| Пресс-Центр
21 января Терри Майерсон (Terry Myerson) объявил, что для пользователей устройств с Windows 7, Windows 8.1 и Windows Phone 8.1 обновление до Windows 10 в первый год после выпуска будет бесплатным[i]. Эта новость наверняка обрадует потребителей и малый бизнес, ведь мы впервые предлагаем бесплатное обновление подобного масштаба. По нашим оценкам, сотни миллионов пользователей смогут выполнить обновление до Windows 10 вскоре после ее выпуска, а партнеры нашей глобальной экосистемы получат обширные возможности для инновационных разработок, которые пригодятся всем клиентам.
Кроме того, как мы уже объявили, мы предлагаем не просто однократное обновление. Устройства с Windows 10 будут и впредь получать обновления через Центр обновления Windows в течение всего срока поддержки[ii] — причем совершенно бесплатно. Так мы реализуем концепцию «Windows как услуга». Уверены, наши клиенты и партнеры ее оценят. Например, клиенты, использующие Windows 7 Профессиональная, Windows 8 Профессиональная или Windows 8.1 Профессиональная (чаще всего — компании малого бизнеса), смогут бесплатно обновить свою систему до Windows 10 в течение первого года с момента ее выхода. Им станут доступны последние инновации, и они будут постоянно получать новейшие обновления функций и безопасности. Поэтому мы рекомендуем клиентам выполнить обновление в течение первого года — сразу после выпуска новой ОС. Дополнительные сведения об этом предложении можно найти на нашем веб-сайте.
Корпоративным клиентам и партнерам мы продолжим предоставлять уникальные преимущества, обеспечивая широкий выбор вариантов развертывания и управления Windows 10 по мере ее превращения в услугу. Так, компании, которым нужны корпоративные возможности, могут продолжить участие в программе Windows Software Assurance (SA), чтобы получать дополнительные преимущества в самых разных областях. Для операционных систем Windows 7 Корпоративная, Windows 8 Корпоративная и Windows 8.1 Корпоративная бесплатное обновление до Windows 10, о котором мы объявили на прошлой неделе, недоступно. Однако у клиентов с действующим покрытием Software Assurance будет право на обновление до Windows 10 Корпоративная. Кроме того, они смогут развернуть Windows 10 с помощью инфраструктуры управления, которая у них уже есть.
Со времени объявления о Windows 10 я пообщался c множеством людей. Меня спрашивали, как мы представляем себе Windows как услугу и как можно добавлять новые возможности на прежние устройства. Дело в том, что Майкрософт планирует не откладывать обновления до следующего основного выпуска, а регулярно предоставлять новые возможности, функции, обновления безопасности и критические исправления. Мы считаем, что благодаря этому Windows 10 со временем будет становиться все лучше, производительнее и безопаснее.
Windows 10 помогает корпоративным клиентам поддерживать безопасность и актуальность систем
Теперь мне бы хотелось остановиться на том, как повлияет выпуск новой ОС на работу наших корпоративных клиентов и партнеров. Мы знаем, что многим клиентам необходимы гибкие возможности и полный контроль: они хотят самостоятельно определять темп, в котором та или иная группа пользователей будет переходить на новые технологии. В Windows 10 мы учли эту потребность.
Наши корпоративные клиенты часто говорят, что им приходится прилагать массу усилий, чтобы адаптировать свои системы (и образ мыслей сотрудников) к новому динамичному миру — миру, который постоянно меняется под влиянием людей, приносящих на работу свои устройства, облачных вычислений, исчезающего периметра сети и других технологических сдвигов.
Сегодня многие потребители рассчитывают, что их устройства будут автоматически получать обновления и новые возможности. Однако мы понимаем, что компаниям нужен более пристальный контроль за тем, как и в каком темпе доставляются обновления.
Например, системы, под управлением которых работают реанимационные отделения больниц, командно-диспетчерские пункты, заводские цеха, системы для финансовых торгов и другие важные системы обычно предусматривают очень строгие правила управления изменениями, которые могут действовать длительное время. Чтобы обеспечить поддержку устройств под управлением Windows 10 в этих критически важных средах, мы будем внедрять возможность долгосрочного обслуживания Long Term Servicing на протяжении определенных отрезков времени. В течение такого отрезка устройства клиентов будут получать корпоративную поддержку на уровне, необходимом для критически важных систем: на них будут устанавливаться новейшие обновления безопасности и исправления. При этом изменения будут минимальны, поскольку мы не будем добавлять новые возможности в фазу основной (5 лет), а затем расширенной (еще 5 лет) поддержки. В рамках программ долгосрочного обслуживания клиенты смогут самостоятельно выбирать, как обновления безопасности и исправления будут поступать пользователям на протяжении того или иного отрезка времени. Первый вариант — через службы Windows Server Update Services (WSUS), что позволяет полностью управлять распространением обновлений внутри компании с помощью уже имеющихся решений, таких как System Center Configuration Manager. Второй вариант — получать эти обновления автоматически через Центр обновления Windows.
