Windows 10 Enterprise LTSC 2021의 새로운 기능

• 적용 대상:

  ✅ Windows 10 Enterprise LTSC 2021

이 문서에서는 Windows 10 Enterprise LTSC 2019(LTSB)와 비교하여 Windows 10 Enterprise LTSC 2021용 IT 전문가에게 관심 있는 새롭고 업데이트된 기능과 콘텐츠를 나열합니다. LTSC 서비스 채널 및 관련 지원에 대한 간략한 설명은 Windows 10 Enterprise LTSC를 참조하세요.

참고

Windows 10 Enterprise LTSC 2021은 2021년 11월 16일에 처음 제공되었습니다. Windows 10 Enterprise LTSC 2021의 기능은 Windows 10 버전 21H2와 동일합니다.

LTSC 릴리스는 특수한 디바이스용입니다. Windows 10 일반 공급 채널 릴리스용으로 설계된 앱 및 도구별 LTSC 지원은 제한될 수 있습니다.

Windows 10 Enterprise LTSC 2021은 최신 보안 위협 및 포괄적인 디바이스 관리, 앱 관리 및 제어 기능에 대한 고급 보호와 같은 프리미엄 기능을 추가하여 Windows 10 Enterprise LTSC 2019를 기반으로 합니다.

Windows 10 Enterprise LTSC 2021 릴리스에는 Windows 10 버전 1903, 1909, 2004, 21H1 및 21H2에서 제공되는 누적 향상된 기능이 포함되어 있습니다. 이러한 개선 사항에 대한 자세한 내용은 아래에 나와 있습니다.

수명 주기

중요

Windows 10 Enterprise LTSC 2021에는 5년 수명 주기가 있습니다. (IoT Enterprise LTSC는 10년 수명 주기를 계속 유지합니다). 따라서 LTSC 2021 릴리스는 10년 수명 주기가 있는 LTSC 2019를 직접 대체하지 않습니다.

이 릴리스의 수명 주기에 대한 자세한 내용은 다음 Windows 10 LTSC(장기 서비스 채널) 릴리스를 참조하세요.

하드웨어 보안

System Guard

System Guard 이 버전의 Windows에서 SMM 펌웨어 보호라는 기능을 개선했습니다. 이 기능은 펌웨어 공격 표면을 줄이고 디바이스의 SMM(시스템 관리 모드) 펌웨어가 정상으로 작동하도록 하기 위해 System Guard 보안 시작을 기반으로 합니다. 특히 SMM 코드는 OS 메모리 및 비밀에 액세스할 수 없습니다.

이 릴리스에서는 Windows Defender System Guard를 사용하여 OS 메모리와 등록 및 IO 등의 추가 리소스에 대한 암호를 확인하는 것보다 훨씬 더 높은 수준의 시스템 관리 모드(SMM) 펌웨어 방지를 사용할 수 있습니다.

이 개선을 통해 OS는 더 높은 수준의 SMM 규정 준수를 검색할 수 있으며 장치를 SMM 악용과 취약성에 대해 더욱 강화하는 데 도움이 됩니다. 기본 하드웨어 및 펌웨어 플랫폼에 따라 세 가지 버전의 SMM 펌웨어 보호(1, 2 및 3)가 있으며, 각 후속 버전은 이전 버전보다 더 강력한 보호를 제공합니다.

현재 시장에는 SMM 펌웨어 보호 버전 1과 2를 제공하는 디바이스가 이미 있습니다. SMM 펌웨어 보호 버전 3 이 기능은 현재 미래 지향적이며 곧 사용할 수 있는 새로운 하드웨어가 필요합니다.

운영 체제 보안

시스템 보안

이제 Windows 보안 앱 개선 사항에는 위협 및 사용 가능한 작업에 대해 상세하고 더 쉽게 이해할 수 있는 정보를 비롯한 보호 기록이 포함되어 있으며 제어된 폴더 액세스 블록은 보호 기록, Windows Defender 오프라인 검색 도구 작업, 보류 중인 권장 사항에 포함됩니다.

