Novedades de Windows 10 Enterprise LTSC 2021

Se aplica a

  • Windows 10 Enterprise LTSC 2021

En este artículo se enumeran las características y el contenido nuevos y actualizados que son de interés para los profesionales de TI para Windows 10 Enterprise LTSC 2021, en comparación con Windows 10 Enterprise LTSC 2019 (LTSB). Para obtener una breve descripción del canal de mantenimiento LTSC y la compatibilidad asociada, consulte Windows 10 Enterprise LTSC.

Nota

Las características de Windows 10 Enterprise LTSC 2021 son equivalentes a Windows 10, versión 21H2.
La versión LTSC está pensada para dispositivos de uso especial. La compatibilidad con LTSC por parte de aplicaciones y herramientas diseñadas para la versión del canal de disponibilidad general de Windows 10 podría ser limitada.

Windows 10 Enterprise LTSC 2021 se basa en Windows 10 Enterprise LTSC 2019, agregando características premium, como la protección avanzada contra amenazas de seguridad modernas y la administración completa de dispositivos, la administración de aplicaciones y las funcionalidades de control.

La versión Windows 10 Enterprise LTSC 2021 incluye las mejoras acumulativas proporcionadas en Windows 10 versiones 1903, 1909, 2004, 21H1 y 21H2. A continuación se proporcionan detalles sobre estas mejoras.

Ciclo

Importante

Windows 10 Enterprise LTSC 2021 tiene un ciclo de vida de 5 años (IoT sigue teniendo un ciclo de vida de 10 años). Por lo tanto, la versión LTSC 2021 no es un reemplazo directo para LTSC 2019, que tiene un ciclo de vida de 10 años.

Para obtener más información sobre el ciclo de vida de esta versión, vea The next Windows 10 Long Term Servicing Channel (LTSC).

Seguridad de hardware

Protección del sistema

Protección del sistema ha mejorado una característica en esta versión de Windows denominada Protección de firmware de SMM. Esta característica se basa en Protección del sistema Inicio seguro para reducir la superficie de ataque del firmware y asegurarse de que el firmware del modo de administración del sistema (SMM) del dispositivo funciona de forma correcta; en concreto, el código SMM no puede acceder a la memoria y los secretos del sistema operativo.

En esta versión, la protección del sistema de Windows Defender habilita un nivel incluso superior de protección de firmware, elmodo de administración del sistema (SMM), que va más allá de comprobar la memoria del sistema operativo y los secretos e incluye otros recursos como registros y E/S.

Con esta mejora, el SO puede detectar un nivel más alto de cumplimiento normativo del SMM, lo que permite que los dispositivos sean más protegidos frente a los puntos vulnerables y los ataques de SMM. En función de la plataforma, el hardware y el firmware subyacentes, hay tres versiones de SMM Firmware Protection (una, dos y tres), y cada una de las versiones posteriores ofrece protecciones más seguras que las anteriores.

Actualmente ya hay dispositivos en el mercado que ofrecen versiones de protección de firmware de SMM una y dos. SMM Firmware Protection versión tres Esta característica es actualmente de futuro y requiere nuevo hardware que estará disponible pronto.

Seguridad del sistema operativo

Seguridad del sistema

Las mejoras de la aplicación de Seguridad de Windows incluyen ahora el historial de protección, que contiene información detallada y más sencilla para comprender acerca de las amenazas y las acciones disponibles. Los bloques de acceso controlado a carpetas ahora están en el historial de protección, acciones de la herramienta de análisis de Windows Defender sin Conexión y cualquier recomendación pendiente.

