Новые возможности Windows 10 Корпоративная LTSC 2021

Область применения

  • Windows 10 Корпоративная LTSC 2021

В этой статье перечислены новые и обновленные функции и контент, которые интересуют ИТ-специалистов для Windows 10 Корпоративная LTSC 2021 по сравнению с Windows 10 Корпоративная LTSC 2019 (LTSB). Краткое описание канала обслуживания LTSC и связанной с ним поддержки см. в Windows 10 Корпоративная LTSC.

Примечание

Возможности Windows 10 Корпоративная LTSC 2021 эквивалентны Windows 10 версии 21H2.
Выпуск LTSC предназначен для устройств специального использования. Поддержка LTSC приложениями и средствами, предназначенными для полугодовых выпусков Windows 10 каналов, может быть ограничена.

Windows 10 Корпоративная LTSC 2021 строится на Windows 10 Корпоративная LTSC 2019, добавляя дополнительные функции, такие как расширенные возможности защиты от современных угроз безопасности и комплексное управление устройствами, управление приложениями и возможности управления ими.

Выпуск Windows 10 Корпоративная LTSC 2021 включает совокупные улучшения, предоставляемые в Windows 10 версиях 1903, 1909, 2004, 21H1 и 21H2. Подробные сведения об этих улучшениях приведены ниже.

Жизненный цикл

Важно!

Windows 10 Корпоративная LTSC 2021 имеет 5-летний жизненный цикл(IoT продолжает иметь 10-летний жизненный цикл). Таким образом, выпуск LTSC 2021 не является прямой заменой LTSC 2019, который имеет 10-летний жизненный цикл.

Дополнительные сведения о жизненном цикле этого выпуска см. в следующем выпуске Windows 10 долгосрочного канала обслуживания (LTSC).

Аппаратная безопасность

System Guard

System Guard улучшила функцию в этой версии Windows SMM Firmware Protection. Эта функция построена на верхней части безопасного запуска System Guard, чтобы уменьшить поверхность атаки прошивки и убедиться, что прошивка System Management Mode (SMM) на устройстве работает в здоровом режиме - в частности, SMM-код не может получить доступ к памяти и секретам ОС.

В этом выпуске Защитник Windows System Guard ** обеспечивает еще более высокий уровень защиты прошивки System Management Mode (SMM), который выходит за рамки проверки памяти и секретов ОС на другие ресурсы, такие как регистры и IO.

Благодаря этому улучшению операционная система может определить высокий уровень соответствия SMM, что позволяет еще больше защитить устройства от эксплойтов и уязвимостей SMM. На основе платформы, базирующейся на оборудовании и прошивке, существует три версии SMM Firmware Protection (одна, две и три), каждая из последующих версий предлагает более сильные защиты, чем предыдущие.

На рынке уже есть устройства, которые предлагают версии SMM Firmware Protection один и два. SMM Протекционная версия 3 Эта функция в настоящее время является перспективным и требует нового оборудования, которое будет доступно в ближайшее время.

Безопасность операционной системы

Безопасность системы

Улучшения в приложении Безопасность Windows. Появлялся журнал защиты, который содержит более подробные и понятные сведения об угрозах и доступных действиях. Также в журнале защиты указываются операции блокировки функции контролируемого доступа к файлам, действия сканирования автономного Защитника Windows и любые рекомендуемые действия, ожидающие применения.

Шифрование и защита данных

BitLocker и управление мобильными устройствами (MDM) с Azure Active Directory работают совместно, чтобы защитить устройства от случайного раскрытия пароля. Теперь новая функция перекатки ключей надежно вращает пароли восстановления на устройствах с управлением MDM. Эта функция активируется, когда Microsoft Intune/средства MDM или пароль восстановления используется для разблокировки диска, защищенного BitLocker. В результате пароль восстановления будет лучше защищен, когда пользователи вручную разблокируют диск BitLocker.

Сетевая безопасность

Брандмауэр Защитника Windows

Защитник Windows Брандмауэр теперь предлагает следующие преимущества:

Уменьшитериск: Защитник Windows брандмауэр снижает поверхность атаки устройства с правилами ограничения или допуска трафика многими свойствами, такими как IP-адреса, порты или пути программы. Уменьшение поверхности атаки устройства повышает управляемость и снижает вероятность успешной атаки.

