Windows 10 Enterprise 2019 LTSC의 새로운 기능

• 적용 대상:

  ✅ Windows 10 Enterprise LTSC 2019

이 문서에서는 Windows 10 Enterprise LTSC 2016(LTSB)과 비교하여 Windows 10 Enterprise LTSC 2019용 IT 전문가에게 관심 있는 새롭고 업데이트된 기능 및 콘텐츠를 나열합니다. LTSC 서비스 채널 및 관련 지원에 대한 간략한 설명은 Windows 10 Enterprise LTSC를 참조하세요.

참고

Windows 10 Enterprise LTSC 2019는 2018년 11월 13일에 처음 제공되었습니다. Windows 10 Enterprise LTSC 2019의 기능은 Windows 10, 버전 1809 동일합니다.

Windows 10 Enterprise LTSC 2019는 Windows 10 Pro 버전 1809를 기반으로 하며, 다음과 같은 대규모 및 중견 조직(대규모 교육 기관 포함)의 요구를 충족하도록 설계된 프리미엄 기능을 추가합니다.

• 최신 보안 위협 방지 고급 보호
• OS 배포의 완전한 유연성
• 업데이트 및 지원 옵션
• 포괄적인 디바이스 및 앱 관리 및 제어 기능

Windows 10 Enterprise LTSC 2019 릴리스는 Windows 10 버전 1703, 1709, 1803 및 1809에서 제공되는 누적 향상된 기능을 포함하기 때문에 LTSC 사용자에게 중요한 릴리스입니다. 이러한 개선 사항에 대한 자세한 내용은 아래에 나와 있습니다.

중요

LTSC 릴리스는 특수한 디바이스용입니다. Windows 10 일반 공급 채널 릴리스용으로 설계된 앱 및 도구별 LTSC 지원은 제한될 수 있습니다.

Microsoft Intune

Microsoft Intune 다음 예외를 제외하고 Windows 10 Enterprise LTSC 2019를 지원합니다.

• Windows 10 LTSC 버전이 기능 업데이트를 받지 않으므로 업데이트 링은 기능 업데이트에 사용할 수 없습니다. 업데이트 링은 Windows 10 Enterprise LTSC 2019 클라이언트의 품질 업데이트에 사용할 수 있습니다.

보안

이 버전의 Windows 10 위협 방지, 정보 보호 및 ID 보호를 위한 보안 개선 사항이 포함되어 있습니다.

위협 방지

엔드포인트용 Microsoft Defender

엔드포인트용 Microsoft Defender 플랫폼에는 여러 보안 기둥이 포함되어 있습니다. 이 버전의 Windows에서 엔드포인트용 Defender에는 강력한 분석, 보안 스택 통합 및 더 나은 검색, 예방, 조사, 대응 및 관리를 위한 중앙 집중식 관리가 포함됩니다.

공격 표면 감소

공격 표면 감소에는 제어된 폴더 액세스와 같은 호스트 기반 침입 방지 시스템이 포함됩니다.

• 이 기능은 랜섬웨어 및 기타 파괴적인 맬웨어가 개인 파일을 변경하는 것을 방지하는 데 도움이 될 수 있습니다. 경우에 따라 일반적으로 사용하는 앱이 문서 및 사진 같은 일반적인 폴더를 변경하지 못하도록 차단될 수 있습니다. 기능을 완전히 해제하지 않고도 디바이스를 계속 사용할 수 있도록 최근에 차단된 앱을 더 쉽게 추가할 수 있도록 했습니다.

• 앱이 차단되면 최근 차단된 앱 목록이 표시되는데, 랜섬웨어 방지라는 제목 아래에서 설정 관리를 클릭하면 이 목록을 얻을 수 있습니다. 제어된 폴더 액세스를 통해 앱 허용을 선택합니다. 프롬프트 후 + 단추를 선택하고 최근에 차단된 앱을 선택합니다. 원하는 앱을 선택해서 허용된 목록에 추가합니다. 이 페이지에서 앱을 검색할 수도 있습니다.

Windows Defender 방화벽

Windows Defender 방화벽은 이제 WSL(Linux용 Windows 하위 시스템) 프로세스를 지원합니다. 모든 Windows 프로세스와 마찬가지로 WSL 프로세스에 대한 특정 규칙을 추가할 수 있습니다. 또한 Windows Defender 방화벽은 이제 WSL 프로세스에 대한 알림을 지원합니다. 예를 들어, Linux 도구가 외부(예: SSH 또는 nginx와 같은 웹 서버)에서의 포트 액세스를 허용하고 싶어하면 Windows Defender 방화벽은 포트가 연결 수락을 시작할 때 Windows 액세스에서와 마찬가지로 액세스를 허용하라는 메시지를 표시합니다. 이 동작은 빌드 17627에서 처음 도입되었습니다.

Windows Defender Device Guard

Device Guard 는 항상 다음을 포함하여 PC를 잠그기 위해 결합할 수 있는 기술 모음입니다.

• 코드 무결성 정책에서 제공하는 소프트웨어 기반 보호
• HVCI(하이퍼바이저 보호 코드 무결성)에서 제공하는 하드웨어 기반 보호

그러나 이러한 보호는 별도로 구성할 수도 있습니다. 또한 HVCI와 달리 코드 무결성 정책에는 VBS(가상화 기반 보안)가 필요하지 않습니다. 이러한 보호의 고유한 가치를 강조하기 위해 코드 무결성 정책이 Windows Defender 애플리케이션 제어로 브랜드를 변경했습니다.

차세대 보호

엔드포인트 검색 및 응답

엔드포인트 검색 및 응답이 개선되었습니다. 이제 엔터프라이즈 고객은 엔드포인트용 Microsoft Defender 포털에 표시되는 Microsoft Defender 바이러스 백신 검색 및 Device Guard 블록을 사용하여 전체 Windows 보안 스택을 활용할 수 있습니다.

Windows Defender 이제 Microsoft Defender 바이러스 백신이라고 하며 이제 Microsoft 365 서비스 간의 검색 상태 공유하고 엔드포인트용 Microsoft Defender 상호 운용합니다. 클라우드 기반 보호를 강화하기 위해 다른 정책도 구현되었으며 새로운 채널을 긴급 보호에 사용할 수 있습니다. 자세한 내용은 바이러스 및 위협 보호와 클라우드 제공 보호를 통해 Microsoft Defender 바이러스 백신의 차세대 기술 사용을 참조하세요.