Protección y cifrado de datos

BitLocker y la administración de dispositivos móviles (MDM) con Azure Active Directory funcionan de manera conjunta para proteger sus dispositivos frente a la revelación accidental de contraseñas. Ahora, una nueva característica de rotación de claves gira de forma segura las contraseñas de recuperación en dispositivos administrados por MDM. La característica se activa siempre que se usan herramientas Microsoft Intune/MDM o una contraseña de recuperación para desbloquear una unidad protegida con BitLocker. Como resultado, la contraseña de recuperación estará mejor protegida cuando los usuarios desbloqueen manualmente una unidad de BitLocker.

Seguridad de red

Firewall de Windows Defender

Windows Defender Firewall ahora ofrece las siguientes ventajas:

Reducir el riesgo: Windows Defender Firewall reduce la superficie expuesta a ataques de un dispositivo con reglas para restringir o permitir el tráfico por muchas propiedades, como direcciones IP, puertos o rutas de acceso del programa. La reducción de la superficie expuesta a ataques de un dispositivo aumenta la capacidad de administración y reduce la probabilidad de un ataque exitoso.

Proteger datos: con la seguridad de protocolo de Internet (IPsec) integrada, Windows Defender Firewall proporciona una manera sencilla de aplicar las comunicaciones de red autenticadas de un extremo a otro. Proporciona acceso escalable y en niveles a los recursos de red de confianza, lo que ayuda a aplicar la integridad de los datos y, opcionalmente, ayuda a proteger la confidencialidad de los datos.

Valor de extensión: Windows Defender Firewall es un firewall basado en host que se incluye con el sistema operativo, por lo que no se requiere ningún otro hardware o software. Windows Defender Firewall también está diseñado para complementar las soluciones de seguridad de red existentes que no son de Microsoft a través de una interfaz de programación de aplicaciones (API) documentada.

El firewall de Windows Defender también es ahora más fácil de analizar y depurar. El comportamiento de IPsec se ha integrado con Supervisión de paquetes (pktmon), una herramienta de diagnóstico de red entre componentes integrada para Windows.

Además, se han mejorado los registros de eventos Windows Defender Firewall para garantizar que una auditoría pueda identificar el filtro específico responsable de cualquier evento determinado. Esta mejora permite el análisis del comportamiento del firewall y la captura de paquetes enriquecida sin depender de otras herramientas.

Windows Defender Firewall ahora también admite Subsistema de Windows para Linux (WSL); Puede agregar reglas para el proceso WSL, al igual que para los procesos de Windows. Para obtener más información, consulte Windows Defender Firewall ahora admite Subsistema de Windows para Linux (WSL).

Protección contra virus y amenazas

Reducción del área de superficie de ataques: los administradores de TI pueden configurar dispositivos con protección web avanzada que les permitan definir las listas de direcciones permitidas y de direcciones bloqueadas para direcciones URL y de IP específicas. Protección de próxima generación: se han ampliado controles para la protección frente a ransomware, el uso indebido de credenciales y los ataques que se transmiten a través del almacenamiento extraíble.

  • Capacidades de aplicación de integridad: habilita la atestación de tiempo de ejecución remota de la plataforma de Windows 10.
  • Capacidades de corrección de alteraciones: usa la seguridad basada en virtualización para aislar las funcionalidades críticas de seguridad Microsoft Defender para punto de conexión lejos del sistema operativo y los atacantes. Compatibilidad con plataformas: además de Windows10, la funcionalidad de MicrosoftDefender para punto de conexión se ha ampliado para admitir clientes Windows7 y Windows8,1, así como macOS, Linux y WindowsServer con sus capacidades de EndpointDetection (EDR) y EndpointProtectionPlatform (EPP).

Aprendizaje de última generación avanzado: se ha mejorado con los modelos de aprendizaje automático y los modelos AI que le permiten protegerse frente atacantes Apex que usen técnicas innovadoras de vulnerabilidades de seguridad, herramientas y malware.

Protección contra ataques de emergencia: proporciona protección contra ataques de emergencia que actualizará automáticamente los dispositivos con nueva inteligencia cuando se detecte un nuevo ataque.

