Новые возможности для ИТ-специалистов в Windows 10, версия 1809

Область применения: Windows 10, версия 1809

В этой статье описываются новые и обновленные функции Windows 10 версии 1809, представляющие интерес для ИТ-специалистов. Это обновление также содержит все функции и исправления, включенные в предыдущие накопительные пакеты обновления для Windows 10 версии 1803.

Развертывание

Режим саморазвертывания Windows Autopilot

Режим саморазвертывания Windows Autopilot обеспечивает автоматическую подготовку к работе устройств. Просто включите устройство, подключите его к Ethernet и Windows Autopilot автоматически его настроит.

Благодаря этой возможности саморазвертывания отпадает необходимость во взаимодействии пользователя с программой настройки, а именно в нажатии кнопки "Далее" во время процесса развертывания.

Вы можете использовать режим саморазвертывания Windows Autopilot, чтобы зарегистрировать устройство в клиенте Azure Active Directory, зарегистрироваться у поставщика MDM вашей организации и предоставить политики и приложения, и все это без проверки подлинности пользователя или взаимодействия с пользователем.

Дополнительные сведения о режиме саморазвертывания Autopilot и пошаговые инструкции по выполнению развертывания в этом режиме см. в разделе Режим саморазвертывания Windows Autopilot.

SetupDiag

Выпущена версия 1.4 средства SetupDiag. SetupDiag — это автономное диагностическое средство, которое можно использовать для устранения проблем с обновлением до Windows 10.

Безопасность

Мы продолжаем работать над областью Текущие угрозы в защите от вирусов&, в которой теперь отображаются все угрозы, требующие действий. Можно быстро принять соответствующие меры в отношении угроз на этом экране:

& Параметры защиты от вирусов.

Контролируемый доступ к файлам помогает предотвращать изменение личных файлов программами-шантажистами и другими вредоносными программами. В некоторых случаях внесение изменений в такие общие папки, как Документы и Изображения, приложениями, которые вы часто используете, может блокироваться. Мы упростили процесс добавления приложений, которые были недавно заблокированы, в список разрешенных, чтобы вы могли продолжать пользоваться устройством без полного отключения функции.

При блокировании приложения, оно будет появляться в списке недавно заблокированных приложений, который можно открыть, щелкнув Управление параметрами в разделе Защита от программ-шантажистов. Щелкните Разрешить работу приложения через контролируемый доступ к файлам После отображения запроса нажмите кнопку + и выберите Недавно заблокированные приложения. Выберите любые приложения, которые необходимо добавить в список разрешенных. Кроме того, к приложению можно перейти с этой страницы.

Мы добавили новую оценку для службы времени Windows в раздел Работоспособность производительности & устройств . Если окажется, что время вашего устройства неправильно синхронизировано с нашими серверами времени, а служба синхронизации времени отключена, система предоставит вам возможность включить эту службу.

Мы продолжаем работать над тем, как другие устанавливаемые вами приложения для обеспечения безопасности, отображаются в приложении Безопасность Windows. Появилась новая страница под названием Поставщики безопасности в разделе Параметры приложения. Нажмите кнопку Управление поставщиками для просмотра списка всех других поставщиков безопасности (включая антивирусные программы, межсетевой экран и защиту от веб-угроз), работающих на вашем устройстве. Здесь можно легко открыть приложения поставщиков или получить дополнительные сведения о способах устранения проблем, о которых сообщает Безопасность Windows.

Это также означает, что в приложении Безопасность Windows будут отображаться дополнительные ссылки на другие приложения для обеспечения безопасности. Например, если открыть раздел Защита сети брандмауэра&, вы увидите приложения брандмауэра, работающие на вашем устройстве в каждом типе брандмауэра, включая доменные, частные и общедоступные сети.