Мы также узнали у клиентов, что хотя контроль над критически важными средами просто необходим, к таким средам относятся далеко не все пользовательские устройства. Более того, излишний контроль над ними безосновательно увеличивает расходы и сложность среды, а корпоративные пользователи лишаются доступа к новейшему функционалу. Многие ИТ-организации сообщают, что им хотелось бы полностью отказаться от управления пользовательскими устройствами. Им хотелось бы поддерживать актуальность этих устройств без затрат, но делать это осторожнее, при обновлении обычных потребительских устройств.
Поэтому мы предлагаем новую программу для коммерческих клиентов — Current branch for Business. Устройства, участвующие в этой программе, будут получать обновления функций только после того, как их качество и совместимость с приложениями пройдут проверку среди потребителей. При этом обновления безопасности будут устанавливаться сразу. Благодаря этому ИТ-отделы смогут в своих средах постепенно проверять обновления с того дня, как они будут предоставлены широкой потребительской аудитории (а иногда и раньше, если среди пользователей организации есть участники программы Windows Insider Program). К моменту обновления устройств в рамках программы Current branch for Business новые функции будут уже проверены — миллионами участников Windows Insider Program и потребителей, а также в рамках внутренних процессов тестирования в организациях клиентов. Поэтому уверенность в качестве таких обновлений будет выше. Предприятия смогут сами решать, будут ли они получать обновления через Центр обновления Windows автоматически или же через службы WSUS, чтобы с помощью средств управления контролировать то, как обновления распространяются в их средах.
Компании, которые захотят подключить пользовательские компьютеры к Центру обновления Windows, смогут снизить расходы на управление, ускорить доступ к обновлениям безопасности и критическим исправлениям, а также регулярно получать новейшие технологии от корпорации Майкрософт. Таким образом, оптимальный подход для большинства предприятий — перевести обычные пользовательские устройства под управлением Windows 10 на программу Current branch for Business и автоматически получать для них обновления через Центр обновления Windows.
По мере работы над корпоративным функционалом мы планируем предлагать новые временные отрезки долгосрочного обслуживания по программе Long Term Servicing, в начале которых мы будем предоставлять новые возможности. Клиенты смогут каждый раз переводить свои устройства на следующий отрезок Long Term Servicing или пропускать какие-то отрезки с помощью технологии обновления на месте в Windows 10. Мы обязуемся заранее уведомлять клиентов о начале нового отрезка Long Term Servicing, чтобы они могли спланировать развертывание. Помимо этого, ИТ-специалисты смогут переводить пользовательские устройства с программы Long Term Servicing на Current branch for Business, чтобы автоматизировать обновление. Точно так же можно при необходимости перевести устройство пользователя с программы Current branch for Business на Long Term Servicing в начале очередного отрезка.
Мы понимаем, насколько важно для корпоративных клиентов получить доступ к первому отрезку программы Long Term Servicing, чтобы как можно раньше начать тестирование Windows 10. Поэтому мы планируем открыть его одновременно с выпуском самой ОС Windows 10. Мы советуем клиентам сразу же начать тестирование первого отрезка Long Term Servicing.
На основании отзывов клиентов мы ожидаем, что большинство будет использовать смешанный подход к обновлению Windows 10. Скорее всего, компании будут выбирать различные темпы обновления для разных пользователей и систем с учетом потребностей каждой группы.
Когда мы обсуждаем с клиентами переход к модели Windows как услуга, их часто беспокоит проблема совместимости приложений и устройств. Как упоминалось ранее, наша цель — сделать так, чтобы существующие приложения просто работали как надо. Мы вынесли урок из проблем, которые возникали у клиентов при переходе с Windows XP на Windows 7, и потому стараемся обеспечить идеальную совместимость между Windows 7, Windows 8 и Windows 10. Это относится и к оборудованию. Мы проектируем Windows 10 таким образом, чтобы у нее были те же минимальные требования к оборудованию, что у Windows 7 и Windows 8. В этом случае Windows 10 можно будет использовать на имеющихся устройствах (с учетом того, что для некоторых новых возможностей могут потребоваться новые аппаратные функции, а также обновления ПО и микропрограмм от производителей устройств и независимых поставщиков ПО). Поэтому мы тесно сотрудничаем с экосистемой партнеров-производителей устройств и ПО, чтобы обеспечить поддержку Windows 10.