Cumplimiento de la certificación de la norma ISO 27001: garantiza que el servicio en la nube ha analizado las amenazas, vulnerabilidades e impactos, y que hay controles de seguridad y administración de riesgos implementados.

Compatibilidad con la geolocalización: admite la geolocalización y la soberanía de los datos de ejemplo, así como las directivas de retención configurables.

Se ha mejorado la compatibilidad con rutas de acceso de archivo que no son ASCII para Microsoft Defender respuesta automática de incidentes (IR) de Advanced Threat Protection (ATP).

Nota

En esta versión, el parámetro DisableAntiSpyware está en desuso.

Seguridad de la aplicación

Aislamiento de la aplicación

Espacio aislado de Windows: entorno de escritorio aislado en el que puede ejecutar software que no es de confianza sin temor a un impacto duradero en su dispositivo.

Protección de aplicaciones de Microsoft Defender

Protección de aplicaciones de Microsoft Defender mejoras incluyen:

  • Los usuarios independientes pueden instalar y configurar sus opciones de Windows Defender Protección de aplicaciones sin necesidad de cambiar la configuración de la clave del Registro. Los usuarios empresariales pueden comprobar su configuración para ver lo que los administradores han configurado para sus máquinas con el fin de comprender mejor el comportamiento.

  • Protección de aplicaciones es ahora una extensión en Google Chrome y Mozilla Firefox. Muchos usuarios se encuentran en un entorno de explorador híbrido y desean ampliar la tecnología de aislamiento de explorador de Protección de aplicaciones más allá de Microsoft Edge. En la versión más reciente, los usuarios pueden instalar la extensión Protección de aplicaciones en sus exploradores Chrome o Firefox. Esta extensión redirigirá la navegación que no es de confianza al explorador Protección de aplicaciones Edge. También hay una aplicación complementaria para habilitar esta característica en la Microsoft Store. Los usuarios pueden iniciar rápidamente Protección de aplicaciones desde su escritorio mediante esta aplicación. Esta característica también está disponible en Windows 10, versión 1803 o posterior, con las actualizaciones más recientes.

    Para probar esta extensión:

    1. Configure directivas de Protección de aplicaciones en el dispositivo.
    2. Ve a la Chrome Web Store o a los complementos de Firefox y busca Protección de aplicaciones. Instala la extensión.
    3. Siga cualquiera de los demás pasos de configuración de la página de configuración de la extensión.
    4. Reinicia el dispositivo.
    5. Navega hasta un sitio que no sea de confianza en Chrome y Firefox.

Navegación dinámica: Protección de aplicaciones ahora permite a los usuarios volver a su explorador host predeterminado desde el Protección de aplicaciones Microsoft Edge. Anteriormente, los usuarios que exploraban Protección de aplicaciones Edge verían una página de error cuando intentaban ir a un sitio de confianza dentro del explorador de contenedores. Con esta nueva característica, los usuarios se redirigirán automáticamente a su explorador predeterminado de host cuando entren o haga clic en un sitio de confianza en Protección de aplicaciones Edge. Esta característica también está disponible en Windows 10, versión 1803 o posterior, con las actualizaciones más recientes.

Protección de aplicaciones rendimiento se mejora con tiempos de apertura de documentos optimizados:

  • Se ha corregido un problema que podía provocar un retraso de un minuto o más al abrir un documento de Office de Protección de aplicaciones de Microsoft Defender (Protección de aplicaciones). Este problema puede producirse al intentar abrir un archivo mediante una ruta de acceso de convención de nomenclatura universal (UNC) o un vínculo de recurso compartido de Bloque de mensajes del servidor (SMB).
  • Se ha corregido un problema de memoria que podría hacer que un contenedor de Protección de aplicaciones use casi 1 GB de memoria del conjunto de trabajo cuando el contenedor está inactivo.
  • Se ha mejorado el rendimiento de Robocopy al copiar archivos de más de 400 MB de tamaño.

