安全不落单,Windows 10安全体系

阚永强 《电脑爱好者》2016年第17期 2017-02-24 14:36专题 标签:Windows 10

现在大家对安全的意识原来越重视,为此Windows 10也大大增强系统的安全性。Windows 10使用多个安全组件来保护系统的安全。

安全从头开始——UEFI启动

引导型病毒一直是让Windows比较头痛的病毒,因为这类病毒会在系统和杀毒软件加载前启动,这也导致电脑会反复感染并无法对其进行有效的查杀。为了杜绝这类病毒的危害,Windows 10大力推广安全性能更高的UEFI启动。现在预装Windows 10的电脑几乎全部是UEFI启动,UEFI安全启动(Secure Boot)机制,能够防止病毒在UEFI电脑启动的过程中进驻,有效保证电脑启动安全。

如果你的Windows 10仍然在使用传统BIOS启动,那么可以在进入系统后使用磁盘管理工具划分出一个FAT32分区(当然前提是你的主板需要支持UEFI启动)。假设盘符为F:,启动命令提示符输入“bcdboot c:\windows /s d: /f UEFI”,这样即可开启UEFI启动(图1)。

201617aqfh1

图1 开启UEFI启动

开启UEFI启动后为了增强启动安全性,还可以进入BIOS设置(请自行根据自己主板说明操作),然后将Secure Boot选项设置为“Enable”,并且设置为主板仅UEFI启动,这样即可很好保护启动安全了(图2)。

201617aqfh2

图2 开启Secure Boot

EFI分区,引导更安全

解决了电脑启动安全后,为了进一步保护系统引导安全,在全新硬盘安装的Windows 10都使用了EFI系统分区作为专门的引导分区,里面保存了Windows 10引导文件。默认情况下是无法访问该分区的,系统没有为其分配盘符,在磁盘管理中也无法手动为其分配盘符或者打开访问,这样可以避免病毒或者误操作导致引导文件损坏(图3)。

201617aqfh3

图3 Windows10的EFI引导分区

EFI分区可用很好保护Windows 10引导安全,如果你的Windows 10 仍然在使用传统引导(引导文件在C:\),同样可以自行建立EFI引导分区。

同上先在本机新建一个FAT32分区,假设盘符为D:\,如果是UEFI启动使用上述介绍命令添加UEFI启动。如果是传统BIOS启动,则将C\boot目录、C:\bootmgr文件复制到新建分区,然后使用bootice.exe编辑d:\boot\bcd文件添加Windows 10启动即可。完成启动参数的设置后,启动命令提示符依次输入下列的命令,将新建D:更改为EFI系统分区即可(图4):

201617aqfh4

图4 添加EFI引导分区

Diskpart

Sel disk 0

Sel vol 2

set id=c12a7328-f81f-11d2-ba4b-00a0c93ec93b

这样重启后你的Windows 10就拥有和预装Windows 10 电脑一样的隐藏、无法访问的EFI分区。无论是病毒还是自己误操作都不会删除Windows 10引导文件(因为根本无法访问EFI系统分区),有效保护系统引导安全。

病毒+间谍软件双重防护——Defender

病毒和间谍软件一直是电脑安全的主要威胁,为了更好保护系统的安全,在Windows 10中的Defender组件已经整合了病毒和间谍软件防护功能。默认情况下如果你的电脑没有安装第三方杀毒软件,那么Windows 10内置的Defender组件就默认启动并开启实时防护,只要在搜索框输入“defender”即可快速查看Defender的保护状态(图5)。

201617aqfh5

图5 查看Defender组件

即使你安装了第三方杀毒软件,Defender同样可以手动开启定期扫描功能,这样可以为你的电脑提供额外的保护功能。启动Defender后点击“设置”,在打开的设置窗口将“有限的定期扫描”选项设置为“开”。这样Windows Defender 将利用 Windows 10 的自动管理计划,在用户计算机空闲时实施威胁扫描,在当前正在运行的杀毒软件基础上,提供额外的保护(图6)。

201617aqfh6

图6 开启有限的定期扫描

当然之前Windows拥有的诸如安全登陆、权限保护、bootlocker加密、组策略、防火墙等安全防护组件,Windows 10同样拥有,并且有些功能还得到扩展和提高。比如最近更新的Windows 10周年纪念版,Windows Hello原来支持的指纹和脸部登陆,现在Windows 10周年更新中将这项功能集成到了应用程序和网站中。这样用户在登录网站或者应用程序时,同样无需输入密码,只需要用摄像头扫描一下面部信息即可登陆,比如很多应用商店游戏登陆,使用脸部登陆可以更有效保护自己游戏账户的安全(图7)。

201617aqfh7

图7 Windows 10的Windows Hello