BitLocker

Автоматическое принудительное включение для фиксированных жестких дисков

С помощью политики управления современными устройствами (MDM) BitLocker может быть включен автоматически для стандартных пользователей, присоединенных к Azure Active Directory (AAD). В Windows 10 версии 1803 автоматическое шифрование BitLocker было включено для обычных пользователей Azure AD, но для шифрования по-прежнему требовалось современное оборудование, прошедшее проверку HSTI. Эта новая функциональная возможность включает шифрование BitLocker через политику даже на устройствах, которые не прошли проверку HSTI.

Эта новая функция представляет собой обновление решения BitLocker CSP, которое появилось в Windows 10 версии 1703 и использовалось в Intune и в других приложениях.

Эта функция будет скоро реализована в Olympia Corp в качестве дополнительной функции.

Доставка политики BitLocker на устройства Autopilot во время запуска запуска

Вы можете выбрать алгоритм шифрования, который будет применен к устройствам, поддерживающим автоматическое шифрование BitLocker, чтобы эти устройства не зашифровывали себя сами автоматически с помощью алгоритма по умолчанию. Это позволяет доставить алгоритм шифрования (и другие политики BitLocker, которые должны следует применить до шифрования) до начала шифрования BitLocker.

Например, можно выбрать алгоритм шифрования XTS-AES 256 и применить его к устройствам, которые ранее зашифровывали бы семя сами автоматически с помощью алгоритма XTS-AES 128 по умолчанию во время запуска при первом включении компьютера.

Для этого выполните следующие действия.

  1. Настройте параметры способа шифрования в профиле Windows 10 Endpoint Protection, выбрав необходимый алгоритм шифрования.

  2. Назначьте политику группе устройств Autopilot.

    Важно.

    Политика шифрования должна быть назначена устройствам в группе, а не пользователям.

  3. Включите страницу состояния регистрации Autopilot (ESP) для этих устройств.

    Важно.

    Если не включить ESP, политика не будет применена до начала шифрования.

Дополнительные сведения см. в разделе Настройка алгоритма шифрования BitLocker для устройств Autopilot.

Усовершенствования Application Guard в Защитнике Windows

В этом выпуске в Application Guard в Защитнике Windows (WDAG) добавлен новый пользовательский интерфейс внутри Безопасности Windows. Автономные пользователи теперь могут устанавливать и настраивать параметры Application Guard в Защитнике Windows в "Безопасности Windows" без необходимости в изменении параметров раздела реестра.

Кроме того, пользователи, управляемые с помощью политик предприятия, смогут проверять свои параметры на предмет того, что их администраторы настроили для их компьютеров, чтобы лучше понять поведение Application Guard в Защитнике Windows. Этот новый пользовательский интерфейс повышает общее удобство проверки и администрирования параметров Application Guard в Защитнике Windows для пользователей. Если устройства отвечают минимальным требованиям, эти параметры будут отображаться в компоненте "Безопасность Windows". Дополнительные сведения см. в разделе Application Guard в Защитнике Windows в приложении "Безопасность Windows".

Чтобы использовать это управление параметрами, выполните следующие действия.

  1. Перейдите к Безопасность Windows и выберите Элемент управления браузером приложений&.

  2. В разделе Изолированный просмотр выберите Установить Application Guard в Защитнике Windows, а затем установите и перезагрузите устройство.

  3. Выберите Изменить параметры Application Guard.

  4. Настройте или проверьте параметры Application Guard.

См. приведенный ниже пример.

Краткий обзор безопасности.

Изолированный браузер.

изменение параметров WDAG.

просмотр параметров WDAG.

Центр обеспечения безопасности Windows

Центр безопасности Защитника Windows теперь называется Центр обеспечения безопасности Windows.

Это приложение можно открыть обычным образом: например, попросить Кортану открыть Центр безопасности Windows (WSC) или щелкнуть значок на панели задач. WSC позволяет управлять всеми функциями безопасности, включая антивирусную программу "Microsoft Defender" и брандмауэр Защитника Windows.