La compatibilidad de Edge con Protección de aplicaciones de Microsoft Defender está disponible para Edge basado en Chromium desde principios de 2020.

Protección de aplicaciones ahora admite Office: con Protección de aplicaciones de Microsoft Defender para Office, puede iniciar documentos de Office que no son de confianza (desde fuera de la empresa) en un contenedor aislado para evitar que el contenido potencialmente malintencionado ponga en peligro el dispositivo.

Control de la aplicación

Control de aplicaciones para Windows: en Windows 10, versión 1903, Windows Defender Control de aplicaciones (WDAC) agregó muchas características nuevas que iluminan escenarios clave y proporcionan paridad de características con AppLocker.

  • Varias directivas: Windows Defender Application Control ahora admite varias directivas de integridad de código simultáneas para un dispositivo con el fin de habilitar los siguientes escenarios: 1) aplicar y auditar en paralelo, 2) segmentación más sencilla para directivas con ámbito o intención diferentes, 3) expandir una directiva mediante una nueva directiva "complementaria".
  • Reglas basadas en rutas: la condición de ruta de acceso identifica una aplicación según su ubicación en el sistema de archivos del equipo o en la red en lugar de en identificador hash o firmante. Además, WDAC tiene una opción que permite a los administradores aplicar en tiempo de ejecución que solo se ejecuta código de rutas de acceso que no se pueden escribir por el usuario. Cuando el código intenta ejecutarse en tiempo de ejecución, se examina el directorio y se comprobarán los permisos de escritura de los archivos para administradores desconocidos. Si se encuentra un archivo que el usuario pueda escribir, se bloquea la ejecución del archivo ejecutable a menos que esté autorizado por algo que no sea una regla de ruta de acceso, como una regla hash o un firmante.
    Esta funcionalidad lleva WDAC a la paridad con AppLocker en términos de compatibilidad con las reglas de ruta de acceso de archivo. WDAC mejora la seguridad de las directivas en función de las reglas de ruta de acceso de archivos con la disponibilidad de las comprobaciones de permiso de capacidad de escritura del usuario en tiempo de ejecución, que es una funcionalidad que no está disponible con AppLocker.
  • Permitir registro de objetos COM: anteriormente, Windows Defender Control de aplicaciones (WDAC) aplicaba una lista de permitidos integrada para el registro de objetos COM. Aunque este mecanismo funciona para los escenarios de uso de aplicaciones más comunes, los clientes han proporcionado comentarios de que hay casos en los que es necesario permitir más objetos COM. La actualización de 1903 a Windows 10 introduce la posibilidad de especificar objetos COM permitidos a través de su GUID en la directiva de WDAC.

Identidad y privacidad

Identidad protegida

Windows Hello mejoras incluyen:

