当涉及到家庭和小企业的数字安全时，你只能靠自己了。大型企业通常有专门的IT人员负责确保企业网络的安全，防止外部人员窃取数据或植入勒索软件。你有……你自己。

面对现实吧:你的个人和商业数据每时每刻都在受到威胁——当你在网上购物、银行存款和玩游戏时，保护这些数字资产仍然是你的首要任务。好消息是:现在有比以往更多的安全工具和策略可用。ZDNET最新的网络安全指南提供实用的提示，以保持安全和高效的今天，在不断变化的威胁前景的明天。

开始考虑网络上pc的安全性的最糟糕时间是在您经历了灾难性事件之后。最好的时机就是现在，这就是我们编写这篇指南的原因。

按照我在这里列出的步骤应该可以帮助您了解哪些安全问题是最重要的，并在此基础上建立安全基线。不幸的是，这不是一个设定后就忘记的任务。在线攻击者是确定的，威胁形势也在不断发展。维持有效的安全需要持续的警惕和持续的努力。

这听起来是不是让人难以承受?维护有效的安全性不应该花费过多的时间。每周花几分钟检查一下Windows安全系统，确保没有出现红色或黄色的指示器，并在每个月的补丁星期二更新后做一次更全面的检查。

在本指南中，我不仅仅介绍Windows设备本身，因为许多威胁来自外部。为了保持安全，您需要密切关注网络流量、电子邮件帐户、身份验证机制和简单的用户。

本文主要关注在没有全职IT人员的家庭或小型企业环境中管理Windows PC的PC所有者的需求。对于需要连接到业务网络的安装，您需要将您的个人安全配置与公司策略协调起来。在某些情况下，设备管理策略会阻止您调整某些设置。

我还提供了一些指导，帮助你了解Windows 10和Windows 11之间的区别，以及两种操作系统(家庭版、专业版、企业版和教育版)的不同版本。我们知道，市面上仍有很多运行Windows 10的个人电脑，其中许多电脑无法满足升级到Windows 11的系统要求。

不过，在您接触单个Windows设置之前，请花一些时间进行威胁评估。特别是，在发生数据泄露或其他与安全相关的事件时，要意识到您的法律和监管责任。即使是小型企业也可能受到合规性要求的约束;如果这适用于您，请考虑聘请一位了解您的行业并能确保您的系统满足所有适用要求的专家。

在哪儿我可以了解一下Windows的安全性吗?

在Windows 10中，微软推出了Windows Security应用程序，该应用程序将安全设置和状态信息整合到一个位置。这款应用的Windows 11版本遵循了相同的基本设计，但增加了一些针对新硬件的功能。无论使用的是哪个操作系统，这个应用程序都应该是你安全监控的常规部分。

从这个起点开始，您可以检查(并调整)防病毒和反恶意软件、设备安全、防火墙和网络保护以及其他关键安全选项的设置。绿色复选标记表示没有需要立即注意的问题。黄色和红色图标表示需要解决的安全问题。

当访问这样的应用程序时，很自然的诱惑是点击每一个类别，打开你看到的每一个选项。抵制这种冲动，特别是在应用程序和浏览器控制>漏洞保护部分。你在这里所做的改变可能会在日常活动中产生意想不到的后果，尤其是在旧的应用程序上。默认设置对于大多数系统应该是足够的。如果您选择在这里进行更改，请逐步进行，并且在确定之前的调整按预期工作之前不要进行任何其他更改。

保持Windows更新的最好方法是什么?

对于任何Windows PC来说，最重要的安全设置是确保定期、可预测地安装更新。当然，所有现代计算设备都是如此，但微软在Windows 10中引入的“Windows即服务”模式改变了你管理更新的方式。

不过，在开始之前，了解不同类型的Windows更新及其工作原理是很重要的。

• 质量更新没有交付每月通过Windows更新在每个月的第二个星期二。它们解决了安全性和可靠性问题，不包括新功能。(这些更新还包括针对英特尔处理器微码缺陷的补丁。)对于特别严重的安全问题，微软可能会选择发布一个与正常模式无关的带外更新n时间表。

所有高质量的更新都是累积的，所以你不再需要在完全安装Windows后下载几十个甚至几百个更新。相反，您可以安装最新的累积更新，这样您就完全跟上了。

• 功能更新相当于过去所谓的版本升级。它们包含了一些新功能，需要大量的下载空间和完整的设置。Windows 10正在迅速接近其支持终止的最后期限Nger接收功能更新。对于Windows 11，微软目前的政策是每年下半年发布一次功能更新。功能更新通过Windows Update提供，并且不会自动安装，除非当前版本已达到其支持生命周期的终点。

