Novità di Windows 10 Enterprise LTSC 2021
Questo articolo elenca le funzionalità e i contenuti nuovi e aggiornati che interessano i professionisti IT per Windows 10 Enterprise LTSC 2021, rispetto a Windows 10 Enterprise LTSC 2019 (LTSB). Per una breve descrizione del canale di manutenzione LTSC e del supporto associato, vedere Windows 10 Enterprise LTSC.
Nota
Windows 10 Enterprise LTSC 2021 è stato disponibile per la prima volta il 16 novembre 2021. Le funzionalità di Windows 10 Enterprise LTSC 2021 sono equivalenti a Windows 10 versione 21H2.
La versione LTSC è destinata a dispositivi di uso speciale. Il supporto per LTSC da parte di app e strumenti progettati per la versione del canale di disponibilità generale di Windows 10 potrebbe essere limitato.
Windows 10 Enterprise LTSC 2021 si basa su Windows 10 Enterprise LTSC 2019, aggiungendo funzionalità premium come la protezione avanzata dalle minacce alla sicurezza moderne e la gestione completa dei dispositivi, la gestione delle app e le funzionalità di controllo.
La versione Windows 10 Enterprise LTSC 2021 include i miglioramenti cumulativi forniti in Windows 10 versioni 1903, 1909, 2004, 21H1 e 21H2. Di seguito sono riportati i dettagli relativi a questi miglioramenti.
Ciclo di vita
Importante
Windows 10 Enterprise LTSC 2021 ha un ciclo di vita di 5 anni. (IoT Enterprise LTSC continua ad avere un ciclo di vita di 10 anni). Pertanto, la versione LTSC 2021 non è una sostituzione diretta per LTSC 2019, che ha un ciclo di vita di 10 anni.
Per altre informazioni sul ciclo di vita di questa versione, vedere La prossima versione Windows 10 del canale di manutenzione a lungo termine (LTSC, Long-Term Servicing Channel).
Sicurezza hardware
Protezione del sistema
Protezione del sistema ha migliorato una funzionalità in questa versione di Windows denominata SMM Firmware Protection. Questa funzionalità si basa su Protezione del sistema Avvio sicuro per ridurre la superficie di attacco del firmware e garantire che il firmware della modalità di gestione del sistema (SMM) nel dispositivo funzioni in modo integro, in particolare il codice SMM non può accedere alla memoria e ai segreti del sistema operativo.
In questa versione, Protezione del sistema di Windows Defender offre un livello ancora superiore di protezione SMM (System Management Mode) del firmware, che va oltre la verifica dei segreti e della memoria e dei segreti del sistema operativo, aggiungendo altre risorse come registri e IO.
Con questo miglioramento, il sistema operativo può rilevare un livello superiore di conformità SMM, consentendo ai dispositivi di essere più resistenti contro le vulnerabilità e gli exploit SMM. In base alla piattaforma, all'hardware e al firmware sottostanti, sono disponibili tre versioni di SMM Firmware Protection (una, due e tre), ognuna delle quali offre protezioni più avanzate rispetto a quelle precedenti.
Ci sono già dispositivi sul mercato oggi che offrono SMM Firmware Protection versioni 1 e 2. Protezione firmware SMM versione 3 Questa funzionalità è attualmente orientata al futuro e richiede un nuovo hardware che sarà reso disponibile a breve.
Sicurezza del sistema operativo
Sicurezza del sistema
I miglioramenti apportati all'app Sicurezza di Windows includono la cronologia della protezione, tra cui informazioni dettagliate e più facili da comprendere sulle minacce e sulle azioni disponibili, i blocchi di accesso controllato alle cartelle, azioni dello strumento di analisi Windows Defender Offline e qualsiasi consiglio in sospeso.
Crittografia e protezione dei dati
BitLocker e Mobile Gestione dispositivi (MDM) con Microsoft Entra ID interagiscono per proteggere i dispositivi dalla divulgazione accidentale delle password. A questo punto, una nuova funzionalità di rollback delle chiavi ruota in modo sicuro le password di ripristino nei dispositivi gestiti da MDM. La funzionalità viene attivata ogni volta che si utilizza Microsoft Intune/uno strumento di gestione di dispositivi mobili o una password di ripristino per sbloccare un'unità protetta da BitLocker. Di conseguenza, la password di ripristino verrà protetta meglio quando gli utenti sbloccano manualmente un'unità BitLocker.
