Novidades no Windows 10 Enterprise LTSC 2015

  • Artigo

Aplicável ao

  • Windows 10 Enterprise LTSC 2015

Este artigo lista recursos e conteúdo novos e atualizados que são de interesse para profissionais de TI para Windows 10 Enterprise LTSC 2015 (LTSB). Para obter uma breve descrição do canal de manutenção LTSC, consulte Windows 10 Enterprise LTSC.

Implantação

Provisionando dispositivos usando o Windows ICD (Designer de Configuração e Imagens do Windows)

Com o Windows 10, você pode criar pacotes de provisionamento que permitem que você configure um dispositivo com rapidez e eficiência, sem precisar instalar uma nova imagem. Um administrador de TI que usa o Provisionamento do Windows pode especificar facilmente a configuração e as configurações necessárias para registrar dispositivos no gerenciamento usando uma interface de usuário controlada pelo assistente e, em seguida, aplicar essa configuração a dispositivos de destino em questão de minutos. É mais adequado para pequenas e médias empresas com implantações que variam de dezenas a algumas centenas de computadores.

Saiba mais sobre provisionamento no Windows 10

Segurança

AppLocker

O AppLocker estava disponível para Windows 8.1 e é aprimorado com Windows 10. Consulte Requisitos para usar o AppLocker para obter uma lista de requisitos do sistema operacional.

As melhorias no AppLocker no Windows 10 incluem:

  • Um novo parâmetro foi adicionado ao cmdlet do Windows PowerShell New-AppLockerPolicy que permite escolher se coleções de regras executáveis e de DLL se aplicam a processos não interativos. Para habilitar essa opção, defina ServiceEnforcement como Habilitado.
  • Um novo provedor de serviços de configuração do AppLocker foi adicionado para permitir que você habilite regras do AppLocker usando um servidor MDM.

Saiba como gerenciar o AppLocker em sua organização.

BitLocker

As melhorias no AppLocker no Windows 10 incluem:

  • Criptografar e recuperar seu dispositivo com o Active Directory do Azure. Além de usar uma conta da Microsoft, a Criptografia do Dispositivo automática agora pode criptografar seus dispositivos associados a um domínio do Active Directory do Azure. Quando o dispositivo é criptografado, a chave de recuperação do BitLocker é automaticamente caucionada para o Active Directory do Azure. Isso facilitará a recuperação de sua chave do BitLocker online.
  • Proteção de porta DMA. Você pode usar a política MDM DataProtection/AllowDirectMemoryAccess para bloquear portas DMA quando o dispositivo está sendo iniciado. Além disso, quando um dispositivo é bloqueado, todas as portas DMA não utilizadas são desativadas, mas quaisquer dispositivos que já estiverem conectados a uma porta DMA continuarão a funcionar. Quando o dispositivo for desbloqueado, todas as portas DMA serão ativadas novamente.
  • Nova Política de Grupo para configurar a recuperação de pré-inicialização. Agora você pode configurar a mensagem de recuperação de pré-inicialização e recuperar a URL que é mostrada na tela de recuperação de pré-inicialização. Para obter mais informações, consulte a seção Configurar URL e mensagem de recuperação pré-inicialização em "Configurações de Política de Grupo do BitLocker".

Saiba como implantar e gerenciar o BitLocker em sua organização.

Gerenciamento de certificados

Para os dispositivos baseados no Windows 10, você pode usar seu servidor de MDM para implantar diretamente certificados de autenticação do cliente usando a Troca de Informações Pessoais (PFX), além de registrar-se usando o protocolo SCEP, incluindo certificados para habilitar o Windows Hello para Empresas em sua empresa. Você poderá usar o MDM para registrar, renovar e excluir certificados.

Microsoft Passport

No Windows 10, o Microsoft Passport substitui senhas por autenticação forte de dois fatores, que consiste em um dispositivo registrado e um PIN ou o Windows Hello (biometria).

