Новые возможности Windows 10 Корпоративная LTSC 2021

В этой статье перечислены новые и обновленные возможности и контент, которые могут быть интересны ИТ-специалистам, для Windows 10 Корпоративная LTSC 2021 по сравнению с Windows 10 Корпоративная LTSC 2019 (LTSB). Краткое описание канала обслуживания LTSC и связанной поддержки см. в статье Windows 10 Корпоративная LTSC.

Примечание.

Windows 10 Корпоративная LTSC 2021 был впервые доступен 16 ноября 2021 г. Функции Windows 10 Корпоративная LTSC 2021 эквивалентны Windows 10 версии 21H2.

Выпуск LTSC предназначен для устройств специального назначения. Поддержка LTSC приложениями и средствами, предназначенными для выпуска Windows 10 канала общедоступной доступности, может быть ограничена.

Windows 10 Корпоративная LTSC 2021 создается на основе Windows 10 Корпоративная LTSC 2019, добавляя премиум-функции, такие как расширенные средства защиты от современных угроз безопасности и комплексное управление устройствами, управление приложениями и возможности контроля.

Выпуск Windows 10 Корпоративная LTSC 2021 включает накопительные улучшения, предоставляемые в Windows 10 версий 1903, 1909, 2004, 21H1 и 21H2. Подробные сведения об этих улучшениях приведены ниже.

Жизненный цикл

Важно.

Windows 10 Корпоративная LTSC 2021 имеет 5-летний жизненный цикл. (IoT Enterprise LTSC по-прежнему имеет 10-летний жизненный цикл. Таким образом, выпуск LTSC 2021 не является прямой заменой для LTSC 2019, срок жизненного цикла которого составляет 10 лет.

Дополнительные сведения о жизненном цикле этого выпуска см. в статье Следующий выпуск Windows 10 канала долгосрочного обслуживания (LTSC).

Аппаратная безопасность

System Guard

В этой версии Windows в System Guard улучшена новая функция — Защита встроенного ПО SMM. Эта функция основана на параметре политики Безопасный запуск System Guard и позволяет сократить поверхность атак на встроенное ПО, а также убедиться, что встроенное ПО SMM на устройстве работает в нормальном режиме (в частности, SMM-код не может получить доступ к памяти ОС и секретным данным).

В этом выпуске System Guard в защитнике Windows обеспечивает еще болеевысокий уровень защиты встроенного ПО в режиме управления системой (SMM), который выходит за рамки проверки памяти и секретов операционной системы и включает использование других ресурсов, таких как регистры и операции ввода-вывода.

Благодаря этому улучшению операционная система может определить высокий уровень соответствия SMM, что позволяет еще больше защитить устройства от эксплойтов и уязвимостей SMM. В зависимости от платформы, базовой версии оборудования и встроенного ПО, есть три версии защиты встроенного ПО от SMM (первая, вторая и третья), причем каждая из последующих версий предлагает более надежную защиту, чем предыдущие.

На сегодняшний день на рынке уже есть устройства, которые предлагают защиту встроенного ПО от SMM первой и второй версии. Защита встроенного ПО от SMM третьей версии: эта функция в настоящее время считается предстоящей и требует нового оборудования, которое будет доступно в ближайшее время.

Безопасность операционной системы

Безопасность системы

Улучшения в приложении Безопасность Windows. Появлялся журнал защиты, который содержит более подробные и понятные сведения об угрозах и доступных действиях. Также в журнале защиты указываются операции блокировки функции контролируемого доступа к файлам, действия сканирования автономного Защитника Windows и любые рекомендуемые действия, ожидающие применения.

Шифрование и защита данных

BitLocker и мобильные Управление устройствами (MDM) с Microsoft Entra ID работают вместе, чтобы защитить ваши устройства от случайного раскрытия пароля. Теперь новая функция последовательной смены ключей безопасно меняет пароли восстановления на устройствах, управляемых MDM. Эта функция активируется, когда Microsoft Intune/средства MDM или пароль восстановления используется для разблокировки диска, защищенного BitLocker. В результате пароль восстановления будет лучше защищен, когда пользователи вручную разблокируют диск BitLocker.

Сетевая безопасность

Брандмауэр Защитника Windows

Брандмауэр Защитника Windows теперь предлагает следующие преимущества.

