Phiên bản tiêu dùng của Windows được thiết kế ban đầu cho tính dễ sử dụng trên máy tính một người dùng mà không cần kết nối mạng, và không có tính năng bảo mật được xây dựng từ đầu.[57] Tuy nhiên, Windows NT và những người kế nhiệm của nó được thiết kế cho bảo mật (bao gồm cả trên mạng) và máy tính đa người dùng, nhưng ban đầu không được thiết kế với an ninh Internet, kể từ khi nó được phát triển đầu tiên vào đầu những năm 1990, việc sử dụng Internet ít phổ biến hơn.[58]

Những vấn đề thiết kế kết hợp với lỗi lập trình và sự phổ biến của Windows khiến nó trở thành mục tiêu của virus và sâu máy tính. Tháng Sáu 2005, Counterpane Internet Security của Bruce Schneier báo cáo rằng trong 6 tháng có tới hơn 1000 mẫu virus và sâu mới.[59] Năm 2005, Kaspersky tìm thấy khoảng 11.000 các chương trình độc hại và virus, Trojan,... cho Windows.[60]

Microsoft thường tung ra các bản vá lỗi qua Windows Update khoảng 1 tháng một lần (thường vào ngày thứ Ba thứ hai của tháng), còn một vài các cập nhật quan trọng thường được tung ra sớm hơn khi cần.[61] Trong các phiên bản từ Windows 2000 SP3 trở lên, các bản cập nhật có thể được tự động tải xuống và cài đặt khi người dùng cho phép. Kết quả là các Gói dịch vụ (Service Pack) 2 cho Windows XP và 1 cho Windows Server 2003 được cài đặt nhanh chóng hơn nhiều.[62]

Trong khi các dòng Windows 9x được cung cấp tùy chọn có các thông tin cho nhiều người dùng, chúng không có khái niệm về quyền truy cập, và không cho phép truy cập đồng thời; và như vậy không phải là hệ điều hành đa người dùng thực sự. Ngoài ra, các HĐH này chỉ thực hiện bảo vệ bộ nhớ một phần. Việc này đã bị chỉ trích nhiều vì sự thiếu an toàn.

Dòng hệ điều hành Windows NT thì ngược lại, là hệ điều hành đa người dùng thực sự và thực hiện bảo vệ bộ nhớ tuyệt đối. Tuy nhiên, rất nhiều lợi thế của một hệ điều hành đa người dùng thực sự đã được vô hiệu hóa bởi một thực tế là, trước Windows Vista, tài khoản người dùng đầu tiên được tạo ra trong quá trình cài đặt là một tài khoản quản trị, mà đó cũng là mặc định cho tài khoản mới. Mặc dù Windows XP đã có tài khoản hạn chế, đa số người dùng gia đình không thay đổi một loại tài khoản có ít quyền - một phần do số lượng các chương trình không cần yêu cầu quyền quản trị - và vì vậy hầu hết người dùng gia đình vẫn chạy tài khoản quản trị.

Windows Vista đã thay đổi điều này[63] bằng cách giới thiệu một hệ thống đặc quyền cao được gọi là User Account Control (UAC). Khi đăng nhập như một người dùng chuẩn, một phiên đăng nhập được tạo ra và một thẻ chỉ chứa các đặc quyền cơ bản nhất được đưa ra. Bằng cách này, các phiên đăng nhập mới sẽ không có khả năng làm những thay đổi ảnh hưởng đến toàn bộ hệ thống. Khi một ứng dụng yêu cầu đặc quyền cao hơn hoặc "Run as administrator" được nhấp, UAC sẽ yêu cầu để xác nhận, và nếu đồng ý (bao gồm cả thông tin quản trị nếu tài khoản yêu cầu độ cao không phải là một thành viên của nhóm quản trị viên), bắt đầu quá trình sử dụng các mã thông báo không hạn chế.[64]

Các tài liệu bị rò rỉ do WikiLeaks xuất bản, có tên mã Vault 7 và ngày 2013 20132016, chi tiết về khả năng của CIA để thực hiện giám sát điện tử và chiến tranh mạng, như khả năng thỏa hiệp các hệ điều hành như Microsoft Windows.

