Windows 10 企業版 LTSC 2021 的新功能

  • 發行項

適用於

  • Windows 10 企業版 LTSC 2021

本文列出與 Windows 10 企業版 LTSC 2019 (LTSB) 相較之下,WINDOWS 10 企業版 LTSC 2021 IT 專業人員感興趣的新功能和內容。 如需 LTSC 維護通道和相關聯支援的簡短描述,請參閱 Windows 10 企業版 LTSC

注意

Windows 10 企業版 LTSC 2021 中的功能相當於 Windows 10 21H2 版。
LTSC 版本 適用于特殊用途裝置。 針對 Windows 10 的公開可用性通道版本所設計的應用程式和工具對 LTSC 的支援可能會受到限制。

Windows 10 企業版 LTSC 2021 建置在 Windows 10 企業版 LTSC 2019 上,新增進階功能,例如針對新式安全性威脅和完整的裝置管理、應用程式管理和控制功能提供進階保護。

Windows 10 企業版 LTSC 2021 版本包含Windows 10版本 1903、1909、2004、21H1 和 21H2 中提供的累積增強功能。 以下提供這些增強功能的詳細資料。

生命 週期

重要

Windows 10 企業版 LTSC 2021 有 5 年的生命週期, (IoT 企業版 LTSC持續有10 年的生命週期) 。 因此,LTSC 2021 版本不是 LTSC 2019 的直接取代,LTSC 2019 有 10 年的生命週期。

如需此版本生命週期的詳細資訊,請參閱下一Windows 10長期維護通道 (LTSC) 版本

硬體安全性

系統防護

系統防護已改善此 Windows 版本中稱為SMM 韌體保護的功能。 這項功能是以系統防護安全啟動為基礎,以減少韌體攻擊面,並確保裝置上 SMM) 韌體的系統管理模式 (以狀況良好的方式運作 ,特別是 SMM 程式碼無法存取 OS 記憶體和秘密。

在此版本中,Windows Defender 系統防護會啟用甚至「更高」層級的系統管理模式 (SMM) 韌體防護,其不僅能檢查 OS 記憶體和秘密,還可檢查暫存器和 IO 等其他資源。

利用這項改進功能,OS 可以偵測更高層級的 SMM 合規性,讓裝置更加強化,以防範 SMM 惡意探索和弱點。 根據基礎硬體和韌體平臺,SMM 韌體保護有三個版本 (一個、兩個和三個) ,每個後續版本都提供比上述版本更強大的保護。

現今市場已有裝置提供 SMM 韌體保護第一版和第二版。 SMM 韌體保護第三版 此功能目前為前置外觀,需要即將推出的新硬體。

作業系統安全性

系統安全性

Windows 安全性應用程式改進功能現在包含保護歷程記錄,包括詳細且容易了解的威脅和可用動作資訊,受控資料夾存取權現在位於保護歷程記錄、Windows Defender Offline 掃描工具動作,以及任何擱置建議中。

加密與資料保護

BitLocker 和行動裝置管理 (MDM) 可與 Azure Active Directory 搭配運作,保護您的裝置免於意外洩露密碼。 現在,新的金鑰滾動功能會在 MDM 管理的裝置上安全地輪替修復密碼。 每當使用 Microsoft Intune/MDM 工具或修復密碼解鎖受 BitLocker 保護的磁碟機時,都會啟動此功能。 因此,當使用者手動解鎖 BitLocker 磁碟機時,修復密碼將得到更好的保護。

網路安全性

Windows Defender 防火牆

Windows Defender防火牆現在提供下列優點:

降低風險:Windows Defender防火牆會使用規則來限制或允許許多屬性的流量,例如 IP 位址、埠或程式路徑,以減少裝置的攻擊面。 減少裝置的攻擊面可提高管理性,並降低成功攻擊的可能性。

保護資料:使用整合式網際網路通訊協定安全性 (IPsec) ,Windows Defender防火牆提供簡單的方法來強制執行已驗證的端對端網路通訊。 它可對信任的網路資源提供可調整的階層式存取,協助強制執行資料的完整性,並選擇性地協助保護資料的機密性。

擴充值:Windows Defender防火牆是作業系統隨附的主機型防火牆,因此不需要任何其他硬體或軟體。 Windows Defender防火牆也設計成透過記載的應用程式開發介面 (API) 來補充現有的非 Microsoft 網路安全性解決方案。

Windows Defender防火牆現在也更容易進行分析和偵錯。 IPsec 行為已與封包監視器整合 (pktmon) ,這是適用于 Windows 的內建跨元件網路診斷工具。

此外,已增強Windows Defender防火牆事件記錄檔,以確保稽核可以識別負責任何指定事件的特定篩選。 這項增強功能可讓您分析防火牆行為和豐富的封包擷取,而不需要依賴其他工具。