Мы рекомендуем клиентам, пока они оценивают Windows 10, классифицировать устройства пользователей. Это позволит воспользоваться всеми возможностями, которые помогут обеспечить безопасность, актуальность и соответствие нормативам с учетом потребностей бизнеса. Продвигаясь по пути преобразования Windows в услугу, мы планируем и далее обсуждать нововведения с нашими клиентами и партнерами.
Присоединяйтесь к программе Windows Insider Program и оцените новый выпуск Windows 10 Technical Preview
Я надеюсь, вы присоединитесь к программе Windows Insider Program и загрузите версию Windows 10 Technical Preview, если вы еще этого не сделали, и поделитесь с нами своим мнением через встроенное приложение Windows Feedback. Ваши отзывы помогут нам создать лучший выпуск Windows для корпоративных клиентов.
Джим Алков (Jim Alkove), руководитель Windows-группы по работе с бизнес-пользователями.
[i] Есть особые требования к оборудованию и программному обеспечению. Набор доступных возможностей зависит от устройства. Некоторые выпуски не участвуют в программе. Подробнее см. на веб-сайте http://www.windows.microsoft.com.
[ii] Сведения о сроках поддержки устройства будут опубликованы позднее
Перевод опубликован в блоге Windows Россия
Tags: Enterprise, Windows 10, Windows Update, бизнес, обновление
Дмитрий Узлов, Технополис
Компоненты безопасности в Windows 10 Enterprise
В Windows 10 есть множество встроенных компонентов для создания защищенного рабочего места.
Photo by Бизнес Класс bk43.ru
Если проанализировать, в каком направлении развиваются угрозы безопасности в последнее время, можно увидеть некоторые вызывающие беспокойство тенденции.
Предприятия, привыкшие к атакам со стороны отдельных злоумышленников и небольших групп, которые занимались этим с целью мелкого мошенничества или приобретения скандальной известности, столкнулись с хорошо финансируемыми криминальными группировками, преследующими единственную цель — прибыль. Впоследствии эти криминальные группировки были поглощены тайными организациями со скрытыми мотивами, которые довольно легко добивались желаемого.
Суровая действительность такова, что злоумышленники приобрели преимущество. Если ваша организация стала их целью, они, вне всяких сомнений, смогут получить доступ к вашей сети. Единственный вопрос заключается в том, как быстро они смогут это сделать, и сколько времени вам потребуется, чтобы это выяснить. Часто несколько месяцев уходит только на обнаружение проблем, а на их устранение — гораздо больше.
К чему приводят угрозы информационной безопасности
Утечки конфиденциальной информации
Безвозвратные потери информации
Простой бизнеса, финансовые издержки и потеря репутации
Назад к основам безопасности
Сегодня многие бреши безопасности в организациях связаны с пренебрежением проблемы и неполной настройкой информационных систем
Эксперты утверждают, что большинство успешных атак проходили по одному из следующих путей:
- Неустановленные патчи безопасности — атакующие находят такие системы и создают эксплоит, позволяющий проникнуть в информационную систему организации
- Несконфигурированные системы — веб-серверы, приложения, плагины не были сконфигурированы должным образом, имеют слишком большие привилегии.
- Слабые пароли — или даже пароли по-умолчанию. Проверка подлинности, которая основана только на одном факторе — пароле — на текущий момент не является достаточной для обеспечения безопасности и легко обходится хакерами
- Социальная инженерия — хакеры умело манипулируют сотрудниками организации и побуждают их поставить вредоносное ПО. Это самый распространенный способ получения доступа к информационным системам.
Одним из компонентов комплексной защиты является защита рабочих мест сотрудников. Это первая линия современной защиты.
Для того, чтобы гарантированно решить проблемы безопасности, связанные с современными угрозами, требуются новые аппаратные платформы, которые были разработаны лишь недавно. Windows 10 Enterprise полностью использует эти новые возможности в своей архитектуре.
Логотип UEFI (Unified Extensible Firmware Interface)
Для борьбы с вредоносными программами и взломом требуется возможность обеспечивать целостность оборудования, а также процесса загрузки операционной системы.
Вредоносное ПО или пакет программ rootkit могли заразить устройство еще до запуска каких-либо средств защиты и отключить их. Устройства, прошедшие сертификацию для Windows 10, имеют новый аппаратный компонент — безопасную загрузку UEFI, который помогает обеспечить целостность системного встроенного ПО и операционной системы с момента включения питания и до его отключения.