Sicurezza della rete
Windows Defender Firewall
Windows Defender Firewall offre ora i vantaggi seguenti:
Ridurre i rischi: Windows Defender Firewall riduce la superficie di attacco di un dispositivo con regole per limitare o consentire il traffico in base a molte proprietà, ad esempio indirizzi IP, porte o percorsi del programma. La riduzione della superficie di attacco di un dispositivo aumenta la gestibilità e riduce la probabilità di un attacco riuscito.
Proteggere i dati: con IPsec (Internet Protocol Security) integrato, Windows Defender Firewall offre un modo semplice per applicare comunicazioni di rete end-to-end autenticate. Offre accesso scalabile e a livelli alle risorse di rete attendibili, contribuendo a imporre l'integrità dei dati e, facoltativamente, a proteggere la riservatezza dei dati.
Estendi valore: Windows Defender Firewall è un firewall basato su host incluso nel sistema operativo, quindi non sono necessari altri hardware o software. Windows Defender Firewall è progettato anche per integrare soluzioni di sicurezza di rete non Microsoft esistenti tramite un'API (Application Programming Interface) documentata.
Anche Windows Defender Firewall è ora più facile da analizzare ed eseguire il debug. Il comportamento IPsec è stato integrato con Packet Monitor (pktmon), uno strumento di diagnostica di rete tra componenti predefinito per Windows.
Inoltre, i log eventi di Windows Defender Firewall sono stati migliorati per garantire che un controllo possa identificare il filtro specifico responsabile di un determinato evento. Questo miglioramento consente l'analisi del comportamento del firewall e l'acquisizione di pacchetti avanzata senza basarsi su altri strumenti.
Windows Defender Firewall ora supporta anche sottosistema Windows per Linux (WSL); È possibile aggiungere regole per il processo WSL, proprio come per i processi windows. Per altre informazioni, vedere Windows Defender Firewall now supports sottosistema Windows per Linux (WSL).For more information, see Windows Defender Firewall now supports sottosistema Windows per Linux (WSL).
Protezione da virus e minacce
Riduzione della superficie di attacco: gli amministratori IT possono configurare i dispositivi con protezione Web avanzata che consente loro di definire elenchi consentiti e elenchi di blocchi per URL e indirizzi IP specifici. Protezione di nuova generazione : i controlli sono stati estesi alla protezione da ransomware, uso improprio delle credenziali e attacchi trasmessi tramite archiviazione rimovibile.
- Funzionalità di imposizione dell'integrità: abilitare l'attestazione di runtime remoto della piattaforma Windows 10.
- Funzionalità di protezione dalle manomissioni: usa la sicurezza basata sulla virtualizzazione per isolare le funzionalità di sicurezza Microsoft Defender per endpoint critiche lontano dal sistema operativo e dagli utenti malintenzionati. Supporto della piattaforma: oltre a Windows 10, le funzionalità di Microsoft Defender per endpoint sono state estese per supportare i client Windows 7 e Windows 8.1, nonché macOS, Linux e Windows Server con le funzionalità Di rilevamento endpoint (EDR) e Endpoint Protection Platform (EPP).
Apprendimento automatico avanzato: migliorato grazie all'apprendimento automatico avanzato e ai modelli di intelligenza artificiale che consentono di proteggerlo contro i malintenzionati apex utilizzando tecniche di exploit, strumenti e malware di vulnerabilità innovativi.
Protezione dalle epidemie di emergenza: fornisce una protezione dalle epidemie di emergenza che aggiornerà automaticamente i dispositivi con nuove informazioni quando viene rilevata una nuova epidemia.
Conformità certificata ISO 27001: garantisce che il servizio cloud analizzi le minacce, le vulnerabilità e gli impatti e che la gestione dei rischi e i controlli di sicurezza funzionino correttamente.
Supporto della geolocalizzazione: supporta la geolocalizzazione e la sovranità dei dati di esempio e dei criteri di conservazione configurabili.
Supporto migliorato per i percorsi di file non ASCII per Microsoft Defender Advanced Threat Protection (ATP) Auto Incident Response (IR).
Nota
In questa versione, il parametro DisableAntiSpyware è deprecato.
Sicurezza delle applicazioni
Isolamento dell'app
Sandbox di Windows: ambiente desktop isolato in cui è possibile eseguire software non attendibile senza il timore di un impatto duraturo sul dispositivo.
Microsoft Defender Application Guard
Microsoft Defender Application Guard miglioramenti includono:
Gli utenti autonomi possono installare e configurare le impostazioni di Windows Defender Application Guard senza dover modificare le impostazioni della chiave del Registro di sistema. Gli utenti aziendali possono verificare le proprie impostazioni per vedere cosa hanno configurato gli amministratori sulle proprie macchine per comprenderne meglio il comportamento.
