Novidades no Windows 10 Enterprise LTSC 2021

Aplicável ao

  • Windows 10 Enterprise LTSC 2021

Este artigo lista os recursos novos e atualizados e o conteúdo que é de interesse dos profissionais de TI para Windows 10 Enterprise LTSC 2021, em comparação com o Windows 10 Enterprise LTSC 2019 (LTSB). Para obter uma breve descrição do canal de manutenção LTSC e do suporte associado, consulte Windows 10 Enterprise LTSC.

Observação

Os recursos Windows 10 Enterprise LTSC 2021 são equivalentes Windows 10 versão 21H2.
A versão LTSC destina-se a dispositivos de uso especial. O suporte para LTSC por aplicativos e ferramentas projetados para a versão do Canal de Disponibilidade Geral do Windows 10 pode ser limitado.

o Windows 10 Enterprise LTSC 2021 é baseado no Windows 10 Enterprise LTSC 2019, adicionando recursos premium, como proteção avançada contra ameaças de segurança modernas e gerenciamento abrangente de dispositivos, gerenciamento de aplicativos e recursos de controle.

A versão Windows 10 Enterprise LTSC 2021 inclui os aprimoramentos cumulativos fornecidos nas versões 1903, 1909, 2004, 21H1 e 21H2 do Windows 10. Detalhes sobre esses aprimoramentos são fornecidos abaixo.

Ciclo

Importante

Windows 10 Enterprise LTSC 2021 tem um ciclo de vida de cinco anos (a IoT continua a ter um ciclo de vida de 10 anos). Portanto, a versão LTSC 2021 não é uma substituição direta para o LTSC 2019, que tem um ciclo de vida de 10 anos.

Para obter mais informações sobre o ciclo de vida desta versão, consulte a próxima versão Windows 10 LTSC (Canal de Manutenção de Longo Prazo).

Segurança de hardware

System Guard

O System Guard aprimora um recurso nesta versão do Windows chamado Proteção de Firmware do SMM. Esse recurso é criado com base no Lançamento Seguro do System Guard para reduzir a superfície de ataque do firmware e garantir que o firmware do SMM (Modo de Gerenciamento do Sistema) no dispositivo esteja operando de maneira íntegra– especificamente, o código SMM não pode acessar a memória e os segredos do sistema operacional.

Nesta versão, o Windows Defender System Guard permite um nível ainda mais alto de ** Proteção de Firmware do SMM (Modo de Gerenciamento do Sistema) que vai além da verificação da memória e dos segredos do sistema operacional para outros recursos, como registros e E/S.

Com essa melhoria, o sistema operacional pode detectar um nível mais alto de conformidade SMM, permitindo que os dispositivos sejam ainda mais robustos contra explorações e vulnerabilidades do SMM. Com base na plataforma, o hardware e o firmware subjacentes, há três versões da Proteção de Firmware do SMM (uma, duas e três), com cada versões subsequentes oferecendo proteções mais fortes do que as anteriores.

Atualmente, já existem dispositivos no mercado que oferecem as versões um e dois da Proteção de Firmware do SMM. Proteção de Firmware do SMM versão três Este recurso é de aparência avançada no momento e requer um novo hardware que será disponibilizado em breve.

Segurança do sistema operacional

Segurança do sistema

Os aprimoramentos do aplicativo Segurança do Windows agora incluem Histórico de proteção, incluindo informações detalhadas e mais fáceis de entender sobre ameaças e ações disponíveis, os blocos de Acesso Controlado a Pastas agora estão no Histórico de proteção, ações da ferramenta o Windows Defender Ações da ferramenta de Verificação do Windows Defender Offline e quaisquer recomendações pendentes.

Criptografia e proteção de dados

O BitLocker e o MDM (gerenciamento de dispositivo móvel) com Azure Active Directory trabalham juntos para proteger seus dispositivos contra a divulgação acidental de senha. Agora, um novo recurso sem chave gira com segurança senhas de recuperação em dispositivos gerenciados por MDM. O recurso é ativado sempre que as ferramentas do Microsoft Intune/MDM ou uma senha de recuperação é usada para desbloquear uma unidade protegida pelo BitLocker. Como resultado, a senha de recuperação estará mais protegida quando os usuários desbloquearem manualmente uma unidade do BitLocker.

Segurança de rede

Windows Defender Firewall

Windows Defender Firewall agora oferece os seguintes benefícios:

Reduzir o risco: Windows Defender Firewall reduz a superfície de ataque de um dispositivo com regras para restringir ou permitir o tráfego por muitas propriedades, como endereços IP, portas ou caminhos de programa. Reduzir a superfície de ataque de um dispositivo aumenta a capacidade de gerenciamento e diminui a probabilidade de um ataque bem-sucedido.

