分享方式:


Windows 11 版本 24H2 的新功能

Windows 11,版本 24H2 是 Windows 11 的功能更新。 它包含先前對 Windows 11 版本 23H2 的累積更新中的所有功能和修正。 本文列出 IT 專業人員應瞭解的新功能及更新功能。

正在尋找消費者資訊嗎?參閱 Windows 11 2024 更新

Windows 11 版本 24H2 遵循 Windows 11 服務時程表

  • Windows 11 專業版:從發行日期起已服務 24 個月。
  • Windows 11 企業版:從發行日期起已服務 36 個月。

裝置必須執行 Windows 11 版本 23H2 或 22H2,並安裝 2024 年 5 月非安全性預覽更新或更新版本更新,才能更新至 24H2 版。 Windows 11,版本 24H2 是完整的 OS 交換,因此無法作為啟用套件使用。 Windows 10 裝置可以使用您原本部署 Windows 10 所用的相同熟悉程式、原則和管理解決方案,升級至 Windows 11 24H2 版。

Windows 11,24H2 版可透過 Windows Server Update Services (取得,包括 Configuration Manager) 、商務用 Windows Update,以及大量授權服務中心 (VLSC) 。 如需詳細資訊,請參閱如何取得 Windows 11 版本 24H2 更新。 檢閱 Windows 11 24H2 版 Windows IT 專業人員部落格文章,以探索可用部署資源的相關信息,例如 Windows 評定及部署套件 (Windows ADK)

若要深入瞭解更新推出狀態、已知問題和新資訊,請參閱 Windows 版本健康情況

功能不再受暫時性企業控制

暫時性企業功能控制會暫時關閉受控 Windows 11 裝置每月累積更新期間導入的特定功能。 基於暫時性企業控制的目的,如果系統設定為從商務用 Windows Update 取得更新,或 Windows Server Update Services (WSUS ) ,系統會被視為受控。 從 Microsoft Configuration Manager 和 Microsoft Intune 取得更新的用戶端會被視為受控,因為其更新最終來自 WSUS 或商務用 Windows 匯報。

Windows 11 版本 23H2 與 Windows 11 版本 24H2 之間沒有任何暫時性企業控制下的功能。 如需 Windows 11 版本 22H2 與 Windows 11 版本 23H2 之間暫時性企業控制下的功能清單,請參閱 Windows 11 暫時性企業功能控制背後的功能

檢查點累積更新

Microsoft引進檢查點累積更新,這是新的服務模型,可讓執行 Windows 11 版本 24H2 或更新版本的裝置,在透過最新的累積更新取得功能和安全性增強功能時,節省時間、帶寬和硬碟空間。 先前,累積更新包含自上一個版本以來對二進位檔所做的所有變更, (RTM) 版本。 累積更新的大小可能會隨著時間成長,因為 RTM 會作為每個更新的基準。

使用檢查點累積更新時,更新檔案層級差異會以先前的累積更新為基礎,而不是以 RTM 版本為基礎。 做為檢查點的累積更新將會定期發行。 使用檢查點而非 RTM 表示後續的更新套件較小,因此下載和安裝的速度會更快。 使用檢查點也表示為了讓裝置安裝最新的累積更新,可能需要安裝必要條件累積更新。 如需檢查點累積更新的詳細資訊,請參閱 https://aka.ms/CheckpointCumulativeUpdates

24H2 中 Copilot+ 電腦專屬的功能

Copilot+ 電腦是 Windows 11 AI 計算機的新類別,由神經處理器 (NPU) 提供技術支援, (TOPS) 每秒可執行超過 40 萬億個作業。 下列功能專屬於 Windows 11 版本 24H2 中的 Copilot+ 計算機

  • 即時輔助字幕可讓您將音訊和視訊內容翻譯成44種語言的英文字幕。 如需詳細資訊,請 參閱使用即時輔助字幕來進一步瞭解音訊
  • Windows Studio 效果是 AI 支援的視訊通話和音訊效果的集體名稱,可在 Copilot+ 電腦上使用,並選取 Windows 11 具有相容 NPU 的裝置。 Windows Studio 效果會在視訊通話期間自動改善光源並取消雜訊。 如需詳細資訊,請參閱 Windows Studio 效果
  • Paint 中的 Cocreator 可讓您利用 AI 的協助來建立令人驚豔的圖例。 輸入文字提示、在 Paint 中開始繪圖,然後 Cocreator 會根據您繪製的內容來產生圖例。 如需詳細資訊,請 參閱繪製中的Cocreator
  • 自動超級解析度 (自動 SR) 是作業系統內建的第一個 AI 支援超級解析度解決方案,可讓遊戲自動使用更順暢的解析度詳細數據。 如需詳細資訊,請參閱 自動超級解析度
  • Microsoft 相片 應用程式中的 影像建立工具 和 Restyle 影像可讓您在 AI 協助下重新製作相片的映射,或建立新的影像。 如需詳細資訊,請參閱 Microsoft 相片 Restyle 映射和 影像建立工具