암호화 및 데이터 보호

Microsoft Entra ID 있는 BitLocker 및 MDM(Mobile 장치 관리)은 함께 작동하여 실수로 암호가 공개되지 않도록 디바이스를 보호합니다. 이제 새로운 키 롤링 기능은 MDM 관리 디바이스에서 복구 암호를 안전하게 회전합니다. 이 기능은 Microsoft Intune/MDM 도구 또는 복구 암호가 BitLocker 보호 드라이브의 잠금을 해제하는 데 사용될 때마다 활성화됩니다. 따라서 사용자가 BitLocker 드라이브의 잠금을 수동으로 해제하면 복구 암호가 더 안전하게 보호됩니다.

네트워크 보안

Windows Defender 방화벽

Windows Defender 방화벽은 이제 다음과 같은 이점을 제공합니다.

위험 감소: Windows Defender 방화벽은 IP 주소, 포트 또는 프로그램 경로와 같은 많은 속성의 트래픽을 제한하거나 허용하는 규칙을 사용하여 디바이스의 공격 노출 영역을 줄입니다. 장치의 공격 표면을 줄이면 관리 효율성이 증가하고 공격 성공 가능성이 줄어듭니다.

데이터 보호: IPsec(통합 인터넷 프로토콜 보안)을 사용하는 Windows Defender 방화벽은 인증된 엔드 투 엔드 네트워크 통신을 적용하는 간단한 방법을 제공합니다. 신뢰할 수 있는 네트워크 리소스에 대한 확장성 있는 계층화된 액세스를 제공하여 데이터의 무결성을 적용하고 필요에 따라 데이터의 기밀성을 보호하는 데 도움을 줍니다.

확장 값: Windows Defender 방화벽은 운영 체제에 포함된 호스트 기반 방화벽이므로 다른 하드웨어 또는 소프트웨어가 필요하지 않습니다. Windows Defender 방화벽은 문서화된 API(애플리케이션 프로그래밍 인터페이스)를 통해 기존의 비 Microsoft 네트워크 보안 솔루션을 보완하도록 설계되었습니다.

이제 Windows Defender 방화벽을 더 쉽게 분석하고 디버그할 수 있습니다. IPsec 동작은 Windows용 기본 구성 요소 간 네트워크 진단 도구인 pktmon(패킷 모니터)과 통합되었습니다.

또한 감사가 지정된 이벤트를 담당하는 특정 필터를 식별할 수 있도록 Windows Defender 방화벽 이벤트 로그가 향상되었습니다. 이러한 향상된 기능을 통해 다른 도구에 의존하지 않고도 방화벽 동작 및 풍부한 패킷 캡처를 분석할 수 있습니다.

Windows Defender 방화벽은 이제 WSL(Linux용 Windows 하위 시스템)도 지원합니다. Windows 프로세스와 마찬가지로 WSL 프로세스에 대한 규칙을 추가할 수 있습니다. 자세한 내용은 Windows Defender 방화벽이 이제 WSL(Linux용 Windows 하위 시스템 지원)을 참조하세요.

바이러스 및 위협 방지

공격 노출 영역 감소 - IT 관리자는 특정 URL 및 IP 주소에 대한 허용 목록 및 차단 목록을 정의할 수 있는 고급 웹 보호 기능을 사용하여 디바이스를 구성할 수 있습니다. 차세대 보호 - 컨트롤이 랜섬웨어, 자격 증명 오용 및 이동식 스토리지를 통해 전송되는 공격으로부터 보호하도록 확장되었습니다.

• 무결성 적용 기능 - Windows 10 플랫폼의 원격 런타임 증명을 사용하도록 설정합니다.
• 변조 방지 기능 - 가상화 기반 보안을 사용하여 OS 및 공격자로부터 중요한 엔드포인트용 Microsoft Defender 보안 기능을 격리합니다. 플랫폼 지원 - Windows 10 외에도 EDR(엔드포인트 검색) 및 EPP(Endpoint Protection Platform) 기능을 모두 갖춘 macOS, Linux 및 Windows Server뿐만 아니라 Windows 7 및 Windows 8.1 클라이언트를 지원하도록 엔드포인트용 Microsoft Defender 기능이 확장되었습니다.

