Novità di Windows 10 Enterprise LTSC 2015

  • Articolo

Si applica a

  • Windows 10 Enterprise LTSC 2015

Questo articolo elenca le funzionalità e i contenuti nuovi e aggiornati che interessano i professionisti IT per Windows 10 Enterprise LTSC 2015 (LTSB). Per una breve descrizione del canale di manutenzione LTSC, vedere Windows 10 Enterprise LTSC.

Distribuzione

Effettuare il provisioning dei dispositivi tramite Progettazione immagine e configurazione di Windows

Con Windows 10 puoi creare pacchetti di provisioning che ti permettono di configurare in modo rapido ed efficiente un dispositivo senza dover installare una nuova immagine. Un amministratore IT che usa il provisioning di Windows può specificare facilmente la configurazione e le impostazioni necessarie per registrare i dispositivi nella gestione usando un'interfaccia utente guidata dalla procedura guidata e quindi applicare questa configurazione ai dispositivi di destinazione in pochi minuti. È più adatto per le piccole e medie imprese con distribuzioni che vanno da decine a poche centinaia di computer.

Altre informazioni sul provisioning in Windows 10

Sicurezza

AppLocker

AppLocker era disponibile per Windows 8.1 ed è stato migliorato con Windows 10. Per un elenco dei requisiti del sistema operativo, vedere Requisiti per l'uso di AppLocker .

I miglioramenti apportati ad AppLocker in Windows 10 includono:

  • È stato aggiunto un nuovo parametro al cmdlet Windows PowerShell New-AppLockerPolicy che consente di scegliere se le raccolte regole Exe e DLL si applicano ai processi non interattivi. Per abilitare questo parametro, impostare ServiceEnforcement su Abilitato.
  • È stato aggiunto un nuovo provider di servizi di configurazione AppLocker per consentire di abilitare le regole di AppLocker usando un server MDM.

Scopri come gestire AppLocker nella tua organizzazione.

BitLocker

I miglioramenti apportati ad AppLocker in Windows 10 includono:

  • Crittografia e ripristino del dispositivo con Azure Active Directory. Oltre a usare un account Microsoft, la funzionalità Crittografia dispositivo automatica può ora crittografare i dispositivi che appartengono a un dominio di Azure Active Directory. Quando il dispositivo è crittografato, la chiave di ripristino di BitLocker viene automaticamente depositata in Azure Active Directory. Questo deposito renderà più facile recuperare la chiave di BitLocker online.
  • Protezione delle porte DMA. Puoi usare il criterio di gestione MDM DataProtection/AllowDirectMemoryAccess per bloccare le porte DMA all'avvio del dispositivo. Inoltre, quando un dispositivo è bloccato, tutte le porte DMA non usate sono disattivate, ma i dispositivi già collegati a una porta DMA continuano a funzionare. Quando il dispositivo è sbloccato, tutte le porte DMA vengono riattivate.
  • Nuove impostazioni di Criteri di gruppo per configurare il ripristino prima dell'avvio. Ora puoi configurare il messaggio di ripristino prima dell'avvio e l'URL di ripristino visualizzato nella schermata di ripristino prima dell'avvio. Per maggiori informazioni, vedi la sezione Configurazione del messaggio e dell'URL di ripristino prima dell'avvio in "Impostazioni di Criteri di gruppo per BitLocker".

Scopri come distribuire e gestire BitLocker nella tua organizzazione.

Gestione dei certificati

Per i dispositivi basati su Windows 10, puoi usare il server MDM per distribuire direttamente i certificati di autenticazione client mediante Personal Information Exchange (PFX), oltre a eseguire le registrazioni con il protocollo SCEP (Simple Certificate Enrollment Protocol), inclusi i certificati per abilitare Windows Hello for Business nell'organizzazione. Potrai usare MDM per registrare, rinnovare ed eliminare i certificati.

Microsoft Passport

In Windows 10 Microsoft Passport sostituisce le password con l'autenticazione a due fattori avanzata, costituita da un dispositivo registrato e da Windows Hello (biometrica) o un PIN.