自 23H2 版起新增至 Windows 11 的功能

Windows 11 23H2 版定期推出新功能和增強功能,以提供持續創新 Windows 11。 這些功能和增強功能會使用您已熟悉的一般更新服務通道。 一開始,新功能是透過選擇性的非安全性預覽版本導入,並逐漸向用戶端推出。 這些新功能稍後會發行為每月安全性更新版本的一部分。 如需持續創新的詳細資訊,請 參閱 Windows 用戶端的更新發行週期

部分功能已在過去一年的持續創新更新中發行,並持續進行至 24H2 年度功能更新,包括:

伺服器消息塊 (SMB) 通訊協議變更

SMB 簽署和加密

已針對 SMB 簽署和加密進行下列變更:

  • SMB 簽署需求變更:在家用版、專業版、教育版和企業版的 Windows 11 24H2 版中,所有連線現在預設都需要 SMB 簽署。 SMB 簽署可確保每個訊息都包含使用會話密鑰和加密套件產生的簽章。 用戶端會將整個訊息的哈希放入SMB標頭的簽章欄位中。 如果稍後有人在網路上變更訊息本身,則哈希不會相符,且SMB知道有人竄改數據。 它也會向傳送者和接收者確認他們所說出的身分,並中斷轉送攻擊。 如需預設需要 SMB 簽署的詳細資訊,請參閱 https://aka.ms/SMBSigningOBD

  • SMB 用戶端加密:SMB 現在支援在所有輸出 SMB 用戶端連線上 要求加密 。 所有輸出SMB用戶端連線的加密都會強制執行最高層級的網路安全性,並將管理同位移至SMB簽署,以允許客戶端和伺服器需求。 使用這個新選項時,系統管理員可以要求所有目的地伺服器都使用SMB 3和加密,如果遺失這些功能,用戶端將不會連線。 如需這項變更的詳細資訊,請參閱 https://aka.ms/SmbClientEncrypt

  • SMB 簽署和加密稽核:系統管理員現在可以啟用SMB伺服器和用戶端的 核,以支援SMB簽署和加密。 這會顯示第三方用戶端或伺服器是否不支援SMB加密或簽署。 SMB 簽署和加密稽核設定可以在 群組原則 或透過PowerShell進行修改。

SMB 替代客戶端和伺服器埠

SMB 用戶端現在支援使用硬式編碼預設值的 替代網路埠 ,透過 TCP、QUIC 或 RDMA 連線到 SMB 伺服器。 不過,只有當SMB伺服器設定為支援在該埠上接聽時,您才能連線到替代埠。 從 Windows Server Insider 組建 26040 開始,SMB 伺服器現在支援透過 QUIC 接聽 SMB 的替代網路埠。 Windows Server 不支援設定替代 SMB 伺服器 TCP 連接埠,但某些第三方則支援。 如需這項變更的詳細資訊,請參閱 https://aka.ms/SMBAlternativePorts

SMB NTLM 封鎖例外狀況清單

SMB 用戶端現在支援 封鎖遠端 輸出連線的NTLM。 使用這個新選項時,系統管理員可以刻意封鎖 Windows 透過 SMB 提供 NTLM,並指定 NTLM 使用量的例外狀況。 誘使用戶或應用程式將NTLM查問回應傳送至惡意伺服器的攻擊者將不再收到任何NTLM數據,且無法暴力密碼破解、破解或傳遞哈希。 這項變更為企業新增了新的保護層級,而不需要完全停用OS中的NTLM使用量。

如需這項變更的詳細資訊,請參閱 https://aka.ms/SmbNtlmBlock

SMB 方言管理

SMB 伺服器現在支援控制其交涉 的SMB 2和3方言 。 使用這個新選項時,系統管理員可以移除組織中不使用的特定SMB通訊協議,封鎖較舊、較不安全且功能較差的Windows裝置和第三方無法連線。 例如,系統管理員可以指定只使用SMB 3.1.1,這是通訊協定最安全的方言。