또한 엔터프라이즈 보안 관리자를 위한 설명서 라이브러리의 폭을 늘렸습니다. 새 라이브러리에 포함된 정보는 다음과 같습니다.

• AV 보호 배포 및 사용
• 업데이트 관리
• 보고
• 기능 구성
• 문제 해결

새 라이브러리의 주요 사항으로는 가상 데스크톱 인프라 환경에서 MICROSOFT DEFENDER AV에 대한Microsoft Defender AV용 평가 가이드 및 배포 가이드가 있습니다.

Windows 10 Enterprise LTSC 2019의 Microsoft Defender AV에 대한 새로운 기능은 다음과 같습니다.

• 즉각적 차단 기능을 구성하는 방법에 대한 업데이트
• 클라우드 보호 수준을 지정하는 기능
• Windows Defender 보안 센터 앱의 Microsoft Defender 바이러스 백신 보호

우리는 랜섬웨어로부터 보호하는 데 많은 투자를 해왔으며 업데이트된 동작 모니터링 및 항상 실시간 보호로 투자를 계속합니다.

엔드포인트 검색 및 응답 도 향상됩니다. 새로운 검색 기능은 다음과 같습니다.

• 사용자 지정 검색. 사용자 지정 검색을 사용하여 의심스러운 위협이나 새로운 위협 같이 모든 종류의 동작에 대한 이벤트를 모니터링할 수 있는 사용자 지정 쿼리를 만들 수 있습니다. 사용자 지정 검색 규칙 만들기를 통해 고급 헌팅을 사용할 수 있습니다.

• OS 메모리 및 커널 센서가 개선되어 메모리 내 및 커널 수준 공격을 사용하는 공격자를 검색할 수 있습니다.

• 랜섬웨어 및 기타 고급 공격에 대한 검색이 업그레이드되었습니다.

• 기록 검색 기능을 통해 새 검색 규칙이 최대 6개월의 저장된 데이터에 적용되어 발견되지 않았을 수 있는 이전 공격을 검색할 수 있습니다.

공격이 감지되면 위협 대응이 개선되어 보안 팀의 즉각적인 조치가 위반을 포함할 수 있습니다.

• 컴퓨터에 대응 조치 수행 - 컴퓨터를 격리하거나 조사 패키지를 수집하여 감지된 공격에 즉시 대응합니다.
• 파일에 대응 조치 수행 - 파일을 중지하고 격리하거나 파일을 차단하여 감지된 공격에 신속하게 대응합니다.

조사에 대한 전체적인 보기를 얻는 데 도움이 되는 다른 기능이 추가되었습니다.

• 위협 분석 - 위협 분석은 새로운 위협 및 발생이 식별되는 즉시 엔드포인트용 Microsoft Defender 연구 팀에서 게시한 대화형 보고서 세트입니다. 보고서는 보안 운영 팀이 환경에 미치는 영향을 평가하는 데 도움이 됩니다. 또한 조직 복원력을 높이고 특정 위협을 방지하기 위해 권장되는 작업을 제공합니다.

• 엔드포인트용 Microsoft Defender에서 고급 헌팅을 사용하여 데이터 쿼리

• 자동화된 조사를 사용하여 위협 요소 조사 및 수정

• 사용자 계정 조사 - 경고가 가장 활발하게 발생하는 사용자 계정을 파악하고 자격 증명의 손상 가능성을 조사합니다.

• 경고 프로세스 트리 - 여러 탐지와 관련 이벤트를 하나의 보기로 집계하여 사례 해결 시간을 단축합니다.

• REST API를 사용하여 경고 끌어오기 - REST API를 사용하여 엔드포인트용 Microsoft Defender에서 경고를 끌어옵니다.

기타 향상된 보안 기능은 다음과 같습니다.

• 센서 상태 확인 - 센서 데이터를 제공하고 엔드포인트용 Microsoft Defender 서비스와 통신하는 엔드포인트의 기능을 확인하고 알려진 문제를 해결합니다.

• MSSP(관리형 보안 서비스 공급자) 지원 - 엔드포인트용 Microsoft Defender MSSP 통합을 제공하여 이 시나리오에 대한 지원을 추가합니다. 이러한 통합 덕분에 MSSP는 MSSP 고객의 Windows Defender Security Center 포털에 대한 액세스 권한을 얻고, 메일 알림을 가져오고, 보안 정보 및 이벤트 관리(SIEM) 도구를 통해 경보를 가져오는 등의 조치를 취할 수 있습니다.

• Azure Defender와의 통합 - 엔드포인트용 Microsoft Defender Azure Defender와 통합하여 포괄적인 서버 보호 솔루션을 제공합니다. 이 통합을 통해 Azure Defender는 엔드포인트용 Defender를 사용하여 Windows Server에 대한 향상된 위협 탐지를 제공할 수 있습니다.

• Microsoft Cloud App Security 통합 - Microsoft Cloud App Security 엔드포인트용 Microsoft Defender 신호를 사용하여 엔드포인트용 모든 Defender 모니터링 컴퓨터에서 지원되지 않는 클라우드 서비스(섀도 IT)의 사용을 포함하여 클라우드 애플리케이션 사용에 대한 직접적인 가시성을 허용합니다.

• Windows Server 2019 온보딩 - 엔드포인트용 Microsoft Defender 이제 Windows Server 2019에 대한 지원을 추가합니다. Windows 10 클라이언트 컴퓨터에서와 같은 방법으로 Windows Server 2019를 온보딩할 수 있습니다.

• 이전 버전의 Windows 온보딩 - 지원되는 Windows 컴퓨터 버전을 온보딩하여 센서 데이터를 엔드포인트용 Microsoft Defender 센서로 보낼 수 있습니다.

• 사용자, 장치 및 데이터를 보다 잘 보호하기 위해 조건부 액세스를 사용하도록 설정

또한 Windows 시간 서비스에 대한 새 평가를 디바이스 성능 & 상태 섹션에 추가했습니다. 디바이스의 시간이 시간 서버와 제대로 동기화되지 않고 시간 동기화 서비스를 사용하지 않도록 설정한 경우 다시 켜는 옵션을 제공합니다.