默认情况下，现代Windows设备只要在微软的更新服务器上可用，就会下载并安装高质量的更新。除非管理员阻止此操作，否则单个用户可以暂停所有更新长达五周，每次一周。

与所有安全决策一样，选择何时安装更新需要权衡。更新发布后立即安装可以提供最好的保护;延迟更新可以最大限度地减少与这些更新相关的计划外停机时间。

在运行Windows Pro、企业版和教育版的设备上，管理员可以在质量更新发布后最多推迟30天安装。您还可以将这些版本的功能更新延迟365天。在运行Windows家庭版的设备上，没有支持的方法来指定安装这些更新的确切时间。

将高质量更新推迟7到15天是一种低风险的方法，可以避免安装可能导致稳定性或兼容性问题的有缺陷的更新。您可以通过使用本地组策略编辑器(Gpedit.msc)来调整个人电脑上的Windows Update for Business设置;您需要的设置在本地计算机策略>管理模板> Windows组件> Windows更新下可用。

在较大的组织中，管理员可以通过组策略或移动设备管理(MDM)软件应用Windows Update设置。您也可以使用管理工具(如System Center Configuration Manager或Windows Server Update Services)集中管理更新。

最后，你的软件更新策略不应该只局限于Windows本身。确保Windows应用程序(包括Microsoft Office和Adobe应用程序)的更新已自动安装。

我该怎么去呢?配置用户帐户以获得最大的安全性?

微软首次决定在安装Windows 11家庭版的电脑时需要微软账户，这一决定引发了争议。我还在网上看到一些人对随后的政策变化感到担忧，该政策将这一要求扩展到个人使用的Windows 11 Pro电脑。当然，有一些变通方法可以让你绕过这个限制;有关详细信息，请参阅“Windows 11设置:您应该选择哪种用户帐户类型?”

如果你已经有了一个与Microsoft 365 Home或Family或Xbox Live等服务绑定的个人微软账户，那么用一个微软账户登录，就可以轻松访问你的Office应用程序、oneDrive存储和在线游戏。

但是，即使您没有Microsoft服务，这种设计决策也会带来可靠的安全好处。在Windows 10或Windows 11上用微软帐户登录会自动加密系统驱动器的内容，恢复密钥会备份到一个安全的位置，通过登录该微软帐户可以访问。这样可以最大限度地降低忘记密码导致灾难性数据丢失的风险。

如果你不使用微软的服务，可以随意创建一个全新的微软帐户，作为安装过程的一部分，并使用该新帐户专门登录Windows。您可以获得完整的系统磁盘加密，多因素身份验证以及(如果您选择使用它)5gb的oneDrive存储空间，而无需额外费用。只要把它想象成一个本地帐户，其用户名末尾是@outlook.com。

如果你仍然决定使用本地帐户，你可以先使用一个一次性的微软帐户来设置Windows，然后再切换到本地帐户。只是要注意，这样做意味着你还必须找到一个不同的加密选项，如果你忘记了你的登录凭证，你将没有任何恢复机制。

在解决了所有这些问题之后，还要做以下事情:

• 为您的微软帐户设置多因素身份验证。(你可以在这里找到完整的说明:“如何锁定你的微软账户，保护它免受外部攻击。”)
• 创建标准账户为其他用户(甚至为您自己)。默认情况下，您的主帐户具有管理员权限。如果其他人(员工或家庭成员)使用同一台电脑，给他们提供标准帐户，这些帐户不能更改系统设置或安装未经您同意的不受信任的软件。你也可以给自己一个日常使用的标准帐户，但这是一个不必要的预防措施，只会迫使你输入一个密码，而不是点击OK到用户帐户公司控件对话框。
• 安装密码管理器确保你所有的在线帐户有强大的、唯一的登录凭据。
• 为0设置多因素身份验证在线账户在哪儿只要它是可用的。(请参阅“多因素身份验证:如何启用2FA来提高安全性”)

对于家里的电脑，使用标准帐户设置儿童访问权限，并考虑在Windows 10和Windows 11中设置家庭安全功能。你可以使用这些选项来设置青少年上网的授权时间，并帮助他们避免误入互联网的不良角落。你会在Windows安全应用程序中找到所有你需要的链接。

如何保证Windows 11硬件的安全?

