Windows 10 企業版 LTSC 2015 的新功能
適用於
- Windows 10 企業版 LTSC 2015
本文列出 IT 專業人員對 Windows 10 企業版 LTSC 2015 (LTSB) 感興趣的新功能和內容。 如需 LTSC 維護通道的簡短描述,請參閱 Windows 10 企業版 LTSC。
部署
使用 Windows 映像處理與設定設計工具 (ICD) 佈建裝置
透過 Windows 10,您可以建立佈建套件,讓您在不需要安裝全新映像的情況下快速且有效率地設定裝置。 使用 Windows 布建的 IT 系統管理員可以輕鬆地指定使用精靈驅動使用者介面將裝置註冊到管理所需的組態和設定,然後在幾分鐘內將此設定套用至目標裝置。 最適合部署範圍為從數十部到數百部電腦的中小型企業。
安全性
AppLocker
AppLocker 適用于Windows 8.1,並已透過Windows 10改善。 如需作業系統需求的清單,請參閱 使用 AppLocker 的需求。
Windows 10中的 AppLocker 增強功能包括:
- New-AppLockerPolicy Windows PowerShell Cmdlet 已加入新參數,可讓您選擇可執行檔和 DLL 規則集合是否適用於非互動式處理程序。 若要啟用此參數,請將 ServiceEnforcement 設定為 Enabled。
- 已新增 AppLocker 設定服務提供者,可讓您使用 MDM 伺服器來啟用 AppLocker 規則。
BitLocker
Windows 10中的 AppLocker 增強功能包括:
- 使用 Azure Active Directory 加密及復原您的裝置。 除了使用 Microsoft 帳戶,自動 裝置加密 現在可以加密已加入 Azure Active Directory 網域的裝置。 當裝置加密時,BitLocker 修復金鑰會自動附帶到 Azure Active Directory。 此委付可讓您更輕鬆地線上復原 BitLocker 金鑰。
- DMA 連接埠保護。 當裝置啟動時,您可以使用 DataProtection/AllowDirectMemoryAccess MDM 原則封鎖 DMA 連接埠。 此外,當裝置處於鎖定狀態,所有未使用的 DMA 連接埠已關閉,但已插入 DMA 連接埠的任何裝置將會繼續運作。 解除鎖定裝置時,所有 DMA 連接埠都會再次開啟。
- New Group Policy for configuring pre-boot recovery。 您現在可以設定顯示在開機前修復畫面中的開機前修復訊息和復原 URL。 如需詳細資訊,請參閱<BitLocker 群組原則設定>的設定開機前修復訊息及 URL 一節。
憑證管理
對於 Windows 10 型裝置,除了使用簡單憑證註冊通訊協定 (SCEP) 註冊之外,您也可以使用個人資訊交換 (PFX) 來透過 MDM 伺服器直接部署用戶端驗證憑證,包括可在您的企業內啟用 Windows Hello 企業版的憑證。 您將能使用 MDM 來註冊、更新及刪除憑證。
Microsoft Passport
在 Windows 10 中,Microsoft Passport 使用由已註冊裝置和 Windows Hello (生物識別) 或 PIN 所組成的強式雙重要素驗證來取代密碼。
Microsoft Passport 可讓使用者驗證 Microsoft 帳戶、Active Directory 帳戶、Microsoft Azure Active Directory (AD) 帳戶,或支援 Fast ID Online (FIDO) 驗證的非 Microsoft 服務。 在 Microsoft Passport 註冊期間的初始雙步驟驗證之後,Microsoft Passport 就會在使用者的裝置上設定完成,而使用者可以設定手勢 (可以是 Windows Hello 或 PIN)。 使用者提供手勢來驗證身分;然後 Windows 會使用 Microsoft Passport 驗證使用者,並協助他們存取受保護的資源與服務。
安全性稽核
在 Windows 10 中,安全性稽核已經新增一些改進:
新的稽核子類別