Application Guard è ora un'estensione in Google Chrome e Mozilla Firefox. Molti utenti si trovano in un ambiente browser ibrido e vogliono estendere la tecnologia di isolamento del browser di Application Guard oltre Microsoft Edge. Nella versione più recente, gli utenti possono installare l'estensione Application Guard nei browser Chrome o Firefox. Questa estensione reindirizza lo spostamento non attendibile al browser Edge Application Guard. È disponibile anche un'app complementare per abilitare questa funzionalità in Microsoft Store. Gli utenti possono avviare rapidamente Application Guard dal desktop usando questa app. Questa funzionalità è disponibile anche in Windows 10, versione 1803 o successiva con gli aggiornamenti più recenti.
Per provare questa estensione:
- Configurare i criteri di Application Guard nel dispositivo.
- Accedere a Chrome Web Store o ai componenti aggiuntivi di Firefox e cercare Application Guard. Installare l'estensione.
- Seguire uno degli altri passaggi di configurazione nella pagina di configurazione dell'estensione.
- Riavviare il dispositivo.
- Passare a un sito non attendibile in Chrome e Firefox.
Navigazione dinamica: Application Guard consente ora agli utenti di tornare al browser host predefinito dal Application Guard Microsoft Edge. In precedenza, gli utenti che navigavano in Application Guard Edge visualizzavano una pagina di errore quando provavano ad accedere a un sito attendibile all'interno del browser contenitore. Con questa nuova funzionalità, gli utenti verranno reindirizzati automaticamente al browser predefinito dell'host quando entrano o fanno clic su un sito attendibile in Application Guard Edge. Questa funzionalità è disponibile anche in Windows 10, versione 1803 o versione successiva con gli aggiornamenti più recenti.
Application Guard prestazioni sono migliorate con tempi di apertura dei documenti ottimizzati:
- Viene risolto un problema che potrebbe causare un ritardo di un minuto o più quando si apre un documento di Office Microsoft Defender Application Guard (Application Guard). Questo problema può verificarsi quando si tenta di aprire un file usando un percorso UNC (Universal Naming Convention) o un collegamento di condivisione SMB (Server Message Block).
- È stato risolto un problema di memoria che potrebbe causare l'uso di quasi 1 GB di memoria working set da parte di un contenitore Application Guard quando il contenitore è inattivo.
- Sono state migliorate le prestazioni di Robocopy quando si copiano file di dimensioni superiori a 400 MB.
Controllo applicazione
Controllo delle applicazioni per Windows: in Windows 10 versione 1903, Windows Defender Application Control (WDAC) ha aggiunto molte nuove funzionalità che illuminano gli scenari chiave e offrono la parità di funzionalità con AppLocker.
- Più criteri: Windows Defender Application Control supporta ora più criteri di integrità del codice simultanei per un dispositivo per abilitare gli scenari seguenti: 1) applicare e controllare side-by-side, 2) più semplice per i criteri con ambito/finalità diversi, 3) espandere un criterio usando un nuovo criterio "supplementare".
-
Regole basate su percorso: la condizione Percorso identifica un'app in base alla sua posizione nel file system del computer o sulla rete anziché un firmatario o un identificatore hash. Inoltre, WDAC ha un'opzione che consente agli amministratori di applicare in fase di esecuzione che viene eseguito solo il codice proveniente da percorsi non scrivibili dall'utente. Quando il codice tenta di essere eseguito in fase di esecuzione, la directory viene analizzata e i file verranno controllati per le autorizzazioni di scrittura per gli amministratori sconosciuti. Se un file viene indicato come scrivibile dall'utente, l'eseguibile viene bloccato a meno che non sia stato autorizzato da qualcosa di diverso da una regola di percorso come un firmatario o una regola hash.
Questa funzionalità porta WDAC alla parità con AppLocker in termini di supporto per le regole del percorso file. WDAC migliora la sicurezza dei criteri in base alle regole del percorso file con la disponibilità dei controlli delle autorizzazioni di scrittura utente in fase di runtime, ovvero una funzionalità non disponibile con AppLocker. - Consenti registrazione oggetto COM: in precedenza, Windows Defender Application Control (WDAC) ha applicato un elenco di autorizzazioni predefinito per la registrazione degli oggetti COM. Sebbene questo meccanismo funzioni per gli scenari di utilizzo delle applicazioni più comuni, i clienti hanno fornito un feedback che indica che in alcuni casi è necessario consentire più oggetti COM. L'aggiornamento di Windows 10, versione 1903 introduce la possibilità di specificare gli oggetti COM consentiti tramite il relativo GUID nei criteri WDAC.