Теперь, чтобы зарегистрировать антивирусный продукт, служба WSC запрашивает их запуск в качестве защищенного процесса. Продукты, в которых этот механизм еще не реализован, не будут отображаться в пользовательском интерфейсе Центра безопасности Windows. Антивирусная программа в Microsoft Defender будет оставаться включенной параллельно с этими продуктами.

В состав WSC теперь входят всем привычные элементы системы Fluent Design. Вы также заметите, что мы настроили интервалы и заполнение вокруг приложения. Теперь размер категорий на главной странице будет динамически изменяться при необходимости освободить место для дополнительных сведений. Мы также обновили заголовок окна. В нем будет использоваться цвет элементов, если вы включили этот параметр в разделе Параметры цвета.

замещающий текст.

Брандмауэр Защитника Windows теперь поддерживает процессы подсистемы Windows для Linux (WSL).

Определенные правила для процесса WSL в брандмауэре Защитника Windows можно добавлять так же, как и для всех процессов Windows. Кроме того, брандмауэр Защитника Windows теперь поддерживает уведомления для процессов WSL. Например, когда средство Linux решит разрешить доступ к порту извне (например, SSH или веб-серверный NGINX), брандмауэр Защитника Windows предложит разрешить доступ так же, как и для процессов Windows, когда порт начинает принимать подключения. Эта поддержка впервые появилась в сборке 17627.

Групповые политики Microsoft Edge

Мы представили новые параметры групповой политики и параметры управления современными устройствами для администрирования Microsoft Edge. Новые политики используются для выполнения следующих действий: включение и отключение полноэкранного режима, печать, отображение панели избранного и сохранение журнала; предотвращение переопределения ошибок сертификатов; настройка кнопки "Домой" и параметров запуска; настройка страницы "Новая вкладка" и URL-адреса кнопки "Домой ", а также управление расширениями. Дополнительные сведения о новых политиках Microsoft Edge.

Credential Guard в Защитнике Windows поддерживается по умолчанию на устройствах 10S, присоединенных к Azure Active Directory.

Credential Guard в Защитнике Windows — это служба безопасности в Windows 10, разработанная для защиты учетных данных домена Active Directory (AD), чтобы их не могли украсть или неправомерно использовать вредоносные программы на компьютере пользователя. Это решение предназначено для защиты от известных угроз, таких как атаки с передачей хэша и сборщики учетных данных.

Компонент Credential Guard в Защитнике Windows всегда был необязательным, но в Windows 10-S он включен по умолчанию, если компьютер присоединен к Azure Active Directory. За счет этого обеспечивается дополнительный уровень безопасности при подключении к ресурсам домена, которых обычно нет на устройствах с 10-S. Решение Credential Guard в Защитнике Windows доступно только для устройств в S-режиме, а также для выпусков Windows Корпоративная и для образовательных учреждений.

Для S-режима в Windows 10 Pro требуется сетевое подключение.

Теперь сетевое подключение требуется для настройки нового устройства. В результате мы удалили пункт "пропустить этот шаг сейчас" на странице настройки сети во время запуска при первом включении компьютера (OOBE).

Расширенная защита от угроз в Microsoft Defender

Служба Расширенной защиты от угроз в Microsoft Defender дополнена многими новыми возможностями. Дополнительные сведения см. в следующих разделах.

  • Аналитика угроз
    Threat Analytics — это набор интерактивных отчетов, публикуемых аналитической группой расширенной защиты в Microsoft Defender по мере выявления новых угроз и вирусов. Эти отчеты помогают службам безопасности оценивать влияние угроз на их среду и предоставляют рекомендуемые действия по сдерживанию угроз, повышения устойчивости организаций и предотвращения конкретных угроз.