고급 기계 학습: 고급 기계 학습 및 AI 모델로 개선되어 혁신적인 취약성 악용 기술, 도구 및 맬웨어를 통해 apex 공격자로부터 보호할 수 있습니다.

비상 공격 발생 방지: 새로운 공격 발생이 감지되면 새로운 지능으로 장치를 자동 업데이트하는 비상 공격 발생 방지 기능을 제공합니다.

Certified ISO 27001 준수: 클라우드 서비스가 위협, 취약성 및 영향에 대해 분석했는지 그리고 위험 관리 및 보안 컨트롤이 제대로 사용되고 있는지 확인합니다.

지리적 위치 지원: 샘플 데이터의 지리적 위치 및 주권과 구성 가능한 보존 정책을 지원합니다.

MICROSOFT DEFENDER ATP(Advanced Threat Protection) IR(자동 인시던트 대응)에 대한 비 ASCII 파일 경로에 대한 지원이 향상되었습니다.

참고

이 릴리스에서는 DisableAntiSpyware 매개 변수가 더 이상 사용되지 않습니다.

응용 프로그램 보안

앱 격리

Windows 샌드박스: 장치에 미치는 지속적인 영향을 걱정할 필요 없이 신뢰할 수 없는 소프트웨어를 실행할 수 있는 격리된 데스크톱 환경입니다.

Microsoft Defender Application Guard

Microsoft Defender Application Guard 향상된 기능은 다음과 같습니다.

• 독립 실행형 사용자는 레지스트리 키 설정을 변경하지 않고도 Windows Defender Application Guard 설정을 설치하고 구성할 수 있습니다. 엔터프라이즈 사용자는 설정을 확인하여 컴퓨터가 동작을 더 잘 이해하도록 관리자가 구성한 내용을 볼 수 있습니다.

• Application Guard 이제 구글 크롬과 모질라 파이어 폭스의 확장입니다. 많은 사용자가 하이브리드 브라우저 환경에 있으며 Microsoft Edge를 넘어 Application Guard 브라우저 격리 기술을 확장하고자 합니다. 최신 릴리스에서 사용자는 Chrome 또는 Firefox 브라우저에 Application Guard 확장을 설치할 수 있습니다. 이 확장은 신뢰할 수 없는 탐색을 Application Guard Edge 브라우저로 리디렉션합니다. Microsoft Store에 이 기능을 사용하도록 설정하는 도우미 앱도 있습니다. 사용자는 이 앱을 사용하여 데스크톱에서 Application Guard 빠르게 시작할 수 있습니다. 이 기능은 최신 업데이트가 포함된 Windows 10, 버전 1803 이상에서 사용할 수도 있습니다.

  이 확장을 사용하려면 다음을 수행합니다.

  1. 디바이스에서 Application Guard 정책을 구성합니다.
  2. Chrome 웹 스토어 또는 Firefox 추가 기능으로 이동하고 Application Guard를 검색합니다. 확장을 설치합니다.
  3. 확장 설정 페이지의 다른 구성 단계를 따릅니다.
  4. 장치를 다시 부팅합니다.
  5. Chrome 및 Firefox에서 신뢰할 수 없는 사이트로 이동합니다.

동적 탐색: Application Guard 이제 사용자가 Application Guard Microsoft Edge에서 기본 호스트 브라우저로 다시 이동할 수 있습니다. 이전에는 Application Guard Edge에서 검색하는 사용자가 컨테이너 브라우저 내에서 신뢰할 수 있는 사이트로 이동하려고 할 때 오류 페이지가 표시됩니다. 이 새로운 기능을 사용하면 사용자가 Application Guard Edge에서 신뢰할 수 있는 사이트를 입력하거나 클릭하면 자동으로 호스트 기본 브라우저로 리디렉션됩니다. 이 기능은 최신 업데이트가 포함된 Windows 10, 버전 1803 이상에서 사용할 수도 있습니다.

Application Guard 문서 열기 시간이 최적화되어 성능이 향상됩니다.

