Novidades no Windows 10 Enterprise LTSC 2021

• Aplica-se a:

  ✅ Windows 10 Enterprise LTSC 2021

Este artigo lista recursos e conteúdo novos e atualizados que são de interesse para profissionais de TI para Windows 10 Enterprise LTSC 2021, em comparação com Windows 10 Enterprise LTSC 2019 (LTSB). Para obter uma breve descrição do canal de manutenção LTSC e do suporte associado, consulte Windows 10 Enterprise LTSC.

Observação

Windows 10 Enterprise LTSC 2021 foi disponibilizado pela primeira vez em 16 de novembro de 2021. Os recursos no Windows 10 Enterprise LTSC 2021 são equivalentes a Windows 10, versão 21H2.

A versão LTSC destina-se a dispositivos de uso especial. O suporte para LTSC por aplicativos e ferramentas projetados para a versão geral do canal de disponibilidade do Windows 10 pode ser limitado.

Windows 10 Enterprise LTSC 2021 se baseia em Windows 10 Enterprise LTSC 2019, adicionando recursos premium, como proteção avançada contra ameaças de segurança modernas e gerenciamento abrangente de dispositivos, gerenciamento de aplicativos e recursos de controle.

A versão Windows 10 Enterprise LTSC 2021 inclui as melhorias cumulativas fornecidas em Windows 10 versões 1903, 1909, 2004, 21H1 e 21H2. Detalhes sobre esses aprimoramentos são fornecidos abaixo.

Ciclo

Importante

Windows 10 Enterprise LTSC 2021 tem um ciclo de vida de cinco anos. (O IoT Enterprise LTSC continua a ter um ciclo de vida de 10 anos). Assim, a versão LTSC 2021 não é uma substituição direta para o LTSC 2019, que tem um ciclo de vida de 10 anos.

Para obter mais informações sobre o ciclo de vida desta versão, consulte A próxima versão Windows 10 LTSC (canal de manutenção de longo prazo).

Segurança de hardware

System Guard

System Guard melhorou um recurso nesta versão do Windows chamada Proteção de Firmware do SMM. Esse recurso é criado em cima de System Guard Secure Launch para reduzir a superfície de ataque de firmware e garantir que o firmware SMM (Modo de Gerenciamento do Sistema) no dispositivo esteja operando de maneira saudável - especificamente, o código SMM não pode acessar a memória e os segredos do sistema operacional.

Nesta versão, o Microsoft Defender System Guard permite um nível aindamaiorde Proteção do firmware do Modo de gerenciamento do sistema (SMM), que vai além de verificar a memória do sistema operacional e os segredos para os recursos adicionais, como registradores e E/S.

Com essa melhoria, o sistema operacional pode detectar um nível mais alto de conformidade SMM, permitindo que os dispositivos sejam ainda mais robustos contra explorações e vulnerabilidades do SMM. Com base na plataforma, no hardware subjacente e no firmware, há três versões do SMM Firmware Protection (uma, duas e três), com cada versão subsequente oferecendo proteções mais fortes do que as anteriores.

Já existem dispositivos no mercado hoje que oferecem versões do SMM Firmware Protection um e dois. Proteção de Firmware do SMM versão três Esse recurso está atualmente em análise avançada e requer um novo hardware que será disponibilizado em breve.

Segurança do sistema operacional

Segurança do sistema

Os aprimoramentos do aplicativo Segurança do Windows agora incluem Histórico de proteção, incluindo informações detalhadas e mais fáceis de entender sobre ameaças e ações disponíveis, os blocos de Acesso Controlado a Pastas agora estão no Histórico de proteção, ações da ferramenta o Windows Defender Ações da ferramenta de Verificação do Windows Defender Offline e quaisquer recomendações pendentes.

Criptografia e proteção de dados

O BitLocker e o MDM (Mobile Gerenciamento de Dispositivos) com Microsoft Entra ID funcionam juntos para proteger seus dispositivos contra divulgação acidental de senha. Agora, um novo recurso de rolagem de chaves gira com segurança senhas de recuperação em dispositivos gerenciados por MDM. O recurso é ativado sempre que as ferramentas do Microsoft Intune/MDM ou uma senha de recuperação é usada para desbloquear uma unidade protegida pelo BitLocker. Como resultado, a senha de recuperação estará mais protegida quando os usuários desbloquearem manualmente uma unidade do BitLocker.