Windows Defender防火牆現在也支援Windows 子系統 Linux 版 (WSL) ;您可以新增 WSL 程式的規則,就像 Windows 程式一樣。 如需詳細資訊,請參閱 Windows Defender 防火牆現在支援 Windows 子系統 Linux 版 (WSL)

病毒與威脅防護

受攻擊面區域縮小 – IT 系統管理員可以使用進階 Web 防護來設定裝置,讓裝置能夠定義特定 URL 和 IP 位址的允許清單和封鎖清單。 新一代的防護機制 – 已延伸控制項以防禦勒索軟體、認證濫用,及透過抽取式存放裝置傳輸的攻擊。

  • 完整性強制執行功能 – 啟用 Windows 10 平台的遠端執行階段證明。
  • 防竄改功能 – 使用虛擬化型安全性,將重要的適用於端點的 Microsoft Defender安全性功能與 OS 和攻擊者隔離。 平台支援 - 除了 Windows 10 外,適用於端點的 Microsoft Defender 的功能也已延伸,運用其端點偵測 (EDR) 與端點保護平台 (EPP) 功能,可支援 Windows 7 和 Windows 8.1 用戶端,以及 macOS、Linux 和 Windows Server。

進階機器學習:改善進階機器學習和 AI 模型,讓它能夠抵禦利用創新的漏洞惡意探索技術、工具及惡意程式碼的 apex 攻擊者。

緊急爆發防護:提供緊急爆發防護,可在偵測到新的爆發時,使用新的情報自動更新裝置。

遵守 ISO 27001 認證規範:確保雲端服務已針對威脅、漏洞和影響進行分析,且風險管理與安全性控制皆已就緒。

地理位置支援:支援範例資料的地理位置和主權,以及可設定的保留原則。

改善對 MICROSOFT DEFENDER Advanced Threat Protection (ATP) Auto Incident Response (IR) 的非 ASCII 檔案路徑支援

注意

DisableAntiSpyware 參數在此版本中已過時。

應用程式安全性

應用程式隔離

Windows 沙箱:隔離的桌面環境,在這裡您可以執行未受信任的軟體,而不必擔心會持續影響您的裝置。

Microsoft Defender 應用程式防護

Microsoft Defender 應用程式防護增強功能包括:

  • 獨立使用者可以安裝和設定其Windows Defender 應用程式防護設定,而不需要變更登錄機碼設定。 企業使用者可以檢查其設定,查看系統管理員已為其電腦進行了哪些設定,以進一步了解行為。

  • 應用程式防護現在是 Google Chrome 和 Mozilla Firefox 中的擴充功能。 許多使用者都處於混合式瀏覽器環境中,而且想要將應用程式防護的瀏覽器隔離技術延伸到 Microsoft Edge 之外。 在最新版本中,使用者可以在其 Chrome 或 Firefox 瀏覽器中安裝應用程式防護延伸模組。 此延伸模組會將不受信任的流覽重新導向至 應用程式防護 Edge 瀏覽器。 另外還有一個隨附應用程式可在 Microsoft Store 中啟用此功能。 使用者可以使用此應用程式,從桌面快速啟動應用程式防護。 這項功能也適用於已套用最新更新的 Windows 10 版本 1803年或更新版本。

    若要嘗試此擴充功能:

    1. 在裝置上設定應用程式防護原則。
    2. 移至 Chrome 網路商店或 Firefox 附加元件,並搜尋應用程式防護。 安裝擴充功能。
    3. 請遵循擴充功能設定頁面上的任何其他設定步驟。
    4. 將裝置重新開機。
    5. 瀏覽至 Chrome 和 Firefox 中未受信任的網站。

動態流覽:應用程式防護現在可讓使用者從 應用程式防護 Microsoft Edge 流覽回其預設主機瀏覽器。 之前,在 應用程式防護 Edge 中流覽的使用者嘗試移至容器瀏覽器內的信任網站時,會看到錯誤頁面。 使用這項新功能時,使用者在 應用程式防護 Edge 中輸入或按一下信任的網站時,會自動重新導向至其主機預設瀏覽器。 此功能也適用於已套用最新更新的 Windows 10 版本 1803 或更新版本。

應用程式防護使用優化的檔開啟時間來改善效能:

  • 已修正當您開啟Microsoft Defender 應用程式防護 (應用程式防護) Office 檔時,可能會造成一分鐘或更短延遲的問題。 當您嘗試使用通用命名慣例 (UNC) 路徑或伺服器訊息區塊 (SMB) 共用連結開啟檔案時,可能會發生此問題。
  • 已修正記憶體問題,可能導致應用程式防護容器在容器閒置時使用將近 1 GB 的工作集記憶體。
  • Robocopy 的效能在複製大小超過 400 MB 的檔案時已獲得改善。

自 2020 年初起,Chromium式 Edge 已提供對Microsoft Defender 應用程式防護的 Edge支援

應用程式防護現在支援 Office:使用適用于 Office 的Microsoft Defender 應用程式防護,您可以從隔離容器中的企業) 外部啟動不受信任的 Office 檔 (,以防止潛在的惡意內容危害您的裝置。