Снижение риска. Брандмауэр Защитника Windows уменьшает поверхность атаки устройства с помощью правил, ограничивающих или разрешающих трафик по многим свойствам, таким как IP-адреса, порты или пути к программам. Уменьшение поверхности атаки устройства повышает управляемость и снижает вероятность успешной атаки.

Защита данных. Благодаря встроенному набору протоколов IPsec брандмауэр Защитника Windows предоставляет простой способ обеспечения аутентифицированной и сквозной сетевой связи. Он предоставляет масштабируемый многоуровневый доступ к доверенным сетевым ресурсам, помогая обеспечить целостность данных и при желании помогая защитить конфиденциальность данных.

Больше ценность. Брандмауэр Защитника Windows — это брандмауэр, расположенный на узле, и он входит в состав операционной системы, поэтому другое оборудование или программное обеспечение не требуется. Брандмауэр Защитника Windows также предназначен для дополнения существующих решений для обеспечения безопасности сети, не относящихся к Майкрософт, с помощью задокументированных программных интерфейсов (API).

Брандмауэр Защитника Windows теперь также упрощает анализ и отладку. Поведение IPsec интегрировано с монитором пакетов (pktmon), встроенным межкомпонентным средством диагностики сети для Windows.

Кроме того, журналы событий брандмауэра Защитника Windows улучшены, чтобы аудит мог определить определенный фильтр, отвечающий за любое конкретное событие. Это улучшение позволяет анализировать поведение брандмауэра и захват объемных пакетов без необходимости использовать прочие средства.

Брандмауэр Защитника Windows теперь также поддерживает подсистему Windows для Linux (WSL). Вы можете добавлять правила для процесса WSL, как и для процессов Windows. Подробнее см. в статье Брандмауэр Защитника Windows теперь поддерживает подсистемы Windows для Linux (WSL).

Защита от вирусов и угроз

Сокращение зоны атак . ИТ-администраторы могут настроить устройства с расширенной веб-защитой, которая позволяет им определять списки разрешений и списки блокировок для определенных URL-адресов и IP-адресов. Защита следующего поколения . Элементы управления были расширены для защиты от программ-шантажистов, неправильного использования учетных данных и атак, передаваемых через съемные хранилища.

  • Возможности обеспечения целостности. Включите удаленную аттестацию среды выполнения Windows 10 платформы.
  • Возможности защиты от незаконного изменения. Использует безопасность на основе виртуализации для изоляции критически важных Microsoft Defender для конечной точки возможностей безопасности от ОС и злоумышленников. Поддержка платформы. В дополнение к Windows 10 функциональность Microsoft Defender для конечной точки была расширена для поддержки клиентов Windows 7 и Windows 8.1, а также macOS, Linux и Windows Server с возможностями обнаружения конечных точек (EDR) и Endpoint Protection Platform (EPP).

Расширенное машинное обучение. Улучшенные модели машинного обучения и искусственного интеллекта, которые позволяют защититься от самых продвинутых угроз, использующих инновационные инструменты и вредоносные программы, а также эксплойты, нацеленные на уязвимости.

Экстренная защита от эпидемий вредоносных программ. Предоставляет систему экстренной защиты от эпидемий вредоносных программ, которая автоматически передает на устройства новые данные о вредоносных программах при обнаружении новой эпидемии.

Сертификация в соответствии со стандартом ISO 27001. Облачная служба выполняет анализ на наличие угроз, уязвимостей и их возможных последствий, а также на предмет наличия средств управления рисками и безопасностью.

Поддержка геолокации. Возможность определения географического расположения образцов данных и обеспечение их суверенитета, а также поддержка настраиваемых политик хранения.

Улучшена поддержка для путей к файлам с символами, не входящими в ASCII, для автоматического реагирования на инциденты (IR) службы Advanced Threat Protection в Microsoft Defender (ATP).

Примечание.

Параметр DisableAntiSpyware устарел и больше не поддерживается в этом выпуске.

Безопасность приложений

Изоляция приложений.

Песочница Windows. Изолированная настольная среда, в которой можно запускать ненадежное программное обеспечение без риска ущерба для вашего устройства.

Application Guard в Microsoft Defender

Улучшения Application Guard в Защитнике Windows:

  • Автономные пользователи могут устанавливать и настраивать параметры Application Guard в Защитнике Windows без необходимости в изменении параметров раздела реестра. Корпоративные пользователи могут проверять свои параметры на предмет того, что их администраторы настроили для их компьютеров, чтобы лучше понять поведение Application Guard в Защитнике Windows.