Segurança de rede

Windows Defender Firewall

Windows Defender Firewall agora oferece os seguintes benefícios:

Reduzir o risco: Windows Defender Firewall reduz a superfície de ataque de um dispositivo com regras para restringir ou permitir o tráfego por muitas propriedades, como endereços IP, portas ou caminhos de programa. Reduzir a superfície de ataque de um dispositivo aumenta a capacidade de gerenciamento e diminui a probabilidade de um ataque bem-sucedido.

Proteger dados: com o IPsec (Internet Protocol Security) integrado, Windows Defender Firewall fornece uma maneira simples de impor comunicações de rede autenticadas de ponta a ponta. Ele fornece acesso escalonável e em camadas a recursos de rede confiáveis, ajudando a reforçar a integridade dos dados e, opcionalmente, ajudando a proteger a confidencialidade dos dados.

Estender o valor: Windows Defender Firewall é um firewall baseado em host que está incluído no sistema operacional, portanto, não há nenhum outro hardware ou software necessário. Windows Defender Firewall também foi projetado para complementar soluções de segurança de rede não microsoft existentes por meio de uma API (interface de programação de aplicativo) documentada.

O Firewall Windows Defender também agora é mais fácil de analisar e depurar. O comportamento IPsec foi integrado ao Monitor de Pacotes (pktmon), uma ferramenta de diagnóstico de rede entre componentes in-box para Windows.

Além disso, os logs de eventos do firewall Windows Defender foram aprimorados para garantir que uma auditoria possa identificar o filtro específico responsável por qualquer evento. Esse aprimoramento permite a análise do comportamento do firewall e da captura avançada de pacotes sem depender de outras ferramentas.

Windows Defender Firewall também agora dá suporte a Subsistema do Windows para Linux (WSL); Você pode adicionar regras para o processo WSL, assim como para processos do Windows. Para obter mais informações, consulte Windows Defender Firewall agora dá suporte a Subsistema do Windows para Linux (WSL).

Proteção contra vírus e ameaças

Redução da área da superfície de ataque – os administradores de TI podem configurar dispositivos com proteção web avançada que lhes permite definir listas de permissões e listas de bloqueio para URLs e endereços IP específicos. Proteção de próxima geração - Os controles foram estendidos à proteção contra ransomware, uso indevido de credenciais e ataques transmitidos por meio do armazenamento removível.

• Recursos de imposição de integridade – habilitar o atestado de runtime remoto da plataforma Windows 10.
• Recursos de verificação de adulteração – usa a segurança baseada em virtualização para isolar recursos críticos de segurança Microsoft Defender para Ponto de Extremidade longe do sistema operacional e dos invasores. Suporte à plataforma – Além do Windows 10, a funcionalidade do Microsoft Defender para Ponto de Extremidade foi estendida para dar suporte a clientes do Windows 7 e Windows 8.1, bem como macOS, Linux e Windows Server com seus recursos EDR (Detecção de Ponto de Extremidade) e Plataforma de Proteção de Ponto de Extremidade (EPP).

Advanced Machine Learning: aprimorado com os modelos Advanced Machine Learning e IA que o habilitam para se proteger contra invasores do Apex usando técnicas inovadoras de exploração de vulnerabilidade, ferramentas e malware.

Proteção de emergência contra ataques: fornece proteção de emergência contra ataques que atualizará automaticamente os dispositivos com nova inteligência quando uma nova epidemia for detectada.

Conformidade com a ISO 27001 certificado: garante que o serviço na nuvem analisou ameaças, vulnerabilidades e impactos, e que os controles de segurança e gerenciamento de riscos estão em vigor.

Suporte à geolocalização: suporte a localização geográfica e soberania de dados de exemplo e a políticas de retenção configuráveis.

Suporte aprimorado para caminhos de arquivo não ASCII para Microsoft Defender ATP (Advanced Threat Protection) Auto Incident Response (IR).

Observação

O parâmetro DisableAntiSpyware foi depreciado neste lançamento.

Segurança do aplicativo

Isolamento do aplicativo

Área Restrita do Windows: ambiente de área de trabalho isolado onde você pode executar software não confiável sem o medo de impacto duradouro em seu dispositivo.