Защитныеданные. С помощью интегрированной системы безопасности протоколов Интернета (IPsec) Защитник Windows брандмауэр предоставляет простой способ обеспечения проверки подлинности межсетевых коммуникаций. Это обеспечивает масштабируемый многоуровневый доступ к доверенным сетевым ресурсам, помогая обеспечить целостность данных и необязательно помогая защищать конфиденциальность данных.

Расширение значения: Защитник Windows брандмауэр является брандмауэром на основе хостов, который входит в операционную систему, поэтому не требуется дополнительное оборудование или программное обеспечение. Защитник Windows Брандмауэр также разработан для дополнения существующих решений сетевой безопасности не Microsoft с помощью документированного интерфейса программирования приложений (API).

Брандмауэр Защитник Windows теперь также проще анализировать и отлаговка. Поведение IPsec было интегрировано с пакетным монитором (pktmon), межкомпонентным средством диагностики сети для Windows.

Кроме того, Защитник Windows журналы событий брандмауэра были расширены, чтобы убедиться, что аудит может определить определенный фильтр, отвечающий за любое событие. Это позволяет анализировать поведение брандмауэра и богатый захват пакетов, не полагаясь на другие средства.

Защитник Windows Брандмауэр также теперь поддерживает подсистема Windows для Linux (WSL). Вы можете добавить правила для процесса WSL, как и для Windows процессов. Дополнительные сведения см. в Защитник Windows брандмауэра теперь поддерживает подсистема Windows для Linux (WSL).

Защита от вирусов и угроз

Уменьшение уязвимой зоны — ИТ-администраторы могут настраивать на устройствах систему расширенной защиты от веб-угроз, позволяющую определять списки разрешенных и запрещенных URL- и IP-адресов. Защита нового поколения — дополнительные элементы управления для защиты от программ-шантажистов, несанкционированного использования учетных данных и атак, передаваемых через съемные носители.

  • Средства обеспечения целостности — удаленная аттестация среды выполнения платформы Windows 10.
  • Возможности проверки виртуализации — с помощью безопасности на основе виртуализации изолировать критически важные возможности Microsoft Defender для безопасности конечных точек вдали от оси и злоумышленников. Поддержка платформ — функциональные возможности Microsoft Defender для конечной точки теперь поддерживаются не только в Windows 10, но и в клиентах Windows 7 и Windows 8.1, а также macOS, Linux и Windows Server (в том числе функция обнаружения атак на конечные точки (EDR) и платформа защиты конечных точек (EPP)).

Расширенное машинное обучение. Улучшенные модели машинного обучения и искусственного интеллекта, которые позволяют защититься от самых продвинутых угроз, использующих инновационные инструменты и вредоносные программы, а также эксплойты, нацеленные на уязвимости.

Экстренная защита от вспышек заражения вредоносными программами. Предоставляет систему экстренной защиты от эпидемий вредоносных программ, которая автоматически обновляет устройства обновленными данными об угрозах при обнаружении новой эпидемии.

Сертификация в соответствии со стандартом ISO 27001. Облачная служба выполняет анализ на наличие угроз, уязвимостей и их возможных последствий, а также на предмет наличия средств управления рисками и безопасностью.

Поддержка геолокации. Возможность определения географического расположения образцов данных и обеспечение их суверенитета, а также настраиваемых политик хранения.

Улучшенная поддержка путей для файлов, не относимых к ASCII для службы защиты от дополнительных угроз (ATP) Microsoft Defender.

Примечание

Параметр DisableAntiSpyware устарел и больше не поддерживается в этом выпуске.

Безопасность приложений

Изоляция приложений

Песочница Windows. Изолированная настольная среда, в которой можно запускать ненадежное программное обеспечение без риска ущерба для вашего устройства.

Application Guard в Microsoft Defender

Application Guard в Microsoft Defender:

  • Автономные пользователи могут устанавливать и настраивать Application Guard в Защитнике Windows параметры без необходимости изменять параметры ключей реестра. Корпоративные пользователи могут проверять свои параметры на предмет того, что их администраторы настроили для их компьютеров, чтобы лучше понять поведение Application Guard в Защитнике Windows.