如需這項變更的詳細資訊,請參閱 https://aka.ms/SmbDialectManage

透過 QUIC 的 SMB

透過 QUIC 的 SMB 導入了 TCP 和 RDMA 的替代方案,可透過因特網等不受信任的網路,為邊緣檔伺服器提供安全連線。 QUIC 有顯著的優點,最大的優點是強制憑證型加密,而不是依賴密碼。 透過 QUIC 用戶端 存取控制的 SMB 可改善現有的 SMB over QUIC 功能。

系統管理員現在有更多選項可透過 QUIC 進行 SMB 處理,例如:

  • 指定哪些客戶端 可以透過 QUIC 伺服器存取 SMB。 這可為組織提供更多保護,但不會變更用來建立SMB連線或用戶體驗的 Windows 驗證。
  • 使用 群組原則 和 PowerShell 為用戶端停用透過 QUIC 的 SMB
  • 稽核透過 QUIC 的 SMB 用戶端連線事件

如需這些變更的詳細資訊,請參閱 https://aka.ms/SmbOverQUICCAC

SMB 防火牆規則變更

Windows 防火牆 預設行為已變更。 先前,建立SMB共用會自動設定防火牆,以針對指定的防火牆配置檔啟用 檔案和印表機共用 群組中的規則。 現在,Windows 會自動設定新的 檔案和印表機共用 (限制性) 群組,其中不再包含輸入 NetBIOS 埠 137-139。

這項變更會強制執行更高程度的網路安全性預設值,並讓SMB防火牆規則更接近Windows Server 檔案伺服器 角色行為,這隻會開啟連線和管理共用所需的最小埠。 如有必要,系統管理員仍然可以設定 檔案和印表機共用 群組,以及修改這個新的防火牆群組,這些只是默認行為。

如需這項變更的詳細資訊,請參閱 https://aka.ms/SMBfirewall。 如需SMB網路安全性的詳細資訊,請參閱 保護 Windows Server 中的SMB流量

本地安全機構 (升級時啟用 LSA) 保護

LSA 保護 可防止未經授權的程式代碼在 LSA 進程中執行,並防止傾印進程記憶體,藉此協助防止竊取用於登入的秘密和認證。 從此升級開始,會針對 LSA 保護不相容一段時間進行稽核。 如果未偵測到不相容性,則會自動啟用 LSA 保護。 您可以在 [裝置安全>性核心隔離] 頁面下的 [Windows 安全性] 應用程式中,檢查並變更 LSA 保護的啟用狀態。 在事件記錄檔中,LSA 保護會記錄程式是否遭到封鎖而無法載入 LSA。 如果您想要檢查是否有專案遭到封鎖,請檢閱 記錄

默認停用遠端Mailslot通訊協定

Remote Mailslot 通訊協定已在 2023 年 11 月淘汰,從 Windows 11 版本 24H2 開始預設為停用。 如需 Remote Mailslots 的詳細資訊,請參閱 關於 Mailslots

改善 LAPS (本機系統管理員密碼解決方案)

LAPS 有新的自動帳戶管理功能。 IT 系統管理員可以將 Windows LAPS 設定為:

  • 自動建立受控本機帳戶
  • 設定帳戶名稱
  • 啟用或停用帳戶
  • 隨機化帳戶的名稱

LAPS 具有下列原則改善:

  • 已新增 PasswordComplexity 原則的複雜密碼設定
  • 已為 PasswordComplexity 原則新增改良的可讀性設定,該原則會產生密碼,而不會使用容易與另一個字元混淆的字元。 例如,密碼中不會使用零和字母 O,因為字元可能會混淆。
  • 已將 Reset the password, logoff the managed account, and terminate any remaining processes 設定新增至 PostAuthenticationActions 原則。 驗證後動作執行期間所發出的事件記錄訊息也會擴充,以深入瞭解作業期間的確切作業。