O Microsoft Passport permite a autenticação de usuários para uma conta da Microsoft, uma conta do Active Directory, uma conta do Active Directory (AD) do Microsoft Azure ou um serviço que não seja da Microsoft que oferece suporte à autenticação Fast ID Online (FIDO) . Após uma verificação inicial em duas etapas durante o registro do Microsoft Passport, um Microsoft Passport é configurado no dispositivo do usuário, e o usuário define um gesto, que pode ser um PIN ou Windows Hello. O usuário fornece o gesto para verificar a identidade; o Windows, em seguida, usa o Microsoft Passport para autenticar usuários e ajudá-los a acessar recursos e serviços protegidos.

Auditoria de segurança

No Windows 10, a auditoria de segurança adicionou algumas melhorias:

Novas subcategorias de auditoria

No Windows 10, duas novas subcategorias de auditoria foram adicionadas à Configuração Avançada de Política de Auditoria para fornecer maior granularidade em eventos de auditoria:

  • Auditar Associação de Grupo Encontrada na categoria de auditoria Logon/Logoff, a subcategoria Auditar Associação de Grupo permite auditar as informações de associação de grupo em um token de logon do usuário. Os eventos nessa subcategoria são gerados quando associações de grupo são enumeradas ou consultadas no computador em que a sessão de logon foi criada. Para um logon interativo, o evento de auditoria de segurança é gerado no computador em que o usuário fez logon. Para um logon de rede, como o acesso a uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso. Quando essa definição é configurada, um ou mais eventos de auditoria de segurança são gerados para cada logon bem-sucedido. Você também deve habilitar a configuração de Logon de Auditoria em Configuração de Política de Auditoria Avançada\Políticas de Auditoria do Sistema\Logon/Logoff. Vários eventos são gerados caso as informações de associação a um grupo não caibam em um único evento de auditoria de segurança.
  • Auditar Atividade PNP Encontrada na categoria Monitoração Detalhada, a subcategoria Auditar Atividade PNP permite auditar quando o Plug and Play detecta um dispositivo externo. Somente auditorias com êxito são registradas para essa categoria. Se você não definir essa configuração de política, nenhum evento de auditoria será gerado quando um dispositivo externo for detectado pelo Plug and Play. Um evento de auditoria PnP pode ser usado para rastrear alterações feitas no hardware do sistema e será registrado em log no computador onde ocorreu a mudança. Uma lista de IDs do fornecedor de hardware está incluída no evento.

Mais informações adicionadas a eventos de auditoria existentes

Com o Windows 10, versão 1507, adicionamos mais informações a eventos de auditoria existentes para facilitar que você elabore uma trilha de auditoria completa e tenha as informações necessárias para proteger sua empresa. Houve aperfeiçoamentos nos seguintes eventos de auditoria:

Alterada a política de auditoria padrão do kernel

Em versões anteriores, o kernel dependia da LSA (Autoridade de Segurança Local) para recuperar informações em alguns de seus eventos. No Windows 10, a política de auditoria de eventos de criação de processos é habilitada automaticamente até que uma política de auditoria real seja recebida da LSA. Isso resulta em melhor auditoria de serviços que podem ser iniciados antes da LSA iniciar.

Adicionado um processo padrão SACL a LSASS.exe

No Windows 10, um processo padrão SACL foi adicionado ao LSASS.exe para registrar processos que tentam acessar o LSASS.exe. A SACL é L"S:(AU;SAFA;0x0010;;;WD)". Você pode habilitar esse processo em Configuração de Política de Auditoria Avançada\Acesso ao Objeto\Objeto Kernel de Auditoria. Esse processo quando habilitado pode ajudar a identificar ataques que roubam credenciais da memória de um processo.