• Microsoft Defender Application Guard(Application Guard) Office 문서를 열 때 1분 이상 지연될 수 있는 문제가 해결되었습니다. 이 문제는 UNC(범용 명명 규칙) 경로 또는 SMB(서버 메시지 블록) 공유 링크를 사용하여 파일을 열려고 할 때 발생할 수 있습니다.
• Application Guard 컨테이너가 유휴 상태일 때 거의 1GB의 작업 집합 메모리를 사용할 수 있는 메모리 문제가 해결되었습니다.
• 400MB가 넘는 파일을 복사할 때 Robocopy의 성능이 향상됩니다.

응용 프로그램 제어

Windows용 애플리케이션 제어: Windows 10 버전 1903에서 Windows Defender WDAC(애플리케이션 제어)는 주요 시나리오를 밝히고 AppLocker와 기능 패리티를 제공하는 많은 새로운 기능을 추가했습니다.

• 여러 정책: Windows Defender 애플리케이션 제어는 이제 한 디바이스에 대해 여러 동시 코드 무결성 정책을 지원하여 다음 시나리오를 사용하도록 설정합니다. 1) 나란히 적용 및 감사, 2) 다른 scope/의도를 가진 정책에 대한 더 간단한 대상 지정, 3) 새 '추가' 정책을 사용하여 정책 확장.
• 경로 기반 규칙: 경로 조건은 서명자 또는 해시 식별자 대신 컴퓨터의 파일 시스템 또는 네트워크 상의 위치에 따라 앱을 식별합니다. 또한 WDAC에는 관리자가 런타임에 사용자가 쓸 수 없는 경로의 코드만 실행되도록 적용할 수 있는 옵션이 있습니다. 코드가 런타임에 실행하려고 하면 디렉터리가 검사되고 파일을 통해 알 수 없는 관리자에 대한 쓰기 권한이 확인됩니다. 사용자 쓰기가 가능한 파일이 발견되면 서명자 또는 해시 규칙과 같은 경로 규칙 이외의 다른 항목에 의해 권한이 부여되지 않는 한 실행 파일이 실행되지 않도록 차단됩니다.
  이 기능으로 WDAC는 파일 경로 규칙에 대한 지원 측면에서 AppLocker와 동등합니다. WDAC는 AppLocker에서 사용할 수 없는 기능인 런타임 시 사용자 쓰기 권한 검사를 사용하여 파일 경로 규칙에 따라 정책의 보안을 개선합니다.
• COM 개체 등록 허용: 이전에는 Windows Defender WDAC(Application Control)에서 COM 개체 등록을 위한 기본 제공 허용 목록을 적용했습니다. 이 메커니즘은 가장 일반적인 애플리케이션 사용 시나리오에서 작동하지만 고객들은 더 많은 COM 개체를 허용해야 하는 경우가 있다고 피드백을 주었습니다. Windows 10에 대한 1903 업데이트에는 WDAC 정책의 GUID를 통해 허용된 COM 개체를 지정하는 기능이 도입되었습니다.

ID 및 개인 정보

보안 ID

Windows Hello 향상된 기능은 다음과 같습니다.

