до 30 дней. Вы также можете отложить обновление функций на два года, в зависимости от выпуска.
Откладывание качественных обновлений на 7-15 дней — это способ избежать риска некорректного обновления, которое может вызвать проблемы со стабильностью или совместимостью. Вы можете регулировать параметры Windows Update для бизнеса на отдельных компьютерах, используя элементы управления в меню «Настройки» > «Обновление и безопасность» > «Дополнительные параметры».
В более крупных организациях администраторы могут применять параметры Центра обновления Windows для бизнеса с помощью программного обеспечения групповой политики или управления мобильными устройствами (MDM). Вы также можете централизованно администрировать обновления с помощью инструмента управления, такого как System Center Configuration Manager или Windows Server Update Services.
В конце концов, ваша стратегия обновления программного обеспечения не должна ограничиваться самой Windows. Убедитесь, что обновления для приложений Windows, включая приложения Microsoft Office и Adobe, устанавливаются автоматически.
Управление учетными записями пользователей
Каждый ПК с Windows 10 требует как минимум одну учетную запись пользователя, которая в свою очередь защищена паролем и дополнительными механизмами аутентификации. То, как вы настроили эту учетную запись (и любые дополнительные учетные записи), имеет большое значение для обеспечения безопасности устройства.
Устройства под управлением бизнес-редакции Windows 10 (Pro, Enterprise или Education) могут быть присоединены к домену Windows. В этой конфигурации администраторы домена имеют доступ к функциям Active Directory и могут авторизовать пользователей, группы и компьютеры для доступа к локальным и сетевым ресурсам. Если вы являетесь администратором домена, вы можете управлять ПК с Windows 10, используя полный набор инструментов Active Directory на основе сервера.
Для компьютеров под управлением Windows 10, которые не присоединены к домену, как это имеет место в большинстве малых предприятий, у вас есть выбор из трех типов учетных записей:
- Локальные учетные записи используют учетные данные, которые хранятся только на устройстве.
- Учетные записи Microsoft — бесплатны для использования потребителями и позволяют синхронизировать данные и настройки на ПК и устройствах; они также поддерживают двухфакторную аутентификацию и параметры восстановления пароля.
- Учетные записи Azure Active Directory (Azure AD) связаны с настраиваемым доменом и могут управляться централизованно. Основные функции Azure AD бесплатны и включены в подписки на Office 365 Business и Enterprise; дополнительные функции Azure AD доступны в качестве платных обновлений.
Первая учетная запись на ПК с Windows 10 является членом «Administrators group» и имеет право устанавливать программное обеспечение и изменять систему конфигурации. Вторичные учетные записи могут и должны быть настроены как обычные пользователи, чтобы предотвратить случайное повреждение неподготовленными пользователями системы или установку нежелательного программного обеспечения.
Требование надежного пароля является важным шагом независимо от типа учетной записи. В управляемых сетях администраторы могут использовать групповую политику или программное обеспечение MDM, чтобы усилить политику организации паролей.
Чтобы повысить безопасность процесса входа в систему на конкретном устройстве, вы можете использовать функцию Windows 10 под названием Windows Hello. Windows Hello требует двухэтапного процесса проверки для регистрации устройства с учетной записью Microsoft, учетной записью Active Directory, учетной записью Azure AD или сторонним поставщиком, который поддерживает FIDO версии 2.0.
Когда регистрация завершена, пользователь может войти в систему с помощью PIN-кода или, с использованием поддерживаемого оборудования, биометрической аутентификации, такой как отпечаток пальца или распознавание лица. Биометрические данные хранятся только на устройстве и предотвращают множество распространенных атак с использованием паролей. На устройствах, подключенных к бизнес-учетным записям, администраторы могут использовать Windows Hello Business, чтобы указать требования к сложности ПИН-кода.
Наконец, при использовании учетных записей Microsoft или Azure AD на рабочих ПК необходимо настроить многофакторную проверку подлинности (MFA) для защиты учетной записи от внешних атак. В учетных записях Microsoft параметр двухэтапного подтверждения доступен по адресу. Для учетных записей Office 365 Business и Enterprise администратор должен сначала включить эту функцию на портале Office, после чего пользователи могут управлять настройками MFA, перейдя по адресу .