  • Application Guard теперь является расширением в Google Chrome и Mozilla Firefox. Многие пользователи находятся в гибридной среде браузера и хотели бы расширить технологию изоляции браузера application Guard за Microsoft Edge. В последнем выпуске пользователи могут установить расширение Application Guard в браузерах Chrome или Firefox. Это расширение перенаправит ненаправленную навигацию в браузер Application Guard Edge. Также в Microsoft Store доступно дополнительное приложение, позволяющее включить эту функцию. С помощью этого приложения пользователи могут быстро запустить Службу защиты приложений с рабочего стола. Эта функция также доступна в Windows 10, версия 1803, или более поздних версиях с самыми последними обновлениями.

    Чтобы попробовать это расширение, выполните указанные ниже действия.

    1. Настройка политик application Guard на устройстве.
    2. Перейдите на страницу веб-магазина Chrome или Firefox и найдите приложение Application Guard. Установите расширение.
    3. Выполните дополнительные действия по настройке на странице настройки расширения.
    4. Перезагрузите устройство.
    5. Перейдите на ненадежный сайт в браузере Chrome и Firefox.

Динамическаянавигация: Application Guard теперь позволяет пользователям перемещаться обратно в браузер хост по умолчанию из приложения Guard Microsoft Edge. Ранее пользователи, просматривающие приложение Guard Edge, видели страницу ошибок при попытке перейти на надежный сайт в браузере контейнера. С помощью этой новой функции пользователи будут автоматически перенаправлены в браузер по умолчанию, когда они введите или нажмите на надежный сайт в Application Guard Edge. Эта функция также доступна в Windows 10, версия 1803, или более поздних версиях с самыми последними обновлениями.

Производительность Application Guard улучшается с оптимизацией времени открытия документов:

  • Исправлена проблема, которая может привести к задержке на одну минуту или более при Application Guard в Microsoft Defender (Application Guard) Office документа. Это могло произойти при попытке открыть файл с помощью пути универсальной конвенции имен (UNC) или ссылки совместного использования сервера блокировки сообщений (SMB).
  • Исправлена проблема с памятью, из-за которую контейнер Application Guard может использовать почти 1 ГБ рабочей заданной памяти во время простоя контейнера.
  • Улучшена производительность Robocopy при копировании файлов размером более 400 МБ.

Поддержка edge для Application Guard в Microsoft Defender для Chromium edge с начала 2020 г.

Application Guard теперь поддерживает Office: с Application Guard в Microsoft Defender для Officeможно запускать ненастоячивые документы Office (извне Enterprise) в изолированном контейнере, чтобы предотвратить потенциально вредоносный контент от компрометация устройства.

Управление приложением

Управление приложениями для Windows.В Windows 10 версии 1903 WDAC добавлен ряд новых функций, которые зажигают ключевые сценарии и обеспечивают паритет компонентов с AppLocker.

  • Несколько политик:WDAC теперь поддерживает несколько одновременных политик целостности кода для одного устройства, чтобы включить следующие сценарии: 1) обеспечение выполнения и аудита бок о бок, 2) более простое таргетинг для политик с различными областью и намерениями, 3) расширение политики с помощью новой "дополнительной" политики.
  • Правила на основе пути. Условие пути идентифицирует приложение по его расположению в файловой системе компьютера или в сети, а не по автору подписи или хэш-идентификатору. Кроме того, в системе WDAC есть параметр, позволяющий администраторам принудительно применять правило, разрешающее выполнение только того кода, который поступает из путей, не поддерживающих запись пользователем. При попытке запуска кода в среде выполнения проводится сканирование каталога и проверка файлов на предмет наличия разрешений на запись у неизвестных администраторов. Если файл поддерживает внесение изменений пользователем, его выполнение блокируется до тех пор, пока не будет получено разрешение, отличное от правила пути (например, автор подписи или хэш-правило).
    За счет этого обеспечивается эквивалентность функционала WDAC по сравнению с AppLocker с точки зрения поддержки правил для путей к файлам. WDAC позволяет обеспечить более высокий уровень безопасности за счет политик на основе правил для путей к файлам и возможности проверки наличия разрешений на запись пользователем во время выполнения файлов. В AppLocker эта возможность недоступна.
  • Разрешение регистрации COM-объектов. Ранее система WDAC принудительно применяла встроенный список разрешений для регистрации COM-объектов. Несмотря на то что этот механизм работает в большинстве распространенных сценариев использования приложений, пользователи сообщали, что в некоторых случаях появляется необходимость разрешить дополнительные COM-объекты. В обновлении 1903 для Windows 10 можно указывать разрешенные COM-объекты с помощью их идентификатора GUID в политике WDAC.