在 Windows 10 中,已經新增兩個新的稽核子類別到 \[進階稽核原則設定\] 中,以提供稽核事件更多微調選項:
- 稽核群組成員資格:屬於 \[登入/登出\] 稽核類別的 \[稽核群組成員資格\] 子類別,可讓您稽核使用者登錄權杖中的群組成員資格資訊。 在建立登入工作階段的電腦上列舉或查詢群組成員資格時,會產生這個子類別中的事件。 對於互動式登入,安全性稽核事件會在使用者登入的電腦上產生。 對於網路登入 (例如存取網路上的共用資料夾),安全性稽核事件會在主控資源的電腦上產生。 設定此設定時,每次成功登入都會產生一或多個安全性稽核事件。 您也必須啟用 [進階稽核原則設定\系統稽核原則\登入/登出] 下的 [稽核登入] 設定。 如果群組成員資格資訊無法納入單一安全性稽核事件,則會產生多個事件。
- 稽核 PNP 活動:屬於 \[詳細追蹤\] 類別的 \[稽核 PNP 活動\] 子類別,可讓您在隨插即用偵測到外部裝置時稽核。 此類別只會記錄成功的稽核。 如果您未設定此原則設定,當隨插即用偵測到外部裝置時,不會產生任何稽核事件。 PnP 稽核事件可以用來追蹤系統硬體的變更,並記錄在變更發生所在的電腦上。 事件中包含硬體廠商識別碼的清單。
已新增其他資訊到現有的稽核事件
在 Windows 10 (版本 1507) 中,我們已經新增了其他資訊到現有的稽核事件,以方便您整合完整的稽核記錄,並提供您保護企業時所需的資訊。 對下列稽核事件所做的改進:
- 變更核心預設稽核原則
- 新增預設處理程序 SACL 到 LSASS.exe
- 在登入事件中新增新欄位
- 在建立處理程序事件中新增新欄位
- 新增新的安全性帳戶管理員事件
- 新增新的 BCD 事件
- 新增新的 PNP 事件
變更核心預設稽核原則
在舊版中,核心相依于本地安全機構 (LSA) 來擷取其某些事件中的資訊。 在 Windows 10 中,建立處理程序事件稽核原則會自動啟用,直到從 LSA 接收實際稽核原則。 此設定可改善在 LSA 開始前啟動的服務稽核。
新增預設處理程序 SACL 到 LSASS.exe
在 Windows 10 中,預設處理程序 SACL 已新增到 LSASS.exe,記錄處理程序嘗試存取 LSASS.exe。 SACL 是 L"S:(AU;SAFA;0x0010;;;WD)"。 您可以在 [進階稽核原則設定 \物件存取\稽核核心物件] 下啟用此程式。
啟用此程式可協助識別從進程記憶體竊取認證的攻擊。
登入事件中的新欄位
登入事件識別碼 4624 已更新,以包含更多詳細資訊,讓它們更容易分析。 事件 4624 已新增下列欄位:
- MachineLogon 字串:是或否 如果登入電腦的帳戶是電腦帳戶,此欄位將會是是。 否則,此欄位為 no。
- ElevatedToken 字串:是或否 如果帳戶已透過「系統管理登入」方法登入電腦,此欄位會是。 否則,此欄位為 no。 此外,如果此欄位是分割權杖的一部分,也會顯示連結的登入識別碼 (LSAP_LOGON_SESSION) 。
- TargetOutboundUserName 字串 TargetOutboundUserDomain 字串。LogonUser 方法針對輸出流量建立之身分識別的使用者名稱和網域。
- VirtualAccount 字串:yes 或 no。如果登入到電腦的帳戶是虛擬帳戶,此欄位會是 yes。 否則,此欄位為 no。
- GroupMembership 字串。使用者權杖中所有群組的清單。
- RestrictedAdminMode 字串:yes 或 no。如果使用者透過遠端桌面以受限制的管理模式登入電腦,此欄位會是 yes。 如需受限制的管理模式的詳細資訊,請參閱 RDP 的受限制的管理模式。
建立處理程序事件中的新欄位
登入事件識別碼 4688 已更新,以包含更多詳細資訊,讓它們更容易分析。 事件 4688 已新增下列欄位:
- TargetUserSid 字串。目標主體的 SID。
- TargetUserName 字串。目標使用者的帳戶名稱。
- TargetDomainName 字串 目標使用者的網域。
- TargetLogonId 字串 目標使用者的登入識別碼。
- ParentProcessName 字串。建立者處理程序的名稱。