Novos campos no evento de entrada

A ID de evento de logon 4624 foi atualizada para incluir informações mais detalhadas para facilitar a análise. Os campos a seguir foram adicionados ao evento 4624:

  1. MachineLogon Cadeia de caracteres: sim ou não Se a conta que entrou no computador for uma conta de computador, esse campo será sim. Caso contrário, será Não.
  2. ElevatedToken Cadeia de caracteres: sim ou não Se uma conta entrou no computador por meio do método "entrada administrativa", esse campo será sim. Caso contrário, será Não. Além disso, se esse campo fizer parte de um token dividido, a ID de entrada vinculada (LSAP_LOGON_SESSION) também será mostrada.
  3. Cadeias de caracteres TargetOutboundUserName e TargetOutboundUserDomain: o nome de usuário e o domínio da identidade que foi criada pelo método LogonUser para o tráfego de saída.
  4. Cadeia de caracteres VirtualAccount: Sim ou Não. Se a conta que fez logon no computador for uma conta virtual, esse campo será Sim. Caso contrário, será Não.
  5. Cadeia de caracteres GroupMembership: uma lista de todos os grupos no token do usuário.
  6. Cadeia de caracteres RestrictedAdminMode: Sim ou Não. Se o usuário fizer logon no computador no modo de administrador restrito com a Área de Trabalho Remota, esse campo será Sim. Para obter mais informações sobre o modo Administrador restrito, consulte Modo Administrador restrito para RDP.

Novos campos no evento de criação de processo

A ID de evento de logon 4688 foi atualizada para incluir informações mais detalhadas para facilitar a análise. Os campos a seguir foram adicionados ao evento 4688:

  1. Cadeia de caracteres TargetUserSid: o SID da entidade de segurança de destino.
  2. Cadeia de caracteres TargetUserName: o nome da conta do usuário de destino.
  3. Targetdomainname Cadeia de caracteres O domínio do usuário de destino.
  4. Cadeia de caracteres TargetLogonId: a ID de logon do usuário de destino.
  5. Cadeia de caracteres ParentProcessName: o nome do processo criador.
  6. Cadeia de caracteres ParentProcessId: um ponteiro para o processo pai real caso ele seja diferente do processo criador.

Novos eventos do Gerenciador de Contas de Segurança

No Windows 10, novos eventos SAM foram adicionados para cobrir APIs SAM que executam operações de leitura/consulta. Em versões anteriores do Windows, somente as operações de gravação eram auditadas. Os novos eventos são os eventos ID 4798 e ID 4799. As seguintes APIs agora são auditadas:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation

Novos eventos BCD

A ID de evento 4826 foi adicionada para rastrear as seguintes alterações no BCD (Dados de Configuração da Inicialização):

  • Configurações de DEP/NEX
  • Assinatura de teste
  • Simulação de SB PCAT
  • Depuração
  • Depuração da inicialização
  • Serviços de integridade
  • Desabilitar o menu de depuração Winload

Novos eventos PNP

A ID de evento 6416 foi adicionada para acompanhar quando um dispositivo externo é detectado pelo Plug and Play. Um cenário importante é quando um dispositivo externo que contém o malware é inserido em uma máquina de alto valor que não espera esse tipo de ação, como um controlador de domínio.

Saiba como gerenciar suas políticas de auditoria de segurança em sua organização

Trusted Platform Module

Novos recursos do TPM no Windows 10

As seções a seguir descrevem as funcionalidades novas e alteradas do TPM para Windows 10:

Atestado de integridade de dispositivo

O atestado de integridade de dispositivo permite que as empresas tenham confiança nos componentes de hardware e software de um dispositivo gerenciado. Com a certificação de integridade do dispositivo, você pode configurar um servidor MDM para consultar um serviço de certificação de integridade que permite ou nega o acesso de um dispositivo gerenciado a um recurso seguro. Algumas coisas que você pode verificar no dispositivo são:

  • A Prevenção de Execução de Dados é compatível e está habilitada?
  • A Criptografia de Unidade de Disco BitLocker é compatível e está habilitada?
  • A Inicialização Segura é compatível e está habilitada?