  • Application Guard теперь является расширением в Google Chrome и Mozilla Firefox. Многие пользователи находятся в гибридной среде браузера и хотели бы расширить технологию изоляции браузера Application Guard за пределы Microsoft Edge. В последнем выпуске пользователи могут установить расширение Application Guard в браузере Chrome или Firefox. Это расширение перенаправляет подозрительные переходы в браузер Application Guard Edge. В Microsoft Store теперь доступно вспомогательное приложение, позволяющее включить эту функцию. С помощью этого приложения пользователи могут быстро запускать Application Guard со своего рабочего стола. Эта функция также доступна в Windows 10, версия 1803, или более поздних версиях с самыми последними обновлениями.

    Чтобы попробовать это расширение, выполните указанные ниже действия.

    1. Настройте политики Application Guard на устройстве.
    2. Перейдите на страницу веб-магазина Chrome или Firefox и найдите приложение Application Guard. Установите расширение.
    3. Выполните дополнительные действия по настройке, указанные на странице настройки расширения.
    4. Перезагрузите устройство.
    5. Перейдите на ненадежный сайт в браузере Chrome и Firefox.

Динамическая навигация. Application Guard предоставляет возможность динамической навигации — теперь приложение Application Guard позволяет пользователям переходить назад в их хост-браузер по умолчанию из Application Guard Microsoft Edge. Ранее при работе в Application Guard Edge и при попытке перейти на доверенный сайт в браузере-контейнере отображалась страница с ошибкой. Благодаря этой новой функции пользователи будут автоматически перенаправляться в их хост-браузер по умолчанию при открытии ненадежного сайта в Application Guard Edge. Эта функция также доступна в Windows 10, версия 1803, или более поздних версиях с самыми последними обновлениями.

Производительность Application Guard улучшается благодаря оптимизации времени открытия документов:

  • Устранена проблема, которая могла приводить к задержке на минуту и более при открытии документа Office в Application Guard в Microsoft Defender. Эта проблема могла проявиться при попытке открыть файл с помощью пути универсальной конвенции имен (UNC) или ссылки совместного использования сервера блокировки сообщений (SMB).
  • Устранена проблема с памятью, из-за которой контейнер Application Guard мог использовать почти 1 ГБ памяти рабочего набора при простое контейнера.
  • Улучшена производительность Robocopy при копировании файлов размером более 400 МБ.

Управление приложением

Управление приложениями для Windows. В Windows 10 версии 1903 в решении "Управление приложениями в Защитнике Windows" (WDAC) доступен ряд новых функций, реализующих основные сценарии и обеспечивающих такой же набор функций, что и в AppLocker.

  • Несколько политик: Защитник Windows управление приложениями теперь поддерживает несколько одновременных политик целостности кода для одного устройства, чтобы обеспечить выполнение следующих сценариев: 1) принудительное применение и аудит параллельно, 2) упрощение нацеливания на политики с разными область или намерениями, 3) расширение политики с помощью новой дополнительной политики.
  • Правила на основе пути. Условие пути идентифицирует приложение по его расположению в файловой системе компьютера или в сети, а не по автору подписи или хэш-идентификатору. Кроме того, в системе WDAC есть параметр, позволяющий администраторам принудительно применять правило, разрешающее выполнение только того кода, который поступает из путей, не поддерживающих запись пользователем. При попытке запуска кода в среде выполнения проводится сканирование каталога и проверка файлов на предмет наличия разрешений на запись у неизвестных администраторов. Если файл поддерживает доступен пользователям для записи, его выполнение блокируется до тех пор, пока не будет получено разрешение из источника, отличного от правила пути (например, источником разрешения может быть автор подписи или правило хэша).
    За счет этого обеспечивается одинаковая функциональность WDAC и AppLocker с точки зрения поддержки правил путей к файлам. WDAC позволяет обеспечить более высокий уровень безопасности за счет политик на основе правил путей к файлам и возможности проверки разрешений на запись у пользователей во время выполнения файлов. В AppLocker эта возможность недоступна.
  • Разрешение регистрации COM-объектов. Ранее решение "Управление приложениями в Защитнике Windows" принудительно применяло встроенный список разрешений для регистрации COM-объектов. Этот механизм работает в большинстве распространенных сценариев использования приложений, но пользователи сообщали, что в некоторых случаях появляется необходимость разрешить дополнительные COM-объекты. В обновлении 1903 для Windows 10 можно указывать разрешенные COM-объекты с помощью их идентификатора GUID в политике WDAC.