Proteger dados: com o protocolo IPsec integrado, o Windows Defender Firewall fornece uma maneira simples de impor comunicações de rede autenticadas e de ponta a ponta. Ele fornece acesso escalonável e em camadas a recursos de rede confiáveis, ajudando a impor a integridade dos dados e, opcionalmente, ajudando a proteger a confidencialidade dos dados.

Valor de extensão: Windows Defender Firewall é um firewall baseado em host incluído no sistema operacional, portanto, não há nenhum outro hardware ou software necessário. Windows Defender Firewall também foi projetado para complementar soluções de segurança de rede não Microsoft existentes por meio de uma API (interface de programação de aplicativo) documentada.

O Windows Defender Firewall agora também é mais fácil de analisar e depurar. O comportamento do IPsec foi integrado ao Monitor de Pacotes (pktmon), uma ferramenta de diagnóstico de rede integrada entre componentes para Windows.

Além disso, os logs Windows Defender Firewall eventos foram aprimorados para garantir que uma auditoria possa identificar o filtro específico que foi responsável por qualquer evento específico. Esse aprimoramento permite a análise do comportamento do firewall e da captura avançada de pacotes sem depender de outras ferramentas.

Windows Defender Firewall agora também dá suporte Subsistema do Windows para Linux (WSL); Você pode adicionar regras para o processo WSL, assim como para processos do Windows. Para obter mais informações, consulte Windows Defender Firewall agora dá suporte Subsistema do Windows para Linux (WSL).

Proteção contra vírus e ameaças

Redução da área da superfície de ataque – os administradores de TI podem configurar dispositivos com proteção avançada da Web que permite definir listas de permitidos e listas de bloqueios para endereços IP e URLs específicos. Proteção de próxima geração – os controles foram estendidos para proteção contra ransomware, uso indevido de credenciais e ataques que são transmitidos por meio do armazenamento removível.

  • Recursos de imposição de integridade – habilite o atestado de tempo de execução remoto da plataforma do Windows 10.
  • Recursos de revisão de adulteração – usa a segurança baseada em virtualização para isolar recursos Microsoft Defender para Ponto de Extremidade de segurança críticos do sistema operacional e dos invasores. Suporte à plataforma – além do Windows 10, a funcionalidade do Microsoft Defender para Ponto de Extremidade foi estendida para dar suporte a clientes do Windows 7 e Windows 8.1, bem como macOS, Linux e Windows Server com os recursos de Detecção de Ponto de Extremidade (EDR) e Plataforma de Proteção de Ponto de Extremidade (EPP).

Advanced Machine Learning: aprimorado com os modelos Advanced Machine Learning e IA que o habilitam para se proteger contra invasores do Apex usando técnicas inovadoras de exploração de vulnerabilidade, ferramentas e malware.

Proteção contra surtos de emergência: fornece proteção contra surtos de emergência que atualizarão automaticamente os dispositivos com nova inteligência quando um novo surto for detectado.

Conformidade com a ISO 27001 certificado: garante que o serviço na nuvem analisou ameaças, vulnerabilidades e impactos, e que os controles de segurança e gerenciamento de riscos estão em vigor.

Suporte a geolocalização: suporte à geolocalização e à soberania de dados de exemplo e políticas de retenção configuráveis.

Suporte aprimorado para caminhos de arquivo não ASCII para o IR (Resposta Automática a Incidentes) da ATP (Proteção Avançada contra Ameaças) do Microsoft Defender.

Observação

O parâmetro DisableAntiSpyware foi depreciado neste lançamento.

Segurança do aplicativo

Isolamento de aplicativo

Área Restrita do Windows: ambiente de área de trabalho isolado onde você pode executar software não confiável sem o medo de impacto duradouro em seu dispositivo.

Microsoft Defender Application Guard

Microsoft Defender Application Guard aprimoramentos incluem:

  • Os usuários autônomos podem instalar e definir suas Windows Defender Application Guard configurações sem a necessidade de alterar as configurações de chave do Registro. Os usuários da empresa podem verificar suas configurações para ver o que os administradores configuraram para seus computadores a compreender melhor o comportamento.

