Windows 10安全性跃升 助企业信息安全

　　下周29日，微软将正式推出新一代的Windows操作系统——Windows 10，那么面对近些年不断恶化的企业信息安全来说，最新推出的Windows 10将会为商用级操作系统带来怎样的安全性提升呢？一起来了解下吧。

　　为商用定制的Windows 10企业版

　　在微软提供的Windows 10版本比较表里，Windows 10被划分为核心、商务两个类别，包括“Windows 10 Home（家庭版）”、“Windows 10 Pro（专业版）”、“Windows 10 Enterprise（企业版）”和“Windows 10 Education（教育版）”四大版本。

Windows 10企业版是安全防护功能最全的一个版本之一

　　其中Windows 10企业版是专门针对企业级系统应用定制的OS版本，并且也是安全防护功能最全的一个版本之一。而该版本不仅支持包括Microsoft Passport认证、企业级数据保护、证书防护、设备防护等安全特性，还具有诸如APP锁定功能等细化的新安全功能。

　　Windows 10企业版有三大安全特性

　　近几年，企业安全威胁不断变化，为了帮助企业在系统层面上获得可靠稳定的应用，微软不仅提升了Windows 10的操作简易性，为企业用户提供了优化的管理与部署流程，更在安全功能方面下足了功夫，如采用了多种创新技术，并根据客户反馈不断完善与改进等等。

　　总体来看，为了强化面向企业级应用的安全防护，微软将安全认证、信息保护、威胁抵御三大安全功能加入到Windows 10企业版产品核心当中。下面逐一来了解下吧。

　　强大的安全认证

　　Windows 10企业版引入了大量的安全与身份保护功能，而且在不损伤用户流畅体验的前提下实现了更易管理的目标。其中一大亮点是，Windows 10企业版内置有多因素身份验证功能。

强大的安全认证

　　该功能启用后，Windows 10设备用户即可以将设备设为可信任，继而用于身份验证的目的。同时与PIN或生物证据（如指纹）结合，用户即能够登录任何支持此类功能的移动服务。

　　如果密码在数据库泄漏或钓鱼攻击中被窃，偷窃者仍然无法访问任何服务，原因是偷窃者手里没有双因素身份验证所要求的硬件部分。同样，如果设备被盗，但由于没有密码，偷窃者手里的设备也是没有用处的。

为商务打造的安全认证

　　该身份验证机制将消除对额外安全硬件外围设备（例如智能卡和令牌）的需要。在登记后，设备成为身份验证所需的两个因素之一。这减少了网络钓鱼攻击的可行性，因为攻击者不仅需要用户的PIN或生物识别信息，还需要物理访问其设备才能实现攻击。这还可以在密码数据库发生数据泄露事故时保护用户，攻击密码数据库是攻击者用来获取未经授权访问的另一种常见做法。

安全的企业凭证保护

　　在Windows 10企业版中，设备的登录凭证可以是Windows生成的密钥对，企业可以利用现有的PKI基础设施签发这些密钥，移动设备所需要的密钥则可以由Windows 10企业版产生和安全地存储。在用户通过验证后，其访问令牌将存储在运行Hyper-V技术的安全容器（container）内，有效防止令牌通过pass the hash或者pass the ticket等攻击后被提取。上述两种攻击技术让攻击者可以模拟用户，而不需要实际取得他们的登录凭证。

　　智能的信息保护

　　另一个重要安全功能是，Windows 10企业版增强了对企业数据的保护。该信息保护功能，使得企业即使在员工拥有的设备上也可以保护数据。Windows 10企业版此项功能允许网络管理员设定策略，确保能自动加密敏感信息，包括企业应用程序、数据、电子邮件和公司内部专用网站内容。

智能的信息保护

　　利用Windows 10企业版，企业不仅可以定义哪些应用可以访问企业数据，还可以防止在没有正确安全配置文件时对数据的复制或访问--无论数据在传输中还是位于另一台设备中。Windows 10通过使用容器以及在应用和文件级别分离企业数据和个人数据，并在数据到达设备时自动加密来保护数据。同时不需要用户切换模式或者使用特殊应用来保护企业数据，解决了一些用户漠视安全性的大问题。

在云和移动时代，保护数据。

　　鉴于常见的Windows控件的API加入了对这些加密的支持，所有使用这些控制的Windows应用程序也具备该新功能。如果有必要采用更严格的安全措施，管理员还可以创建应用程序表，指定哪些应用程序可以访问加密数据，哪些应用程序不容许访问加密数据。

　　同时，该功能支持应用VPN，能让特定的应用使用VPN连接。管理员可以把远程访问限制到特定的应用或特定的端口/IP地址。比如说，IT部门可允许通过VPN的IT访问，但却将其限制在特定的端口或IP地址上等等。

　　有效的威胁抵御

　　为提供出色的威胁防御能力，利用Windows 10企业版和具有特别配置的OEM硬件，管理员可以完全锁定设备，使得不受信任的代码无法运行。

有效的威胁抵御

　　在完全锁定的配置下，唯一可以运行的应用程序只限于那些由微软签发的证书签过名的程序，包括来自Windows应用商店的应用程序，以及那些已提交给微软认证过的桌面应用程序。有些企业有自己的业务应用程序内部产品，这些企业可以获取自己的密钥生成器，这样做以后这些应用程序就可以在企业网络上运行，但在外面的网络上则运行不了。

高级的恶意软件抵御功能

　　综上所述，此次微软为将要推出的Windows 10在企业安全功能方面进行了极大提升，不仅把安全认证、信息保护、威胁抵御三大安全功能融入其中，加强防范违规、丢失、网钓攻击等信息安全风险。此外也通过应用层面的安全容器和资料隔离等技术，来有效地防范了企业数据被USB、电子邮件或云端泄露出去的可能，为企业的信息安全提供了新的保障。