Observação

O dispositivo deve estar executando o Windows 10 e ser compatível ao menos com o TPM 2.0.

Saiba como implantar e gerenciar o TPM em sua organização.

Controle de Conta de Usuário

O UAC (Controle de Conta de Usuário) ajuda a impedir que malwares danifiquem um computador e ajuda organizações a implantar um ambiente de área de trabalho mais bem gerenciado.

Você não deve desativar o UAC porque essa configuração não dá suporte a dispositivos que executam Windows 10. Se você desativar o UAC, todos os aplicativos da Plataforma Universal do Windows param de funcionar. Você sempre deve definir o valor do registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA como 1. Se você precisar fornecer elevação automática para acesso programático ou instalação, poderá definir o valor do registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin como 0, que é o mesmo que definir o controle deslizante UAC Never Notify. Essa configuração não é recomendada para dispositivos que executam Windows 10.

Para obter mais informações sobre como gerenciar o UAC, consulte Configurações de Política de Grupo UAC e Configurações de Chave do Registro.

Em Windows 10, o Controle de Conta de Usuário adicionou algumas melhorias:

  • Integração com a AMSI (Antimalware Scan Interface). A AMSI examina todas as solicitações de elevação do UAC para malware. Se for detectado algum malware, o privilégio de administrador será bloqueado.

Saiba como gerenciar o Controle de Conta de Usuário em sua organização.

Opções de perfil de VPN

O Windows 10 oferece um conjunto de recursos de VPN que aumenta a segurança corporativa e fornece uma experiência de usuário aprimorada, incluindo:

  • Comportamento de conexão automática sempre ativado
  • VPN acionada por aplicativo
  • Filtros de tráfego de VPN
  • Bloqueio de VPN
  • Integração com o Microsoft Passport for Work

Saiba mais sobre as opções de VPN no Windows 10.

Gerenciamento

O Windows 10 oferece recursos de MDM (gerenciamento de dispositivos móveis) para computadores, notebooks, tablets e telefones que habilitam o gerenciamento de nível empresarial de dispositivos pessoais e da empresa.

Suporte ao MDM

As Políticas de MDM para o Windows 10 alinham-se às políticas compatíveis com o Windows 8.1 e foram ampliadas para abranger ainda mais cenários corporativos, como o gerenciamento de vários usuários que possuem contas do Microsoft Azure Active Directory (Azure AD), o controle total sobre a Microsoft Store, a configuração de VPN, entre outros.

O suporte ao MDM no Windows 10 é baseado na especificação 1.2.1 de protocolo DM (gerenciamento de dispositivos) OMA (Open Mobile Alliance).

Os dispositivos de propriedade corporativa podem ser registrados automaticamente para empresas com o Azure AD. Referência de gerenciamento de dispositivos móveis para Windows 10

Cancelamento de registro

Quando uma pessoa sai da organização e você cancela o registro de gerenciamento da conta de usuário ou do dispositivo, as configurações e os aplicativos controlados pela empresa são removidos do dispositivo. Você pode cancelar o registro do dispositivo remotamente, ou a pessoa não cancelar o registro removendo manualmente a conta do dispositivo.

Quando um dispositivo pessoal tem o registro cancelado, os aplicativos e os dados do usuário permanecem intocados, enquanto as informações corporativas, como certificados, perfis VPN e aplicativos corporativos são removidos.

Infraestrutura

As empresas têm as opções de identidade e gerenciamento a seguir.

Área Opções
Identidade Active Directory; Azure AD
Agrupamento Ingresso em domínio; Grupo de Trabalho; ingresso no Azure AD
Gerenciamento de dispositivos Política de Grupo; Microsoft Configuration Manager; Microsoft Intune; outras soluções de MDM; Exchange ActiveSync; Windows PowerShell; WMI (Instrumentação de Gerenciamento do Windows)

Observação

Com o lançamento do Windows Server 2012 R2, a Proteção de Acesso à Rede (NAP) foi preterida e o cliente NAP agora foi removido do Windows 10. Para saber mais sobre os ciclos de vida do suporte, confira Ciclo de vida do suporte da Microsoft.