설치한 다른 보안 앱이 Windows 보안 앱에 표시되는 방식에 대해 계속 작업하고 있습니다. 앱의 설정 섹션에서 찾을 수 있는 보안 공급자라는 새 페이지가 있습니다. 공급자 관리를 선택하여 디바이스에서 실행되는 다른 모든 보안 공급자(바이러스 백신, 방화벽 및 웹 보호 포함)의 목록을 확인합니다. 여기서는 공급자의 앱을 쉽게 열거나 Windows 보안 통해 보고된 문제를 resolve 방법에 대한 자세한 정보를 얻을 수 있습니다.

또한 이 향상된 기능은 Windows 보안 내의 다른 보안 앱에 대한 더 많은 링크를 볼 수 있습니다. 예를 들어 방화벽 & 네트워크 보호 섹션을 열면 도메인, 프라이빗 및 공용 네트워크를 포함하는 각 방화벽 유형 아래에서 디바이스에서 실행되는 방화벽 앱이 표시됩니다.

엔드포인트 보안의 효율성과 견고성을 더욱 극대화하는 엔드포인트용 Microsoft Defender 새로운 기능도 참조하세요.

Windows 10 대한 엔드포인트용 Microsoft Defender 대한 간략하지만 심층적인 개요를 확인하세요. 엔드포인트용 Defender.

정보 보호

Windows Information Protection 및 BitLocker에 개선 사항이 추가되었습니다.

Windows Information Protection

Windows Information Protection은 이제 Microsoft Office 및 Azure Information Protection과 함께 작동하도록 설계되었습니다.

Microsoft Intune을 사용하면 허용된 앱, WIP 보호 수준 및 네트워크에서 엔터프라이즈 데이터를 찾는 방법을 선택하는 기능을 포함하는 WIP(Windows Information Protection) 정책을 만들고 배포할 수 있습니다. 자세한 내용은 Microsoft Azure Intune을 사용하여 WIP(Windows Information Protection) 정책 만들기 및 Microsoft Azure Intune을 사용하여 WIP(Windows Information Protection) 및 VPN 정책 연결 및 배포를 참조하세요.

또한 보고 구성 서비스 공급자(CSP) 또는 Windows 이벤트 전달(Windows 데스크톱 도메인 가입 장치용)을 사용하여 감사 이벤트 로그를 수집할 수 있습니다. 자세한 내용은 WIP(Windows Information Protection) 감사 이벤트 로그를 수집하는 방법을 참조하세요.

이 릴리스에서는 요청 기반 파일 관리로 WIP를 지원하고, 파일이 다른 앱에서 열려 있는 동안 파일 암호화를 허용하고, 성능이 향상되었습니다. 자세한 내용은 엔터프라이즈용 OneDrive 주문형 파일을 참조하세요.

BitLocker

최소 PIN 길이가 6에서 4로 변경되며 기본값은 6입니다. 자세한 내용은 BitLocker 그룹 정책 설정을 참조하세요.

고정된 드라이브에 자동 적용

최신 MDM(디바이스 관리) 정책을 통해 표준 Microsoft Entra ID 조인된 사용자에 대해 BitLocker를 자동으로 사용하도록 설정할 수 있습니다. Windows 10 표준 Entra ID 사용자에 대해 버전 1803 자동 BitLocker 암호화를 사용하도록 설정했지만 여전히 HSTI(하드웨어 보안 테스트 인터페이스)를 통과한 최신 하드웨어가 필요했습니다. 이 새로운 기능을 사용하면 HSTI를 통과하지 않는 디바이스에서도 정책을 통해 BitLocker를 사용할 수 있습니다.

이 변경은 BitLocker CSP에 대한 업데이트이며 Intune 및 다른 사용자가 사용합니다.

ID 보호

향상된 기능은 비즈니스용 Windows Hello 및 Credential Guard에 추가되었습니다.

비즈니스용 Windows Hello

Windows Hello 새로운 기능을 사용하면 새 위치 및 사용자 근접 신호와 함께 다단계 잠금 해제를 사용하여 더 나은 디바이스 잠금 환경을 사용할 수 있습니다. Bluetooth 신호를 사용하면 Windows 10 장치가 멀리 떨어져 있을 때 자동으로 잠기거나, 사용하지 않을 때 다른 사람이 장치에 액세스하는 것을 방지하도록 구성할 수 있습니다.

비즈니스용 Windows Hello 새로운 기능은 다음과 같습니다.

• 이제 Microsoft Intune에서 관리하는 장치에 있는 회사에서 관리하는 데이터나 앱을 삭제하지 않고도 잊어버린 PIN을 초기화할 수 있습니다.

• Windows 데스크톱의 경우 사용자는 설정 > 계정 로그인 옵션을 통해 잊어버린 PIN을 >다시 설정할 수 있습니다. 자세한 내용은 PIN을 잊어버린 경우 어떻게 해야 하나요?를 참조하세요.

비즈니스용 Windows Hello 이제 Entra ID 조인 Windows 10 디바이스에 대한 FIDO 2.0 인증을 지원하며 키오스크 구성에 설명된 대로 공유 디바이스에 대한 지원이 향상되었습니다.

• Windows Hello는 이제 S 모드에서 암호를 덜 사용합니다.

• 비 Microsoft ID 수명 주기 관리 솔루션에 대한 비즈니스용 Windows Hello 및 API로 S/MIME를 지원합니다.

• Windows Hello는 Windows Defender 보안 센터에서 계정 보호 축의 일부입니다. 계정 보호는 암호 사용자가 더 빠른 로그인을 위해 Windows Hello Face, 지문 또는 PIN을 설정하도록 권장하며, 디바이스 Bluetooth가 꺼져 있기 때문에 동적 잠금이 작동을 중지한 경우 동적 잠금 사용자에게 알립니다.

• Microsoft 계정에 대한 잠금 화면에서 Windows Hello를 설정할 수 있습니다. Microsoft 계정 사용자가 더 빠르고 안전한 로그인을 위해 디바이스에 Windows Hello 쉽게 설정할 수 있도록 했습니다. 이전에 Windows Hello를 찾으려면 설정으로 여러 번 이동해야 했습니다. 이제 로그인 옵션 아래에서 Windows Hello 타일을 클릭하여 잠금 화면에서 바로 Windows Hello 얼굴, 지문 또는 PIN을 설정할 수 있습니다.

• 특정 ID 공급자에 대한 보조 계정 SSO에 대한 새 공용 API.