Удостоверение и конфиденциальность

Защищенное удостоверение

Усовершенствования Windows Hello включают следующее.

  • Windows Hello теперь поддерживается средством проверки подлинности Fast Identity Online 2 (FIDO2) во всех основных браузерах, включая Chrome и Firefox.
  • Теперь вы можете включить вход без пароля для учетных записей Майкрософт на устройстве Windows 10, перейдя в раздел Параметры > Учетные > записи Параметры входа и выбрав Включено в разделе Сделать устройство без пароля. Включение функции входа без пароля переключит все учетные записи Microsoft на вашем устройстве с Windows 10 на современную проверку подлинности с помощью распознавания лиц Windows Hello, отпечатков пальца или ПИН-кода.
  • В безопасный режим добавлена поддержка входа с помощью ПИН-кода в Windows Hello.
  • Windows Hello для бизнеса теперь имеет Microsoft Entra гибридную поддержку и вход с номером телефона (учетная запись Майкрософт). Поддержка ключей безопасности FIDO2 расширена для Microsoft Entra гибридных сред, что позволяет предприятиям с гибридными средами использовать преимущества проверки подлинности без пароля. Дополнительные сведения см. в разделеРасширение поддержки Azure Active Directory для предварительной версии FIDO2 до гибридных сред.
  • При наличии специализированных аппаратных и программных компонентов на устройствах, которые поставляются вместе с Windows 10, версия 20H2, настроенных за пределами завода, Windows Hello теперь предлагает дополнительное обеспечение безопасности на основе виртуализации с помощью датчиков отпечатков пальцев и распознавания лиц. Эта возможность позволяет изолировать и защитить данные биометрической проверки подлинности пользователя.
  • В Windows Hello добавлена поддержка нескольких камер: теперь при использовании камер с поддержкой Windows Hello пользователи могут указывать приоритет внешней камеры.
  • Windows Hello сертификации FIDO2: Windows Hello теперь является сертифицированным средством проверки подлинности FIDO2 и включает вход без пароля для веб-сайтов, поддерживающих проверку подлинности FIDO2, таких как учетная запись Майкрософт и Идентификатор Entra.
  • Упрощенная процедура сброса ПИН-кода для Windows Hello. Пользователям учетной записи Майкрософт доступен переработанный механизм сброса ПИН-кода для Windows Hello с интерфейсом, аналогичным интерфейсу входа в систему в Интернете.
  • Удаленный рабочий стол с биометрией. Пользователи Microsoft Entra ID и Active Directory, использующие Windows Hello для бизнеса, могут использовать биометрические данные для проверки подлинности в сеансе удаленного рабочего стола.

Защита учетных данных

Credential Guard

Credential Guard теперь доступен для устройств ARM64 для дополнительной защиты от кражи учетных данных для предприятий, развертывающих устройства ARM64 в своих организациях, таких как Surface Pro X.

Элементы управления конфиденциальностью

Параметры конфиденциальности микрофона. В области уведомлений появляется значок микрофона, с помощью которого можно узнать, какие приложения используют микрофон.

Облачные службы

Microsoft Intune

Microsoft Intune поддерживает Windows 10 Корпоративная LTSC 2021 со следующим исключением:

  • Круги обновлений не могут использоваться для обновлений компонентов, так как Windows 10 версии LTSC не получают обновления компонентов. Круги обновлений можно использовать для обновления качества для клиентов Windows 10 Корпоративная LTSC 2021.

Новое удаленное действие Intune: Сбор диагностики позволяет собирать журналы с корпоративных устройств, не прерывая работы конечных пользователей и не дожидаясь их реакции. Дополнительные сведения см. в материалеУдаленное действие "Сбор диагностики"

В Intune также добавились возможности Управления доступом на основе ролей (RBAC), которые можно использовать для уточнения параметров профиля на странице состояния регистрации (ESP). Дополнительные сведения см. в разделе Создание профиля страницы состояния регистрации и назначение его группе.