  • Windows Hello ahora es compatible con el autenticador de Fast Identity Online 2 (FIDO2) en los principales navegadores, como Chrome y Firefox.
  • Ahora puede habilitar el inicio de sesión sin contraseña para cuentas de Microsoft en su dispositivo con Windows 10 al ir a Configuración > Cuentas > Opciones de inicio de sesión y seleccionar Activado en Haga que su dispositivo se inicie sin contraseña. Habilitar el inicio de sesión sin contraseña cambiará todas las cuentas de Microsoft en su dispositivo con Windows 10 a la nueva autenticación con el rostro de Windows Hello, huella digital o PIN.
  • La compatibilidad con el inicio de sesión de PIN de Windows Hello se ha añadido al modo seguro.
  • Windows Hello para empresas ahora tiene soporte híbrido de Azure Active Directory e inicio de sesión de número de teléfono (cuenta Microsoft). El soporte de clave se soporte de FIDO2 se amplía a entornos híbridos de Azure Active Directory, lo que permite a las empresas con entornos híbridos aprovechar la autenticación sin contraseña. Para obtener más información, consulte Expandir la vista previa del soporte de Azure Active Directory para FIDO2 a entornos híbridos.
  • Windows Hello ahora incluye soporte para los elementos de seguridad basados en virtualización compatibles con huella dactilar y sensor facial, gracias a los componentes especializados de hardware y software disponibles en los dispositivos que se distribuyen con Windows 10, versión 20H2, configurados fuera de fábrica. Esta característica aísla y protege los datos de autenticación biométrica de cada usuario.
  • Se ha agregado la compatibilidad con varias cámaras para Windows Hello, lo que permite a los usuarios elegir una prioridad de cámara externa cuando hay cámaras externas e internas compatibles con Windows Hello.
  • Certificación FIDO2 de Windows Hello: Windows Hello es ahora un autenticador certificado por FIDO2 y habilita el inicio de sesión sin contraseña para los sitios web que admiten autenticación FIDO2, como la cuenta de Microsoft y Azure AD.
  • Experiencia de restablecimiento de PIN de Windows Hello optimizada: los usuarios de la cuenta de Microsoft tienen una experiencia de restablecimiento de PIN de Windows Hello renovada con el mismo aspecto que si se iniciara sesión en la Web.
  • Escritorio remoto con biometría: los usuarios de Azure Active Directory y Active Directory que usen Windows Hello para empresas pueden usar la biometría para autenticarse en una sesión de escritorio remoto.

Protección de credenciales

Credential Guard de Windows Defender

Credential Guard de Windows Defender ahora está disponible para dispositivos ARM64, para una protección adicional contra el robo de credenciales para las empresas que implementan dispositivos ARM64 en sus organizaciones, como Surface Pro X.

Controles de privacidad

Configuración de privacidad del micrófono: aparece un icono de micrófono en el área de notificación que te permite ver qué aplicaciones usan el micrófono.

Cloud Services

Microsoft Intune familia de productos

Configuration Manager, Intune, Análisis de escritorio, Co-Management y el Centro de administración de Endpoint Manager ahora forman parte de los servicios de administración de puntos de conexión de Microsoft. Consulta el anuncio del 4 de noviembre de 2019.

Configuration Manager

El asistente de actualización local está disponible en el administrador de configuración. Para obtener más información, consulte la sección de simplificar la implementación de Windows 10 con el administrador de configuración.

Microsoft Intune

Microsoft Intune admite Windows 10 Enterprise LTSC 2021, excepto los anillos de Windows Update en los perfiles de dispositivo.

Una nueva acción remota de Intune, Recopilar diagnósticos, permite recopilar los diagnósticos de los dispositivos corporativos sin causar interrupciones ni esperas al usuario final. Para obtener más información, vea Acción remota de recopilación de diagnósticos.

Intune también ha agregado funcionalidades al control de acceso basado en roles (RBAC) que pueden usarse para definir aún más la configuración de perfil de la página de estado de inscripción (ESP). Para obtener más información, consulte Crear perfil de página de estado de inscripción y asignar a un grupo.

Para obtener una lista completa de las novedades de Microsoft Intune, vea Novedades de Microsoft Intune.

Administración de dispositivos móviles

La directiva de Administración de dispositivos móvil (MDM) se amplía con la nueva configuración usuarios y grupos locales que coinciden con las opciones disponibles para los dispositivos administrados a través de directiva de grupo.

Para obtener más información sobre las novedades de MDM, consulte Novedades en la inscripción y administración de dispositivos móviles

El Servicio de directivas de grupo (GPSVC) de Instrumental de administración de Windows (WMI) mejora el rendimiento para admitir escenarios de trabajo remoto:

  • Se ha corregido un problema que provocaba que los cambios realizados por un administrador de Active Directory (AD) en las pertenencias a grupos de usuarios o equipos se propagase lentamente. Aunque el token de acceso acababa actualizándose, los cambios podían no aparecer si el administrador usaba gpresult /r o gpresult /h para crear un informe.