Microsoft Passport permette agli utenti di eseguire l'autenticazione per un account Microsoft, un account di Active Directory, un account di Microsoft Azure Active Directory (AD) o un servizio non Microsoft che supporta l'autenticazione FIDO (Fast ID Online). Dopo una verifica in due passaggi iniziale durante la registrazione di Microsoft Passport, viene impostato un Microsoft Passport nel dispositivo dell'utente e l'utente imposta un movimento, che può essere Windows Hello o un PIN. L'utente usa il movimento per verificare l'identità. Windows usa quindi Microsoft Passport per autenticare gli utenti e consentire loro l'accesso a risorse e servizi protetti.

Controllo della sicurezza

Il controllo della sicurezza in Windows 10 include alcuni nuovi miglioramenti:

Nuove sottocategorie di controllo

In Windows 10 sono state aggiunte due nuove sottocategorie di controllo alla configurazione di criteri di controllo avanzati per offrire maggiore granularità negli eventi di controllo:

  • Controlla appartenenza a gruppo Presente nella sottocategoria Accesso/fine sess., la sottocategoria Controlla appartenenza a gruppo consente di controllare le informazioni relative all'appartenenza a gruppi nel token di accesso dell'utente. Gli eventi in questa sottocategoria vengono generati quando le appartenenze ai gruppi vengono enumerate o sottoposte a query nel PC in cui è stata creata la sessione di accesso. Per un accesso interattivo, l'evento di controllo di sicurezza viene generato nel PC a cui l'utente si è connesso. Per un accesso alla rete, ad esempio l'accesso a una cartella condivisa nella rete, l'evento di controllo di sicurezza viene generato nel PC che ospita la risorsa. Quando questa impostazione è configurata, vengono generati uno o più eventi di controllo di sicurezza per ogni accesso riuscito. È anche necessario abilitare l'impostazione Audit Logon in Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff.You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Se le informazioni sull'appartenenza al gruppo non possono essere incluse in un singolo evento di controllo di sicurezza, vengono generati più eventi.
  • Controlla attività Plug and Play questa sottocategoria della categoria Analisi dettagliata consente di controllare quando Plug and Play rileva un dispositivo esterno. Per questa categoria vengono registrate solo le operazioni riuscite. Se non si configura questa impostazione di criterio, non viene generato alcun evento di controllo quando un dispositivo esterno viene rilevato da plug and play. Un evento di controllo Plug and Play può essere usato per tenere traccia delle modifiche nell'hardware del sistema e verrà registrato nel PC in cui è stata apportata la modifica. Nell'evento è incluso un elenco di ID fornitore hardware.

Altre informazioni aggiunte agli eventi di controllo esistenti

Con Windows 10 versione 1507, abbiamo aggiunto altre info agli eventi di controllo esistenti per facilitare la realizzazione di un itinerario di controllo completo e l'ottenimento delle informazioni necessarie a proteggere la tua azienda. Sono stati apportati miglioramenti agli eventi di controllo seguenti:

Modificato il criterio di controllo predefinito del kernel

Nelle versioni precedenti, il kernel dipendeva dall'autorità di sicurezza locale (LSA) per recuperare informazioni in alcuni dei relativi eventi. In Windows 10, i criteri di controllo degli eventi di creazione di processi vengono abilitati automaticamente fino a quando non viene ricevuto un criterio di controllo effettivo dall'autorità di sicurezza locale. Questa impostazione comporta un controllo migliore dei servizi che possono essere avviati prima dell'avvio di LSA.

Aggiunto un elenco di controllo di accesso di sistema (SACL) del processo predefinito a LSASS.exe

In Windows 10 un elenco di controllo di accesso di sistema (SACL) del processo predefinito è stato aggiunto a LSASS.exe per registrare i processi che provano ad accedere a LSASS.exe. Il SACL è L"S:(AU;SAFA;0x0010;;;WD)". È possibile abilitare questo processo in Advanced Audit Policy Configuration\Object Access\Audit Kernel Object.You can enable this process under Advanced Audit Policy Configuration\Object Access\Audit Kernel Object. Questo processo, quando abilitato, consente di identificare gli attacchi che rubano le credenziali dalla memoria di un processo.