Полный список нововведений в Microsoft Intune см. в материале Что нового в Microsoft Intune.

Управление мобильными устройствами

Политика управления мобильными устройствами (MDM) дополнена новыми параметрами локальных пользователей и групп, которые соответствуют параметрам устройств, управляемых с помощью групповой политики.

Дополнительные сведения о новых возможностях MDM см. в разделе Новые возможности регистрации и управления мобильными устройствами

У службы групповой политики (GPSVC) инструментария управления Windows (WMI) улучшена производительность поддержки сценариев удаленной работы.

  • Устранена проблема, из-за которой внесенные администратором изменения членства пользователей или компьютеров в группах Active Directory (AD) распространялись медленно. Хотя маркер доступа в конечном итоге обновлялся, эти изменения могли быть не видны, когда администратор использовал gpresult /r или gpresult /h для создания отчета.

Смена и чередование ключей

В этом выпуске также содержатся две новые функции: смена ключей и смена ключей, которая обеспечивает безопасную смену паролей восстановления на управляемых MDM Microsoft Entra ID устройствах по запросу из средств Microsoft Intune/MDM или при использовании пароля восстановления для разблокировки защищенного диска BitLocker. Эта функция поможет предотвратить случайное раскрытие паролей восстановлении при ручной разблокировке диска BitLocker пользователями.

Развертывание

Средство SetupDiag

SetupDiag — это средство командной строки, которое помогает диагностировать причины сбоя обновления для Windows 10. SetupDiag выполняет поиск в файлах журнала программы установки Windows. При поиске в файлах журнала SetupDiag использует набор правил для обнаружения известных проблем. В текущей версии SetupDiag файл rules.xml содержит 53 правил, которые извлекаются при запуске SetupDiag. Файл rules.xml будет обновляться по мере выхода новых версий SetupDiag.

Зарезервированное хранилище

Зарезервированное хранилище. Зарезервированное хранилище выделяет место на диске, которое будет использоваться обновлениями, приложениями, временными файлами и системными кэшами. Оно улучшает ежедневную работу компьютера, обеспечивая доступ важных функций операционной системы к месту на диске. Зарезервированное хранилище будет включено автоматически на новых компьютерах с предустановленной ОС Windows 10 версии 1903 и для чистых установок. При обновлении с предыдущей версии Windows 10 эта функция не будет включаться.

Комплект средств для развертывания и оценки Windows (ADK)

Доступен новый Windows ADK для Windows 11 с поддержкой Windows 10 версии 21H2.

Microsoft Deployment Toolkit (MDT)

Последние сведения о MDT см. в статье Заметки о выпуске MDT.

Программа установки Windows

В файлах ответов программы установки Windows (unattend.xml) усовершенствована работа с языками.

Улучшения в программе установки Windows в этом выпуске также включают:

  • Уменьшено время автономного состояния в процессе обновления компонентов
  • Улучшены элементы управления зарезервированным хранилищем
  • Улучшены элементы управления и диагностики
  • Новые параметры восстановления

Дополнительные сведения см. в статье «Улучшения программы установки Windows» в блоге о Windows для ИТ-специалистов.

Microsoft Edge

Поддержка браузера Microsoft Edge теперь включена в поставку.

Режим терминала в Microsoft Edge

Режим терминала Microsoft Edge доступен для выпусков LTSC, начиная с Windows 10 Корпоративная 2021 LTSC и Windows 10 IoT Корпоративная 2021 LTSC.

Режим терминала Microsoft Edge предлагает два варианта блокировки браузера, чтобы организации могли создавать, управлять и обеспечивать наилучшие условия для своих клиентов. Доступны следующие варианты блокировки:

  • Цифровые или интерактивные вывески отображают конкретный сайт в полноэкранном режиме.
  • Общедоступный просмотр запускает ограниченную версию Microsoft Edge с несколькими вкладками.
  • В обоих случаях выполняется сеанс Microsoft Edge InPrivate, который защищает пользовательские данные.

Подсистема Windows для Linux

Подсистема Windows для Linux (WSL) встроена в поставку.

Сеть

Добавлена поддержка стандартов WPA3 H2E для дополнительной безопасности Wi-Fi.

См. также

Windows 10 Корпоративная LTSC: краткое описание канала обслуживания LTSC со ссылками на сведения о каждом выпуске.