Microsoft Defender Application Guard

Microsoft Defender Application Guard aprimoramentos incluem:

• Usuários autônomos podem instalar e configurar suas configurações de Windows Defender Application Guard sem a necessidade de alterar as configurações da chave do registro. Os usuários da empresa podem verificar suas configurações para ver o que os administradores configuraram para seus computadores a compreender melhor o comportamento.

• Application Guard agora é uma extensão no Google Chrome e no Mozilla Firefox. Muitos usuários estão em um ambiente de navegador híbrido e gostariam de estender a tecnologia de isolamento do navegador do Application Guard para além do Microsoft Edge. Na versão mais recente, os usuários podem instalar a extensão Application Guard em seus navegadores Chrome ou Firefox. Essa extensão redirecionará a navegação não confiável para o navegador Application Guard Edge. Também há um aplicativo complementar para habilitar esse recurso na Microsoft Store. Os usuários podem iniciar rapidamente Application Guard de sua área de trabalho usando este aplicativo. Esse recurso também está disponível no Windows 10, versão 1803 ou posterior, com as atualizações mais recentes.

  Para experimentar esta extensão:

  1. Configure Application Guard políticas em seu dispositivo.
  2. Vá para a Chrome Web Store ou complementos do Firefox e pesquise o Application Guard. Instale a extensão.
  3. Siga as outras etapas de configuração na página de instalação de extensão.
  4. Reinicialize o dispositivo.
  5. Navegue até um site não confiável no Chrome e no Firefox.

Navegação dinâmica: Application Guard agora permite que os usuários naveguem de volta para o navegador host padrão do Application Guard Microsoft Edge. Anteriormente, os usuários que navegam no Application Guard Edge veriam uma página de erro ao tentar acessar um site confiável no navegador de contêineres. Com esse novo recurso, os usuários serão redirecionados automaticamente para o navegador padrão do host quando entrarem ou clicarem em um site confiável no Application Guard Edge. Esse recurso também está disponível no Windows 10, versão 1803 ou posterior, com as atualizações mais recentes.

Application Guard desempenho é melhorado com os horários de abertura do documento otimizados:

• Um problema é corrigido que pode causar um atraso de um minuto ou mais quando você abre um documento do Office Microsoft Defender Application Guard (Application Guard). Esse problema pode ocorrer quando você tenta abrir um arquivo usando um caminho DA UNC (Convenção Universal de Nomenclatura) ou um link de compartilhamento do SMB (Server Message Block).
• Um problema de memória é corrigido que pode fazer com que um contêiner Application Guard use quase 1 GB de memória de conjunto de trabalho quando o contêiner estiver ocioso.
• O desempenho do Robocopy é aprimorado ao copiar arquivos com mais de 400 MB de tamanho.

Controle de Aplicativo

Controle de Aplicativo para Windows: em Windows 10, a versão 1903, Windows Defender Controle de Aplicativo (WDAC) adicionou muitos novos recursos que iluminam cenários-chave e fornecem paridade de recursos com o AppLocker.

• Várias políticas: Windows Defender Controle de Aplicativo agora dá suporte a várias políticas simultâneas de integridade de código para um dispositivo, a fim de habilitar os seguintes cenários: 1) impor e auditar lado a lado, 2) direcionamento mais simples para políticas com escopo/intenção diferentes, 3) expandir uma política usando uma nova política 'suplementar'.
• Regras baseadas em caminho: a condição de caminho identifica um aplicativo por sua localização no sistema de arquivos do computador ou na rede, em vez de um signatário ou identificador de hash. Além disso, o WDAC tem uma opção que permite aos administradores impor em runtime que somente o código de caminhos que não são graváveis pelo usuário é executado. Quando o código tenta executar em runtime, o diretório é verificado e os arquivos serão verificados para obter permissões de gravação para administradores desconhecidos. Se for encontrado um arquivo gravado pelo usuário, o executável será bloqueado, a menos que ele seja autorizado por algo que não seja uma regra de caminho, como um signatário ou regra de hash.
  Essa funcionalidade traz WDAC para a paridade da funcionalidade com AppLocker em termos de suporte para regras de caminho de arquivo. O WDAC melhora a segurança das políticas com base em regras de caminho de arquivo com a disponibilidade das verificações de permissão para ser gravável pelo usuário no tempo de execução, além de ser um recurso que não está disponível com o AppLocker.
• Permitir registro de objeto COM: anteriormente, Windows Defender WDAC (Controle de Aplicativo) impôs uma lista de permissões interna para registro de objeto COM. Embora esse mecanismo funcione para a maioria dos cenários de uso de aplicativos, os clientes fornecem comentários de que há casos em que outros objetos COM precisam ser permitidos. A atualização 1903 para o Windows 10 introduz a capacidade de especificar objetos COM permitidos por meio de seu GUID na política WDAC.