Криптографическая обработка
Доверенный платформенный модуль TPM
Учитывая реальный риск попыток взлома, необходимо оборудование, которое гарантировало бы максимальный уровень защиты наиболее конфиденциальных сведений, таких как ключи шифрования и удостоверения пользователей.
Windows использует для создания таких данных основанную на стандартах технологию в доверенном платформенном модуле (TPM). Операции выполняются в аппаратной среде, изолированной от операционной системы.
Windows 10 также может использовать доверенный платформенный модуль, чтобы убедиться, что средства защиты и обеспечения целостности устройств в UEFI, надежной загрузке и других компонентах работают правильно и не были незаконно изменены. Благодаря этому доверенный платформенный модуль Windows 10 удобно применять при удаленном подтверждении работоспособности и в сценариях удаленного доступа.
Безопасность, основанная на виртуализации
Аппаратные средства обеспечения безопасности и изоляции занимают ключевое место в обеспечении безопасности. С помощью преимуществ безопасности на базе виртуализации, реализованной на технологии Hyper-V, наиболее уязвимые процессы Windows перенесены в среду безопасного выполнения. Цель — предотвращение их незаконного изменения, также в том случае, когда ядро Windows полностью скомпрометировано.
В Windows 10 безопасность на основе виртуализации лежит в основе работы таких компонентов, как Device Guard и Credential Guard, которые отлично противодействуют вредоносному ПО, средствам взлома и брешам.
Credential Guard в Защитнике Windows предотвращает атаки, направленные на кражу учетных данных, например Pass-the-Hash или Pass-The-Ticket, защищая хэш-коды паролей NTLM, билеты Kerberos Ticket Granting и учетные данные, хранящиеся в приложениях в качестве учетных данных домена.
Шифрование диска BitLocker — это функция защиты данных, которая предотвращает угрозы хищения данных или раскрытия информации на потерянных, украденных или неправильно выведенных из эксплуатации компьютерах.
Все данные на диске с операционной системой и, при необходимости, с данными, шифруются уникальным для каждого диска ключом. Ключ может храниться в доверенном платформенном модуле, администраторы могут настроить сохранение ключа в защищенном каталоге Active Directory.
В случае, если попробовать загрузить компьютер со внешнего носителя или подключить диск к другому компьютеру, доступ к информации на диске будет заблокирован до ввода ключа.
Ограничение запуска программ
Сотрудники организаций каждый день выполняют типовые задачи на компьютере:
- проверяют и пишут сообщения электронной почты
- создают и редактируют документы
- ходят на сайты в интернете
- используют учетную программу
Необходимость установки новых программ — это скорее всего исключение.
Поэтому, можно создать несколько типовых профилей используемого ПО.
А запуск остальных программ заблокировать с помощью технологии AppLocker. Это ограничивает возможность запуска и установки вредоносных программ.
Windows 10 обладает совокупностью компонентов безопасности, которые позволяют создать защищенное рабочее место сотрудников.
Но, эти компоненты необходимо предварительно включить, настроить, проверить.
Для того, чтобы сэкономить ваше время, предлагаю воспользоваться нашей экспертизой и предложением.
Статья была полезна? Поделитесь!
В данной статье мы рассмотрим различные версии Windows 10, чтобы помочь вам выбрать оптимальный вариант для вашего бизнеса или личного использования. Каждая из версий предназначена для определённых задач и категорий пользователей. Мы сравним ключевые особенности и функциональные возможности версий Windows 10 Pro, Windows 10 Enterprise LTSC 2021, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSB 2016 и Windows 10 Корпоративная.
