微软为Windows 10的安全功能可谓费尽心机，且该公司常称它是迄今为止最安全的Windows系统。

尽管如此，Windows管理员仍旧可以做很多工作来进一步加强Windows 10的安全性，特别是当构建参考或Windows镜像用于桌面部署时。制作这样的镜像，如果可采用基本安全原则，其结果将会比Windows提供的更为安全。

用于Windows镜像构建的基本安全原则

Windows管理员通常使用诸如Sysprep（微软的系统准备工具）之类的工具来创建参考Windows镜像以供日后安装。在这样做时，需要考虑的相关安全原则首先是理解OS强化。

强化安装涉及保护OS以及系统（在这种情况下指Windows 10客户端）将使用的应用，这里的基本概念是消除或减少攻击面以阻止攻击者。因此，Windows强化的关键目标必须包含所有可以用的手段来拒绝、阻止或者延迟任何类型的攻击。

为了强化Windows，最好的方法是关闭或禁用Windows中未被使用的功能。这可确保当某个功能不存在或不活动时，它不会成为攻击者可利用的攻击跳板。

最小特权原则可进一步保护强化系统免受攻击。在安全领域中，最小特权原则意味着仅提供允许用户完成其工作的访问权限与特权，此外不会再提供更多权限。首先，这需要建立一个账户政策，要求所有用户登录到标准用户账户来执行日常工作。

管理员自己只有在需要执行管理任务时才使用管理权限，并且他们以管理员登录的时间应该刚好足够完成其工作。事实上，有些可自动化的管理任务应该最小化管理员使用管理权限登录的时间。管理任务可包括安装程序；配置系统、服务和网络；以及执行系统维护工作，例如备份、更新、修复以及配置或系统管理。如果管理员在操作Windows 10时考虑这些原则，他们就会明白他们必须做什么来强化Windows 10或者其他客户端。

Windows强化的初始方法

构建强化系统镜像与典型安装不同。管理员通常会断开工作站从网络创建镜像——通过断开传统以太网网络中的有线网络线缆或者禁用通过无线互联网连接设备的WiFi。

接着使用可引导USB安装程序来执行升级安装，无论是修改现有镜像或者创建新的镜像。在初始镜像创建期间可跳过提供OS，或者名为PID.TXT可插入到USB安装程序的Sources目录中，其中包含用于所有适用客户端安装的卷许可证密钥。

更改设置以强化Windows 10

在初始安装完成后，在Windows 10中打开“设置”应用来锁定或关闭主要元素。在这个过程中需要更改的设置包括但不限于：

· 语音：选择时间和语言>语音>关闭麦克风设置

· 语音、墨迹和键入隐私设置：选择时间和语言>语音>语音、墨迹和键入隐私设置>停止收集有关我的信息

· 广告标识符：在设置的搜索框输入广告，如果应用可使用你的广告ID则选择关闭设置

· 让Skype帮助你连接：如果用户不使用Skype则关闭

· 位置：如果用户不需要位置数据进行搜索和访问，则搜索位置并关闭查找我的设备。然而，搜索位置设置并关闭允许Windows、应用和服务使用你的位置。

· 热点：搜索并更改Wi-Fi设置，并关闭自动连接到建议的热点以及自动临时连接到热点

· 诊断信息：限制发送给微软的数据量，除非有必要的情况。在设置应用中，选择隐私>反馈和诊断>，然后在诊断和使用情况数据部分的“向Microsoft发送你的设备数据”下拉菜单选择“基本”

· 使用页面预测：关闭这个Microsoft Edge设置以加快信息查找速度并关闭预测算法。

· 获取更新以及向互联网上其他PC发送更新：关闭这两个设置。想要关闭更新，请将互联网连接标记为按流量计费。想要阻止发送更新给互联网其他电脑，则选择更新和安全>Windows更新，然后选择高级选项来禁用从互联网其他电脑下载Windows更新或者关闭从任何其他电脑获取的更新——即使在相同的本地网络中。

通常情况下，最好查看整个Windows设置，并询问用户是否需要启用、部分锁定或者完全关闭。然后，应用所有已测试和已批准的安全更新，虽然大部分用户将使用Current Branch for Business。

最后，确保所有设备用户有权使用的设备驱动程序的安装、运行和更新。当不包括设备时，最安全的的做法是在参考镜像中禁用或卸载相应的驱动程序。

当所有这些活动完成（而不是在之前）时，为参考镜像快照用于潜在部署以及现场使用，并将其命名为“Windows 10 base，版本XXXX”，XXXX代表当前版本分支号。

自定义Windows 10镜像

Windows强化的下一步骤是使用Sysprep在审核模式中自定义基本Windows 10镜像。当在Windows 10安装的最后阶段出现设置对话框时，请按住CTRL和SHIFT键，然后再按F3功能键，而不是选择自定义或快速设置。Windows将在审核模式下重启，并显示Sysprep对话框。在使用Sysprep之前还有一些其他任务要完成，因此请按取消以关闭此对话框并继续。

下一个任务是安装Windows评估和部署工具包，这可提供对Windows系统镜像管理器（SIM）的访问。使用SIM来创建并修改答案文件，让Sysprep可根据你的要求创建自定义镜像，然后完成和自定义参考Windows镜像。并将其命名为“Windows 10 base，版本XXXX”，XXXX代表当前版本分支号。

维护强化版Windows镜像

随着时间的推移，基本镜像将根据需求变化和软件更新而更新以及修改，这需要你重复上述自定义基本镜像的相同步骤。

例如，当Windows 10更改构件号（例如从1511升级到1607时），则有必要从头开始更新。或者，你可以从基本镜像开始更新，然后重新构建Sysprep文件来更新任何应用、设置或账户信息。

请始终使用明确的文件命名约定，在进行更改时创建新文件。这样的话，当创建镜像或者修改/自定义过程出现错误或者任何问题时可返回到以前的基础镜像和应用版本。

采用本文中介绍的基本Windows强化原则，可帮助企业更好地保护Windows系统的安全。