Identidade e privacidade

Identidade protegida

Windows Hello aprimoramentos incluem:

• O Windows Hello agora é compatível com o autenticador FIDO2 (Fast Identity Online 2) em todos os principais navegadores, como o Chrome e o Firefox.
• Agora você pode habilitar a entrada sem senha para contas da Microsoft em seu dispositivo Windows 10, acessando opções de entrada De Contas > de Configurações >e selecionando Ativar em Tornar seu dispositivo sem senha. Habilitar o logon sem senha mudará todas as contas Microsoft em seu dispositivo Windows 10 para a autenticação moderna com o rosto do Windows Hello, a impressão digital ou o PIN.
• O suporte para entrada com o PIN do Windows Hello é adicionado ao modo de segurança.
• Windows Hello para Empresas agora tem Microsoft Entra suporte híbrido e entrada de número de telefone (conta microsoft). O suporte à chave de segurança FIDO2 é expandido para Microsoft Entra ambientes híbridos, permitindo que empresas com ambientes híbridos aproveitem a autenticação sem senha. Para saber mais, confira expandir o suporte do Azure Active Directory para visualização do FIDO2 para ambientes híbridos.
• Com componentes especializados de hardware e software disponíveis em dispositivos com Windows 10, versão 20H2 configurados fora da fábrica, o Windows Hello agora oferece suporte adicional para segurança baseada na virtualização com suporte a sensores de impressão digital e facial. Este recurso isola e protege os dados biométricos de autenticação do usuário.
• O suporte a várias câmeras Windows Hello é adicionado, permitindo que os usuários escolham uma prioridade de câmera externa quando as câmeras externas e internas com capacidade para Windows Hello estão presentes.
• Windows Hello certificação FIDO2: Windows Hello agora é um autenticador certificado FIDO2 e habilita a entrada sem senha para sites com suporte à autenticação FIDO2, como conta microsoft e ID do Entra.
• Experiência simplificada de redefinição de PIN do Windows Hello: os usuários da conta Microsoft têm uma experiência renovada de redefinição de PIN do Windows Hello com a mesma aparência que entrar na Web.
• Área de Trabalho Remota com Biometria: usuários do Microsoft Entra ID e do Active Directory usando Windows Hello para Empresas podem usar a biometria para se autenticar em uma sessão de área de trabalho remota.

Proteção de credencial

Credential Guard

O Credential Guard agora está disponível para dispositivos ARM64, para proteção extra contra roubo de credenciais para empresas que implantam dispositivos ARM64 em suas organizações, como Surface Pro X.

Controles de privacidade

Configurações de privacidade do microfone: um ícone de microfone é exibido na área de notificação, permitindo que você veja quais aplicativos estão usando o microfone.

Serviços de Nuvem

Microsoft Intune

Microsoft Intune dá suporte a Windows 10 Enterprise LTSC 2021 com a seguinte exceção:

• Os anéis de atualização não podem ser usados para atualizações de recursos, pois Windows 10 versões LTSC não recebem atualizações de recursos. Os anéis de atualização podem ser usados para atualizações de qualidade para Windows 10 Enterprise clientes LTSC 2021.

Uma nova ação remota do Intune: Coletar diagnósticos, permite coletar os logs de dispositivos corporativos sem interromper ou aguardar o usuário final. Para obter mais informações, consulte Ação remota de coleta de diagnósticos.

O Intune também adicionou recursos ao controle de acesso baseado em função (RBAC) que podem ser usados para definir ainda mais as configurações de perfil para a Página de Status do Registro (ESP). Para obter mais informações, confira Criar perfil da Página de Status do Registro e atribuir a um grupo.

Para ver uma lista completa das novidades na Microsoft Intune, consulte Novidades no Microsoft Intune.

Gerenciamento de Dispositivos Móveis

A política de MDM (Gerenciamento de Dispositivos móvel) é estendida com novas configurações de Usuários e Grupos Locais que correspondem às opções disponíveis para dispositivos gerenciados por meio de Política de Grupo.