Приобрести оригинальные ключи активации к любой из этих версий Windows 10 можно у нас в каталоге с моментальной доставкой на Вашу электронную почту:
Windows 10 — 1570 ₽
Windows 10 Enterprise LTSC 2021 — 1690 ₽
Windows 10 Enterprise LTSC 2019 — 1590 ₽
Windows 10 Enterprise LTSB 2016 — 1490 ₽
Windows 10 Корпоративная — 1390 ₽
| Продукт | Назначение | Основные особенности | Поддержка устройств | Минимальные системные требования |
|---|---|---|---|---|
| Windows 10 Pro | Профессиональное и домашнее использование | — Поддержка шифрования BitLocker — Виртуализация с помощью Hyper-V — Поддержка до 4 процессоров и 6 ТБ ОЗУ |
1 ПК, 2 ПК, 3 ПК, 5 ПК | — Процессор: 1 ГГц и выше — ОЗУ: 2 ГБ (64-разрядная версия) — Свободное место: 20 ГБ (64-разрядная версия) |
| Windows 10 Enterprise LTSC 2021 | Корпоративное использование, требующее стабильности и долговременной поддержки | — Удалён Cortana и встроенный магазин приложений — Защита SMM в System Guard — Расширенные возможности BitLocker |
1 ПК, 3 ПК, 5 ПК | — Процессор: 1 ГГц и выше — ОЗУ: 4 ГБ — Свободное место: 64 ГБ — TPM 2.0 |
| Windows 10 Enterprise LTSC 2019 | Специальный релиз для корпоративного использования с долгосрочной поддержкой | — Отсутствуют магазин приложений и браузер Edge — Долгосрочная поддержка до 2029 года — Поддержка сенсорных функций |
1 ПК, 3 ПК, 5 ПК | — Процессор: 1 ГГц и выше — ОЗУ: 2 ГБ (64-разрядная версия) — Свободное место: 20 ГБ (64-разрядная версия) |
| Windows 10 Enterprise LTSB 2016 | Корпоративная версия с повышенной стабильностью и отказоустойчивостью | — Отключены Cortana, Microsoft Store и Edge — Поддержка устаревших приложений — Минимальные требования к ресурсам |
1 ПК, 3 ПК, 5 ПК | — Процессор: 1 ГГц и выше — ОЗУ: 2 ГБ (64-разрядная версия) — Свободное место: 20 ГБ (64-разрядная версия) |
| Windows 10 Корпоративная | Универсальное решение для крупных предприятий и организаций | — Поддержка BranchCache, Credential Guard и Direct Access — Установки для удалённого управления и усиленной безопасности |
1 ПК, 3 ПК, 5 ПК | — Процессор: 1 ГГц и выше — ОЗУ: 4 ГБ — Свободное место: 64 ГБ — TPM 2.0 |
Windows 10 Pro — это оптимальный вариант для профессионалов и небольших компаний, которым нужны расширенные функции безопасности и управления, такие как шифрование BitLocker и поддержка виртуальных машин Hyper-V. Эта версия поддерживает до 4 процессоров и 6 ТБ оперативной памяти, что делает её подходящей для мощных рабочих станций.
Windows 10 Enterprise LTSC 2021 и LTSC 2019 — предназначены для корпоративных пользователей, которым необходима долгосрочная поддержка без частых обновлений. Эти версии отключают некоторые ненужные для бизнеса компоненты, такие как Cortana и Microsoft Store, что позволяет сосредоточиться на стабильной и безопасной работе. LTSC 2021 предлагает улучшенную защиту System Guard и возможности управления через BitLocker.
Windows 10 Enterprise LTSB 2016 — акцентируется на отказоустойчивости и минимальных требованиях к ресурсам, что особенно актуально для организаций, использующих устаревшее оборудование. В этой версии отключены многие стандартные компоненты Windows, что делает её максимально стабильной.
Windows 10 Корпоративная — предлагает универсальный набор инструментов для крупных предприятий, включая поддержку облачных и локальных решений для управления безопасностью и доступа. Эта версия также совместима с мобильными устройствами, что даёт гибкость в управлении различными типами оборудования.
Эти версии Windows 10 позволяют подобрать оптимальное решение в зависимости от масштаба вашего бизнеса и специфических требований к функциональности и поддержке.
Лицензионный ключ активации Windows 10 от
Время на прочтение1 мин
Количество просмотров3.4K
Microsoft прекратит поддержку Windows 10 в октябре 2025 года, но предложит корпоративным клиентам программу расширенной безопасности, которая позволит получать дополнительные обновления после этой даты. Поддержка одного ПК будет стоить $61 в год.
Программа будет действовать в течение трёх лет, и тем, кто планирует присоединиться к ней позже, придется заплатить за предыдущий период, поскольку каждое обновление станет накопительным и будет включать все исправления безопасности, выпущенные ранее.
Администраторы смогут зарегистрировать устройства с Windows 10 в программе, используя традиционный метод активации 5 на 5 с 25-значным ключом. Если организация использует облачные обновлённые решения для управления, то она может воспользоваться специальным предложением, которое дает право на скидку в 25%. Такие компании заплатят за первый год поддержки по $45 за пользователя, но предложение действует для систем, которые включают до пяти устройств.
Программа расширенного обновления безопасности в течение года будет бесплатной для компаний, использующих Windows 365, чтобы у них был доступ к облачным ПК с Windows 11.
Microsoft заявляет, что компаниям не следует рассматривать программу как долгосрочное решение. Она рекомендует использовать решение в качестве «временного моста» при переходе на более новую версию Windows.
Ранее Microsoft сообщила, что прекратит поддержку Windows 10 Enterprise (а также Education и IoT Enterprise) версии 21H2 с 11 июня 2024 года. После этого срока компания перестанет выпускать обновления для старых версий ОС, включая патчи безопасности. Поддержка версии Windows 11 21H2 для обычных пользователей закончилась в июне 2023 года.