  • Настраиваемые средства обнаружения угроз
    С помощью настраиваемых средств обнаружения угроз можно создавать настраиваемые запросы для мониторинга событий в поведении любого типа, например подозрительных и возникающих угроз. Для создания запроса можно воспользоваться функцией Расширенной охоты, создавая настраиваемые правила обнаружения.

  • Поддержка поставщика управляемых служб безопасности (MSSP)
    В расширенной защите от угроз в Microsoft Defender реализована поддержка этого сценария за счет интеграции MSSP. Интеграция позволяет поставщикам MSSP выполнять следующие действия: осуществлять доступ к порталу Центра безопасности Защитника Windows пользователя MSSP, получать уведомления об электронной почте, а также получать оповещения с помощью средств управления событиями и информацией о безопасности (SIEM).

  • Интеграция с Azure Defender
    Расширенная защита от угроз в Microsoft Defender интегрируется с Azure Defender для предоставления исчерпывающего решения для защиты сервера. Благодаря этой интеграции Azure Defender может использовать возможности Microsoft Defender для конечной точки, чтобы лучше обнаруживать угрозы на серверах с Windows Server.

  • Интеграция с Microsoft Cloud App Security
    Microsoft Cloud App Security использует сигналы Microsoft Defender для конечной точки, чтобы напрямую отслеживать использование облачных приложений, включая использование неподдерживаемых облачных служб (теневые ИТ-ресурсы) на всех компьютерах, работу которых отслеживает Microsoft Defender для конечной точки.

  • Подключение Windows Server 2019
    Расширенная защита от угроз в Microsoft Defender теперь добавляет поддержку для Windows Server 2019. Вы сможете подключать Windows Server 2019 таким же способом, как и клиентские компьютеры Windows 10.

  • Подключение предыдущих версий Windows
    Вы можете подключить компьютеры с поддерживаемой версией Windows, чтобы они отправляли данные датчику расширенной защиты от угроз в Microsoft Defender.

Облачный буфер обмена

Облачный буфер обмена помогает пользователям копировать содержимое между устройствами. Кроме того, он управляет журналом буфера, чтобы вы могли вставлять старые скопированные данные. Вы можете получить доступ к нему с помощью сочетания клавиш Windows + V. Настройка облачного буфера обмена:

  1. Перейдите в раздел Параметры Windows и выберите Системы.

  2. В меню слева выберите Буфер обмена.

  3. Включите параметр Журнал буфера обмена.

  4. Включите параметр Синхронизация между устройствами. Выберите, следует ли автоматически синхронизировать скопированный текст между устройствами.

Настройка режима киоска

Мы реализовали упрощенный механизм конфигурации ограниченного доступа в разделе Параметры, который позволяет администраторам легко настраивать компьютер в режиме киоска или цифровой вывески. Эта настройка выполняется с помощью мастера, включая создание учетной записи киоска, вход в которую осуществляется автоматически при запуске устройства.

Чтобы использовать эту функцию, перейдите в раздел Параметры, выполните поиск по запросу ограниченный доступ и откройте страницу Настройка режима киоска.

настройка киоска.

У режима киоска в Microsoft Edge, запущенного для одного приложения с ограниченным доступом, есть два типа киоска.

  1. Цифровая/интерактивная вывеска — отображение конкретного веб-сайта во весь экран в режиме InPrivate.

  2. Открытый просмотр веб-страниц — поддержка просмотра веб-страниц на нескольких вкладках в режиме InPrivate с минимальным набором функций. Пользователи не могут сворачивать, закрывать и открывать новые окна Microsoft Edge, а также настраивать их с помощью параметров Microsoft Edge. Пользователи могут удалять данные журнала браузера и скачанные файлы, а также перезапускать Microsoft Edge нажатием кнопки Завершить сеанс. Администраторы могут настраивать перезапуск Microsoft Edge после периода бездействия.

ограниченный доступ для одного приложения.

У режима киоска в Microsoft Edge, запущенного для нескольких приложений с ограниченным доступом, есть два типа киоска.

Примечание.