1. 检查TPM的状态。
2. 确保安全启动已启用。
3. 打开Windows Hello，如果可用，使用生物识别身份验证。

微软为Windows 11制定的硬件兼容性规则提升了个人电脑的安全性，尽管这并非没有争议。在此之前，每一个新的Windows版本的管理原则都是最大限度地向后兼容，即使是10年的个人电脑也有资格安装新的操作系统。

Windows 11改变了这一切。有史以来第一次，官方硬件规格(a)比之前的版本大幅增加，(b)不仅适用于PC制造商的新硬件，也适用于升级商。

最大的变化是对可信平台模块(TPM) 2.0版本的需求，以及启用安全引导(一种使用加密签名确保设备在未被篡改的操作系统下启动的功能)的需求。如果你愿意对注册表进行一些修改，你可以在一台TPM版本较旧、CPU不受支持的电脑上免费从Windows 10升级到Windows 11。具体操作请参见微软技术支持文档“安装Windows 11的方法”。

在Windows安全应用程序的设备安全页面，你可以检查这两个设置。如果您看到了“安全处理器”和“安全引导”的条目，那么就可以开始了。如果其中一个或两个条目丢失，您需要进入设备的固件设置以重新启用设置。尽管在一些高级配置中，您可能需要禁用安全引导以进行故障排除，但最好不要使用此设置。

最后，如果你的设备有指纹识别器或支持面部识别的红外摄像头，设置一个Windows Hello PIN并启用生物识别认证。

保护数据文件的最佳方法是什么?

1. 打开所有数据驱动器的BitLocker加密。
2. 备份加密密钥。
3. 备份数据文件到云。
4. 将关键数据文件备份到本地。

更换被盗的笔记本电脑既不方便又昂贵。处理丢失或被盗的数据是一场噩梦。物理安全有其自身的挑战，但当涉及到保持数据安全时，您有两个关键目标:

• 加密您的数据文件。如果你的电脑或存储设备被盗，小偷无法访问你的文件，这些文件受到强大的加密和强密码的保护。
• 备份您的数据文件。有了好的备份计划，您可以恢复丢失或损坏的文件(即使原因是硬件故障)，并以最小的停机时间恢复工作。

这些预防措施对于包含客户或客户敏感的个人或财务信息的文件尤其重要。如果你在一个受监管的行业工作，或者你受到数据泄露法律的约束，那么影响就更大了。

您可以做的最重要的配置更改是在系统驱动器和所有辅助驱动器(包括USB闪存驱动器)上启用BitLocker设备加密。(BitLocker是微软在Windows商业版中使用的加密工具的品牌名称。BitLocker的功能在Windows 10和Windows 11上是相同的。)

启用BitLocker后，设备上的每一位数据都使用XTS-AES标准进行加密。BitLocker使用TPM (Trusted Platform Module)芯片存储加密密钥。

根据安装的Windows版本，开启加密功能的步骤有所不同:

• Windows 10/11此版本支持强设备加密，但不支持只有在你用微软账号登录的时候才可以。它不允许管理BitLocker设备。
• Windows 10/11专业版、企业版或教育版:这些商业版提供对BitLocker管理工具的完整访问。要获得完整的管理功能，您需要使用Windows域上的Active Directory帐户或Entra ID(以前称为Azure Active Directory)帐户来设置BitLocker。在运行Windows商业版的非托管设备上，你可以使用本地帐户或微软帐户设置BitLocker，但你需要使用BitLocker管理工具在可用驱动器上启用加密。

备份bitlocker加密驱动器的恢复密钥是至关重要的。如果你必须重新安装Windows或遇到帐户问题，你将需要这个48位数字来访问数据。

如果你用微软账户登录，BitLocker恢复密钥默认保存在oneDrive中。你可以登录onedrive.com/recoverykey访问它。我建议你打印一份钥匙的副本，并把它保存在一个安全的地方，以防万一。

在使用域或Entra ID帐户管理的PC上，恢复密钥保存在域或Entra ID管理员可用的位置。在个人设备上，你可以使用管理BitLocker应用程序来保存或打印恢复密钥的副本。

不要忘记对便携式存储设备进行加密。USB闪存驱动器、用作扩展存储的MicroSD卡和便携式硬盘驱动器很容易丢失，但使用BitLocker To Go可以保护数据免受窥探，该软件使用密码来解密驱动器的内容。详细信息请参见“使用BitLocker加密保护可移动存储设备”。)

最后，确保将关键数据文件备份到云和本地存储(当然是在加密驱动器上)。如果您遭受磁盘崩溃，这种预防措施是非常宝贵的，而且它也是防止勒索软件攻击的极好保护。

如果你担心将敏感文件放到云端，可以使用第三方软件(如Boxcryptor)对这些文件进行加密。oneDrive提供了一个Personal Vault功能，需要额外的验证才能访问存储在那里的文件;Dropbox有一个类似的功能，叫做Dropbox Vault。

如何保护我的Windows 11电脑免受恶意软件的侵害?