Windows
It is tempting to think that the process of securing a Windows 10 device can be reduced to a simple checklist. Install some security software, adjust a few settings, hold a training session or two, and you can move on to the next item on your to-do list.
Alas, the real world is far more complicated than that.
There is no software magic bullet, and your initial setup simply establishes a security baseline. After that initial configuration is complete, security requires continued vigilance and ongoing effort. Much of the work of securing a Windows 10 device happens away from the device itself. A well-planned security policy pays attention to network traffic, email accounts, authentication mechanisms, management servers, and other external connections.
This guide covers a broad spectrum of business use cases, with each heading discussing an issue that decision makers must consider when deploying Windows 10 PCs. And although it covers many options that are available, this is not a hands-on guide.
In a large business, your IT staff should include security specialists who can manage these steps. In a small business without dedicated IT staff, outsourcing these responsibilities to a consultant with the necessary expertise might be the best approach.
Before you touch a single Windows setting, though, take some time for a threat assessment. In particular, be aware of your legal and regulatory responsibilities in the event of a data breach or other security-related event. For businesses that are subject to compliance requirements, you’ll want to hire a specialist who knows your industry and can ensure that your systems meet all applicable requirements.
The following categories apply to businesses of all sizes.
Managing security updates
The single most important security setting for any Windows 10 PC is ensuring that updates are being installed on a regular, predictable schedule. That’s true of every modern computing device, of course, but the «Windows as a service» model that Microsoft introduced with Windows 10 changes the way you manage updates.
See also: Here’s how Microsoft can fix its Windows 10 update issues
Before you begin, though, it’s important to understand about the different types of Windows 10 updates and how they work.
- Quality updates are delivered monthly through Windows Update on the second Tuesday of each month. They address security and reliability issues and do not include new features. (These updates also include patches for microcode flaws in Intel processors.) For particularly severe security issues, Microsoft might choose to release an out-of-band update that is not tied to the normal monthly schedule.
- All quality updates are cumulative, so you no longer have to download dozens or even hundreds of updates after performing a clean install of Windows 10. Instead, you can install the latest cumulative update and you will be completely up to date.
- Feature updates are the equivalent of what used to be called version upgrades. They include new features and require a multi-gigabyte download and a full setup. Windows 10 feature updates are released twice a year, typically in April and October, and are made available through Windows Update. They are not installed automatically unless the current Windows 10 version has reached the end of its support lifecycle.
See also: FAQ: How to manage Windows 10 updates
By default, Windows 10 devices download and install quality updates as soon as they’re available on Microsoft’s update servers. On devices running Windows 10 Home, there’s no supported way to specify exactly when these updates are installed, although it’s possible for individual users to pause all updates for up to 7 days. On PCs running business editions of Windows 10 (Pro, Enterprise, or Education), users can pause all updates for up to 35 days, and administrators can use Group Policy settings to defer installation of quality updates on PCs by up to 30 days after their release.
As with all security decisions, choosing when to install updates involves a trade-off. Installing updates immediately after they’re released offers the best protection; deferring updates makes it possible to minimize unscheduled downtime associated with those updates.
Using the Windows Update for Business features built into Windows 10 Pro, Enterprise, and Education editions, you can defer installation of quality updates by up to 30 days. You can also delay feature updates by as much as two years, depending on the edition.
Also: Windows 10 Enterprise customers will now get Linux-like support
Deferring quality updates by 7 to 15 days is a low-risk way of avoiding the possibility of installing a flawed update that can cause stability or compatibility problems. You can adjust Windows Update for Business settings on individual PCs using the controls in Settings > Update & Security > Advanced Options.
In larger organizations, administrators can apply Windows Update for Business settings using Group Policy or mobile device management (MDM) software. You can also administer updates centrally by using a management tool such as System Center Configuration Manager or Windows Server Update Services.
Finally, your software update strategy shouldn’t stop at Windows itself. Make sure that updates for Windows applications, including Microsoft Office and Adobe applications, are installed automatically.
Identity and user account management
Every Windows 10 PC requires at least one user account, which is in turn protected by a password and optional authentication mechanisms. How you set up that account (and any secondary accounts) goes a long way toward ensuring the security of the device.
Devices that are running a business edition of Windows 10 can be joined to a Windows domain. In that configuration, domain administrators have access to the Active Directory features and can authorize users, groups, and computers to access local and network resources. If you’re a domain administrator, you can manage Windows 10 PCs using the full set of server based Active Directory tools.