  • O Application Guard agora é uma extensão no Google Chrome e no Mozilla Firefox. Muitos usuários estão em um ambiente de navegador híbrido e gostaria de estender a tecnologia de isolamento do navegador do Application Guard além do Microsoft Edge. Na versão mais recente, os usuários podem instalar a extensão do Application Guard em seus navegadores Chrome ou Firefox. Essa extensão redirecionará a navegação não confiável para o navegador Application Guard Edge. Também há um aplicativo complementar para habilitar esse recurso na Microsoft Store. Os usuários podem iniciar rapidamente o Application Guard da área de trabalho usando esse aplicativo. Esse recurso também está disponível no Windows 10, versão 1803 ou posterior, com as atualizações mais recentes.

    Para experimentar esta extensão:

    1. Configure as políticas do Application Guard em seu dispositivo.
    2. Vá para a Chrome Web Store ou complementos do Firefox e pesquise o Application Guard. Instale a extensão.
    3. Siga qualquer uma das outras etapas de configuração na página de configuração da extensão.
    4. Reinicialize o dispositivo.
    5. Navegue até um site não confiável no Chrome e no Firefox.

Navegação dinâmica: o Application Guard agora permite que os usuários naveguem de volta para o navegador de host padrão do Microsoft Edge do Application Guard. Anteriormente, os usuários que navegam no Application Guard Edge veriam uma página de erro ao tentarem acessar um site confiável dentro do navegador do contêiner. Com esse novo recurso, os usuários serão redirecionados automaticamente para o navegador padrão do host quando entrarem ou clicarem em um site confiável no Application Guard Edge. Esse recurso também está disponível no Windows 10, versão 1803 ou posterior, com as atualizações mais recentes.

O desempenho do Application Guard é aprimorado com tempos de abertura de documentos otimizados:

  • Foi corrigido um problema que poderia causar um atraso de um minuto ou mais ao abrir um documento do Office Microsoft Defender Application Guard (Application Guard). Esse problema pode ocorrer quando você tenta abrir um arquivo usando um caminho UNC ou um link de compartilhamento do SMB (Server Message Block).
  • Foi corrigido um problema de memória que poderia fazer com que um contêiner do Application Guard use quase 1 GB de memória do conjunto de trabalho quando o contêiner estiver ocioso.
  • O desempenho do Robocopy é aprimorado ao copiar arquivos com mais de 400 MB de tamanho.

O suporte de borda Microsoft Defender Application Guard está disponível para o Edge baseado em Chromium desde o início de 2020.

O Application Guard agora dá suporte ao Office: com o Microsoft Defender Application Guard para Office, você pode iniciar documentos não confiáveis do Office (de fora da Empresa) em um contêiner isolado para impedir que conteúdo potencialmente mal-intencionado comprometa seu dispositivo.

Controle de Aplicativo

Controle de Aplicativos para Windows: no Windows 10, versão 1903, o WDAC (Controle de Aplicativos) do Windows Defender adicionou muitos novos recursos que acendem os principais cenários e fornecem paridade de recursos com o AppLocker.

  • Várias Políticas: o Windows Defender Application Control agora dá suporte a várias políticas de integridade de código simultâneas para um dispositivo para habilitar os seguintes cenários: 1) impor e auditar lado a lado, 2) direcionamento mais simples para políticas com escopo/intenção diferente, 3) expandir uma política usando uma nova política "complementar".
  • Regras baseadas em caminho: a condição de caminho identifica um aplicativo por sua localização no sistema de arquivos do computador ou na rede, em vez de um signatário ou identificador de hash. Além disso, o WDAC tem uma opção que permite que os administradores apliquem em runtime que somente o código de caminhos que não são graváveis pelo usuário é executado. Quando o código tenta ser executado em runtime, o diretório é verificado e os arquivos serão verificados quanto a permissões de gravação para administradores desconhecidos. Se um arquivo for considerado gravável pelo usuário, o executável será impedido de ser executado, a menos que ele seja autorizado por algo diferente de uma regra de caminho, como um signante ou uma regra de hash.
    Essa funcionalidade leva o WDAC à paridade com o AppLocker em termos de suporte para regras de caminho de arquivo. O WDAC melhora a segurança das políticas com base nas regras de caminho do arquivo com a disponibilidade das verificações de permissão de gravabilidade do usuário em tempo de execução, que é uma funcionalidade que não está disponível com o AppLocker.
  • Permitir registro de objeto COM: anteriormente, Windows Defender WDAC (Controle de Aplicativo) impõe uma lista de permitidos interna para o registro de objeto COM. Embora esse mecanismo funcione para os cenários mais comuns de uso do aplicativo, os clientes forneceram comentários de que há casos em que mais objetos COM precisam ser permitidos. A atualização 1903 para o Windows 10 introduz a capacidade de especificar objetos COM permitidos por meio de seu GUID na política WDAC.