已針對 LAPS 引進影像復原偵測。 LAPS 可以偵測裝置何時回復到先前的影像。 當裝置回復時,Active Directory 中的密碼可能不符合已回復裝置上的密碼。 這項新功能會將 Active Directory 屬性 msLAPS-CurrentPasswordVersion新增至 Windows LAPS 架構。 這個屬性包含一個隨機 GUID,Windows LAPS 會在每次將新密碼保存在 Active Directory 中時寫入該 GUID,然後儲存本地副本。 在每個處理週期中,會查詢中儲存的 msLAPS-CurrentPasswordVersion GUID,並與本機保存的複本進行比較。 如果 GUID 不同,則會立即輪替密碼。 若要啟用這項功能,您必須執行最新版的 Update-LapsADSchema PowerShell Cmdlet

Windows 核心中的 Rust

中有新的 GDI 區域 實作 win32kbase_rs.sys。 由於 Rust 在可靠性和安全性方面優於以 C/C++ 撰寫的傳統程式,因此您會在核心中繼續看到更多使用。

資料夾的個人資料加密

資料加密是一項安全性功能,其中已知的 Windows 資料夾 (檔、桌面和圖片) 的內容會使用使用者驗證的加密機制來保護。 Windows Hello 是用來提供金鑰來加密資料夾中用戶資料的使用者驗證。 您可以從 Intune 中的原則啟用資料夾的個人資料加密。 IT 系統管理員可以選取所有資料夾或子集,然後將原則套用至其組織中的一組使用者。 [端點安全>性磁碟加密] 下 Intune 提供 [資料夾的個人資料加密]設定

如需個人資料加密的詳細資訊,請參閱 個人資料加密概觀

受 Windows 保護的列印模式

受 Windows 保護的印表模式可讓裝置只使用 Windows 新式列印堆疊進行列印,這是針對 Morpia 認證的印表機所設計。 使用 Morpia 認證的印表機,就不再需要依賴第三方軟體安裝程式。 若要啟用受 Windows 保護的列印模式:

  • 移至 [設定>藍牙 & 裝置>印表機 & 掃描器],然後選擇 Windows 受保護列印模式下的 [設定]
  • 在 [計算機>設定] [系統管理範本印表機] 底下的 [群組原則 中,啟用 [設定受 Windows 保護的>列印] 原則

SHA-3 支援

已新增 SHA-3 系列哈希函式和 SHA-3 衍生函式的支援, (SHAKE、KMAC) 。 SHA-3 系列演算法是由美國國家標準與技術局 (NIST) 的最新標準化哈希函式。 這些函式的支持是透過 Windows CNG 連結 庫啟用。

  • 支援的SHA-3哈希函式:不支援SHA3-256、SHA3-384、SHA3-512 (SHA3-224)

  • 支援的 SHA-3 HMAC 演算法:HMAC-SHA3-256、HMAC-SHA3-384、HMAC-SHA3-512

  • 支援的 SHA-3 衍生演算法:可擴充的輸出函式 (XOF) (SHAKE128、SHAKE256) 、可自定義的 XOF (cSHAKE128、cSHAKE256) 和 KMAC (KMAC128、KMAC256、KMACXOF128 KMACXOF256) 。

商務用應用程控

客戶現在可以使用商務用應用程控 (先前稱為 Windows Defender 應用程控) 及其新一代功能,以保護其數位屬性免於遭受惡意代碼攻擊。 透過商務用應用程控,IT 小組可以透過管理控制台中的 Microsoft Intune 或其他 MDM 來設定在商務環境中執行的內容,包括將 Intune 設定為受控安裝程式。 如需詳細資訊,請 參閱適用於 Windows 的應用程控

Wi-Fi 7 支援

已針對取用者存取點新增 Wi-Fi 7 的支援。 Wi-Fi 7 也稱為 IEEE 802.11be 極高輸送量 (EHT) 是最新的 Wi-Fi 技術,可為您的無線裝置提供前所未有的速度、可靠性和效率。 如需 Wi-Fi 7 的詳細資訊,請參閱 Wi-Fi 聯盟公告

輔助裝置的®藍牙 LE 音訊支援

使用這些輔助聽覺裝置的客戶現在可以在使用 LE 音訊相容電腦時,直接配對、串流音訊、撥打電話及控制音訊預設。 具有支援藍牙 LE 音訊輔助聽覺裝置的使用者,可以判斷其電腦是否與 LE 音訊相容、設定及透過 設定>輔助聽>聽裝置管理其裝置。 如需詳細資訊,請參閱搭配 Windows 11 計算機使用聽覺裝置