Para maiores informações sobre as novidades na MDM, consulteO que há de novo na inscrição e gerenciamento de dispositivos móveis.

O Serviço de Política de Grupo (GPSVC) da WMI (Instrumentação de Gerenciamento do Windows) tem uma melhoria de desempenho para dar suporte a cenários de trabalho remoto:

• Um problema é corrigido que causava alterações por um administrador do Active Directory (AD) às associações de usuário ou grupo de computadores a se propagar lentamente. Embora o token de acesso seja atualizado, essas alterações podem não aparecer quando o administrador usa gpresult /r ou gpresult /h para criar um relatório.

Rolagem de chaves e rotação de chaves

Essa versão também inclui dois novos recursos chamados key-rolling e key-rotation que permitem a rolagem segura de senhas de recuperação em dispositivos Microsoft Entra ID gerenciados por MDM sob demanda de ferramentas Microsoft Intune/MDM ou quando uma senha de recuperação é usada para desbloquear a unidade protegida do BitLocker. Esse recurso ajudará a evitar a divulgação acidental de senhas de recuperação como parte do desbloqueio manual do BitLocker da unidade por parte dos usuários.

Implantação

SetupDiag

O SetupDiag é uma ferramenta de linha de comando que pode ajudar a diagnosticar o motivo pelo qual uma atualização do Windows 10 falhou. O SetupDiag funciona pesquisando os arquivos de registro da Instalação do Windows. Ao pesquisar os arquivos de log, o SetupDiag usa um conjunto de regras para corresponder aos problemas conhecidos. Existem 53 regras contidas na versão atual do SetupDiag no arquivo rules.xml, que é extraído quando SetupDiag é executado. O arquivo rules.xml será atualizado conforme novas versões do SetupDiag forem disponibilizadas.

Armazenamento reservado

Armazenamento reservado: o armazenamento reservado reserva espaço em disco a ser usado por atualizações, aplicativos, arquivos temporários e caches do sistema. Ele aprimora a função do dia-a-dia do computador garantindo que as funções essenciais do sistema operacional sempre tenham acesso ao espaço em disco. O armazenamento reservado será habilitado automaticamente em novos computadores com o Windows 10, versão 1903 pré-instalado e para instalações limpas. Ele não será habilitado durante a atualização de uma versão anterior do Windows 10.

Kit de ferramentas de Avaliação e Implantação do Windows (ADK)

Um novo ADK do Windows está disponível para Windows 11 que também dá suporte a Windows 10 versão 21H2.

Microsoft Deployment Toolkit (MDT)

Para obter as informações mais recentes sobre o MDT, confira o artigo Notas de versão do MDT.

Instalação do Windows

Os arquivos de resposta de instalação do Windows (unattend.xml) melhoraram o tratamento de linguagem.

Os aperfeiçoamentos na Instalação do Windows com esta versão também incluem:

• Tempo offline reduzido durante atualizações de recursos
• Controles aprimorados para armazenamento reservado
• Controles e diagnósticos aprimorados
• Novas opções de recuperação

Para saber mais, confira aperfeiçoamentos da Instalação do Windows no Blog Windows IT Pro.

Microsoft Edge

O suporte ao Microsoft Edge Browser agora está incluído na caixa.

Modo de quiosque do Microsoft Edge

O modo de quiosque do Microsoft Edge está disponível para versões LTSC a partir de Windows 10 Enterprise LTSC 2021 e Windows 10 IoT Enterprise LTSC 2021.

O modo de quiosque do Microsoft Edge oferece duas experiências de bloqueio do navegador, para que as organizações possam criar, gerenciar e oferecer a melhor experiência para seus clientes. As seguintes experiências de bloqueio estão disponíveis:

• Experiência de Sinalização Digital/Interativa: exibe um site específico no modo de tela inteira.
• Experiência de Navegação Pública: executa uma versão de várias guias no Microsoft Edge.
• As duas experiências estão executando uma sessão InPrivate do Microsoft Edge, que protege os dados do usuário.

Subsistema do Windows para Linux

Subsistema do Windows para Linux (WSL) está disponível em caixa.

Rede

Há suporte para padrões WPA3 H2E para segurança de Wi-Fi aprimorada.

Veja também

Windows 10 Enterprise LTSC: uma breve descrição do canal de manutenção LTSC com links para informações sobre cada versão.