Identidade e privacidade

Identidade protegida

Windows Hello aprimoramentos incluem:

  • O Windows Hello agora é compatível com o autenticador FIDO2 (Fast Identity Online 2) em todos os principais navegadores, como o Chrome e o Firefox.
  • Agora, você pode habilitar a entrada com senha para contas da Microsoft em seu dispositivo Windows 10 acessando Configurações > Contas > Opções de entradae selecionando Ativado em Torne o seu dispositivo sem senha. Habilitar a entrada sem senha alternará todas as contas da Microsoft em seu dispositivo Windows 10 para autenticação moderna com Windows Hello rosto, impressão digital ou PIN.
  • O suporte para entrada com o PIN do Windows Hello é adicionado ao modo de segurança.
  • O Windows Hello para Empresas agora tem suporte do Azure Active Directory híbrido e entrada por número de telefone (conta Microsoft). O suporte à chave de segurança FIDO2 é expandido para ambientes híbridos do Azure Active Directory, permitindo que empresas com ambientes híbridos aproveitem a autenticação sem senha. Para saber mais, confira expandir o suporte do Azure Active Directory para visualização do FIDO2 para ambientes híbridos.
  • Com componentes especializados de hardware e software disponíveis em dispositivos com Windows 10, versão 20H2 configurados fora da fábrica, o Windows Hello agora oferece suporte adicional para segurança baseada na virtualização com suporte a sensores de impressão digital e facial. Este recurso isola e protege os dados biométricos de autenticação do usuário.
  • O suporte a várias câmeras Windows Hello é adicionado, permitindo que os usuários escolham uma prioridade de câmera externa quando as câmeras externas e internas com capacidade para Windows Hello estão presentes.
  • Windows Hello certificação FIDO2: o Windows Hello agora é um autenticador certificado FIDO2 e habilita a entrada sem senha para sites que dão suporte à autenticação FIDO2, como conta da Microsoft e Azure AD.
  • Experiência simplificada de redefinição de PIN do Windows Hello: os usuários da conta Microsoft têm uma experiência renovada de redefinição de PIN do Windows Hello com a mesma aparência que entrar na Web.
  • Área de Trabalho Remota com Biometria: o Azure Active Directory e usuários do Active Directory que usam o Windows Hello para Empresas podem usar a biometria para autenticar em uma sessão de área de trabalho remota.

Proteção de credencial

Windows Defender Credential Guard

Windows Defender Credential Guard agora está disponível para dispositivos ARM64, para proteção extra contra roubo de credenciais para empresas que implantam dispositivos ARM64 em suas organizações, como Surface Pro X.

Controles de privacidade

Configurações de privacidade do microfone: um ícone de microfone é exibido na área de notificação, permitindo que você veja quais aplicativos estão usando o microfone.

Serviços de Nuvem

Gerenciador de Ponto de Extremidade da Microsoft

O Gerenciador de configuração, o Intune, o Desktop Analytics, Co-gerenciamento e Console de administração de gerenciamento de dispositivos já se tornaram no Gerenciador de Ponto de Extremidade da Microsoft. Veja o comunicado de 4 de novembro de 2019. Consulte também Princípios de gerenciamento e segurança modernos que orientam nossa visão do Gerenciador de Ponto de Extremidade da Microsoft.

Configuration Manager

Um assistente de atualização in-loco está disponível no Gerenciador de Configurações. Para saber mais, confira Simplificar a implantação do Windows 10 com o Gerenciador de Configurações.

Microsoft Intune

Microsoft Intune dá suporte Windows 10 Enterprise LTSC 2021, exceto Windows Update anéis em perfis de dispositivo.

Uma nova ação remota do Intune: Coletar diagnósticos, permite coletar os logs de dispositivos corporativos sem interromper ou aguardar o usuário final. Para obter mais informações, consulte Ação remota de coleta de diagnósticos.

O Intune também adicionou recursos ao controle de acesso baseado em função (RBAC) que podem ser usados para definir ainda mais as configurações de perfil para a Página de Status do Registro (ESP). Para obter mais informações, confira Criar perfil da Página de Status do Registro e atribuir a um grupo.

Para ver uma lista completa das novidades na Microsoft Intune, consulte Novidades no Microsoft Intune.