Sucesión de claves y rotación de claves

Esta versión también incluye dos nuevas características denominadas Key-rolling y Key-rotation permite la rotación segura de contraseñas de recuperación en dispositivos azure Active Directory administrados por MDM a petición desde herramientas de Microsoft Intune/MDM o cuando se usa una contraseña de recuperación para desbloquear la unidad protegida de BitLocker. Esta característica ayudará a evitar la revelación accidental de contraseñas de recuperación como parte del desbloqueo de la unidad de BitLocker manual por los usuarios.

Implementación

SetupDiag

SetupDiag es una herramienta de línea de comandos que puede ayudar a diagnosticar por qué se produjo un error en una actualización de Windows 10. SetupDiag funciona mediante la búsqueda de archivos de registro de la instalación de Windows. Cuando se buscan archivos de registro, SetupDiag usa un conjunto de reglas para hacer coincidir los problemas conocidos. En la versión actual de SetupDiag, hay 53 reglas incluidas en el archivo rules.xml, que se extrae al ejecutar SetupDiag. El archivo rules.xml se actualizará a medida que haya disponibles nuevas versiones de SetupDiag.

Almacenamiento reservado

Almacenamiento reservado: el almacenamiento reservado aparta espacio en disco que usarán las actualizaciones, las aplicaciones, los archivos temporales y las memorias caché del sistema. Mejora la función diaria de tu PC al garantizar que las funciones críticas del sistema operativo siempre tienen acceso al espacio en disco. El almacenamiento reservado se habilitará automáticamente en equipos nuevos con Windows 10, versión 1903 preinstalada, y para instalaciones limpias. No se habilitará al actualizar desde una versión anterior de Windows 10.

Windows Assessment and Deployment Toolkit (ADK)

Hay disponible un nuevo ADK de Windows para Windows 11 que también admite Windows 10, versión 21H2.

Microsoft Deployment Toolkit (MDT)

Para obtener la información más reciente sobre MDT, vea las notas de la versión de MDT.

Programa de instalación de Windows

Los archivos de respuesta del programa de instalación de Windows (unattend.xml) han mejorado el control de idioma.

Las mejoras en el programa de instalación de Windows de esta versión también incluyen:

  • Tiempo sin conexión reducido durante las actualizaciones de características
  • Controles mejorados para el almacenamiento reservado
  • Controles y diagnósticos mejorados
  • Opciones de recuperación nuevas

Para obtener más información, vea las mejoras del programa de instalación de Windows en elblog profesional de las tecnologías de la información de Windows.

Microsoft Edge

La compatibilidad con Microsoft Edge Browser ahora se incluye en el cuadro.

Pantalla completa de Microsoft Edge

El modo de pantalla completa de Microsoft Edge está disponible para las versiones LTSC a partir de Windows 10 Enterprise 2021 LTSC y Windows 10 IoT Enterprise 2021 LTSC.

El modo de pantalla completa de Microsoft Edge ofrece dos experiencias de bloqueo del explorador para que las organizaciones puedan crear, administrar y proporcionar la mejor experiencia para sus clientes. Están disponibles las siguientes experiencias de bloqueo:

  • Experiencia de señalización digital/interactiva: Muestra un sitio específico en modo de pantalla completa.
  • Experiencia de exploración pública: Ejecuta una versión limitada de varias pestañas de Microsoft Edge.
  • En ambas experiencias se ejecuta una sesión de Microsoft Edge InPrivate, que protege los datos de usuario.

Subsistema de Windows para Linux

Subsistema de Windows para Linux (WSL) está disponible en el cuadro.

Funciones de red

Los estándares WPA3 H2E se admiten para mejorar la seguridad Wi-Fi.

Consulta también

Windows 10 Enterprise LTSC: una breve descripción del canal de mantenimiento de LTSC con vínculos a información sobre cada versión.