For Windows 10 PCs that are not joined to a domain, as is the case in most small businesses, you have a choice of three account types:
- Local accounts use credentials that are stored only on the device.
- Microsoft accounts are free for consumer use and allow syncing of data and settings across PCs and devices; they also support two-factor authentication and password recovery options.
- Azure Active Directory (Azure AD) accounts are associated with a custom domain and can be centrally managed. Basic Azure AD features are free and are included with Microsoft 365 and Office 365 Business and Enterprise subscriptions; additional Azure AD features are available as paid upgrades.
The first account on a Windows 10 PC is a member of the Administrators group and has the right to install software and modify the system configuration. Secondary accounts can and should be set up as Standard users to prevent untrained users from inadvertently damaging the system or installing unwanted software.
Requiring a strong password is an essential step regardless of account type. On managed networks, administrators can use Group Policy or MDM software to enforce an organization password policy.
To increase the security of the sign-in process on a specific device, you can use a Windows 10 feature called Windows Hello. Windows Hello requires a two-step verification process to enroll the device with a Microsoft account, an Active Directory account, an Azure AD account, or a third-party identity provider that supports FIDO version 2.0.
When that enrollment is complete, the user can sign in using a PIN or, with supported hardware, biometric authentication such as a fingerprint or facial recognition. The biometric data is stored on the device only and prevents a variety of common password-stealing attacks. On devices connected to business accounts, administrators can use Windows Hello for Business to specify PIN complexity requirements.
Finally, when using Microsoft or Azure AD accounts on business PCs, you should set up multi-factor authentication (MFA) to protect the account from external attacks. On Microsoft accounts, the Two-step Verification setting is available at https://account.live.com/proofs. For Office 365 Business and Enterprise accounts, an administrator must first enable the feature from the Office portal, after which users can manage MFA settings by signing in at https://account.activedirectory.windowsazure.com/proofup.aspx.
Data protection
Physical security is every bit as important as issues related to software or networks. A stolen laptop, or one left behind in a taxi or a restaurant, can lead to significant risk of data loss. For a business or a government agency, the impact can be disastrous, and the consequences are even worse in regulated industries or where data breach laws require public disclosure.
On a Windows 10 device, the single most important configuration change you can make is to enable BitLocker device encryption. (BitLocker is the brand name that Microsoft uses for the encryption tools available in business editions of Windows.)
Also: Windows 10 Expert’s Guide: Everything you need to know about BitLocker
With BitLocker enabled, every bit of data on the device is encrypted using the XTS-AES standard. Using Group Policy settings or device management tools, you can increase the encryption strength from its default 128-bit setting to 256-bit.
Enabling BitLocker requires a device that includes a Trusted Platform Module (TPM) chip; every business PC manufactured in the past six years should qualify in this regard. In addition, BitLocker requires a business edition of Windows 10 (Pro, Enterprise, or Education); the Home edition supports strong device encryption, but only with a Microsoft account, and it doesn’t allow management of a BitLocker device.
For full management capabilities, you’ll also need to set up BitLocker using an Active Directory account on a Windows domain or an Azure Active Directory account. In either configuration, the recovery key is saved in a location that is available to the domain or AAD administrator.
On an unmanaged device running a business edition of Windows 10, you can use a local account, but you’ll need to use the BitLocker Management tools to enable encryption on available drives.
And don’t forget to encrypt portable storage devices. USB flash drives. MicroSD cards used as expansion storage, and portable hard drives are easily lost, but the data can be protected from prying eyes with the use of BitLocker To Go, which uses a password to decrypt the drive’s contents.
Also: Windows 10 tip: Protect removable storage devices with BitLocker encryption
In large organizations that use Azure Active Directory, it’s also possible to protect the contents of stored files and email messages using Azure Information Protection and the Azure Rights Management service. That combination allows administrators to classify and restrict access to documents created in Office and other applications, independent of their local encryption status.
Blocking malicious code
Featured
As the world has become more connected and online attackers have become more sophisticated, the role of traditional antivirus software has changed. Instead of being the primary tool for blocking the installation of malicious code, security software is now just another layer in a defensive strategy.
Every installation of Windows 10 includes built-in antivirus, anti-malware software called Microsoft Defender Antivirus (formerly Windows Defender), which updates itself using the same mechanism as Windows Update. Microsoft Defender Antivirus is designed to be a set-it-and-forget-it feature and doesn’t require any manual configuration. If you install a third-party security package, Windows disables the built-in protection and allows that software to detect and remove potential threats.
Large organizations that use Windows Enterprise edition can deploy Microsoft Defender Advanced Threat Protection, a security platform that monitors endpoints such as Windows 10 PCs using behavioral sensors. Using cloud-based analytics, Microsoft Defender ATP can identify suspicious behavior and alert administrators to potential threats.