Gerenciamento de Dispositivos Móveis

A política Gerenciamento de Dispositivos (MDM) móvel é estendida com novas configurações de Usuários e Grupos Locais que correspondem às opções disponíveis para dispositivos gerenciados por meio de Política de Grupo.

Para maiores informações sobre as novidades na MDM, consulteO que há de novo na inscrição e gerenciamento de dispositivos móveis.

O Serviço de Política de Grupo (GPSVC) da WMI (Instrumentação de Gerenciamento do Windows) tem uma melhoria de desempenho para dar suporte a cenários de trabalho remoto:

  • Um problema é corrigido que causava alterações por um administrador do Active Directory (AD) às associações de usuário ou grupo de computadores a se propagar lentamente. Embora o token de acesso seja atualizado, essas alterações podem não aparecer quando o administrador usa gpresult /r ou gpresult /h para criar um relatório.

Rolagem de chaves e rotação de chaves

Esta versão também inclui dois novos recursos chamados chave sem interrupção e rotação de chaves permite a distribuição segura de senhas de recuperação em dispositivos Azure Active Directory gerenciados por MDM sob demanda de ferramentas Microsoft Intune/MDM ou quando uma senha de recuperação é usada para desbloquear a unidade protegida pelo BitLocker. Esse recurso ajudará a evitar a divulgação acidental de senhas de recuperação como parte do desbloqueio manual do BitLocker da unidade por parte dos usuários.

Implantação

SetupDiag

O SetupDiag é uma ferramenta de linha de comando que pode ajudar a diagnosticar o motivo pelo qual uma atualização do Windows 10 falhou. O SetupDiag funciona pesquisando os arquivos de registro da Instalação do Windows. Quando os arquivos de log estão sendo pesquisados, o SetupDiag usa um conjunto de regras para corresponder a problemas conhecidos. Existem 53 regras contidas na versão atual do SetupDiag no arquivo rules.xml, que é extraído quando SetupDiag é executado. O arquivo rules.xml será atualizado conforme novas versões do SetupDiag forem disponibilizadas.

Armazenamento reservado

Armazenamento reservado: o armazenamento reservado define o espaço em disco que não se aplica por atualizações, aplicativos, arquivos temporários e caches de sistema. Ele aprimora a função do dia-a-dia do computador garantindo que as funções essenciais do sistema operacional sempre tenham acesso ao espaço em disco. O armazenamento reservado será habilitado automaticamente em novos computadores com o Windows 10, versão 1903 pré-instalado e para instalações limpas. Ele não será habilitado durante a atualização de uma versão anterior do Windows 10.

Kit de ferramentas de Avaliação e Implantação do Windows (ADK)

Um novo Windows ADK está disponível para Windows 11 que também dá suporte Windows 10, versão 21H2.

Microsoft Deployment Toolkit (MDT)

Para obter as informações mais recentes sobre o MDT, confira o artigo Notas de versão do MDT.

Instalação do Windows

Os arquivos de resposta da Instalação do Windows (unattend.xml) melhoraram o tratamento de idioma.

Os aperfeiçoamentos na Instalação do Windows com esta versão também incluem:

  • Tempo offline reduzido durante atualizações de recursos
  • Controles aprimorados para armazenamento reservado
  • Controles e diagnósticos aprimorados
  • Novas opções de recuperação

Para saber mais, confira aperfeiçoamentos da Instalação do Windows no Blog Windows IT Pro.

Microsoft Edge

O suporte ao Microsoft Edge Browser agora está incluído na caixa.

Modo de quiosque do Microsoft Edge

O modo de quiosque do Microsoft Edge está disponível para versões LTSC a partir do Windows 10 Enterprise 2021 LTSC e Windows 10 IoT Enterprise 2021 LTSC.

O modo de quiosque do Microsoft Edge oferece duas experiências de bloqueio do navegador, para que as organizações possam criar, gerenciar e oferecer a melhor experiência para seus clientes. As seguintes experiências de bloqueio estão disponíveis:

  • Experiência de Sinalização Digital/Interativa: exibe um site específico no modo de tela inteira.
  • Experiência de Navegação Pública: executa uma versão de várias guias no Microsoft Edge.
  • As duas experiências estão executando uma sessão InPrivate do Microsoft Edge, que protege os dados do usuário.

Subsistema do Windows para Linux

Subsistema do Windows para Linux (WSL) está disponível na caixa.

Rede

Os padrões WPA3 H2E têm suporte para segurança Wi-Fi segurança avançada.

Consulte também

Windows 10 Enterprise LTSC: uma breve descrição do canal de manutenção LTSC com links para informações sobre cada versão.