Bloqueio de dispositivos

Você precisa de um computador que possa fazer somente uma coisa? Por exemplo:

  • Um dispositivo na recepção que os clientes possam usar para ver seu catálogo de produtos.
  • Um dispositivo portátil que os motoristas possam usar para verificar uma rota em um mapa.
  • Um dispositivo que um trabalhador temporário use para inserir dados.

Você pode configurar um estado de bloqueio persistente para criar um dispositivo do tipo quiosque. Quando a conta bloqueada é conectada, o dispositivo exibe somente o aplicativo que você selecionar.

Você também pode configurar um estado de bloqueio que entre em vigor quando uma determinada conta de usuário fizer logon. O bloqueio restringe o usuário somente aos aplicativos que você especificar.

As configurações de bloqueio também podem ser definidas para a aparência do dispositivo, como um tema ou um layout personalizado na tela inicial.

Layout da tela inicial

Um layout de tela inicial padrão pode ser útil em dispositivos que são comuns a vários usuários e dispositivos que estão bloqueados para fins específicos. A partir do Windows 10, versão 1511, os administradores podem configurar um layout da tela inicial parcial, que se aplica a grupos de blocos especificados, permitindo que os usuários criem e personalizem os próprios grupos de blocos. Saiba como personalizar e exportar o layout da tela inicial.

Os administradores também podem usar o MDM (gerenciamento de dispositivos móveis) ou a Política de Grupo para desabilitar o uso do Destaque do Windows na tela de bloqueio.

Atualizações

O Windows Update para Empresas permite que os administradores de tecnologia da informação mantenham os dispositivos baseados no Windows 10 em sua organização sempre atualizados com as defesas de segurança e os recursos do Windows mais recentes ao conectar esses sistemas diretamente ao serviço Windows Update da Microsoft.

Com o uso dos Objetos de Política de Grupo, o Windows Update para Empresas é um sistema facilmente estabelecido e implementado que possibilita às organizações e aos administradores exercer controle sobre como os dispositivos baseados no Windows 10 são atualizados, ao permitir:

  • Grupos de implantação e validação; em que os administradores podem especificar quais dispositivos são os primeiros em uma onda de atualização e quais virão em seguida (para garantir que todos os níveis de qualidade sejam atendidos).

  • Entrega de ponto a ponto, que os administradores podem habilitar para fazer a entrega de atualizações para filiais e sites remotos com largura de banda limitada de forma muito eficiente.

  • Use com ferramentas existentes, como Microsoft Intune e o Enterprise Mobility Suite.

Juntos, esses recursos do Windows Update para Empresas ajudam a reduzir os custos de gerenciamento de dispositivo, fornecem controles sobre a implantação de atualizações, oferecem acesso mais rápido às atualizações de segurança, além de dar acesso às inovações mais recentes da Microsoft de forma contínua. Windows Update for Business é um serviço gratuito para todas as edições Windows 10 Pro, Enterprise e Education e pode ser usado independentemente ou em conjunto com soluções de gerenciamento de dispositivo existentes, como Windows Server Update Services (WSUS) e Microsoft Configuration Manager.

Saiba mais sobre o Windows Update para Empresas.

Para obter mais informações sobre a atualização do Windows 10, consulte Opções de manutenção para atualizações do Windows 10.

Microsoft Edge

O novo Microsoft Edge baseado em cromo não está incluído na versão LTSC do Windows 10. No entanto, você pode baixá-lo e instalá-lo separadamente aqui.

Veja também

Windows 10 Enterprise LTSC: uma descrição do canal de manutenção LTSC com links para informações sobre cada versão.