Защита данных
Физическая безопасность так же важна, как и проблемы, связанные с программным обеспечением или сетями. Украденный ноутбук или оставленный в такси или ресторане все это может привести к значительному риску потери данных. Влияние этого может быть катастрофическим на бизнес или государственное учреждение, а последствия еще хуже в регулируемых отраслях или там, где законы о нарушении данных требуют публичного раскрытия.
На устройстве Windows 10 самое важное изменение конфигурации, которое вы можете сделать, — включить шифрование устройства BitLocker. (BitLocker — это торговая марка, которую Microsoft использует для средств шифрования, доступных в бизнес-версиях Windows.)
При включенном BitLocker каждый бит данных на устройстве шифруется с использованием стандарта XTS-AES. Используя параметры групповой политики или средства управления устройствами, вы можете увеличить уровень шифрования со 128-бит по умолчанию до 256-бит. Для включения BitLocker требуется устройство с микросхемой доверенного платформенного модуля (TPM); каждый business ПК, произведенный за последние шесть лет, должен соответствовать этому требованию.
Кроме того, для BitLocker требуется бизнес-версия Windows 10 (Pro, Enterprise или Education); редакция Home поддерживает надежное шифрование устройства, но только с использованием учетной записи Microsoft, и не позволяет управлять устройством BitLocker.
Для обеспечения полных возможностей управления вам также необходимо настроить BitLocker с использованием учетной записи Active Directory в домене Windows или Azure Active Directory. В любой конфигурации ключ восстановления сохраняется в месте, доступном для домена или администратора AAD.
На неуправляемом устройстве под управлением бизнес-редакции Windows 10 вы можете использовать локальную учетную запись, но вам нужно будет использовать средства управления BitLocker, чтобы включить шифрование на доступных дисках.
И не забудьте зашифровать портативные устройства хранения. Флешки. Карты MicroSD, используемые в качестве дополнительного хранилища, и портативные жесткие диски легко теряются, но данные могут быть защищены от посторонних глаз с помощью BitLocker To Go, который использует пароль для расшифровки содержимого диска.
В крупных организациях, использующих Azure Active Directory, также возможно защитить содержимое хранимых файлов и сообщений электронной почты, используя Azure Information Protection и службу управления правами Azure. Эта комбинация позволяет администраторам классифицировать и ограничивать доступ к документам, созданным в Office и других приложениях, независимо от их локального состояния шифрования.
Блокировка вредоносного кода
Когда мир стал более взаимосвязанным, а злоумышленники в Интернете стали более изощренными, роль традиционного антивирусного программного обеспечения изменилась. Вместо того, чтобы быть основным инструментом для блокировки установки вредоносного кода, программное обеспечение безопасности теперь является просто еще одним слоем в защитной стратегии.
Каждая установка Windows 10 включает в себя встроенное антивирусное программное обеспечение под названием Windows Defender, которое обновляется с использованием того же механизма, что и Windows Update. Windows Defender разработан так, чтобы его можно было установить и забыть, и не нужно было настраивать руками. Если вы устанавливаете сторонний пакет безопасности, Windows Defender отходит в сторону и позволяет этому программному обеспечению обнаруживать и устранять потенциальные угрозы.
Крупные организации, использующие выпуск Windows Enterprise, могут развернуть Windows Defender Advanced Threat Protection, платформу безопасности, которая отслеживает конечные точки, такие как ПК с Windows 10, с помощью поведенческих датчиков. Windows Defender ATP может выявлять подозрительное поведение и предупреждать администраторов о потенциальных угрозах.
Для небольших компаний наиболее важной задачей является предотвращение попадания вредоносного кода на ПК. Технология SmartScreen от Microsoft — это еще одна встроенная функция, которая сканирует загрузки и блокирует выполнение тех из них, которые известны как вредоносные. Технология SmartScreen также блокирует нераспознанные программы, но позволяет пользователю, при необходимости, переопределять настройки.