Nuovi campi nell'evento di accesso

L'ID evento di accesso 4624 è stato aggiornato per includere informazioni più dettagliate per facilitarne l'analisi. I campi seguenti sono stati aggiunti all'evento 4624:

  1. MachineLogon Stringa: sì o no Se l'account che ha eseguito l'accesso al PC è un account computer, questo campo sarà sì. In caso contrario, il campo è no.
  2. ElevatedToken Stringa: sì o no Se un account ha eseguito l'accesso al PC tramite il metodo "accesso amministrativo", questo campo sarà sì. In caso contrario, il campo è no. Inoltre, se questo campo fa parte di un token di divisione, verrà visualizzato anche l'ID di accesso collegato (LSAP_LOGON_SESSION).
  3. Stringa TargetOutboundUserName e stringa TargetOutboundUserDomain. Il nome utente e il dominio dell'identità che è stata creata dal metodo LogonUser per il traffico in uscita.
  4. Stringa VirtualAccount: sì o no. Se l'account che è connesso al PC è un account virtuale, questo campo sarà sì. In caso contrario, il campo è no.
  5. GroupMembership. Elenco di tutti i gruppi nel token dell'utente.
  6. Stringa RestrictedAdminMode: sì o no. Se l'utente accede al PC in modalità di amministratore con restrizioni con Desktop remoto, questo campo sarà sì. Per altre informazioni sulle modalità di amministratore con restrizioni, vedi il post di blog sulla modalità di amministrazione con restrizioni per RDP.

Nuovi campi nell'evento di creazione di processi

L'ID evento di accesso 4688 è stato aggiornato per includere informazioni più dettagliate per facilitarne l'analisi. I campi seguenti sono stati aggiunti all'evento 4688:

  1. Stringa TargetUserSid. SID dell'entità di destinazione.
  2. Stringa TargetUserName. Nome account dell'utente di destinazione.
  3. Targetdomainname String Il dominio dell'utente di destinazione.
  4. TargetLogonId Stringa L'ID di accesso dell'utente di destinazione.
  5. Stringa ParentProcessName. Nome del processo creatore.
  6. Stringa ParentProcessId. Puntatore al processo padre effettivo se diverso dal processo creatore.

Nuovi eventi di gestione degli account di sicurezza

In Windows 10 sono stati aggiunti nuovi eventi SAM per controllare le API SAM che eseguono operazioni di lettura/query. Nelle versioni precedenti di Windows, venivano controllate solo le operazioni di scrittura. I nuovi eventi sono l'evento ID 4798 e l'evento ID 4799. Vengono ora controllate le API seguenti:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation

Nuovi eventi dei dati di configurazione di avvio

L'ID evento 4826 è stato aggiunto per registrare le modifiche seguenti al Database di configurazione di avvio (BCD):

  • Impostazioni di Protezione esecuzione programmi/NEX
  • Firma test
  • Simulazione PCAT SB
  • Debug
  • Debug di avvio
  • Servizi di integrità
  • Disabilitare il menu di debug Winload

Nuovi eventi Plug and Play

L'ID evento 6416 è stato aggiunto per tenere traccia di quando viene rilevato un dispositivo esterno tramite Plug and Play. Uno scenario importante è se un dispositivo esterno contenente malware si inserisce in un computer di alto valore per cui non è previsto questo tipo di azione, ad esempio un controller di dominio.

Informazioni su come gestire i criteri di controllo di sicurezza all'interno dell'organizzazione

Trusted Platform Module

Nuove funzionalità TPM in Windows 10

Le sezioni seguenti descrivono le funzionalità nuove e modificate in TPM per Windows 10:

Attestazione dell'integrità dei dispositivi

L'attestazione dell'integrità dei dispositivi consente alle aziende di stabilire il livello di affidabilità basato su componenti hardware e software di un dispositivo gestito. Con l'attestazione dell'integrità del dispositivo puoi configurare un server MDM in modo che esegua query a un servizio di attestazione dell'integrità per consentire o meno l'accesso di un dispositivo gestito a una risorsa protetta. Ecco alcune cose che puoi controllare nel dispositivo:

  • La funzionalità Protezione esecuzione programmi è supportata e abilitata?
  • La funzionalità Crittografia unità BitLocker è supportata e abilitata?
  • La funzionalità SecureBoot è supportata e abilitata?