• 이제 Windows Hello는 Chrome 및 Firefox를 포함한 모든 주요 브라우저에서 FIDO2(Fast Identity Online 2) 인증자로 지원됩니다.
• 이제 설정 > 계정 로그인 옵션으로 이동하고 디바이스 암호 없는 설정에서 켜기를 선택하여 Windows 10 디바이스에서 Microsoft 계정에 >대해 암호 없는 로그인을 사용하도록 설정할 수 있습니다. 암호 없는 로그인을 사용하도록 설정하면 Windows 10 장치의 모든 Microsoft 계정이 Windows Hello 얼굴, 지문 또는 PIN을 사용한 최신 인증으로 전환됩니다.
• Windows Hello PIN 로그인 지원은 안전 모드에 추가됩니다.
• 이제 비즈니스용 Windows Hello 하이브리드 지원 및 전화 번호 로그인(Microsoft 계정)을 Microsoft Entra 있습니다. FIDO2 보안 키 지원은 Microsoft Entra 하이브리드 환경으로 확장되어 하이브리드 환경이 있는 기업이 암호 없는 인증을 활용할 수 있도록 합니다. 자세한 내용은 하이브리드 환경에 대한 FIDO2 미리 보기를 위해 Azure Active Directory 지원 확장을 참조하세요.
• 공장에서 구성되어 Windows 10, 버전 20H2와 함께 제공되는 장치에서 사용할 수 있는 특별한 하드웨어 및 소프트웨어 구성 요소를 사용하여, Windows Hello는 이제 지원되는 지문 및 얼굴 센서를 통해 가상화 기반 보안에 대한 추가 지원을 제공합니다. 이 기능은 사용자의 생체 인증 데이터를 격리하고 보호합니다.
• Windows Hello 멀티 카메라 지원이 추가되어 Hello 지원되는 외부 및 내부 카메라 두 대가 있을 때 사용자가 외부 카메라를 우선적으로 선택할 수 있습니다.
• FIDO2 인증 Windows Hello: Windows Hello 이제 FIDO2 인증 인증자이며 Microsoft 계정 및 Entra ID와 같은 FIDO2 인증을 지원하는 웹 사이트에 암호 없는 로그인을 사용하도록 설정합니다.
• Windows Hello PIN 초기화 환경 간소화: Microsoft 계정 사용자는 웹에서 로그인할 때와 동일한 모양과 느낌으로 개선된 Windows Hello PIN 초기화 환경을 경험할 수 있습니다.
• 생체 인식이 있는 원격 데스크톱: 비즈니스용 Windows Hello 사용하는 Microsoft Entra ID 및 Active Directory 사용자는 생체 인식을 사용하여 원격 데스크톱 세션에 인증할 수 있습니다.

자격 증명 보호

Credential Guard

credential Guard는 이제 ARM64 디바이스에 사용할 수 있으며, 조직에서 ARM64 디바이스를 배포하는 엔터프라이즈(예: Surface Pro X)에 대한 자격 증명 도난에 대한 추가 보호를 위해 사용할 수 있습니다.

개인 정보 컨트롤

마이크 개인 정보 설정: 알림 영역에 마이크 아이콘이 나타나서 마이크를 사용하는 앱을 확인할 수 있습니다.

Cloud Services

Microsoft Intune

Microsoft Intune 다음 예외를 제외하고 Windows 10 Enterprise LTSC 2021을 지원합니다.

• Windows 10 LTSC 버전이 기능 업데이트를 받지 않으므로 업데이트 링은 기능 업데이트에 사용할 수 없습니다. 업데이트 링은 Windows 10 Enterprise LTSC 2021 클라이언트의 품질 업데이트에 사용할 수 있습니다.

새로운 Intune 원격 작업: 진단 수집을 통해 최종 사용자 작업을 중단하거나 기다리지 않고 회사 장치에서 로그를 수집할 수 있습니다. 자세한 내용은 진단 수집 원격 작업을 참조하세요.

Intune에는 역할 기반 액세스 제어(RBAC)에 등록 상태 페이지(RBAC)의 프로필 설정을 추가로 정의하는 데 사용할 수 있는 기능도 추가되었습니다. 자세한 내용은 등록 상태 페이지 프로필 만들기 및 그룹에 할당을 참조하세요.

Microsoft Intune 새로운 기능의 전체 목록을 보려면 Microsoft Intune의 새로운 기능을 참조하세요.

모바일 장치 관리

MDM(모바일 장치 관리) 정책은 그룹 정책 통해 관리되는 디바이스에 사용할 수 있는 옵션과 일치하는 새 로컬 사용자 및 그룹 설정으로 확장됩니다.

MDM의 새로운 기능에 대한 자세한 내용은 모바일 장치 등록 및 관리의 새로운 기능을 참조

원격 작업 시나리오를 지원하기 위해 WMI(Windows Management Instrumentation) GPSVC(그룹 정책 서비스)의 성능이 향상되었습니다.

• AD(Active Directory) 관리자에 의한 사용자 또는 컴퓨터 그룹 구성원 변경이 느리게 전파되는 문제가 해결되었습니다. 액세스 토큰이 최종적으로 업데이트되지만 관리자가 gpresult /r 또는 gpresult /h를 사용하여 보고서를 만들 때 이러한 변경 내용이 나타나지 않을 수 있습니다.

