视窗Windows

虽然本指南 不适用于任何特定版本的 Windows，但它最后在 Windows 10 2004 Enterprise Edition 上进行了测试，该版本比其他一些版本的 Windows 10具有更多可用功能 。

一般建议

对于 Windows 10 设备的企业部署，您应该：

• 确定您的组织将使用哪些 Windows 10 设备：

• 具有硬件要求以启用基于虚拟化的安全性和全盘加密等功能的设备是首选。

• Windows 10 设备通常每年接收多次软件更新，每年有两次重大更新。我们建议在您的组织允许的情况下使设备保持最新状态。Microsoft 的Windows 生命周期情况说明书可以帮助您规划升级，以保持您的组织使用受支持的版本。

• 使用推荐的网络架构之一来启用对企业服务的远程访问。

• 使用移动设备管理服务在您的 Windows 10 设备上配置、监控和实施技术控制。启用任何日志记录和监控功能。

• 如果您仅从本地迁移到包含云，则最初建议使用混合网络部署。这可以使用Azure Connect来完成。可以在此处找到有关混合架构的一些帮助。

• 使用Windows Autopilot通过受信任的 Windows 10 基础映像的零接触注册来注册和预配设备。在设置期间提供非管理帐户，无需本地管理员帐户。

• 配置Windows Defender以帮助抵御恶意软件。如果您希望使用3次聚会防病毒，我们建议你一个使用云检测，并挂接到防恶意软件扫描接口（AMSI） 。

• 启用摄像头以允许Windows Hello和视频会议。但是，这可能不适合您的特定部署环境 - 在这种情况下，应禁用这些功能。
  

• 禁用 Microsoft Office 宏，如果这是不可能的，则只允许特定应用程序或绝对需要的用户使用宏。请参阅Microsoft Office 的宏安全以获取进一步指导

设备配置

一旦您选择了您的MDM服务、架构和应用程序方法，您就应该开发一个设备配置文件，该文件可用于实施您的技术控制。

您应该包括涵盖以下内容的政策：

• 使用生物识别技术，以及使用 Windows Hello 企业版的密码和身份验证。

• 对于没有 TPM 的设备，我们建议使用现代身份验证标准。

• 配置BitLocker 加密设置以防止使用物理攻击提取数据。建议使用带有 PIN 和全盘加密的 TPM。

• 外部接口保护，包括有线和无线外围设备。使用直接内存访问保护，例如确保在设备锁定时无法枚举支持直接内存访问的新设备。

• 自动更新您的操作系统和应用程序，以及适用的固件和驱动程序。我们建议配置适用于企业的 Windows 更新以启用此功能。

• 内置的 Always on IKEv2虚拟专用网络 (VPN)（如果需要 VPN），以及通过 Windows Hello 企业版或使用Windows 密钥证明使用硬件支持的存储来存储 VPN 凭据。

• 我们建议配置Windows 10 内置 VPN 客户端 以满足 NCSC对 IPSec的建议。

• 如果使用第 3 方 VPN，请按照NCSC 的 IPsec 指南或TLS 指南进行配置，并遵循我们关于 VPN 的平台独立指南。

• AppLocker 帮助防御恶意软件和勒索软件 - 配置包中提供了推荐的示例配置。此外，您应该包括管理第三方应用程序以从企业应用程序目录中管理用于工作的策略，通过 MDM 提供，通过私人商店。

• 用户设备上的云帐户的安全性，通过使用条件访问来控制对组织所需的敏感功能和服务的访问。

• 删除 Internet Explorer。

• 对于任何旧用例，建议使用Internet Explorer (IE) 模式下的 Edge。

• 在 IE 模式下的 Edge 不可行的情况下，设备安全指南 GitHub 存储库中提供了浏览器策略。但是，您应该努力在 2022 年 6 月 15 日 Internet Explorer 支持结束之前迁移到更现代的浏览器。

• 配置 Windows Defender 防火墙以帮助减少专用/公共网络上不需要的连接。默认情况下，阻止这些网络上的出站流量，添加规则以允许组织所需的服务和协议的特定例外。

使用 AppLocker 允许应用程序

在为允许在 Windows 设备上运行的应用程序配置 AppLocker 规则时，满足以下条件很重要：

• 不应允许用户从允许其写入文件的区域运行程序

• 应注意确保应用程序更新不与已设置的规则冲突

• 在企业范围内允许应用程序之前，应对其进行审查，以确保它们不会破坏组织限制软件执行的其他技术控制。这对于具有自己的执行环境并且可能允许代码绕过 AppLocker 的脚本语言（例如 Python 或 Node.js）尤其重要。

本指南中建议的 AppLocker 配置将确保满足这些条件，只要所使用的软件符合 Microsoft桌面应用程序认证计划的要求。如果需要自定义 AppLocker 规则，请遵循Microsoft 的设计指南以尽量减少对操作的影响。

通用应用

本指南中给出的配置可防止用户访问公共 Microsoft Store 以安装应用程序。但是，组织仍然可以托管自己的商店以向员工分发内部应用程序。这可以使用云中的 Microsoft Store for Business 或通过部署到设备的公司商店应用程序来实现。

如果 Microsoft Store 已启用，则用户应仅使用其公司 Microsoft ID 登录 Store 应用程序，而不应将其工作设备与个人 Microsoft ID 相关联。AppLocker 可以配置为仅允许安装企业配置的“允许”列表中的应用程序。

Microsoft Store 应配置为自动更新任何已安装的应用程序，包括与 Windows 捆绑在一起的应用程序。同样的机制也可用于删除 Windows 附带的通用应用程序——不允许用户运行的应用程序将被禁止并从“开始”菜单中删除。

Windows Defender 防病毒软件

虽然Windows Defender 防病毒的默认行为可能足以保护许多家庭用户，但企业环境中的部署可能需要额外的配置。启用基于云的保护和实时保护将降低恶意软件的风险，并根据组织的策略配置扫描。

Windows Defender 智能屏幕

Windows Defender SmartScreen是 Windows Defender 防病毒软件的扩展，它使用应用程序或网页的启发式分析来确定其“声誉”。您应该启用此功能以帮助进一步保护您的用户免受恶意网站和恶意软件的侵害。用户可以忽略此警告，但可以配置 SmartScreen 以防止这种情况发生。

也可以看看

• Windows安全性，微软

• 您的 MDM 供应商提供的指导

• 管理支持云的产品中的供应链风险, NCSC

• 应用储物柜，微软

• 限制微软商店，微软

• 防病毒和其他安全软件, NCSC

• 管理网络浏览器的安全性，NCSC

参考来源：英国国家网络安全中心官网