Nota

Sul dispositivo deve essere in esecuzione Windows 10 e supportato almeno TPM 2.0.

Scopri come distribuire e gestire TPM nella tua organizzazione.

Controllo dell'account utente

Controllo dell'account utente aiuta a impedire al malware di danneggiare un computer e permette alle organizzazioni di distribuire un ambiente desktop gestito in modo migliore.

Non è consigliabile disattivare Controllo dell'account utente perché tale impostazione non supporta i dispositivi che eseguono Windows 10. Se disattivi Controllo account utente, tutte le app UWP (Universal Windows Platform) smetteranno di funzionare. È sempre necessario impostare il valore del Registro di sistema HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA su 1. Se è necessario fornire l'elevazione automatica per l'accesso o l'installazione a livello di codice, è possibile impostare il valore del Registro di sistema HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin su 0, che equivale all'impostazione del dispositivo di scorrimento Controllo dell'account utente Non notificare mai. Questa impostazione non è consigliata per i dispositivi che eseguono Windows 10.

Per altre informazioni su come gestire Il controllo dell'account utente, vedi Impostazioni Criteri di gruppo controllo dell'account utente e Impostazioni chiave del Registro di sistema.

In Windows 10, Controllo account utente ha aggiunto alcuni miglioramenti:

  • Integrazione con l'interfaccia di analisi antimalware. L' interfaccia di analisi antimalware analizza tutte le richieste di elevazione dei privilegi di Controllo account utente per trovare l'eventuale presenza di malware. Se viene rilevato malware, il privilegio di amministratore viene bloccato.

Scopri come gestire Controllo account utente nella tua organizzazione.

Opzioni del profilo VPN

Windows 10 offre un set di funzionalità VPN che consentono di aumentare la sicurezza aziendale e fornire un'esperienza utente migliore, tra cui:

  • Comportamento di connessione automatica sempre attiva
  • Connessioni VNP attivate dalle app
  • Filtri per il traffico VPN
  • Blocco delle connessioni VPN
  • Integrazione con Microsoft Passport for Work

Altre informazioni sulle opzioni VPN in Windows 10.

Gestione

Windows 10 offre funzionalità per la gestione dei dispositivi mobili (MDM, Mobile Device Management) per PC, portatili, tablet e telefoni che permettono di gestire a livello dell'organizzazione i dispositivi di proprietà dell'azienda e quelli personali.

Supporto MDM

I criteri MDM per Windows 10 sono allineati ai criteri supportati in Windows 8.1 e sono stati estesi per supportare un numero ancora maggiore di scenari aziendali, ad esempio la gestione di più utenti con account Microsoft Azure Active Directory (Azure AD), il controllo completo su Microsoft Store, la configurazione di reti VPN e altro.

Il supporto MDM in Windows 10 si basa sulla specifica del protocollo DM (Device Management) 1.2.1 di Open Mobile Alliance (OMA) .

I dispositivi di proprietà dell'azienda possono essere registrati automaticamente per le organizzazioni tramite Azure AD. Informazioni di riferimento per la gestione dei dispositivi mobili per Windows 10

Annullamento della registrazione

Quando un utente lascia l'organizzazione e annulli la registrazione dell'account utente o del dispositivo dal sistema di gestione, le configurazioni e le app controllate dall'organizzazione vengono rimosse dal dispositivo. Puoi annullare la registrazione del dispositivo in modalità remota o l'utente stesso può annullarla, rimuovendo manualmente l'account dal dispositivo.

L'annullamento della registrazione di un dispositivo personale non influisce minimamente sui dati e sulle app dell'utente, mentre vengono rimosse le informazioni aziendali come certificati, profili VPN e app aziendali.

Infrastruttura

Le aziende hanno le scelte seguenti per identità e gestione.