Quyền truy cập tệp

Tất cả các phiên bản Windows từ Windows NT 3 đã được dựa trên hệ thống cấp phép hệ thống tệp được gọi là AGDLP (Tài khoản, Toàn cầu, Địa phương, Quyền) trong đó quyền truy cập tệp được áp dụng cho tệp / thư mục ở dạng 'nhóm cục bộ' sau đó có các "nhóm toàn cầu" khác làm thành viên. Các nhóm toàn cầu này sau đó giữ các nhóm hoặc người dùng khác tùy thuộc vào các phiên bản Windows khác nhau được sử dụng. Hệ thống này khác với các sản phẩm của nhà cung cấp khác như Linux và NetWare do phân bổ quyền 'tĩnh' đang được áp dụng cho tệp hoặc thư mục. Tuy nhiên, sử dụng quy trình AGLP / AGDLP / AGUDLP này cho phép áp dụng một số lượng nhỏ quyền tĩnh và cho phép dễ dàng thay đổi các nhóm tài khoản mà không cần áp dụng lại quyền truy cập tệp trên các tệp và thư mục.

Windows Defender

Ngày 06 tháng 1 năm 2005, Microsoft phát hành phiên bản Beta của Microsoft AntiSpyware, dựa trên bản phát hành trước đó Giant AntiSpyware. Ngày 14 tháng 2 năm 2006, Microsoft AntiSpyware đã trở thành Windows Defender với việc phát hành bản Beta 2. Windows Defender là một chương trình phần mềm miễn phí được thiết kế để bảo vệ chống lại phần mềm gián điệp và phần mềm không mong muốn. Người dùng Windows XP và Windows Server 2003 có bản sao chính hãng của Microsoft Windows có thể tự do tải chương trình từ trang web của Microsoft và Windows Defender như một phần của Windows Vista và 7.[65] Trong Windows 8, Windows Defender và Microsoft Security Essentials được kết hợp thành một chương trình duy nhất, có tên là Windows Defender. Nó dựa trên Microsoft Security Essentials, vay mượn những tính năng và giao diện người dùng. Mặc dù nó được kích hoạt theo mặc định, nó có thể được tắt để sử dụng một giải pháp chống virus khác.[66] Windows Malicious Software Removal Tool và Microsoft Safety Scanner là hai sản phẩm bảo mật miễn phí khác được cung cấp bởi Microsoft.

Phân tích bên thứ ba

Trong một bài viết dựa trên báo cáo của Symantec, internetnews.com đã mô tả Microsoft Windows có "số lượng bản vá ít nhất và thời gian phát triển bản vá trung bình ngắn nhất trong số 5 hệ điều hành được theo dõi trong sáu tháng cuối năm 2006. "Một nghiên cứu được thực hiện bởi Kevin Mitnick và công ty truyền thông tiếp thị Avantgarde năm 2004, đã phát hiện ra rằng một hệ thống Windows XP không được bảo vệ và chưa được vá với Gói dịch vụ 1 chỉ tồn tại bốn phút trên Internet trước khi nó bị xâm nhập và hệ thống Windows Server 2003 không được bảo vệ và cũng không được bảo vệ bị xâm nhập sau khi được kết nối với internet trong 8 giờ. Máy tính đang chạy Windows XP Service Pack 2 không bị xâm phạm. Nghiên cứu an toàn trực tuyến của Liên minh an ninh mạng quốc gia AOL tháng 10 năm 2004, đã xác định rằng 80% người dùng Windows đã bị nhiễm ít nhất một sản phẩm phần mềm gián điệp / phần mềm quảng cáo. [Cần dẫn nguồn] Có nhiều tài liệu mô tả cách tăng tính bảo mật của các sản phẩm Microsoft Windows. Các đề xuất điển hình bao gồm triển khai Microsoft Windows đằng sau tường lửa phần cứng hoặc phần mềm, chạy phần mềm chống vi-rút và chống phần mềm gián điệp và cài đặt các bản vá khi chúng có sẵn thông qua Windows Update.