Удостоверение и конфиденциальность

Удостоверение с защищенным идентификатором

Windows Hello:

  • Windows Hello теперь поддерживается средством проверки подлинности Fast Identity Online 2 (FIDO2) во всех основных браузерах, включая Chrome и Firefox.
  • Теперь вы можете включить вход без пароля для учетных записей Microsoft на устройстве с Windows 10, перейдя в раздел Параметры > Учетные записи > Параметры входа а затем выбрав Вкл. в разделе Сделать устройство беспарольным. Включение функции входа без пароля переключит все учетные записи Microsoft на вашем устройстве с Windows 10 на современную проверку подлинности с помощью распознавания лиц Windows Hello, отпечатков пальца или ПИН-кода.
  • В безопасный режим добавлена поддержка входа с помощью ПИН-кода в Windows Hello.
  • Windows Hello для бизнеса теперь поддерживает Hybrid Azure Active Directory и вход в систему по номеру телефона (MSA). Поддержка ключа безопасности FIDO2 расширена до гибридных сред Azure Active Directory, что позволяет предприятиям со гибридными средами пользоваться преимуществами проверки подлинности без пароля. Дополнительные сведения см. в разделеРасширение поддержки Azure Active Directory для предварительной версии FIDO2 до гибридных сред.
  • При наличии специализированных аппаратных и программных компонентов на устройствах, которые поставляются вместе с Windows 10, версия 20H2, настроенных за пределами завода, Windows Hello теперь предлагает дополнительное обеспечение безопасности на основе виртуализации с помощью датчиков отпечатков пальцев и распознавания лиц. Эта возможность позволяет изолировать и защитить данные биометрической проверки подлинности пользователя.
  • В Windows Hello добавлена поддержка нескольких камер: теперь при использовании камер с поддержкой Windows Hello пользователи могут указывать приоритет внешней камеры.
  • Сертификация FIDO2 для Windows Hello. Windows Hello теперь является средством проверки подлинности, сертифицированным по стандарту FIDO2, и обеспечивает возможность входа без использования пароля для веб-сайтов, поддерживающих проверку подлинности FIDO2 (например, через учетную запись Майкрософт и Azure AD).
  • Упрощенная процедура сброса ПИН-кода для Windows Hello. Пользователям учетной записи Майкрософт доступен переработанный механизм сброса ПИН-кода для Windows Hello с интерфейсом, аналогичным интерфейсу входа в систему в Интернете.
  • Удаленный рабочий стол с биометрией. Пользователи Azure Active Directory и Active Directory, использующие Windows Hello для бизнеса, могут использовать биометрические данные для проверки подлинности при подключении к сеансу удаленного рабочего стола.

Защита учетных данных

Credential Guard в Защитнике Windows

Credential Guard в Защитнике Windows теперь доступен для устройств с архитектурой ARM64 для дополнительной защиты от кражи учетных данных на предприятиях, развертывающих устройства ARM64, такие как Surface Pro X.

Элементы управления конфиденциальностью

Параметры конфиденциальности микрофона. В области уведомлений появляется значок микрофона, с помощью которого можно узнать, какие приложения используют микрофон.

Облачные службы

Диспетчер конечных точек (Майкрософт)

Теперь Configuration Manager, Intune, аналитика компьютеров, совместное управление и консоль администрирования управления устройствами объединены в диспетчере конечных точек (Майкрософт). См. объявление от 4 ноября 2019 г. Также см. раздел Современные принципы управления и обеспечения безопасности, определяющие концепцию диспетчера конечных точек (Майкрософт).

Configuration Manager;

Мастер обновления на месте доступен в диспетчере конфигураций. Дополнительные сведения см. в статье Упрощение развертывания Windows 10 с помощью диспетчера конфигураций.

Microsoft Intune

Microsoft Intune поддерживает Windows 10 Корпоративная LTSC 2021, за исключением Windows в профилях устройств.

Новое удаленное действие Intune: Сбор диагностики позволяет собирать журналы с корпоративных устройств, не прерывая работы конечных пользователей и не дожидаясь их реакции. Дополнительные сведения см. в материалеУдаленное действие "Сбор диагностики"

В Intune также добавились возможности Управления доступом на основе ролей (RBAC), которые можно использовать для уточнения параметров профиля на странице состояния регистрации (ESP). Дополнительные сведения см. в материале Создание страницы профиля статуса регистрации и назначение его группе.