Следующие типы режима киоска Microsoft Edge нельзя настроить с помощью нового мастера упрощенной настройки ограниченного доступа в разделе параметров Windows 10.

Открытый просмотр веб-страниц — поддержка просмотра веб-страниц на нескольких вкладках в режиме InPrivate с минимальным набором функций. В этой конфигурации Microsoft Edge может быть одним из многих доступных приложений. Пользователи могут закрывать и открывать несколько окон в режиме InPrivate.

ограниченный доступ для нескольких приложений.

Обычный режим — в нем запускается полная версия Microsoft Edge, тем не менее, некоторые функции могут не работать в зависимости от того, какие приложения настроены в режиме ограниченного доступа. Например, если приложение Microsoft Store не настроено, пользователи не смогут получать книги.

обычный режим.

Дополнительные сведения см. в разделе Режим киоска Microsoft Edge.

Улучшения редактора реестра

Мы добавили раскрывающийся список, отображающийся по мере ввода текста, в котором отображаются слова-подсказки для автозаполнения. Можно также нажать клавиши CTRL+BACKSPACE, чтобы удалить последнее слово, и CTRL+DELETE для удаления следующего слова.

Раскрывающийся список редактора реестра.

Более быстрый вход на общий компьютер с Windows 10

У вас есть общие устройства, развернутые в вашей организации? Функция Быстрый вход позволяет пользователям мгновенно выполнять вход на общие компьютеры с Windows 10.

Чтобы включить функцию быстрого входа, выполните следующие действия.

  1. Настройте общее или гостевое устройство с Windows 10, версия 1809.

  2. Настройте включение быстрого входа в поставщике служб конфигурации политики, а также в политиках проверки подлинности и политике EnableFastFirstSignIn.

  3. Войдите в общий компьютер сот своей учетной записью. Вы заметите разницу!

    быстрый вход.

Примечание.

Это закрытая ознакомительная версия функции. Она не предназначена и не рекомендована для решения производственных задач. В настоящее время этот параметр не поддерживается.

Веб-вход в Windows 10

Важно.

Это частная ознакомительная версия функции. Она не предназначена и не рекомендована для решения производственных задач. В настоящее время этот параметр не поддерживается.

Ранее для входа в Windows можно было использовать только федеративные удостоверения ADFS или других поставщиков, поддерживающих протокол WS-Fed. Представляем веб-вход: новый способ входа на компьютер с Windows. Веб-вход включает поддержку входа в Windows для учетных данных, недоступных в Windows. Веб-вход ограничен только поддержкой временного пропуска для доступа Azure AD.

Чтобы попробовать веб-вход на практике, выполните следующие действия.

  1. Присоедините компьютер с Windows 10 к Azure AD. (Веб-вход поддерживается только на компьютерах, присоединенных к Azure AD.)

  2. Настройте поставщик служб конфигурации политики, а также политики "Проверка подлинности" и EnableWebSignIn, чтобы включить веб-вход.

  3. На экране блокировки выберите веб-вход в разделе "Параметры входа".

  4. Чтобы продолжить, нажмите кнопку Войти.

    Веб-вход.

Примечание.

Это закрытая ознакомительная версия функции. Она не предназначена и не рекомендована для решения производственных задач.

Приложение "Ваш телефон"

Пользователям телефонов с Android теперь не нужно отправлять фотографии по электронной почте самим себе. Приложение "Ваш телефон" обеспечивает мгновенный доступ с компьютера к последним фотографиям, сделанным на устройстве с Android. Перетащите фотографию из приложения "Ваш телефон" на компьютер, после чего вы сможете копировать и редактировать фотографию, а также сопровождать ее текстом. Попробуйте сделать это, открыв приложение Ваш телефон. Вы получите SMS со ссылкой для скачивания приложения от корпорации Майкрософт на свой телефон. Устройства Android 7.0 и более поздних версий с функциями Ethernet или Wi-Fi и безлимитным тарифным планом совместимы с приложением Ваш телефон. Для компьютеров, привязанных к китайскому региону, поддержка служб приложения Ваш телефон будет добавлена в будущем.

