Compartilhar via

Novidades no Windows 10 Enterprise LTSC 2015

Este artigo lista funcionalidades e conteúdos novos e atualizados que são do interesse dos profissionais de TI para Windows 10 Enterprise LTSC 2015 (LTSB). Para obter uma breve descrição do canal de manutenção LTSC, veja Windows 10 Enterprise LTSC.

Observação

Windows 10 Enterprise LTSC 2015 foi disponibilizado pela primeira vez a 29 de julho de 2015. As funcionalidades no Windows 10 Enterprise LTSC 2015 são equivalentes a Windows 10, versão 1507.

Implantação

Provisionando dispositivos usando o Windows ICD (Designer de Configuração e Imagens do Windows)

Com o Windows 10, você pode criar pacotes de provisionamento que permitem que você configure um dispositivo com rapidez e eficiência, sem precisar instalar uma nova imagem. Um administrador de TI que utilize o Aprovisionamento do Windows pode especificar facilmente a configuração e as definições necessárias para inscrever dispositivos na gestão através de uma interface de utilizador orientada por assistente e, em seguida, aplicar esta configuração aos dispositivos de destino numa questão de minutos. É mais adequado para pequenas e médias empresas com implantações que variam de dezenas a algumas centenas de computadores.

Saiba mais sobre o aprovisionamento no Windows 10

Segurança

AppLocker

O AppLocker estava disponível para Windows 8.1 e foi melhorado com Windows 10. Veja Requisitos para utilizar o AppLocker para obter uma lista dos requisitos do sistema operativo.

Os melhoramentos para o AppLocker no Windows 10 incluem:

  • Um novo parâmetro foi adicionado ao cmdlet do Windows PowerShell New-AppLockerPolicy que permite escolher se coleções de regras executáveis e de DLL se aplicam a processos não interativos. Para habilitar essa opção, defina ServiceEnforcement como Habilitado.
  • Um novo provedor de serviços de configuração do AppLocker foi adicionado para permitir que você habilite regras do AppLocker usando um servidor MDM.

Saiba como gerenciar o AppLocker em sua organização.

BitLocker

Os melhoramentos para o AppLocker no Windows 10 incluem:

  • Encripte e recupere o seu dispositivo com Microsoft Entra. Além de utilizar uma Conta Microsoft, a encriptação automática de dispositivos pode agora encriptar os seus dispositivos associados a um domínio Microsoft Entra. Quando o dispositivo é encriptado, a chave de recuperação BitLocker é automaticamente escrowed para Microsoft Entra. Isso facilitará a recuperação de sua chave do BitLocker online.
  • Proteção de porta DMA. Você pode usar a política MDM DataProtection/AllowDirectMemoryAccess para bloquear portas DMA quando o dispositivo está sendo iniciado. Além disso, quando um dispositivo é bloqueado, todas as portas DMA não utilizadas são desativadas, mas quaisquer dispositivos que já estiverem conectados a uma porta DMA continuarão a funcionar. Quando o dispositivo for desbloqueado, todas as portas DMA serão ativadas novamente.
  • Nova Política de Grupo para configurar a recuperação de pré-inicialização. Agora você pode configurar a mensagem de recuperação de pré-inicialização e recuperar a URL que é mostrada na tela de recuperação de pré-inicialização. Para obter mais informações, veja Ecrã de recuperação pré-inicial do BitLocker.

Saiba como implantar e gerenciar o BitLocker em sua organização.

Gerenciamento de certificados

Para os dispositivos baseados no Windows 10, você pode usar seu servidor de MDM para implantar diretamente certificados de autenticação do cliente usando a Troca de Informações Pessoais (PFX), além de registrar-se usando o protocolo SCEP, incluindo certificados para habilitar o Windows Hello para Empresas em sua empresa. Você poderá usar o MDM para registrar, renovar e excluir certificados.

Microsoft Passport

No Windows 10, o Microsoft Passport substitui senhas por autenticação forte de dois fatores, que consiste em um dispositivo registrado e um PIN ou o Windows Hello (biometria).

O Microsoft Passport permite que os utilizadores se autentiquem numa conta Microsoft, numa conta do Active Directory, numa conta Microsoft Entra ID ou num serviço não Microsoft que suporte a autenticação Fast ID Online (FIDO). Após uma verificação inicial em duas etapas durante o registro do Microsoft Passport, um Microsoft Passport é configurado no dispositivo do usuário, e o usuário define um gesto, que pode ser um PIN ou Windows Hello. O usuário fornece o gesto para verificar a identidade; o Windows, em seguida, usa o Microsoft Passport para autenticar usuários e ajudá-los a acessar recursos e serviços protegidos.