1. 有限公司配置安全软件。
2. 有限公司配置反垃圾邮件防护。
3. 管理哪些应用程序标准用户帐户被允许运行。

安全软件是防御策略中的一层，旨在防止威胁到达个人电脑。它不再是最重要的一层，但拥有最新的安全软件仍然至关重要。

Windows 10和Windows 11的每个安装都内置了名为Microsoft Defender antivirus的防病毒、反恶意软件，该软件使用与Windows Update相同的机制进行自我更新。微软防病毒卫士被设计成一个设置和忘记它的功能，不需要任何手动配置。如果你安装了第三方安全包，Windows会禁用内置的保护功能，并允许该软件检测和删除潜在的威胁。

要检查Microsoft Defender Antivirus的状态，请使用Windows Security应用程序中的“病毒与威胁防护”页面。(你会在“受控文件夹访问”标题下找到勒索软件防护选项。)

使用Windows企业版的大型组织可以部署Microsoft Defender for Endpoint，这是一个使用行为传感器监控Windows 11 pc和其他受管理设备的安全平台。使用基于云的分析，这些工具可以识别可疑行为，并提醒管理员注意潜在的威胁。

对于小型企业来说，最重要的挑战首先是防止恶意代码到达PC。微软的SmartScreen技术是另一项内置功能，可以扫描下载并阻止已知恶意程序的执行。SmartScreen技术还可以阻止无法识别的程序，但允许用户在必要时覆盖这些设置。

值得注意的是，Windows中的SmartScreen独立于基于浏览器的技术，如b谷歌的安全浏览服务和微软Edge中的SmartScreen过滤服务。

在非托管pc上，SmartScreen是另一个不需要手动配置的功能。您可以使用Windows安全应用程序中的应用程序和浏览器控制设置来调整其配置。

管理潜在恶意代码的另一个关键载体是电子邮件，其中看似无害的文件附件和指向恶意网站的链接可能导致感染。虽然电子邮件客户端软件可以在这方面提供一些保护，但在服务器层面阻止这些威胁是防止对个人电脑攻击的最有效方法。

防止使用标准帐户的用户运行不需要的程序(包括恶意代码)的有效方法是配置Windows PC，使其不能运行除您特别授权的应用程序之外的任何应用程序。要在单个PC上调整这些设置，请转到设置b>应用程序>应用程序和功能;在“选择从哪里获取应用程序”标题下，选择“仅限微软商店”。此设置允许运行之前安装的应用程序，但禁止安装任何从商店外下载的程序。(请注意，许多传统的桌面程序，包括消费者喜爱的VLC Media Player和iTunes，现在都可以从微软商店买到。)

防止网络攻击的最好方法是什么?

1. 使用硬件防火墙。
2. 打开Windows防火墙。
3. 保护你的Wi-Fi账户。

你的电缆、光纤、DSL或其他有线互联网连接的网关应该包括防火墙功能，防止外人连接到你内部网络上的个人电脑。检查该设备的管理接口(通常通过连接到私有IP地址(如192.168.1.1或10.0.0.1)的基于web的门户进行访问)。确保启用了这些安全特性，并考虑将默认的管理凭据(admin/password是常见的)更改为更安全的凭据。

在过去的二十年里，每个版本的Windows都包含有状态检查防火墙。在Windows 10和Windows 11中，这个防火墙是默认启用的，不需要任何调整就可以生效。Windows防火墙支持三种不同的网络配置:域、私有和公共。需要访问网络资源的应用程序通常可以将自己配置为初始设置的一部分。

要调整基本的Windows防火墙设置，请使用Windows安全应用程序中的防火墙和网络保护选项卡。要获得更全面，仅限专家的配置工具集，请单击高级设置打开带有高级安全控制台的传统Windows Defender防火墙。在受管理的网络上，可以通过组合组策略和服务器端设置来控制这些设置。

从安全角度来看，Windows PC最大的网络威胁来自于连接无线网络的时候。大型组织可以通过添加对802.1x标准的支持来显著提高无线连接的安全性，802.1x标准使用访问控制，而不是像WPA2无线网络那样使用共享密码。Windows 10和Windows 11在尝试连接到这种类型的网络时将提示输入用户名和密码，并拒绝未经授权的连接。在使用共享密码的网络上，确保访问者连接到单独的访客网络。

当您必须使用不受信任的无线网络进行连接时，最好的替代方法是设置虚拟专用网络(VPN)。Windows 10和Windows 11都支持企业网络中最流行的VPN软件包;要配置这种类型的连接，请转到设置>网络和Internet > VPN。小型企业和个人可以从各种兼容windows的第三方VPN服务中进行选择。