Windows 位置改善

已新增新的控制件,以協助管理哪些應用程式可以存取您周圍的 Wi-Fi 網路清單,這些網路可用來判斷您的位置。

  • 您可以> [設定隱私權] & 安全>性位置,檢視和修改哪些應用程式可以存取 Wi-Fi 網络清單
  • 應用程式第一次嘗試存取您的位置或 Wi-Fi 資訊時,就會出現新的提示。
    • 當應用程式意外要求存取位置服務,讓您可以拒絕時,提示也會通知。
    • 如果您授與許可權,使用位置或 Wi-Fi 資訊的應用程式現在會出現在 [位置設定] 頁面上的 [最近] 活動中,而且當應用程式正在使用時,位置圖示會顯示在任務欄中。
    • 若要在位置關閉時隱藏這些提示,請在 [位置設定] 頁面上關閉 [應用程式要求位置時通知]。
  • 開發人員可以使用 API 行為的變更來 Wi-Fi 存取和位置 一文,以瞭解受此變更影響的 API 表面。

Sudo for Windows

Sudo for Windows 是讓使用者以系統管理員身分 (執行提升許可權命令的新方式,) 直接從未相關的控制台會話執行。 sudo 命令可以設定為以三種不同模式執行:

  • 在新視窗中:提升許可權的命令會在新視窗中執行。 此模式類似於命令的行為 runas /user:admin
  • 停用輸入:在目前視窗中執行提升許可權的進程,但已關閉輸入句柄。 這表示提升許可權的進程將無法從目前的控制台視窗接收輸入。
  • 內嵌:在目前視窗中執行提升許可權的進程,而且進程可以接收來自目前控制台會話的輸入。 此模式最類似於其他平臺上的 sudo 體驗。

建議您在計算機上 啟用sudo命令 之前,先檢閱此處每個模式的安全性考慮。 如需詳細資訊,請參閱 Sudo for Windows

啟用選擇性更新

除了每月累積更新之外,還提供選擇性更新來提供新功能和非安全性變更。 大部分的選擇性更新會在當月的第四個星期二發行,也稱為選擇性的非安全性預覽版本。 選擇性更新也可以包含逐漸推出的功能,也稱為控制功能推出 (CFR) 。 使用商務用 Windows Update 接收更新的裝置,預設不會啟用選擇性更新的安裝。 不過,您可以使用 [ 啟用選擇性更新 ] 原則,為裝置啟用選擇性更新。 如需選擇性內容的詳細資訊,請參閱 啟用選擇性更新

遠端桌面連線改善

遠端桌面連線具有下列改善:

  • [遠端桌面連線設定] 視窗 (mstsc.exe) 遵循 [ 設定>輔助功能>文字大小] 底下的文字縮放設定。
  • 遠端桌面連線支援 350、400、450 和 500% 的縮放選項
  • 改善連接列設計

其他功能

  • 檔案總管:已對操作選單 檔案總管 下列變更:
    • 支援建立 7-zip 和 TAR 封存
    • 壓縮為>其他選項 可讓您使用 gzip、BZip2、xz 或 Zstandard 壓縮個別檔案
    • 標籤已新增至操作功能表圖示,用於複製、貼上、刪除和重新命名等動作
  • OOBE 改進:當您需要連線到網路,而且沒有 Wi-Fi 驅動程式時,系統會提供 [ 安裝驅動 程式] 選項來安裝已下載的驅動程式
  • 登錄 編輯器:登錄 編輯器 支援將搜尋限制為目前選取的密鑰及其子系
  • 任務管理員:[任務管理器設定] 頁面具有 Mica材質 和重新設計的圖示

開發人員 API

新增或更新下列開發人員 API:

  • 導入 了 Power Grid 預測 API。 應用程式開發人員可以將背景工作負載移至本機網格線可用的可更新能源時,將環境影響降至最低。 預測數據無法全域使用,而且數據品質可能會因區域而異。
  • 新增了省電通知回呼設定 GUID,以代表新的省電體驗。 應用程式可以藉由將適當的 GUID 傳遞給 PowerSettingRegisterNotification API 來訂閱省電狀態,並可實作不同的行為,根據目前的省電狀態將能源或效能優化。 如需詳細資訊,請參閱 電源設定 GUID
  • 充有效電源模式 API ,以在判斷傳回的有效電源模式時解譯新的能源節約層級。

Windows 11 24H2 版中移除的功能

Windows 11 版本 24H2 中會移除下列已被取代的功能