Auditoria de segurança

No Windows 10, a auditoria de segurança adicionou algumas melhorias:

Novas subcategorias de auditoria

No Windows 10, duas novas subcategorias de auditoria foram adicionadas à Configuração Avançada de Política de Auditoria para fornecer maior granularidade em eventos de auditoria:

  • Auditar Associação de Grupo Encontrada na categoria de auditoria Logon/Logoff, a subcategoria Auditar Associação de Grupo permite auditar as informações de associação de grupo em um token de logon do usuário. Os eventos nessa subcategoria são gerados quando associações de grupo são enumeradas ou consultadas no computador em que a sessão de logon foi criada. Para um logon interativo, o evento de auditoria de segurança é gerado no computador em que o usuário fez logon. Para um logon de rede, como o acesso a uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso. Quando essa definição é configurada, um ou mais eventos de auditoria de segurança são gerados para cada logon bem-sucedido. Também tem de ativar a definição Auditar Início de Sessão em Configuração de Política de Auditoria Avançada\Políticas de Auditoria do Sistema\Início de Sessão/Início de Sessão. Vários eventos são gerados caso as informações de associação a um grupo não caibam em um único evento de auditoria de segurança.
  • Auditar Atividade PNP Encontrada na categoria Monitoração Detalhada, a subcategoria Auditar Atividade PNP permite auditar quando o Plug and Play detecta um dispositivo externo. Somente auditorias com êxito são registradas para essa categoria. Se você não definir essa configuração de política, nenhum evento de auditoria será gerado quando um dispositivo externo for detectado pelo Plug and Play. Um evento de auditoria PnP pode ser usado para rastrear alterações feitas no hardware do sistema e será registrado em log no computador onde ocorreu a mudança. É incluída uma lista de IDs de fornecedor de hardware no evento.

Mais informações adicionadas a eventos de auditoria existentes

Com o Windows 10, versão 1507, adicionamos mais informações a eventos de auditoria existentes para facilitar que você elabore uma trilha de auditoria completa e tenha as informações necessárias para proteger sua empresa. Houve aperfeiçoamentos nos seguintes eventos de auditoria:

Alterada a política de auditoria padrão do kernel

Em versões anteriores, o kernel dependia da Autoridade de Segurança Local (LSA) para obter informações em alguns dos seus eventos. No Windows 10, a política de auditoria de eventos de criação de processos é habilitada automaticamente até que uma política de auditoria real seja recebida da LSA. Isso resulta em melhor auditoria de serviços que podem ser iniciados antes da LSA iniciar.

Adicionado um processo padrão SACL a LSASS.exe

No Windows 10, um processo padrão SACL foi adicionado ao LSASS.exe para registrar processos que tentam acessar o LSASS.exe. A SACL é L"S:(AU;SAFA;0x0010;;;WD)". Pode ativar este processo em Configuração de Política de Auditoria Avançada\Acesso a Objetos\Objeto kernel de auditoria. Este processo quando ativado pode ajudar a identificar ataques que roubam credenciais da memória de um processo.

Novos campos no evento de entrada

A ID de evento de logon 4624 foi atualizada para incluir informações mais detalhadas para facilitar a análise. Os campos a seguir foram adicionados ao evento 4624:

  1. MachineLogon Cadeia: sim ou não Se a conta que iniciou sessão no PC for uma conta de computador, este campo será sim. Caso contrário, será Não.
  2. ElevatedToken Cadeia: sim ou não Se uma conta tiver iniciado sessão no PC através do método "início de sessão administrativo", este campo será sim. Caso contrário, será Não. Além disso, se este campo fizer parte de um token dividido, o ID de início de sessão ligado (LSAP_LOGON_SESSION) também será apresentado.
  3. Cadeias de caracteres TargetOutboundUserName e TargetOutboundUserDomain: o nome de usuário e o domínio da identidade que foi criada pelo método LogonUser para o tráfego de saída.
  4. Cadeia de caracteres VirtualAccount: Sim ou Não. Se a conta que fez logon no computador for uma conta virtual, esse campo será Sim. Caso contrário, será Não.
  5. Cadeia de caracteres GroupMembership: uma lista de todos os grupos no token do usuário.
  6. Cadeia de caracteres RestrictedAdminMode: Sim ou Não. Se o usuário fizer logon no computador no modo de administrador restrito com a Área de Trabalho Remota, esse campo será Sim.

Novos campos no evento de criação de processo

A ID de evento de logon 4688 foi atualizada para incluir informações mais detalhadas para facilitar a análise. Os campos a seguir foram adicionados ao evento 4688:

  1. Cadeia de caracteres TargetUserSid: o SID da entidade de segurança de destino.
  2. Cadeia de caracteres TargetUserName: o nome da conta do usuário de destino.
  3. TargetDomainName String O domínio do utilizador de destino.
  4. Cadeia de caracteres TargetLogonId: a ID de logon do usuário de destino.
  5. Cadeia de caracteres ParentProcessName: o nome do processo criador.
  6. Cadeia de caracteres ParentProcessId: um ponteiro para o processo pai real caso ele seja diferente do processo criador.

