Windows 10 企业版 LTSC 2015 中的新增功能

适用范围

  • Windows 10 企业版 LTSC 2015

本文列出了 IT 专业人员对 Windows 10 企业版 LTSC 2015 (LTSB) 感兴趣的新增功能和更新的功能和内容。 有关 LTSC 服务通道的简要说明,请参阅 Windows 10 企业版 LTSC

部署

使用 Windows 映像和配置设计器 (ICD) 预配设备

在 Windows 10 中,你可以创建预配包,以快速且高效地配置设备,而无需安装新映像。 使用 Windows 预配的 IT 管理员可以使用向导驱动的用户界面轻松指定将设备注册到管理所需的配置和设置,然后在几分钟内将此配置应用到目标设备。 它最适合部署几十台到几百台计算机的小中型企业。

详细了解Windows 10中的预配

安全

AppLocker

AppLocker 已可用于Windows 8.1,Windows 10进行了改进。 有关操作系统 要求的列表,请参阅使用 AppLocker 的要求。

Windows 10中 AppLocker 的增强功能包括:

  • 已向 New-AppLockerPolicy Windows PowerShell cmdlet 添加了一个新参数,该参数可使你选择可执行文件和 DLL 规则集合是否适用于非交互过程。 若要启用此参数,请将 ServiceEnforcement 设置为已启用
  • 已添加了新的 AppLocker 配置服务提供程序来允许你使用 MDM 服务器启用 AppLocker 规则。

了解如何在组织内管理 AppLocker

BitLocker

Windows 10中 AppLocker 的增强功能包括:

  • 使用 Azure Active Directory 加密和恢复设备。 除了使用 Microsoft 帐户,自动 设备加密 现在可以对已加入 Azure Active Directory 域的设备进行加密。 当设备已加密后,BitLocker 恢复密钥将自动托管到 Azure Active Directory。 第三方托管将使联机恢复 BitLocker 密钥变得更加简单。
  • DMA 端口保护。 你可以使用 DataProtection/AllowDirectMemoryAccess MDM 策略在设备启动时阻止 DMA 端口。 同样地,当设备锁定时,所有未使用的 DMA 端口都将关闭,但所有已插入 DMA 端口的设备将继续工作。 解锁设备后,所有 DMA 端口将重新打开。
  • 用于配置预启动恢复的新组策略。 你现在可以配置预启动恢复消息并恢复在预启动恢复屏幕上显示的 URL。 有关详细信息,请参阅“BitLocker 组策略设置”中的配置预启动恢复消息和 URL部分。

了解如何在组织内部署和管理 BitLocker

证书管理

对于基于 Windows 10 的设备,除了使用简单证书注册协议 (SCEP) 进行注册,你还可以通过 MDM 服务器使用个人信息交换 (PFX) 直接部署客户端身份验证证书,包括用于在企业中支持 Windows Hello 企业版的证书。 你将能够使用 MDM 注册、续订和删除证书。

Microsoft Passport

在 Windows 10 中,Microsoft Passport 将密码替换为由注册设备和 Windows Hello(生物识别)或 PIN 组成的强双因素身份验证。

Microsoft Passport 允许用户对 Microsoft 帐户、Active Directory 帐户、Microsoft Azure Active Directory (AD) 帐户或支持 Fast ID Online (FIDO) 身份验证的非 Microsoft 服务进行身份验证。 在 Microsoft Passport 注册期间的初始双重验证后,Microsoft Passport 在用户设备上完成设置,用户将获得一个手势,该手势可以是 Windows Hello 或 PIN。 用户提供手势来验证身份;然后,Windows 使用 Microsoft Passport 对用户进行身份验证并帮助他们访问受保护的资源和服务。

安全审核

在 Windows 10 中,安全审核添加了一些改进:

新的审核子类别

在 Windows 10 中,高级审核策略配置中添加了两项新的审核子类别以在审核事件中提供更高的精度:

  • 审核组成员身份审核组成员身份子类别可在登录/注销审核类别中找到,它允许你审核用户登录令牌中的组成员身份信息。 当枚举组成员身份或在创建登录会话的电脑上查询时,将生成此子类别中的事件。 为实现交互式登录,将在用户登录的电脑上生成安全审核事件。 为实现网络登录,例如访问网络上的共享文件夹,将在托管资源的电脑上生成安全审核事件。 在配置此设置时,每次成功登录会生成一项或多项安全审核事件。 还必须在 Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff 下启用审核登录设置。 如果组成员身份信息无法容纳于单个安全审核事件中,将会生成多个事件。
  • 审核 PNP 活动审核 PNP 活动子类别可在详细追踪类别下找到,它允许你在即插即用检测到外部设备时进行审核。 对于此类别,仅记录“成功”审核。 如果未配置此策略设置,则在即插即用检测到外部设备时,将不会生成任何审核事件。 PnP 审核事件可用于跟踪系统硬件的更改,并将记录在发生更改的电脑上。 事件中包含硬件供应商 ID 的列表。

向现有审核事件添加了更多信息

在 Windows 10 版本 1507 中,我们已向现有审核事件添加了更多信息,以使你能更轻松地将完整审核跟踪进行汇总,并获取保护企业所需的信息。 对以下审核事件作了改进:

更改了内核默认审核策略

在以前的版本中,内核依赖于本地安全机构 (LSA) 来检索其某些事件中的信息。 在 Windows 10 中,将自动启用进程创建事件审核策略,直到从 LSA 中接收到了实际审核策略。 此设置可在 LSA 启动前更好地审核可能启动的服务。

将默认进程 SACL 添加到了 LSASS.exe

在 Windows 10 中,默认进程 SACL 添加到了 LSASS.exe,以记录尝试访问 LSASS.exe 的过程。 SACL 是 L"S:(AU;SAFA;0x0010;;;WD)"。 你可以在 Advanced Audit Policy Configuration\Object Access\Audit Kernel Object 下启用此进程。 此进程(启用时)可帮助识别从进程内存中窃取凭据的攻击。

登录事件中的新字段

登录事件 ID 4624 已更新为包括使其更易于分析的更为详细的信息。 以下字段已添加到事件 4624:

  1. MachineLogon 字符串:是或否 如果登录到电脑的帐户是计算机帐户,则此字段将为“是”。 否则,此字段为“No”。
  2. ElevatedToken 字符串:是或否 如果帐户已通过“管理登录”方法登录到电脑,则此字段将为“是”。 否则,此字段为“No”。 此外,如果此字段是拆分令牌的一部分,还将显示链接的登录 ID (LSAP_LOGON_SESSION)。
  3. TargetOutboundUserName 字符串 TargetOutboundUserDomain 字符串 使用 LogonUser 方法为出站流量创建的用户名和标识域。
  4. VirtualAccount 字符串:Yes 或 No 如果登录到电脑的帐户是虚拟帐户,则此字段为“Yes”。 否则,此字段为“No”。
  5. GroupMembership 字符串 用户令牌中所有组的列表。
  6. RestrictedAdminMode 字符串:Yes 或 No 如果用户使用远程桌面登录处于受限管理员模式下的电脑,则此字段为“Yes”。 有关受限管理员模式的详细信息,请参阅适用于 RDP 的受限管理员模式

进程创建事件中的新字段

登录事件 ID 4688 已更新为包括使其更易于分析的更为详细的信息。 以下字段已添加到事件 4688:

  1. TargetUserSid 字符串 目标主体的 SID。
  2. TargetUserName 字符串 目标用户的帐户名称。
  3. TargetDomainName 字符串 目标用户的域。
  4. TargetLogonId 字符串 目标用户的登录 ID。
  5. ParentProcessName 字符串 创建程序进程的名称。
  6. ParentProcessId 字符串 指向实际父进程的指针(如果它不同于创建者进程)。

新安全帐户管理器事件

在 Windows 10 中,添加了新 SAM 事件以包含用于执行读取/查询操作的 SAM API。 在以前版本的 Windows 中,仅审核写入操作。 新事件为事件 ID 4798 和事件 ID 4799。 现在将审核以下 API:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation

新 BCD 事件

添加了事件 ID 4826,以便跟踪启动配置数据库 (BCD) 所作的以下更改:

  • DEP/NEX 设置
  • 测试签名
  • PCAT SB 模拟
  • 调试
  • 启动调试
  • 完整性服务
  • 禁用 Winload 调试菜单

新的 PNP 事件

添加了事件 ID 6416,以便在通过即插即用检测到外部设备时进行跟踪。 一个重要方案是,将包含恶意软件的外部设备插入到未预料到这种操作的高价值计算机(例如域控制器)中。

了解如何管理组织中的安全审核策略

受信任的平台模块

Windows 10 中的新 TPM 功能

以下部分介绍了 TPM 中适用于 Windows 10 的新的和更改的功能:

设备运行状况证明

设备运行状况证明使企业能够根据托管设备的硬件和软件组件来建立信任。 借助设备运行状况证明,你可以配置 MDM 服务器来查询运行状况证明服务,该服务可允许或拒绝托管设备对安全资源的访问。 以下是你可以在设备上查看的一些事项:

  • 数据执行保护是否受支持并已启用?
  • BitLocker 驱动器加密是否受支持并已启用?
  • SecureBoot 是否受支持并已启用?

备注

设备必须运行 Windows 10,并且它必须至少支持 TPM 2.0。

了解如何在组织内部署和管理 TPM

用户帐户控制

用户帐户控制 (UAC) 有助于防止恶意软件损坏计算机并且有助于组织部署更易于管理的桌面环境。

不应关闭 UAC,因为此类设置不支持运行 Windows 10 的设备。 如果你关闭 UAC,所有通用 Windows 平台应用都将停止工作。 必须始终将 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 注册表值设置为 1。 如果需要为编程访问或安装提供自动提升,可以将 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin 注册表值设置为 0,这与设置 UAC 滑块“从不通知”相同。 不建议对运行 Windows 10 的设备使用此设置。

有关如何管理 UAC 的详细信息,请参阅 UAC 组策略设置和注册表项设置

在 Windows 10 中,用户帐户控制添加了一些改进:

  • 与反恶意软件扫描接口 (AMSI) 集成AMSI 扫描恶意软件的所有 UAC 提升权限请求。 一旦检测到恶意软件,将阻止管理员权限。

了解如何在组织内管理用户帐户控制

VPN 配置文件选项

Windows 10 提供了一组 VPN 功能,可提高企业安全性并提供改进的用户体验,包括:

  • 始终可用自动连接行为
  • 应用触发 VPN
  • VPN 流量筛选器
  • 锁定 VPN
  • 与 Microsoft Passport for Work 集成

了解有关 Windows 10 中的 VPN 选项的详细信息。

管理

Windows 10 将为 PC、笔记本电脑、平板电脑和手机提供移动设备管理 (MDM) 功能,这些功能支持公司所拥有设备和个人设备的企业级管理。

MDM 支持

Windows 10 的 MDM 策略与 Windows 8.1 中支持的策略一致,并且经过了扩展,可以处理更多企业方案,例如管理多个具有 Microsoft Azure Active Directory (Azure AD) 帐户的用户、对 Microsoft Store 的完全控制、VPN 配置等。

Windows 10 中的 MDM 支持基于开放移动联盟 (OMA) 设备管理 (DM) 协议 1.2.1 规范。

可以使用 Azure AD 为企业自动注册公司所拥有的设备。 Windows 10 的移动设备管理参考

注销

当某人离开你的组织并且你注销该用户帐户或设备不再进行管理时,企业控制的配置和应用将从该设备中删除。 你可以远程注销该设备,或者该人员可以通过手动从该设备中删除用户帐户来进行注销。

当注销某台个人设备时,用户的数据和应用保持不变,但将删除企业信息,例如证书、VPN 配置文件和企业应用。

基础结构

企业具有以下标识和管理选择。

区域 选择
标识 Active Directory;Azure AD
分组 域加入; 工作组; Azure AD 加入
设备管理 组策略;Microsoft Configuration Manager;Microsoft Intune;其他 MDM 解决方案;Exchange ActiveSync;Windows PowerShell;Windows Management Instrumentation (WMI)

备注

随着 Windows Server 2012 R2 的发布,网络访问保护 (NAP) 已弃用,并且 NAP 客户端现已从 Windows 10 中删除。 有关支持生命周期的详细信息,请参阅 Microsoft 支持生命周期

设备锁定

是否需要一台只能做一件事的计算机? 例如:

  • 大厅中客户可用于查看产品目录的设备。
  • 驾驶员可用于在地图上查看路线的便携式设备。
  • 临时工作人员用于输入数据的设备。

你可以配置永久的锁定状态来创建一个网亭类型的设备。 当登录锁定的帐户时,设备仅显示你选择的应用。

你还可以配置锁定状态,该操作在给定用户帐户登录时生效。 锁定将用户限制为仅使用你指定的应用。

还可以为设备外观配置锁定设置,例如某个主题或“开始”菜单上的自定义布局

“开始”屏幕布局

对于通用于多个用户设备以及出于专用目的而锁定的设备,标准的“开始”菜单布局会非常有用。 从 Windows 10 版本 1511 开始,管理员可以配置部分“开始”菜单布局,这将在允许用户创建和自定义其自己的磁贴组时应用指定的磁贴组。 了解如何自定义和导出“开始”菜单布局

管理员还可以使用移动设备管理 (MDM) 或组策略来禁用锁屏界面上的 Windows 聚焦的使用。

更新

适用于企业的 Windows 更新使信息技术管理员通过将这些系统直接连接到 Microsoft 的 Windows 更新服务,使组织中基于 Windows 10 的设备始终保持最新,并具有最新的安全防护和 Windows 功能。

通过使用 组策略对象,适用于企业的 Windows 更新是一个轻松建立和实现的系统,它使组织和管理员可以对如何更新基于 Windows 10 的设备施以控制,方法是通过允许:

  • 部署和验证组;管理员可以指定哪些设备先进行第一波更新,以及哪些设备稍后更新(确保符合所有质量规定)。

  • 对等传递,管理员可以通过有限带宽将更新有效地传递到分支机构和远程站点。

  • 与现有工具(如 Microsoft Intune 和 Enterprise Mobility Suite)配合使用

而且,这些适用于企业的 Windows 更新功能有助于持续降低设备管理成本、控制更新部署、更快速地访问安全更新以及访问 Microsoft 的最新创新。 Windows 更新商业版是适用于所有Windows 10 专业版版、企业版和教育版的免费服务,可以独立于现有设备管理解决方案(例如Windows Server Update Services (WSUS) 和 Microsoft)使用,也可以与现有设备管理解决方案结合使用Configuration Manager

了解有关适用于企业的 Windows 更新的详细信息。

有关更新 Windows 10 的详细信息,请参阅更新和升级的 Windows 10 服务选项

Microsoft Edge

新的基于 chromium 的 Microsoft Edge 未包含在 Windows 10 的 LTSC 版本中。 但是,可以 在此处单独下载并安装它。

另请参阅

Windows 10 企业版 LTSC:LTSC 服务通道的说明,其中包含指向每个版本的信息的链接。