Полный список нововведений в Microsoft Intune см. в материале Что нового в Microsoft Intune.

Управление мобильными устройствами

Политика управления мобильными устройствами (MDM) расширяется с помощью новых параметров локальных пользователей и групп, которые соответствуют параметрам, доступным для устройств, управляемых с помощью групповой политики.

Дополнительные сведения о новых возможностях MDM см. в разделе Новые возможности регистрации и управления мобильными устройствами

У службы групповой политики (GPSVC) инструментария управления Windows (WMI) улучшена производительность поддержки сценариев удаленной работы.

  • Устранена проблема, из-за которой внесенные администратором изменения членства пользователей или компьютеров в группах Active Directory (AD) распространялись медленно. Хотя маркер доступа в конечном итоге обновлялся, эти изменения могли быть не видны, когда администратор использовал gpresult /r или gpresult /h для создания отчета.

Смена и чередование ключей

Этот выпуск также включает в себя две новые функции под названием Key-rolling и Key-rotation, которые обеспечивают безопасное развертывание паролей восстановления на управляемых MDM AAD устройствах по запросу из средств Microsoft Intune/MDM или когда пароль восстановления используется для разблокирования защищенного диска BitLocker. Эта функция поможет предотвратить случайное раскрытие паролей восстановлении при ручной разблокировке диска BitLocker пользователями.

Развертывание

Средство SetupDiag

SetupDiag — это средство командной строки, которое помогает диагностировать причины сбоя обновления для Windows 10. SetupDiag выполняет поиск в файлах журнала программы установки Windows. SetupDiag использует набор правил для обнаружения известных проблем. В текущей версии SetupDiag файл rules.xml содержит 53 правил, которые извлекаются при запуске SetupDiag. Файл rules.xml будет обновляться по мере выхода новых версий SetupDiag.

Зарезервированное хранилище

Зарезервированное хранилище. Резервирует место на диске для обновлений, приложений, временных файлов и системного кэша. Оно улучшает ежедневную работу компьютера, обеспечивая доступ важных функций операционной системы к месту на диске. Зарезервированное хранилище будет включено автоматически на новых компьютерах с предустановленной ОС Windows 10 версии 1903 и для чистых установок. При обновлении с предыдущей версии Windows 10 эта функция не будет включаться.

Комплект средств для развертывания и оценки Windows (ADK)

Новый Windows ADK доступен для Windows 11, который также поддерживает Windows 10 версии 21H2.

Microsoft Deployment Toolkit (MDT)

Последние сведения о MDT см. в статье Заметки о выпуске MDT.

Программа установки Windows

Windows файлов ответов установки (unattend.xml) улучшена обработка языка.

Улучшения в программе установки Windows в этом выпуске также включают:

  • Уменьшено время автономного состояния в процессе обновления компонентов
  • Улучшены элементы управления зарезервированным хранилищем
  • Улучшены элементы управления и диагностики
  • Новые параметры восстановления

Дополнительные сведения см. в статье «Улучшения программы установки Windows» в блоге о Windows для ИТ-специалистов.

Microsoft Edge

Microsoft Edge поддержка браузера теперь включена в поле.

Режим терминала в Microsoft Edge

Microsoft Edge режим киоска доступен для выпусков LTSC начиная с 2021 Windows 10 Корпоративная LTSC и Windows 10 IoT Корпоративная 2021 LTSC.

Режим терминала Microsoft Edge предлагает два варианта блокировки браузера, чтобы организации могли создавать, управлять и обеспечивать наилучшие условия для своих клиентов. Доступны следующие варианты блокировки:

  • Цифровые или интерактивные вывески отображают конкретный сайт в полноэкранном режиме.
  • Общедоступный просмотр запускает ограниченную версию Microsoft Edge с несколькими вкладками.
  • В обоих случаях выполняется сеанс Microsoft Edge InPrivate, который защищает пользовательские данные.

Подсистема Windows для Linux

подсистема Windows для Linux (WSL) доступен в коробке.

Сеть

Стандарты WPA3 H2E поддерживаются для повышения Wi-Fi безопасности.

См. также

Windows 10 Корпоративная LTSC: краткое описание канала обслуживания LTSC со ссылками на сведения о каждом выпуске.