Пользователям iPhone приложение Ваш телефон также помогает привязать телефон к компьютеру. Можно просматривать веб-сайты на телефоне, а затем мгновенно отправлять веб-страницы на компьютер, чтобы продолжить делать то, на чем вы остановились, — читать, смотреть видео или просматривать веб-сайты, — со всеми преимуществами большого экрана.

Ваш телефон.

Если закрепить приложение на рабочем столе, вы сможете переходить к приложению Ваш телефон напрямую и осуществлять быстрый доступ к содержимому своего телефона. Можно также перейти в список всех приложений в меню "Пуск" или с помощью клавиши Windows найти приложение Ваш телефон.

Беспроводная проекция

Пользователи сообщали, что им сложно определить, когда выполняется проекция по беспроводной сети, и как завершить сеанс при его запуске из проводника или приложения. В Windows 10, версия 1809, при запуске сеанса в верхней части экрана отображается баннер управления (похожий на тот, который пользователи видят при использовании удаленного рабочего стола). Этот баннер сообщает о состоянии подключения, позволяет быстро отключаться или повторно подключаться к тому же приемнику, а также позволяет настроить подключение в зависимости от того, какие действия вы выполняете. Эта настройка выполняется в разделе Параметры для оптимизации межэкранной задержки на основе одного из трех режимов:

  • Режим игры сводит к минимуму межэкранную задержку, чтобы можно было играть по беспроводному подключению
  • В режиме видео увеличивается задержка между экранами, чтобы обеспечить плавное воспроизведение видео на большом экране.
  • В режиме производительности используются промежуточные параметры между режимом игры и режимом видео: задержка между экранами настраиваться так, чтобы можно было плавно вводить текст и воспроизводить видео без заметных рывков.

баннер беспроводной проекции.

Удаленный рабочий стол с функцией биометрии

Windows Hello для бизнеса поддерживает использование сертификата, развернутого в контейнере Windows Hello для бизнеса, в качестве предоставленных учетных данных для установки подключения к удаленному рабочему столу к серверу или другому устройству. Эта функция использует возможности перенаправленных смарт-карт протокола удаленного рабочего стола. Пользователи, использующие более ранние версии Windows 10, могли проходить проверку подлинности на удаленном рабочем столе с помощью Windows Hello для бизнеса но ограничивались использованием ПИН-кода в качестве жеста проверки подлинности. Windows 10, версия 1809 предоставляет пользователям возможность проходить проверку подлинности в сеансе удаленного рабочего стола с помощью биометрического жеста Windows Hello для бизнеса.

Пользователи Azure Active Directory и Active Directory, использующие Windows Hello для бизнеса в модели доверия сертификатов, могут использовать биометрические данные для проверки подлинности в сеансе удаленного рабочего стола.

Чтобы приступить к работе, войдите на устройство с помощью Windows Hello для бизнеса. Откройте подключение к удаленному рабочему столу (mstsc.exe), введите имя устройства, к которому нужно подключиться, и нажмите кнопку Подключить. Windows запоминает ваш вход с помощью Windows Hello для бизнеса и автоматически выбирает Windows Hello для бизнеса для проверки подлинности при подключении к сеансу RDP. Вы также можете выбрать дополнительные варианты, чтобы выбрать альтернативные учетные данные. Windows использует биометрические данные для проверки подлинности сеанса RDP на устройстве Windows. Вы можете продолжать использовать Windows Hello для бизнеса в удаленном сеансе, но в удаленном сеансе необходимо использовать ПИН-код.

См. приведенный ниже пример.

Введите свои учетные данные для Windows Hello.Подключение к удаленному рабочему столу.Microsoft Hyper-V Server 2016.