Area Scelte
Identità Active Directory; Azure AD
Raggruppamento aggiunta al dominio; gruppo di lavoro; aggiunta ad Azure AD
Gestione dei dispositivi Criteri di gruppo; Microsoft Configuration Manager; Microsoft Intune; altre soluzioni MDM; Exchange ActiveSync; Windows PowerShell; Strumentazione gestione Windows (WMI)

Nota

Con il rilascio di Windows Server 2012 R2, è stato deprecato Protezione accesso alla rete e il client di Protezione accesso alla rete è stato ora rimosso in Windows 10. Per altre informazioni sui cicli di vita del supporto Microsoft, vedi Ciclo di vita del supporto Microsoft.

Blocco del dispositivo

Ti serve un computer per un'unica operazione? Ad esempio:

  • Un dispositivo nell'atrio a disposizione dei clienti per sfogliare il catalogo dei prodotti.
  • Un dispositivo portatile che gli autisti possano usare per controllare un itinerario su una mappa.
  • Un dispositivo usato da un collaboratore temporaneo per l'immissione dei dati.

Puoi configurare uno stato di blocco permanente per creare un dispositivo di tipo chiosco multimediale. All'accesso con l'account bloccato, il dispositivo visualizza solo l'app selezionata.

Puoi anche configurare uno stato di blocco che diventa effettivo all'accesso di uno specifico account utente. Il blocco limita l'utente all'uso solo delle app specificate.

Le impostazioni di blocco possono essere configurate anche per impostare un aspetto specifico, ad esempio un tema o un layout personalizzato nella schermata Start.

Layout Start

Un layout standard per Start può essere utile nei dispositivi condivisi tra più utenti e in quelli bloccati per motivi specifici. A partire da Windows 10 versione 1511, gli amministratori possono configurare un layout parziale della schermata Start, che si applica ai gruppi di riquadri specificati, consentendo al tempo stesso agli utenti di creare e personalizzare i propri gruppi di riquadri. Scopri come personalizzare ed esportare il layout della schermata Start.

Gli amministratori possono inoltre utilizzare Gestione di dispositivi mobili (MDM) o i criteri di gruppo per disabilitare l'uso di Contenuti in evidenza di Windows nella schermata di blocco.

Aggiornamenti

Windows Update for Business consente agli amministratori IT di mantenere sempre aggiornati i dispositivi basati su Windows 10 nell'organizzazione con le caratteristiche di sicurezza e le funzionalità di Windows più recenti, connettendo direttamente questi sistemi al servizio Windows Update di Microsoft.

Tramite gli oggetti Criteri di gruppo, Windows Update for Business è un sistema implementato facilmente che consente alle organizzazioni e agli amministratori di controllare in che modo vengono aggiornati i dispositivi basati su Windows 10, consentendo:

  • Gruppi di distribuzione e di convalida, con cui gli amministratori possono specificare quali dispositivi devono essere inclusi in ogni fase di aggiornamento, per assicurare che gli standard di qualità vengano soddisfatti.

  • Recapito peer-to-peer, che gli amministratori possono abilitare per rendere efficiente il recapito degli aggiornamenti alle succursali e ai siti remoti con larghezza di banda limitata.

  • Usare con strumenti esistenti, ad esempio Microsoft Intune e Enterprise Mobility Suite.

Insieme, queste funzionalità di Windows Update for Business consentono di ridurre i costi di gestione dei dispositivi, fornire controlli sulla distribuzione degli aggiornamenti, offrire un accesso più rapido agli aggiornamenti della sicurezza e fornire l'accesso alle innovazioni più recenti di Microsoft in modo continuativo. Windows Update for Business è un servizio gratuito per tutte le edizioni Windows 10 Pro, Enterprise ed Education e può essere usato indipendentemente o in combinazione con le soluzioni di gestione dei dispositivi esistenti, ad esempio Windows Server Update Services (WSUS) e Microsoft Configuration Manager.

Altre informazioni su Windows Update for Business.

Per altre informazioni sull'aggiornamento di Windows 10, vedi Opzioni di manutenzione di Windows 10 per gli aggiornamenti.

Microsoft Edge

Il nuovo Microsoft Edge basato su cromo non è incluso nella versione LTSC di Windows 10. Tuttavia, è possibile scaricarlo e installarlo separatamente qui.

Vedere anche

Windows 10 Enterprise LTSC: descrizione del canale di manutenzione LTSC con collegamenti a informazioni su ogni versione.