Стоит отметить, что SmartScreen в Windows 10 работает независимо от браузерной технологии, такой как служба безопасного просмотра Google и служба фильтра SmartScreen в Microsoft Edge. На неуправляемых ПК SmartScreen — это еще одна функция, которая не требует ручной настройки. Вы можете изменить конфигурацию, используя настройки App & Browser Control в приложении Windows Security в Windows 10.
Другим важным вектором для управления потенциально вредоносным кодом является электронная почта, где на первый взгляд безобидные, вложенные файлы и ссылки на вредоносные сайты могут привести к заражению. Хотя программное обеспечение почтового клиента может обеспечить некоторую защиту в этом отношении, блокировка этих угроз на уровне сервера является наиболее эффективным способом предотвращения атак ПК.
Эффективный подход по предотвращению запуска пользователями нежелательных программ (включая вредоносный код) заключается в настройке ПК с Windows 10 по избежанию запуска программ, которые Вы намеренно не хотела включать. Чтобы настроить эти параметры на ПК, выберите «Настройки» > «Приложения» > «Приложения и функции»; под заголовком «Установка приложений» выберите «Разрешить приложения только из магазина». Этот параметр позволяет запускать ранее установленные приложения, но запрещает установку любых загруженных программ из Microsoft Store.
Администраторы могут настроить этот параметр по сети с помощью групповой политики: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Windows Defender SmartScreen > Проводник > Настроить контроль установки приложения.
В крайнем случае для блокировки ПК с Windows 10 можно использовать функцию «Назначенный доступ» для настройки устройства, чтобы запускало только одно приложение.
Если вы выберете Microsoft Edge в качестве приложения, вы можете настроить устройство для работы в полноэкранном режиме, привязанном к одному сайту, или в качестве общедоступного браузера с ограниченным набором функций.
Чтобы настроить эту функцию, перейдите в «Настройки» > «Семья и другие пользователи» и нажмите «Назначенный доступ». (На ПК, который подключен к корпоративной учетной записи, этот параметр находится в разделе «Настройки» > «Другие пользователи».)
Работа с сетями
Каждая версия Windows за последние 15 лет включала межсетевой экран с контролем состояния. В Windows 10 этот брандмауэр включен по умолчанию и не требует каких-либо настроек. Как и его предшественники, брандмауэр Windows 10 поддерживает три различные конфигурации сети: доменную, частную и общедоступную. Приложения, которым требуется доступ к сетевым ресурсам, обычно могут настраиваться как часть начальной настройки.
Чтобы настроить основные параметры брандмауэра Windows, используйте вкладку «Брандмауэр и защита сети» в приложении «Безопасность Windows». Чтобы получить более полный набор инструментов настройки только для экспертов, щелкните «Дополнительные параметры», чтобы открыть устаревший брандмауэр Windows Defender с консолью расширенной безопасностью. В управляемых сетях этими параметрами можно управлять с помощью комбинации групповой политики и параметров на стороне сервера.
С точки зрения безопасности, самые большие сетевые угрозы для ПК с Windows 10 возникают при подключении к беспроводным сетям. Крупные организации могут значительно повысить безопасность беспроводных соединений, добавив поддержку стандарта 802.1x, в котором вместо общих паролей используются средства управления доступом, как в беспроводных сетях WPA2. Windows 10 запросит имя пользователя и пароль при попытке подключения к сети такого типа и отклонит несанкционированные подключения.
В доменных сетях Windows вы можете использовать встроенную функцию DirectAccess для обеспечения безопасного удаленного доступа.
В случаях, когда необходимо подключиться к ненадежной беспроводной сети, наилучшей альтернативой является настройка виртуальной частной сети (VPN). Windows 10 поддерживает большинство популярных пакетов VPN, используемых в корпоративных сетях; чтобы настроить этот тип соединения, выберите «Настройки»> «Сеть и Интернет»> «VPN». Малые предприятия и частные лица могут выбирать из множества совместимых с Windows сторонних VPN-сервисов.