- ParentProcessId 字串。若與建立者處理程序不同,此欄位會是實際父系處理程序的指標。
新的安全性帳戶管理員事件
在 Windows 10 中,已經新增新的 SAM 事件來涵蓋 SAM API,可執行讀取/查詢作業。 在舊版的 Windows 中,只會稽核寫入作業。 新的事件為事件識別碼 4798 和事件識別碼 4799。 現在會稽核下列 API:
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
新的 BCD 事件
已經新增新的事件識別碼 4826 以追蹤開機設定資料庫 (BCD) 的下列變更:
- DEP/NEX 設定
- 測試簽署
- PCAT SB 模擬
- 偵錯
- 開機偵錯
- 身分識別服務
- 停用 Winload 偵錯功能表
新的 PNP 事件
已經新增事件識別碼 6416,以追蹤是否透過隨插即用偵測到外部裝置。 當包含惡意程式碼的外部裝置插入到未預期有此類型動作的高價值電腦 (例如網域控制站),便是一個重要案例。
信賴平台模組
Windows 10中的新 TPM 功能
下列小節描述適用於 Windows 10 之 TPM 的新功能及變更的功能:
裝置健康情況證明
裝置健康情況證明可讓企業依據受管理裝置的硬體和軟體元件建立信賴關係。 有了裝置健康情況證明,您便可以設定 MDM 伺服器來查詢健康情況證明服務,此服務將會允許或拒絕受管理裝置存取安全的資源。 您可以在裝置上檢查的一些項目是:
- 是否支援並啟用資料執行防止?
- 是否支援並啟用 BitLocker 磁碟機加密?
- 是否支援並啟用 SecureBoot?
注意
裝置必須執行 Windows 10,且至少必須支援 TPM 2.0。
使用者帳戶控制
使用者帳戶控制 (UAC) 有助於防止惡意程式碼損壞電腦,並協助組織部署更好管理的桌面環境。
您不應該關閉 UAC,因為這類設定不支援執行Windows 10的裝置。 如果您關閉 UAC,所有的通用 Windows 平台應用程式都會停止運作。 您必須一律將 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 登錄 值設定為 1。 如果您需要為程式設計存取或安裝提供自動提高許可權,您可以將 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin 登錄值設定為 0,這與設定 UAC 滑杆 [永不通知] 相同。 不建議針對執行 Windows 10 的裝置使用此設定。
如需如何管理 UAC 的詳細資訊,請參閱 UAC 群組原則設定和登錄機碼設定。
在Windows 10中,使用者帳戶控制已新增一些改善:
- 反惡意程式碼掃描介面 (AMSI) 的整合。 AMSI 會掃描惡意程式碼所有的 UAC 提高權限要求。 如果偵測到惡意程式碼,則會封鎖系統管理員權限。
VPN 設定檔選項
Windows 10 提供一組 VPN 功能,同時提升企業安全性,並提供改善的使用者體驗,包括:
- 永遠自動連線的行為
- App=triggered VPN
- VPN 流量篩選器
- 鎖定 VPN
- 整合 Microsoft Passport for Work
管理
Windows 10 提供行動裝置管理 (MDM) 功能,可用於管理電腦、膝上型電腦、平板電腦和手機,讓您能夠對公司擁有的裝置或個人裝置進行企業級裝置管理。
MDM 支援
適用於 Windows 10 的 MDM 原則與 Windows 8.1 中支援的原則一致,並已延伸來解決更多企業案例,例如,管理多位具備 Microsoft Azure Active Directory (Azure AD) 帳戶的使用者、完整控制 Microsoft Store、VPN 設定等等。
Windows 10 中的 MDM 支援是以 開放行動聯盟 (OMA) 裝置管理 (DM) 通訊協定 1.2.1 規格為基礎。
公司擁有的裝置可以使用 Azure AD 自動為企業註冊。 Windows 10 的行動裝置管理參考
取消註冊
當某位人員離開組織,而您將其帳戶或裝置從管理系統中取消註冊時,將會從裝置中移除受企業控制的設定和 App。 您可以從遠端取消裝置註冊,或者該人員可藉由從裝置中手動移除帳戶來取消註冊。