Also: Microsoft: Improved security features are delaying hackers from attacking Windows users
For smaller businesses, the most important challenge is to prevent malicious code from reaching the PC in the first place. Microsoft’s SmartScreen technology is another built-in feature that scans downloads and blocks execution of those that are known to be malicious. The SmartScreen technology also blocks unrecognized programs but allows the user to override those settings if necessary.
It’s worth noting that SmartScreen in Windows 10 works independently of browser-based technology such as Google’s Safe Browsing service and the SmartScreen Filter service in Microsoft Edge.
On unmanaged PCs, SmartScreen is another feature that requires no manual configuration. You can adjust its configuration using the App & Browser Control settings in the Windows Security app in Windows 10.
Another crucial vector for managing potentially malicious code is email, where seemingly innocuous file attachments and links to malicious websites can result in infection. Although email client software can offer some protection in this regard, blocking these threats at the server level is the most effective way to prevent attacks on PCs.
An effective approach for preventing users from running unwanted programs (including malicious code) is to configure a Windows 10 PC from running any apps except those you specifically authorize. To adjust these settings on a single PC, go to Settings > Apps > Apps & Features; under the Installing Apps heading, choose Allow Apps From The Store Only. This setting allows previously installed apps to run, but prevents installation of any downloaded programs from outside the Microsoft Store.
Also: Windows 10 tip: Keep unwanted software off PCs you support
Administrators can configure this setting over a network using Group Policy: Computer Configuration > Administrative Templates > Windows Components > Windows Defender SmartScreen > Explorer > Configure App install Control.
The most extreme approach for locking down a Windows 10 PC is to use the Assigned Access feature to configure the device so that it can run only a single app. If you choose Microsoft Edge as the app, you can configure the device to run in full-screen mode locked to a single site or as a public browser with a limited set of features.
To configure this feature, go to Settings > Family & Other Users and click Assigned Access. (On a PC connected to a business account, this option is under Settings > Other Users.)
Must read
- Windows 10: A cheat sheet TechRepublic
- Microsoft’s obsession with Windows is ending CNET
Networking
Every version of Windows in the past 15 years has included a stateful inspection firewall. In Windows 10, this firewall is enabled by default and doesn’t need any tweaking to be effective. As with its predecessors, the Windows 10 firewall supports three different network configurations: Domain, Private, and Public. Apps that need access to network resources can generally configure themselves as part of initial setup.
To adjust basic Windows firewall settings, use the Firewall & Network Protection tab in the Windows Security app. For a far more comprehensive, expert-only set of configuration tools, click Advanced Settings to open the legacy Windows Defender Firewall with Advanced Security console. On managed networks, these settings can be controlled through a combination of Group Policy and server-side settings.
Also: Windows RDP flaw: ‘Install Microsoft’s patch, turn on your firewall’
From a security standpoint, the biggest network-based threats to a Windows 10 PC arise when connecting to wireless networks. Large organizations can significantly improve the security of wireless connections by adding support for the 802.1x standard, which uses access controls instead of shared passwords as in WPA2 wireless networks. Windows 10 will prompt for a username and password when attempting to connect to this type of network and will reject unauthorized connections.
On Windows domain-based networks, you can use the native DirectAccess feature to allow secure remote access.
For times when you must connect using an untrusted wireless network, the best alternative is to set up a virtual private network (VPN). Windows 10 supports most popular VPN packages used on corporate networks; to configure this type of connection, go to Settings > Network & Internet > VPN. Small businesses and individuals can choose from a variety of Windows-compatible third-party VPN services.
Also: VPN services: The ultimate guide to protecting your data on the internet
Windows 10 October 2018 Update: The new features that matter most
Previous and related coverage:
How to install, reinstall, upgrade and activate Windows 10
Here’s everything you need to know before you repair, reinstall, or upgrade Windows 10, including details about activation and product keys.
After Windows 10 upgrade, do these seven things immediately
ou’ve just upgraded to the most recent version of Windows 10. Before you get back to work, use this checklist to ensure that your privacy and security settings are correct and that you’ve cut annoyances to a bare minimum.
How to upgrade from Windows 10 Home to Pro for free
You’ve got a new PC running Windows 10 Home. You want to upgrade to Windows 10 Pro. Here’s how to get that upgrade for free. All you need is a Pro/Ultimate product key from an older version of Windows.
Related stories:
- Windows 7 versus Windows 10: Here comes the final showdown
- Windows 7 migration warning: Plan now to avoid security worries later
- I like Windows 7: Why should I pay to move to Windows 10?