微软首席项目经理Chris Jackson表示:“过去我们将Windows 10系统的安全配置定义作为每位客户的一项任务。结果我们看到了很多不同的配置方案。而通过标准化将会带来很多优点,因此我们开发了一个安全配置框架,在保留充足灵活性的前提下简化安全配置,使您能够平衡安全性,生产力和用户体验。”
通过和测试项目的早期客户、来自微软工程团队的专家以及来自微软销售领域的团队深入测试,微软现在提供了5个级别。这5个级别的描述分别为
5.企业级安全(Enterprise security):
我们建议将此配置作为企业设备的最低安全性配置。此安全配置级别的建议通常很简单,可在30天内部署。
4.企业级高安全(Enterprise high security):
推荐那些需要访问敏感或者机密信息的用户配置该级别。某些控件可能会对应用程序兼容性产生影响,因此通常会通过审计配置强制工作流程。大多数组织通常都可以访问此级别的建议,并且可以在90天内进行部署。
3.企业级VIP安全(Enterprise VIP security):
推荐那些拥有更大或者更复杂安全团队的组织,或者那些从事高度危险(例如认证识别用户是否可通过数据来直接窃取或者严重影响股价的组织)的特定用户和组织。一个可能成为资金充足且成熟的对手的目标的组织应该追求这种配置。此安全配置级别的建议可能很复杂(例如,删除某些组织的本地管理员权限本身就是一个很长的项目),并且通常可以超过90天。
2. DevOps工作站(DevOps workstation)
推荐开发者和测试人员部署该配置,他们是供应链攻击和凭证窃取攻击的有吸引力的目标,这些攻击试图访问包含高价值数据的服务器和系统,或者关键业务功能可能是破坏。目前相关的指南手册还在制定中,在准备完善之后会通过另个声明发布。
1.管理员工作站(Administrator workstation)
面临最高风险的管理员(尤其是身份和安全系统),通过数据窃取、数据更改或服务中断面临最高风险。目前相关的指南手册还在制定中,在准备完善之后会通过另个声明发布。
可以在此处找到安全配置框架文档的草稿版本,Microsoft正在寻求用户对此的反馈。