• 동적 잠금을 설정하는 것이 더 쉬우며 동적 잠금 작동이 중지되면 WD SC 실행 가능한 경고가 추가되었습니다(예: 디바이스 Bluetooth가 꺼져 있습니다).

자세한 내용은 공유 장치에 대해 안전하고 쉬운 인증을 사용하는 Windows Hello 및 FIDO2 보안 키를 참조하십시오.

Credential Guard

Credential Guard는 사용자의 컴퓨터에서 맬웨어에 의해 도난당하거나 오용될 수 없도록 AD(Active Directory) 도메인 자격 증명을 보호하기 위해 빌드된 Windows 10 보안 서비스입니다. Pass-the-Hash 및 자격 증명 수집과 같은 잘 알려진 위협을 차단하도록 설계되었습니다.

Credential Guard는 항상 선택적 기능이었지만 S 모드의 Windows 10 컴퓨터가 Entra ID 조인된 경우 기본적으로 이 기능을 켭니다. 이 기능은 S 모드에서 Windows 10 실행하는 디바이스에 일반적으로 존재하지 않는 도메인 리소스에 연결할 때 추가 수준의 보안을 제공합니다.

참고

Credential Guard는 S 모드 디바이스 또는 Enterprise 및 Education Edition에서만 사용할 수 있습니다.

자세한 내용은 Credential Guard 개요를 참조하세요.

기타 보안 개선 사항

Windows 보안 기준

Microsoft는 Windows Server 및 Windows 10을 위한 새로운 Windows 보안 기준을 출시했습니다. 보안 기준은 보안 효과에 대한 설명이 포함된 Microsoft 권장 구성 설정 그룹입니다. 자세한 내용을 확인하고 Policy Analyzer 도구를 다운로드하려면 Microsoft Security Compliance Toolkit 1.0을 참조하세요.

SMBLoris 취약점

서비스 거부를 일으킬 수 있는 SMBLoris라는 문제를 해결했습니다.

Windows 보안 센터

Windows Defender 보안 센터는 이제 Windows 보안 센터라고 합니다.

당신은 여전히 모든 일반적인 방법으로 응용 프로그램에 도착 할 수 있습니다. WSC에서는 Windows Defender 바이러스 백신 및 Windows Defender 방화벽을 포함하여 모든 보안 요구를 관리할 수 있습니다.

이제 WSC 서비스에서는 바이러스 백신 제품을 보호 프로세스로 실행해서 등록해야 합니다. 이 기능을 아직 구현하지 않은 제품은 Windows 보안 센터 사용자 인터페이스에 표시되지 않으며 Microsoft Defender 바이러스 백신은 이러한 제품과 함께 사용하도록 설정됩니다.

현재 WSC에는 사용자가 이미 알고 좋아하는 흐름 디자인 시스템이 포함되어 있습니다. 또한 앱 주위의 간격 및 안쪽 여백을 조정했습니다. 추가 정보를 위해 더 많은 공간이 필요한 경우에는 기본 페이지에서 범주의 크기가 동적으로 조정됩니다. 또한 색 설정에서 해당 옵션을 활성화한 경우에 테마 컬러를 사용하도록 제목 표시줄을 업데이트했습니다.

그룹 정책 보안 옵션

보안 설정 대화형 로그온: 세션이 잠겨 있을 때 사용자 정보를 표시하여 설정>계정>로그인 옵션의 개인 정보 설정으로 작업하도록 업데이트되었습니다.

새로운 보안 정책 설정 대화형 로그온: 로그인 시 사용자 이름 표시 안 함이 Windows 10 Enterprise LTSC 2019에 도입되었습니다. 이 보안 정책 설정은 로그인하는 동안 사용자 이름을 표시할지 결정합니다. 설정> 계정로그인 옵션의 개인 정보 설정에서 작동합니다>. 설정은 다른 사용자 타일에만 영향을 줍니다.

Windows 10 S 모드

이제 조치가 필요한 모든 위협을 표시하는 바이러스 & 위협 방지의 현재 위협 영역에 대해 계속 작업해 왔습니다. 이 화면에서 신속하게 위협에 대한 조치를 취할 수 있습니다.

배포

MBR2GPT.EXE

MBR2GPT.EXE Windows 10 버전 1703에서 도입된 새로운 명령줄 도구이며 Windows 10 Enterprise LTSC 2019 이상 버전에서도 사용할 수 있습니다. MBR2GPT는 디스크의 데이터를 수정하거나 삭제하지 않고 MBR(마스터 부트 레코드) 디스크를 GPT(GUID 파티션 테이블) 파티션 유형으로 변환합니다. 이 도구는 Windows PE(Windows 사전 설치 환경) 명령 프롬프트에서 실행되지만 전체 Windows 10 운영 체제에서 실행할 수도 있습니다.

GPT 파티션 형식은 더 새로운 형식으로, 더 크고 더 많은 디스크 파티션을 사용할 수 있습니다. 또한 데이터 안정성이 높아지고, 다른 파티션 유형을 지원하며, 빠른 부팅과 종료가 가능하게 합니다. 컴퓨터에서 시스템 디스크를 MBR에서 GPT로 변환하면, UEFI 모드로 부팅하도록 컴퓨터를 구성해야 하므로 시스템 디스크 변환을 시도하기 전에 장치가 UEFI를 지원하는지 확인해야 합니다.

UEFI 모드로 부팅했을 때 사용할 수 있는 Windows 10의 다른 보안 기능에는 보안 부팅, ELAM(맬웨어 방지 조기 실행) 드라이버, Windows 신뢰할 수 있는 부팅, 계획 부팅, Device Guard, Credential Guard 및 BitLocker 네트워크 잠금 해제가 있습니다.

자세한 내용은 MBR2GPT.EXE를 참조하세요.

DISM

기능 업데이트를 관리하기 위해 다음과 같은 새 DISM 명령이 추가되었습니다.

• DISM /Online /Initiate-OSUninstall: 컴퓨터를 이전 창 설치로 되돌리기 위해 OS 제거를 시작합니다.

• DISM /Online /Remove-OSUninstall: 컴퓨터에서 OS 제거 기능을 제거합니다.

• DISM /Online /Get-OSUninstallWindow: 제거를 수행할 수 있는 업그레이드 후의 일 수를 표시합니다.