Identità e privacy
Identità protetta
Windows Hello miglioramenti includono:
- Windows Hello è ora supportato come autenticatore FIDO2 (Fast Identity Online 2) in tutti i principali browser, inclusi Chrome e Firefox.
- È ora possibile abilitare l'accesso senza password per gli account Microsoft nel dispositivo Windows 10 passando alle opzioni Impostazioni > account > di accesso e selezionando Sì in Rendi il dispositivo senza password. L'abilitazione dell'accesso senza password abiliterà l'autenticazione moderna per tutti gli account Microsoft del dispositivo Windows 10 con il volto di Windows Hello, l'impronta digitale o il PIN.
- Il supporto per l'accesso con PIN a Windows Hello è stato aggiunto alla Modalità provvisoria.
- Windows Hello for Business ha ora Microsoft Entra supporto ibrido e l'accesso al numero di telefono (account Microsoft). Il supporto delle chiavi di sicurezza FIDO2 viene espanso per Microsoft Entra ambienti ibridi, consentendo alle aziende con ambienti ibridi di sfruttare l'autenticazione senza password. Per altre informazioni, vedere Espandere il supporto di Azure Active Directory per l'anteprima di FIDO2 agli ambienti ibridi.
- Con i componenti hardware e software specializzati disponibili nei dispositivi forniti con Windows 10 versione 20H2 configurato in fabbrica, Windows Hello ora offre il supporto della sicurezza basata su virtualizzazione per alcuni sensori di impronte digitali e viso. Questa funzionalità isola e protegge i dati di autenticazione biometrica degli utenti.
- È stato aggiunto il supporto multi-camera di Windows Hello, consentendo agli utenti di scegliere la fotocamera esterna come prioritaria quando sono presenti sia fotocamere esterne che interne compatibili con Windows Hello.
- Windows Hello certificazione FIDO2: Windows Hello è ora un autenticatore certificato FIDO2 e abilita l'accesso senza password per i siti Web che supportano l'autenticazione FIDO2, ad esempio l'account Microsoft e l'ID Entra.
- Esperienza di ripristino del PIN di Windows Hello facilitata: gli utenti degli account Microsoft dispongono ora di un'esperienza di ripristino del PIN di Windows Hello più affidabile esattamente come accedere al Web.
- Desktop remoto con biometria: Microsoft Entra ID e gli utenti di Active Directory che usano Windows Hello for Business possono usare la biometria per eseguire l'autenticazione a una sessione desktop remoto.
Protezione delle credenziali
Credential Guard
Credential Guard è ora disponibile per i dispositivi ARM64, per una protezione aggiuntiva dal furto di credenziali per le aziende che distribuiscono dispositivi ARM64 nelle proprie organizzazioni, ad esempio Surface Pro X.
Controlli della privacy
Impostazioni di privacy del microfono: nell'area di notifica viene visualizzata un'icona del microfono che consente di visualizzare quali app usano il microfono.
Servizi cloud
Microsoft Intune
Microsoft Intune supporta Windows 10 Enterprise LTSC 2021 con l'eccezione seguente:
- Gli anelli di aggiornamento non possono essere usati per gli aggiornamenti delle funzionalità perché Windows 10 versioni LTSC non ricevono gli aggiornamenti delle funzionalità. Gli anelli di aggiornamento possono essere usati per gli aggiornamenti qualitativi per Windows 10 Enterprise client LTSC 2021.
Una nuova azione remota di Intune: Raccogli i dati di diagnostica consente di raccogliere i log dai dispositivi aziendali senza interrompere o far attendere l'utente finale. Per ulteriori informazioni, vedere Azione remota: Raccogli i dati di diagnostica.
Intune ha anche aggiunto funzionalità al Controllo di accesso in base ai ruoli (RBAC). Queste possono essere usate per definire ulteriormente le impostazioni del profilo per la Pagina stato registrazione (ESP). Per ulteriori informazioni, vedere Creare il profilo della Pagina stato iscrizione e assegnarlo a un gruppo.
Per un elenco completo delle novità di Microsoft Intune, vedere Novità di Microsoft Intune.
Gestione di dispositivi mobili
I criteri di Gestione dispositivi per dispositivi mobili (MDM) vengono estesi con le nuove impostazioni Utenti locali e Gruppi che corrispondono alle opzioni disponibili per i dispositivi gestiti tramite Criteri di gruppo.