키 롤링 및 키 순환

이 릴리스에는 키 롤링 및 키 회전이라는 두 가지 새로운 기능이 포함되어 있어 Microsoft Intune/MDM 도구에서 요청 시 또는 복구 암호를 사용하여 BitLocker 보호 드라이브의 잠금을 해제하는 경우 MDM 관리 Microsoft Entra ID 디바이스에서 복구 암호를 안전하게 롤링할 수 있습니다. 이 기능은 사용자가 수동으로 BitLocker 드라이브의 잠금을 해제하는 작업의 일부로 실수로 인한 복구 암호 노출을 방지하는 데 도움이 됩니다.

배포

SetupDiag

SetupDiag는 Windows 10 업데이트가 실패한 이유를 진단하는 데 도움이 되는 명령줄 도구입니다. SetupDiag는 Windows 설치 로그 파일을 검색하여 작동합니다. 로그 파일을 검색할 때 SetupDiag는 일련의 규칙을 사용하여 알려진 문제에 일치시킵니다. 현재 버전의 SetupDiag에는 SetupDiag가 실행될 때 추출되는 rules.xml 파일에 포함된 53개의 규칙이 있습니다. rules.xml 파일은 SetupDiag의 새 버전에서 업데이트됩니다.

예약된 저장소

예약된 스토리지: 예약된 스토리지는 업데이트, 앱, 임시 파일 및 시스템 캐시에서 사용할 디스크 공간을 따로 설정합니다. 또한 중요한 OS 기능이 항상 디스크 공간에 액세스할 수 있는지 확인하여 PC의 일상적인 기능을 개선합니다. 예약된 저장소는 Windows 10, 버전 1903이 사전 설치되어 있는 새 PC에서 새로 설치할 때 자동으로 사용할 수 있습니다. 이전 버전의 Windows 10에서 업데이트하는 경우에는 사용할 수 없습니다.

Windows ADK(평가 및 배포 도구 키트)

Windows 10 버전 21H2도 지원하는 Windows 11 새 Windows ADK를 사용할 수 있습니다.

MDT(Microsoft Deployment Toolkit)

MDT에 대한 최신 정보는 MDT 릴리스 정보를 참조 하세요.

Windows 설치

Windows 설치 프로그램 응답 파일 (unattend.xml)은 언어 처리가 향상되었습니다.

이 릴리스에서 Windows 설정의 개선 사항에는 다음과 같은 사항도 포함됩니다.

• 기능 업데이트 중 오프라인 시간 감소
• 예약된 저장소에 대한 제어 향상
• 제어 및 진단 향상
• 새 복구 옵션

자세한 내용은 Windows IT 전문가 블로그에서 Windows 설정 강화를 참조하세요.

Microsoft Edge

이제 Microsoft Edge 브라우저 지원이 기본 제공으로 포함됩니다.

Microsoft Edge 키오스크 모드

Microsoft Edge 키오스크 모드는 2021년 Windows 10 Enterprise LTSC 및 Windows 10 IoT Enterprise 2021 LTSC부터 LTSC 릴리스에 사용할 수 있습니다.

Microsoft Edge 키오스크 모드는 조직이 고객을 위해 최고의 환경을 만들고 관리하고 최상의 환경을 제공할 수 있도록 브라우저에 대한 두 가지 잠금 환경을 제공합니다. 다음과 같은 잠금 환경을 사용할 수 있습니다.

• 디지털/대화형 서명 환경 - 특정 사이트를 전체 화면 모드로 표시합니다.
• 공개 검색 환경 - 제한된 다중 탭 버전의 Microsoft Edge를 실행합니다.
• 두 가지 환경 모두에서 사용자 데이터를 보호하는 Microsoft Edge InPrivate 세션을 실행합니다.

Linux용 Windows 하위 시스템

WSL(Linux용 Windows 하위 시스템)은 바로 사용할 수 있습니다.

네트워킹

WPA3 H2E 표준은 향상된 Wi-Fi 보안을 위해 지원됩니다.

참고 항목

Windows 10 Enterprise LTSC: 각 릴리스에 대한 정보에 대한 링크가 있는 LTSC 서비스 채널에 대한 간단한 설명입니다.