• DISM /Online /Set-OSUninstallWindow: 제거를 수행할 수 있는 업그레이드 후의 일 수를 설정합니다.

자세한 내용은 DISM 운영 체제 제거 명령줄 옵션을 참조하십시오.

Windows 설치

Windows 설치와 동시에 고유한 사용자 지정 작업 또는 스크립트를 실행할 수 있습니다. 설치에서 스크립트를 다음 추후 릴리스에도 마이그레이션하므로 한 번만 추가하면 됩니다.

필수 조건:

• Windows 10, 버전 1803 또는 Windows 10 Enterprise LTSC 2019 이상.
• Windows 10 Enterprise 또는 Pro

자세한 내용은 기능 업데이트 동안 사용자 지정 작업 실행을 참조하십시오.

이제 사용자가 PostRollback 옵션을 사용하여 Windows 버전을 롤백하는 경우에도 스크립트를 실행할 수 있습니다.

/PostRollback<location> [\setuprollback.cmd] [/postrollback {system / admin}]

자세한 내용은 Windows 설치 프로그램 명령줄 옵션을 참조하세요.

새로운 명령줄 스위치는 BitLocker 제어에서 사용할 수도 있습니다.

• Setup.exe /BitLocker AlwaysSuspend: 업그레이드하는 동안 항상 BitLocker를 일시 중단합니다.

• Setup.exe /BitLocker TryKeepActive: BitLocker를 일시 중단하지 않고 업그레이드를 사용하도록 설정하지만 업그레이드가 작동하지 않으면 BitLocker를 일시 중단하고 업그레이드를 완료합니다.

• Setup.exe /BitLocker ForceKeepActive: BitLocker를 일시 중단하지 않고 업그레이드를 사용하도록 설정하지만 업그레이드가 작동하지 않으면 업그레이드에 실패합니다.

자세한 내용은 Windows 설치 Command-Line 옵션을 참조하세요.

기능 업데이트 개선 사항

Windows 업데이트의 오프라인 단계에서 수행되는 작업의 일부가 온라인으로 이동되었습니다. 이러한 변경으로 인해 업데이트를 설치할 때 오프라인 시간이 크게 단축됩니다.

SetupDiag

SetupDiag는 Windows 10 업데이트가 실패하는 이유를 진단하는 데 사용할 수 있는 새로운 명령줄 도구입니다.

SetupDiag는 Windows 설치 로그 파일을 검색하여 작동합니다. 로그 파일을 검색할 때 SetupDiag는 알려진 문제와 일치하는 규칙 집합을 사용합니다. 현재 버전의 SetupDiag에는 SetupDiag가 실행될 때 추출되는 rules.xml 파일에 포함된 53개의 규칙이 있습니다. rules.xml 파일은 SetupDiag의 새 버전에서 업데이트됩니다.

로그인

Windows 10 공유 pc에 신속하게 로그인

공유 디바이스를 직장에 배포한 경우 빠른 로그인을 사용하면 사용자가 공유 Windows 10 PC에 빠르게 로그인할 수 있습니다.

빠른 로그인을 사용하도록 설정하려면

1. Windows 10, 버전 1809 또는 Windows 10 Enterprise LTSC 2019를 사용하여 공유 또는 게스트 디바이스를 설정합니다.

2. 정책 CSP 및 인증 및 EnableFastFirstSignIn 정책을 설정하여 빠른 로그인을 사용하도록 설정합니다.

3. 계정을 사용해 공유 PC에 로그인합니다.

   

Windows 10에 웹 로그인

지금까지 Windows 로그인에서는 ADFS 또는 WS-Fed 프로토콜을 지원하는 다른 공급자에 페더레이션된 ID 사용만 지원되었습니다. Windows PC에 로그인하는 새로운 방법인 "웹 로그인"을 소개합니다. 웹 로그인을 사용하면 비 ADFS 페더레이션 공급자(예: SAML)에 대한 Windows 로그인을 지원할 수 있습니다.

웹 로그인 사용해 보기

1. Entra ID는 Windows 10 PC에 조인합니다. (웹 로그인은 Entra ID 조인 PC에서만 지원됩니다.)

2. 웹 로그인을 사용하도록 정책 CSP와 인증 및 EnableWebSignIn 정책을 설정합니다.

3. 잠금 화면에서 로그인 옵션 아래 웹 로그인을 선택합니다.

4. 계속하려면 "로그인"을 선택합니다.

   

업데이트 준수

업데이트 준수는 조직의 Windows 10 장치를 안전하고 최신 상태로 유지하는 데 도움을 줍니다.

업데이트 준수는 매월 품질 및 기능 업데이트의 설치 상태에 대한 정보를 제공하는 OMS Log Analytics를 기반으로 제작된 솔루션입니다. 기존 업데이트 및 향후 업데이트의 배포 진행 상태에 대한 세부 정보가 제공됩니다. 또한 문제 해결을 위해 주의가 필요한 장치에 대한 정보도 제공됩니다.

업데이트 준수의 새로운 기능을 통해 Windows Defender 보호 상태를 모니터링하고 업계와의 호환성을 비교하며 업데이트 배포를 위한 대역폭을 최적화할 수 있습니다.

접근성 및 개인 정보

접근성

"기본 제공" 접근성이 자동으로 생성된 그림 설명으로 강화됩니다. 접근성에 대한 자세한 내용은 IT 전문가를 위한 접근성 정보를 참조하십시오. 또한 Windows 10 2018년 4월 업데이트의 새로운 기능에서 접근성 섹션을 참조하세요.

개인 정보

이제 개인 정보 설정 아래에 있는 피드백 및 설정 페이지에서 장치가 Microsoft로 전송한 진단 데이터를 삭제할 수 있습니다. 진단 데이터 뷰어 앱을 사용하여 이 진단 데이터를 볼 수 있습니다.

구성

키오스크 구성

새로운 Chromium 기반 Microsoft Edge에는 키오스크를 대상으로 하는 많은 개선 사항이 있습니다. 그러나 Windows 10 LTSC 릴리스에는 포함되지 않습니다. Microsoft Edge를 별도로 다운로드하여 설치할 수 있습니다. 자세한 내용은 비즈니스용 Microsoft Edge 다운로드 및 배포를 참조하세요.