Per altre informazioni sulle novità di MDM, vedere Novità per la registrazione e la gestione di dispositivi mobili
Il servizio Criteri di gruppo (GPSVC) di Strumentazione gestione Windows (WMI) presenta un miglioramento delle prestazioni per supportare gli scenari di lavoro remoto:
- È stato risolto un problema che causava la propagazione lenta delle modifiche da parte di un amministratore di Active Directory (AD) alle appartenenze a gruppi di utenti o computer. Anche se alla fine il token di accesso viene aggiornato, queste modifiche potrebbero non essere visualizzate quando l'amministratore usa gpresult /r o gpresult /h per creare un report.
Rolling delle chiavi e rotazione delle chiavi
Questa versione include anche due nuove funzionalità denominate key-rolling e key-rotation che consentono il rollback sicuro delle password di ripristino nei dispositivi Microsoft Entra ID gestiti da MDM su richiesta da strumenti Microsoft Intune/MDM o quando viene usata una password di ripristino per sbloccare l'unità protetta da BitLocker. Questa funzionalità consente di evitare la divulgazione accidentale delle password di ripristino nell'ambito dello sblocco manuale dell'unità BitLocker da parte degli utenti.
Distribuzione
SetupDiag
SetupDiag è uno strumento con riga di comando che consente di diagnosticare il motivo per cui un aggiornamento di Windows 10 non è riuscito. SetupDiag funziona con la ricerca dei file di log dell'installazione di Windows. Quando viene eseguita la ricerca nei file di log, SetupDiag usa un set di regole per trovare la corrispondenza con i problemi noti. Nella versione corrente di SetupDiag ci sono 53 regole incluse nel file rules.xml che viene estratto durante l'esecuzione di SetupDiag. Il file rules.xml viene aggiornato man mano che vengono rese disponibili le nuove versioni di SetupDiag.
Spazio di archiviazione riservato
Archiviazione riservata: l'archiviazione riservata riserva spazio su disco da usare da aggiornamenti, app, file temporanei e cache di sistema. Migliora la funzione giorno per giorno del PC garantendo che le funzioni critiche del sistema operativo abbiano sempre accesso allo spazio su disco. Lo spazio di archiviazione riservato verrà abilitato automaticamente nei nuovi PC con Windows 10, versione 1903 preinstallato e per le installazioni pulite. Non verrà abilitato durante l'aggiornamento da una versione precedente di Windows 10.
Windows Assessment and Deployment Toolkit (ADK)
È disponibile un nuovo Windows ADK per Windows 11 che supporta anche Windows 10 versione 21H2.
Microsoft Deployment Toolkit (MDT)
Per le informazioni più aggiornate su MDT, vedere le note sulla versione di MDT.
Installazione di Windows
I file di risposte del programma di installazione di Windows (unattend.xml) hanno migliorato la gestione della lingua.
I miglioramenti apportati con questa versione a Installazione di Windows includono anche:
- Il tempo offline durante gli aggiornamenti delle funzionalità è stato ridotto
- Controlli migliorati per gli spazio di archiviazione riservati
- Controlli e diagnostiche migliorati
- Nuove opzioni di ripristino
Per altre informazioni, vedere Miglioramenti al programma di installazione di Windows nel Blod di Windows per professionisti IT.
Microsoft Edge
Il supporto di Microsoft Edge Browser è ora incluso in-box.
Modalità tutto schermo di Microsoft Edge
La modalità tutto schermo di Microsoft Edge è disponibile per le versioni LTSC a partire da Windows 10 Enterprise 2021 LTSC e Windows 10 IoT Enterprise LTSC 2021.
La modalità tutto schermo di Microsoft Edge offre due esperienze di blocco del browser, in modo che le organizzazioni possano creare, gestire e fornire la migliore esperienza ai propri clienti. Sono disponibili le seguenti esperienze di blocco:
- Esperienza di segnaletica digitale/interattiva: mostra un sito specifico in modalità a schermo intero.
- Esperienza di esplorazione pubblica: esegue una versione multi-scheda limitata di Microsoft Edge.
- Entrambe le esperienze eseguono una sessione di Microsoft Edge in modalità InPrivate, che protegge i dati dell'utente.
Sottosistema Windows per Linux
sottosistema Windows per Linux (WSL) è disponibile in-box.
Rete
Gli standard WPA3 H2E sono supportati per una sicurezza Wi-Fi avanzata.
Vedere anche
Windows 10 Enterprise LTSC: breve descrizione del canale di manutenzione LTSC con collegamenti a informazioni su ogni versione.