Novos eventos do Gerenciador de Contas de Segurança

No Windows 10, novos eventos SAM foram adicionados para cobrir APIs SAM que executam operações de leitura/consulta. Em versões anteriores do Windows, somente as operações de gravação eram auditadas. Os novos eventos são os eventos ID 4798 e ID 4799. As seguintes APIs agora são auditadas:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation

Novos eventos BCD

A ID de evento 4826 foi adicionada para rastrear as seguintes alterações no BCD (Dados de Configuração da Inicialização):

  • Configurações de DEP/NEX
  • Assinatura de teste
  • Simulação de SB PCAT
  • Depuração
  • Depuração da inicialização
  • Serviços de integridade
  • Desabilitar o menu de depuração Winload

Novos eventos PNP

A ID de evento 6416 foi adicionada para acompanhar quando um dispositivo externo é detectado pelo Plug and Play. Um cenário importante é se um dispositivo externo que contém software maligno for inserido numa máquina de alto valor que não espera este tipo de ação, como um controlador de domínio.

Trusted Platform Module

Novas funcionalidades do TPM no Windows 10

As seções a seguir descrevem as funcionalidades novas e alteradas do TPM para Windows 10:

Atestado de integridade de dispositivo

O atestado de integridade de dispositivo permite que as empresas tenham confiança nos componentes de hardware e software de um dispositivo gerenciado. Com a certificação de integridade do dispositivo, você pode configurar um servidor MDM para consultar um serviço de certificação de integridade que permite ou nega o acesso de um dispositivo gerenciado a um recurso seguro.

Algumas coisas que você pode verificar no dispositivo são:

  • A Prevenção de Execução de Dados é compatível e está habilitada?
  • A Criptografia de Unidade de Disco BitLocker é compatível e está habilitada?
  • A Inicialização Segura é compatível e está habilitada?

Observação

O dispositivo deve estar executando o Windows 10 e ser compatível ao menos com o TPM 2.0.

Saiba como implantar e gerenciar o TPM em sua organização.

Controle de Conta de Usuário

O UAC (Controle de Conta de Usuário) ajuda a impedir que malwares danifiquem um computador e ajuda organizações a implantar um ambiente de área de trabalho mais bem gerenciado.

Não deve desativar o UAC porque esta definição não suporta dispositivos com Windows 10. Se você desativar o UAC, todos os aplicativos da Plataforma Universal do Windows param de funcionar. Tem sempre de definir o valor do registo HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA para 1. Se precisar de fornecer elevação automática para acesso programático ou instalação, pode definir o valor de registo HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin como 0, que é o mesmo que definir o controlo de deslize UAC Nunca Notificar. Essa configuração não é recomendada para dispositivos que executam Windows 10.

Para obter mais informações sobre como gerir o UAC, veja Definições de política de grupo UAC e definições de chave de registo.

No Windows 10, o Controlo de Conta de Utilizador adicionou algumas melhorias:

  • Integração com a AMSI (Antimalware Scan Interface). A AMSI examina todas as solicitações de elevação do UAC para malware. Se for detectado algum malware, o privilégio de administrador será bloqueado.

Saiba como gerenciar o Controle de Conta de Usuário em sua organização.

Opções de perfil de VPN

O Windows 10 oferece um conjunto de recursos de VPN que aumenta a segurança corporativa e fornece uma experiência de usuário aprimorada, incluindo:

  • Comportamento de conexão automática sempre ativado
  • VPN acionada por aplicativo
  • Filtros de tráfego de VPN
  • Bloqueio de VPN
  • Integração com o Microsoft Passport for Work

Saiba mais sobre as opções de VPN no Windows 10.

Gerenciamento

O Windows 10 oferece recursos de MDM (gerenciamento de dispositivos móveis) para computadores, notebooks, tablets e telefones que habilitam o gerenciamento de nível empresarial de dispositivos pessoais e da empresa.

Suporte ao MDM

As políticas de MDM para Windows 10 estão alinhadas com as políticas suportadas no Windows 8.1 e são expandidas para abordar cenários ainda mais empresariais, como gerir vários utilizadores que têm contas Microsoft Entra ID, controlo total sobre a Microsoft Store, configuração de VPN e muito mais.

O suporte ao MDM no Windows 10 é baseado na especificação 1.2.1 de protocolo DM (gerenciamento de dispositivos) OMA (Open Mobile Alliance).

Os dispositivos de propriedade corporativa podem ser registrados automaticamente para empresas com o Azure AD. Referência para a gestão de dispositivos móveis para Windows 10

Cancelamento de registro

Quando uma pessoa sai da organização e você cancela o registro de gerenciamento da conta de usuário ou do dispositivo, as configurações e os aplicativos controlados pela empresa são removidos do dispositivo. Você pode cancelar o registro do dispositivo remotamente, ou a pessoa não cancelar o registro removendo manualmente a conta do dispositivo.