인터넷 Explorer 기능 집합이 변경되지 않으므로 Windows 10 LTSC 릴리스에 포함되며, Windows 10 LTSC 릴리스의 수명 동안 보안 수정 사항을 계속 얻을 수 있습니다.

Microsoft Edge에서 키오스크 기능을 활용하려면 반기 릴리스 채널이 있는 키오스크 모드 를 고려하세요.

공동 관리

하이브리드 Entra ID 조인 인증을 사용하도록 설정하기 위해 Intune 및 Microsoft Configuration Manager 정책이 추가되었습니다. 클라우드 기반 관리로 쉽게 전환할 수 있도록 이 릴리스에 MDMWinsOverGP를 포함하여 모바일 장치 관리(MDM)에 150개 이상의 새 정책 및 설정이 추가되었습니다.

자세한 내용은 MDM 등록 및 관리의 새로운 기능 을 참조하세요.

운영 체제 제거 기간

운영 체제 제거 기간은 필요에 따라 Windows 10 업데이트로 롤백하는 경우 사용자에게 제공되는 시간 길이입니다. 이 릴리스에서 관리자는 Intune 또는 DISM을 사용하여 운영 체제 제거 기간의 길이를 사용자 지정할 수 있습니다.

대량 조인 Microsoft Entra ID

Windows 구성 Designer 새 마법사를 사용하여 Entra ID에 디바이스를 등록하는 프로비저닝 패키지를 만들 수 있습니다. 엔트라 ID 조인은 데스크톱, 모바일, 키오스크 및 Surface Hub 마법사에서 사용할 수 있습니다.

Windows 추천

Windows 추천 사용자 환경을 구성하는 데 도움이 되는 다음과 같은 새 그룹 정책 및 MDM(모바일 디바이스 관리) 설정이 추가되었습니다.

• 알림 센터에서 Windows 추천 끄기
• 맞춤화된 환경에서는 진단 데이터 사용을 금지
• Windows 시작 환경 끄기

자세한 내용은 잠금 화면에서 Windows 추천 구성을 참조하세요.

시작 및 작업 표시줄 레이아웃

전에는 사용자 지정된 작업 표시줄을 그룹 정책이나 프로비저닝 패키지를 사용해서만 배포할 수 있었습니다. Windows 10 Enterprise LTSC 2019는 MDM에 사용자 지정된 작업 표시줄에 대한 지원을 추가합니다.

추가 MDM 정책 설정을 시작 및 작업 표시줄 레이아웃에 사용할 수 있습니다. 새로운 MDM 정책 설정에는 다음이 포함됩니다.

• 사용자 타일에 대한 설정: Start/HideUserTile, Start/HideSwitchAccount, Start/HideSignOut, Start/HideLock 및 Start/HideChangeAccountSettings

• 전원 설정: Start/HidePowerButton, Start/HideHibernate, Start/HideRestart, Start/HideShutDown 및 Start/HideSleep

• 기타 새 설정: Start/HideFrequentlyUsedApps, Start/HideRecentlyAddedApps, AllowPinnedFolder, ImportEdgeAssets, Start/HideRecentJumplists, Start/NoPinningToTaskbar, Settings/PageVisibilityList 및 Start/HideAppsList.

Windows 업데이트

비즈니스용 Windows 참가자

최근에 Microsoft Entra ID 회사 자격 증명을 사용하여 Windows 10 Insider Preview 빌드를 다운로드하는 옵션을 추가했습니다. Entra ID에 디바이스를 등록하면 특히 특정 비즈니스 요구 사항을 지원하는 기능에 대해 organization 사용자가 제출한 피드백의 가시성을 높일 수 있습니다. 자세한 내용은 비즈니스용 Windows 참가자 프로그램을 참조하세요.

이제 Windows 참가자 프로그램에 Entra ID 도메인을 등록할 수 있습니다. 자세한 내용은 비즈니스용 Windows 참가자 프로그램을 참조하세요.

업데이트 배달 최적화

Windows 10 Enterprise LTSC 2019에서 변경 내용이 제공되면 이제 빠른 업데이트가 Configuration Manager 완전히 지원됩니다. 또한 이 새로운 기능을 구현하는 다른 타사 업데이트 및 관리 제품에서도 지원됩니다. 이 지원은 비즈니스 및 WSUS용 Windows 업데이트 Windows 업데이트 대한 현재 명시적 지원 외에도 적용됩니다.

참고

위 변경 사항은 2017년 4월 누적 업데이트를 설치하면 Windows 10 버전 1607에서도 사용할 수 있습니다.

이제 배달 최적화 정책을 사용하여 다양한 시나리오에서 더 많은 제어를 갖도록 다른 제한을 구성할 수 있습니다.

추가된 정책은 다음과 같습니다.

• 장치 배터리가 설정된 배터리 잔량 미만인 동안 업로드 허용
• 장치가 VPN을 통해 연결한 동안 피어 캐싱 사용
• 피어 캐싱을 사용하도록 허용된 최소 RAM(포함)
• 피어 캐싱 사용하도록 허용된 최소 디스크 크기
• 최소 피어 캐싱 콘텐츠 파일 크기

자세한 내용은 Windows 업데이트에 대한 배달 최적화 구성을 참조하세요.

제거한 기본 제공 앱이 이제 자동으로 다시 설치되지 않음

Windows 10 Enterprise LTSC 2019부터 사용자가 제거한 기본 제공 앱은 기능 업데이트 설치 프로세스의 일부로 자동으로 다시 설치되지 않습니다.

또한 Windows 10 Enterprise LTSC 2019 컴퓨터에서 관리자가 프로비저닝을 해제한 앱은 향후 기능 업데이트 설치 후에도 프로비저닝이 해제된 상태로 유지됩니다. 이 동작은 Windows 10 Enterprise LTSC 2016(또는 이전 버전)에서 Windows 10 Enterprise LTSC 2019로의 업데이트에는 적용되지 않습니다.

관리

새 MDM 기능

Windows 10 Enterprise LTSC 2019는 MDM 또는 프로비저닝 패키지를 사용하여 Windows 10 디바이스를 관리하기 위한 새로운 기능을 제공하는 많은 새로운 CSP(구성 서비스 공급자)를 추가합니다. 무엇보다도 이러한 CSP를 사용하면 MDM을 통해 몇 백 개의 가장 유용한 그룹 정책 설정을 구성할 수 있습니다. 자세한 내용은 정책 CSP - ADMX 기반 정책을 참조하세요.