將個人裝置取消註冊時,使用者的資料和 App 不會受影響,但會移除企業資訊,例如,憑證、VPN 設定檔及企業 App。
基礎結構
企業有下列身分識別和管理選項可選。
| 區域 | 選擇 |
|---|---|
| 身份識別 | Active Directory;Azure AD |
| 分組 | 加入網域;工作群組;加入 Azure AD |
| 裝置管理 | 群組原則;Microsoft Configuration Manager;Microsoft Intune;其他 MDM 解決方案;Exchange ActiveSync;Windows PowerShell;Windows Management Instrumentation (WMI) |
注意
Windows Server 2012 R2 推出之後,就已不再使用網路存取保護 (NAP),且 Windows 10 現已移除 NAP 用戶端。 如需支援週期的詳細資訊,請參閱 Microsoft 支援週期。
裝置鎖定
您需要只能執行一項工作的電腦嗎? 例如:
- 在大廳中客戶可用來檢視您的產品目錄的裝置。
- 駕駛可用來在地圖上查看路線的可攜式裝置。
- 短期員工可用來輸入資料的裝置。
您可以設定持續性的鎖定狀態,以建立 Kiosk 類型的裝置。 登入鎖定的帳戶之後,該裝置就只會顯示您所選取的應用程式。
您也可以設定一個鎖定狀態,在特定使用者帳戶登入時生效。 鎖定狀態會限制使用者只能使用您指定的應用程式。
鎖定設定也可以針對裝置的外觀及操作方式來設定,例如針對佈景主題或自訂的 \[開始\] 畫面配置。
\[開始\] 配置
標準的 \[開始\] 配置在對多數使用者常見的裝置,以及針對特殊用途而鎖定的裝置上都非常有用。 從 Windows 10 (版本 1511) 開始,系統管理員可以設定部分 \[開始\] 配置,這會套用指定的磚群組,同時讓使用者建立和自訂自己的磚群組。 深入了解如何自訂與匯出 \[開始\] 配置。
系統管理員也可以使用行動裝置管理 (MDM) 或群組原則,來停用鎖定畫面上的 Windows 焦點。
更新
商務用 Windows Update 藉由將這些系統直接連接到 Microsoft 的 Windows Update 服務,讓資訊技術系統管理員可將他們組織中的 Windows 10 裝置一律保持在最新狀態,包含最新的安全性防護及 Windows 功能。
透過使用 群組原則物件,商務用 Windows Update 可以輕鬆地建立並實作系統,以允許下列事項,讓組織和系統管理員可以控制 Windows 10 裝置的更新方式:
部署和驗證群組:系統管理員可以指定哪些裝置在更新分批中優先更新,以及哪些裝置將在稍後更新 (以確保符合所有的品質標準)。
對等傳遞,讓系統管理員能夠讓更新以有限的頻寬有效傳遞至分公司和遠端網站。
搭配現有的工具使用,例如 Microsoft Intune 和Enterprise Mobility Suite。
這些商務用 Windows Update 功能一起有助於降低裝置管理成本、提供更新部署的控制、提供更快速的安全性更新存取,並持續提供 Microsoft 最新的創新功能。 Windows Update商務版是適用于所有Windows 10 專業版版、企業版和教育版的免費服務,可獨立于或搭配現有的裝置管理解決方案使用,例如Windows Server Update Services (WSUS) 和MicrosoftConfiguration Manager。
深入了解商務用 Windows Update。
如需更新 Windows 10 的詳細資訊,請參閱 Windows 10 更新與升級維護選項。
Microsoft Edge
新的以 Chromium 為基礎的 Microsoft Edge 不包含在 LTSC 版本的 Windows 10中。 不過,您可以 在這裡個別下載並安裝它。
另請參閱
Windows 10 企業版 LTSC:LTSC 維護通道的描述,其中包含每個版本相關資訊的連結。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應