Quando um dispositivo pessoal tem o registro cancelado, os aplicativos e os dados do usuário permanecem intocados, enquanto as informações corporativas, como certificados, perfis VPN e aplicativos corporativos são removidos.

Infraestrutura

As empresas têm as opções de identidade e gerenciamento a seguir.

Área Opções
Identidade Active Directory; Azure AD
Agrupamento Ingresso em domínio; Grupo de Trabalho; ingresso no Azure AD
Gerenciamento de dispositivos Política de Grupo; Microsoft Configuration Manager; Microsoft Intune; outras soluções de MDM; Exchange ActiveSync; Windows PowerShell; Windows Management Instrumentation (WMI)

Observação

Com o lançamento do Windows Server 2012 R2, a Proteção de Acesso à Rede (NAP) foi preterida e o cliente NAP agora foi removido do Windows 10. Para saber mais sobre os ciclos de vida do suporte, confira Ciclo de vida do suporte da Microsoft.

Bloqueio de dispositivos

Você precisa de um computador que possa fazer somente uma coisa? Por exemplo:

  • Um dispositivo na recepção que os clientes possam usar para ver seu catálogo de produtos.
  • Um dispositivo portátil que os motoristas possam usar para verificar uma rota em um mapa.
  • Um dispositivo que um trabalhador temporário use para inserir dados.

Você pode configurar um estado de bloqueio persistente para criar um dispositivo do tipo quiosque. Quando a conta bloqueada é conectada, o dispositivo exibe somente o aplicativo que você selecionar.

Você também pode configurar um estado de bloqueio que entre em vigor quando uma determinada conta de usuário fizer logon. O bloqueio restringe o usuário somente aos aplicativos que você especificar.

As configurações de bloqueio também podem ser definidas para a aparência do dispositivo, como um tema ou um layout personalizado na tela inicial.

Layout da tela inicial

Um layout de tela inicial padrão pode ser útil em dispositivos que são comuns a vários usuários e dispositivos que estão bloqueados para fins específicos. A partir do Windows 10, versão 1511, os administradores podem configurar um layout da tela inicial parcial, que se aplica a grupos de blocos especificados, permitindo que os usuários criem e personalizem os próprios grupos de blocos. Saiba como personalizar e exportar o layout da tela inicial.

Os administradores também podem usar o MDM (gerenciamento de dispositivos móveis) ou a Política de Grupo para desabilitar o uso do Destaque do Windows na tela de bloqueio.

Atualizações

Windows Update políticas de cliente permitem que os administradores de tecnologias de informação mantenham os dispositivos baseados em Windows 10 na sua organização sempre atualizados com as mais recentes defesas de segurança e funcionalidades do Windows ao ligar diretamente estes sistemas ao serviço Windows Update da Microsoft.

Ao utilizar objetos de política de grupo, Windows Update políticas de cliente são um sistema facilmente estabelecido e implementado que permite às organizações e administradores exercer o controlo sobre a forma como os respetivos dispositivos baseados em Windows 10 são atualizados, permitindo:

  • Grupos de implantação e validação; em que os administradores podem especificar quais dispositivos são os primeiros em uma onda de atualização e quais virão em seguida (para garantir que todos os níveis de qualidade sejam atendidos).

  • Entrega de ponto a ponto, que os administradores podem habilitar para fazer a entrega de atualizações para filiais e sites remotos com largura de banda limitada de forma muito eficiente.

  • Utilize com ferramentas existentes, como Microsoft Intune e Configuration Manager.

Em conjunto, estas Windows Update funcionalidades de políticas de cliente ajudam a reduzir os custos de gestão de dispositivos, fornecem controlos sobre a implementação de atualizações, oferecem acesso mais rápido a atualizações de segurança e fornecem acesso às inovações mais recentes da Microsoft de forma contínua. Windows Update políticas de cliente são um serviço gratuito para todas as edições Windows 10 Pro, Enterprise e Education e podem ser utilizadas independentemente ou em conjunto com as soluções de gestão de dispositivos existentes, como Windows Server Update Services (WSUS) e Microsoft Configuration Manager.

Saiba mais sobre Windows Update políticas de cliente.

Para obter mais informações sobre a atualização do Windows 10, consulte Opções de manutenção para atualizações do Windows 10.

Microsoft Edge

O novo Microsoft Edge baseado em chromium não está incluído na versão LTSC do Windows 10. No entanto, pode transferi-lo e instalá-lo separadamente aqui.

Veja também

Windows 10 Enterprise LTSC: uma descrição do canal de manutenção LTSC com ligações para informações sobre cada versão.