다른 새로운 CSP에는 다음과 같은 것이 있습니다.

• DynamicManagement CSP를 사용하면 위치, 네트워크, 시간에 따라 장치를 다르게 관리할 수 있습니다. 예를 들어 관리되는 디바이스는 회사 위치에 있을 때 카메라를 사용하지 않도록 설정하거나, 로밍 요금을 방지하기 위해 국가/지역 외부에서 셀룰러 서비스를 사용하지 않도록 설정하거나, 디바이스가 회사 건물이나 캠퍼스 내에 없을 때 무선 네트워크를 사용하지 않도록 설정할 수 있습니다. 구성되면 위치 또는 네트워크가 변경될 때 디바이스가 관리 서버에 연결할 수 없는 경우에도 이러한 설정이 적용됩니다. 동적 관리 CSP를 사용하면 변경이 발생하는 조건을 설정하는 것 외에도 디바이스 관리 방법을 변경하는 정책을 구성할 수 있습니다.

• CleanPC CSP를 사용하면 사용자 데이터를 유지할 수 있는 옵션과 함께 사용자가 설치한 응용 프로그램과 사전 설치된 응용 프로그램을 제거할 수 있습니다.

• BitLocker CSP는 PC와 장치의 암호화를 관리하는 데 사용됩니다. 예를 들어 모바일 장치에 저장소 카드 암호화가 필요하게 하거나 운영 체제 드라이브에 암호화가 필요하게 만들 수 있습니다.

• NetworkProxy CSP는 이더넷과 Wi-Fi 연결을 위한 프록시 서버를 구성하는 데 사용됩니다.

• Office CSP를 사용하면 Office 배포 도구를 통해 Microsoft Office 클라이언트를 장치에 설치할 수 있습니다. 자세한 내용은 Office 배포 도구에 대한 구성 옵션을 참조하세요.

• EnterpriseAppVManagement CSP는 Windows 10 PC(Enterprise 및 Education 에디션)에서 가상 응용 프로그램을 관리하는 데 사용되며, MDM에서 관리할 때도 App-V 시퀀스된 앱을 PC로 스트리밍할 수 있습니다.

자세한 내용은 모바일 디바이스 등록 및 관리의 새로운 기능 을 참조하세요.

MDM은 Microsoft Entra ID 등록이 있는 도메인 가입 디바이스를 포함하도록 확장되었습니다. 그룹 정책을 Active Directory 조인 디바이스와 함께 사용하여 MDM에 대한 자동 등록을 트리거할 수 있습니다. 자세한 내용은 그룹 정책을 사용하여 자동으로 Windows 10 장치 등록을 참조하세요.

여러 개의 새로운 구성 항목도 추가됩니다. 자세한 내용은 MDM 등록 및 관리를 위한 새로운 기능을 참조하세요.

Windows 10을 위한 모바일 응용 프로그램 관리 지원

MAM(모바일 응용 프로그램 관리)의 Windows 버전은 회사 데이터 액세스와 개인 장치에 대한 보안을 관리하기 위한 가벼운 솔루션입니다. MAM 지원은 Windows 10 Enterprise LTSC 2019부터 WIP(Windows Information Protection)를 기반으로 Windows에 기본 제공됩니다.

자세한 내용은 Implement server-side support for mobile application management on Windows(Windows의 모바일 응용 프로그램 관리를 위한 서버 쪽 지원 구현)을 참조하세요.

MDM 진단

Windows 10 Enterprise LTSC 2019에서는 최신 관리를 위한 진단 환경을 개선하기 위한 작업을 계속합니다. 모바일 장치에 대한 자동 로깅을 도입하여, MDM에 오류가 발생했을 때 Windows가 자동으로 로그를 수집하므로 메모리가 제한된 장치에서 항상 로깅 상태를 유지할 필요가 없습니다. 또한 Microsoft Message Analyzer 를 다른 도구로 도입하여 직원이 근본 원인에 대한 문제를 신속하게 줄이면서 시간과 비용을 절약할 수 있도록 지원합니다.

Windows용 App-V(Application Virtualization)

이전 버전의 Microsoft App-V Sequencer(Application Virtualization Sequencer)에서는 시퀀싱 환경을 수동으로 만들어야 했습니다. Windows 10 Enterprise LTSC 2019에는 New-AppVSequencerVM 및 Connect-AppvSequencerVM의 두 가지 새로운 PowerShell cmdlet이 도입되었습니다. 이러한 cmdlet은 가상 머신 프로비저닝을 포함하여 자동으로 시퀀싱 환경을 만듭니다. 또한 App-V Sequencer는 여러 앱을 동시에 시퀀스하거나 업데이트할 수 있도록 업데이트되었으며, 자동으로 사용자 지정을 App-V 프로젝트 템플릿(.appvt) 파일로 캡처 및 저장하고, PowerShell 또는 그룹 정책 설정을 사용하여 디바이스를 다시 시작한 후 게시되지 않은 패키지를 자동으로 클린 수 있도록 합니다.

자세한 내용은 다음 문서를 참조하세요.

• App-V Sequencer(Microsoft Application Virtualization Sequencer)를 사용하여 자동으로 시퀀싱 환경 프로비전
• App-V Sequencer(Microsoft Application Virtualization Sequencer)를 사용하여 자동으로 여러 앱을 동시에 시퀀싱
• App-V Sequencer(Microsoft Application Virtualization Sequencer)를 사용하여 자동으로 여러 앱을 동시에 업데이트
• App-V 클라이언트에서 게시되지 않은 패키지를 자동으로 정리

Windows 진단 데이터

기본 수준에서 수집되는 진단 데이터와 전체 수준에서 수집되는 몇 가지 데이터 형식의 예를 살펴보세요.

• Windows 10 버전 1703 기본 수준 Windows 진단 이벤트 및 필드
• Windows 10 버전 1703 진단 데이터

그룹 정책 스프레드시트

Windows 10 Enterprise LTSC 2019에 추가된 새 그룹 정책에 대해 알아봅니다.

• Windows 및 Windows Server에 대한 그룹 정책 설정 참조

혼합 현실 앱

이 버전의 Windows 10에는 Windows Mixed Reality가 포함됩니다. WSUS를 사용하는 조직은 Windows Mixed Reality를 사용하기 위한 조치를 취해야 합니다. Mixed Reality 포털의 설치를 차단하여 Windows Mixed Reality 사용을 금지할 수 있습니다. 자세한 내용은 엔터프라이즈에서 Windows Mixed Reality 앱 사용 또는 차단을 참조하세요.

네트워킹

네트워크 스택

이 릴리스에서는 몇 가지 네트워크 스택 향상 기능을 사용할 수 있습니다. 이 기능 중 일부는 Windows 10 버전 1703에서도 사용할 수 있습니다. 자세한 내용은 Windows 10 대한 크리에이터스 업데이트의 핵심 네트워크 스택 기능을 참조하세요.

인프라를 통한 Miracast

이 버전의 Windows 10 Microsoft는 직접 무선 링크가 아닌 로컬 네트워크를 통해 Miracast 스트림을 보내는 기능을 확장했습니다. 이 기능은 인프라 연결 설정 프로토콜을 통한 Miracast(MS-MICE)를 기반으로 합니다.

작동 방식

사용자가 이전처럼 Miracast 수신기에 대한 연결을 시도합니다. Miracast 수신기 목록이 채워지면 Windows 10에서 해당 수신기가 인프라에 대한 연결을 지원할 수 있는지 식별합니다. 사용자가 Miracast 수신기를 선택하면 Windows 10 표준 DNS 및 mDNS(멀티캐스트 DNS)를 통해 디바이스의 호스트 이름을 resolve 시도합니다. DNS 방법 중 하나를 통해 이름을 분해할 수 없는 경우 Windows 10은 표준 Wi-Fi Direct 연결을 사용하여 Miracast 세션을 구축합니다.

인프라를 통한 Miracast는 많은 이점을 제공합니다.

• Windows는 비디오 스트림을 전송할 때 자동으로 이 경로가 적용 가능한지 검색합니다.
• Windows는 연결이 이더넷 또는 보안 Wi-Fi 네트워크를 통한 경우에만 이 경로를 선택합니다.
• 사용자가 Miracast 수신기에 연결하는 방법을 변경할 필요가 없습니다. 표준 Miracast 연결과 동일한 UX를 사용합니다.
• 현재 무선 드라이버 또는 PC의 하드웨어에 변경이 필요하지 않습니다.
• Wi-Fi Direct를 통한 Miracast에 최적화되지 않은 오래된 무선 하드웨어에도 잘 작동합니다.
• 연결 시간을 줄이고 안정적인 스트림을 제공하는 기존 연결을 사용합니다.

인프라에 대해 Miracast 사용

Windows 10 Enterprise LTSC 2019로 업데이트된 디바이스가 있는 경우 이 새 기능이 자동으로 제공됩니다. 사용자 환경에서 활용하려면 배포 내에 다음 요구 사항이 있는지 확인해야 합니다.

• 디바이스(PC 또는 Surface Hub)는 Windows 10, 버전 1703, Windows 10 Enterprise LTSC 2019 또는 이후 OS를 실행해야 합니다.

• Windows PC 또는 Surface Hub가 인프라를 통한 Miracast 수신기 역할을 할 수 있습니다. Windows 장치가 인프라를 통한 Miracast 소스 역할을 할 수 있어야 합니다.

  • Miracast 수신기인 PC 또는 Surface Hub는 이더넷 또는 보안 Wi-Fi 연결을 통해 엔터프라이즈 네트워크에 연결되어야 합니다. 예를 들어 WPA2-PSK 또는 WPA2-Enterprise 보안을 사용합니다. 허브가 공개 Wi-Fi 연결에 연결되면 인프라를 통한 Miracast는 스스로 비활성화됩니다.
  • Miracast 소스로서 장치를 이더넷 또는 보안 Wi-Fi 연결을 통해 동일한 엔터프라이즈 네트워크에 연결해야 합니다.

• DNS 호스트 이름(장치 이름)은 DNS 서버를 통해 확인할 수 있어야 합니다. 디바이스가 동적 DNS를 통해 자동으로 등록되도록 허용하거나 디바이스의 호스트 이름에 대한 A 또는 AAAA 레코드를 수동으로 만들어 이 구성을 수행할 수 있습니다.

• Windows 10 PC는 이더넷 또는 보안 Wi-Fi 연결을 통해 동일한 엔터프라이즈 네트워크에 연결되어 있어야 합니다.

중요

인프라를 통한 Miracast는 표준 Miracast를 대체하는 것이 아닙니다. 대신, 이 기능은 보완적이며 엔터프라이즈 네트워크의 일부인 사용자에게 혜택을 제공합니다. 특정 위치에 게스트이고 엔터프라이즈 네트워크에 액세스할 수 없는 사용자는 Wi-Fi 직접 연결 방법을 사용하여 계속 연결합니다.

레지스트리 편집기 개선

경로의 다음 부분을 완료하는 데 도움이 되도록 입력하는 동안 표시되는 드롭다운을 추가했습니다. Ctrl + 백스페이스를 누르면 마지막 단어가, Ctrl + 삭제를 누르면 다음 단어가 삭제됩니다.

생체 인식이 있는 원격 데스크톱

비즈니스용 Windows Hello 사용하는 Microsoft Entra ID 및 Active Directory 사용자는 생체 인식을 사용하여 원격 데스크톱 세션에 인증할 수 있습니다.

시작하려면 비즈니스용 Windows Hello를 사용하여 장치에 로그인합니다. 원격 데스크톱 연결(mstsc.exe)을 가져오고 연결하려는 컴퓨터의 이름을 입력하고 연결을 선택합니다.

• Windows는 사용자가 비즈니스용 Windows Hello를 사용해 서명했음을 기억하고 비즈니스용 Windows Hello를 자동으로 선택해서 RDP 세션에 대한 인증을 수행합니다. 다른 선택 항목을 선택하여 대체 자격 증명을 선택할 수도 있습니다.

• Windows는 얼굴 인식을 사용하여 Windows Server 2016 Hyper-V 서버에 대한 RDP 세션을 인증합니다. 원격 세션에서 비즈니스용 Windows Hello를 계속 사용할 수 있지만 PIN을 사용해야만 합니다.

다음 예제를 참조하세요.

참고 항목

Windows 10 Enterprise LTSC: 각 릴리스에 대한 정보에 대한 링크가 있는 LTSC 서비스 채널에 대한 간단한 설명입니다.