應用程式控制

適用于 Windows 的應用程式控制:在 Windows 10 1903 版中,Windows Defender應用程式控制 (WDAC) 新增了許多新功能,這些功能會啟動重要案例,並提供與 AppLocker 的功能同位。

  • 多重原則:Windows Defender應用程式控制現在支援一部裝置的多個同時程式碼完整性原則,以啟用下列案例:1) 並行強制執行和稽核,2) 針對具有不同範圍/意圖的原則更簡單,3) 使用新的「補充」原則擴充原則。
  • 以路徑為基礎的規則:路徑條件會依應用程式在電腦檔案系統中或在網路上的位置,來識別該應用程式,而非透過簽署者或雜湊識別碼來識別。 此外,WDAC 有一個選項可讓系統管理員在執行時間強制執行,只執行來自無法使用者寫入之路徑的程式碼。 當程式碼嘗試在執行時間執行時,會掃描目錄,並檢查檔案是否有未知系統管理員的寫入權限。 如果檔案是使用者可寫入的檔案,除非其由簽署者或雜湊規則等路徑規則以外的授權,否則會封鎖可執行檔執行。
    這項功能可讓 WDAC 在支援檔案路徑規則方面與 AppLocker 同位。 WDAC 會根據檔案路徑規則改善原則的安全性,提供在執行階段檢查使用者可寫入權限的功能,AppLocker 未提供此功能。
  • 允許 COM 物件註冊:先前,Windows Defender應用程式控制 (WDAC) 強制執行 COM 物件註冊的內建允許清單。 雖然此機制適用於最常見的應用程式使用案例,但有客戶已提供意見反應,指出在某些情況下需要允許更多 COM 物件。 Windows 10 的 1903 更新引進了一項功能,可透過其在 WDAC 原則中的 GUID 來指定允許的 COM 物件。

身分識別與隱私權

安全的身分識別

Windows Hello增強功能包括:

  • 在所有主要瀏覽器 (包括 Chrome 和 Firefox) 上,現在都會以 Fast Identity Online 2 (FIDO2) 驗證器的形式支援 Windows Hello。
  • 您現在可以在Windows 10裝置上啟用 Microsoft 帳戶的無密碼登入,方法是移至 [設定 > 帳戶 > 登入選項],然後在 [讓您的裝置無密碼] 下選取 [開啟]。 啟用無密碼登入會將 Windows 10 裝置上的所有 Microsoft 帳戶切換為 Windows Hello 臉部、指紋或 PIN 的新式驗證。
  • Windows Hello PIN 登入支援已 新增到安全模式
  • Windows Hello 企業版現在有混合式 Azure Active Directory 支援和電話號碼登入 (Microsoft 帳戶)。 FIDO2 的安全性關鍵支援已擴大為 Azure Active Directory 混合式環境,讓具備混合式環境的企業能夠善用 無密碼驗證。 如需詳細資訊,請參閱將 Azure Active Directory 對 FIDO2 預覽的支援擴充至混合式環境
  • Windows Hello 在出廠設定的 Windows 10 版本 20H2 的裝置上提供了專門的硬體和軟體元件,Windows Hello 現在透過支援指紋和面部感應器為基於虛擬化的安全性提供了額外的支援。 這項功能會隔離並保護使用者的生物特徵識別驗證資料。
  • 新增 Windows Hello 的多重相機支援,可讓使用者在同時有支援外部和內部 Windows Hello 的相機時選擇外部相機優先。
  • Windows Hello FIDO2 認證:Windows Hello 現在是 FIDO2 認證驗證器,可為支援 FIDO2 驗證的網站啟用無密碼登入,例如 Microsoft 帳戶和 Azure AD。
  • 簡化 Windows Hello PIN 重設體驗:Microsoft 帳戶使用者的 Windows Hello PIN 重設體驗已改版,具有與登入網頁時相同的外觀和風格。
  • 使用生物識別技術的遠端桌面:使用 Windows Hello 企業版的 Azure Active Directory 和 Active Directory 使用者現在可以使用生物識別技術來驗證遠端桌面工作階段。

認證保護

Windows Defender Credential Guard

Windows Defender Credential Guard 現已可用於 ARM64 裝置,以便為在其組織中部署 ARM64 裝置 (如 Surface Pro X) 的企業提供針對認證竊取的額外保護。

隱私權控制項

麥克風隱私權設定:麥克風圖示會出現在通知區域,讓您了解哪些應用程式正在使用您的麥克風。

雲端服務

Microsoft Intune系列產品

Configuration Manager、Intune、電腦分析、共同管理和Intune 系統管理中心現在是Microsoft 端點管理服務的一部分。 請參閱 2019 年 11 月 4 日公告

Configuration Manager

設定管理員中提供就地升級精靈。 如需詳細資訊,請參閱使用設定管理員簡化 Windows 10 部署

Microsoft Intune

Microsoft Intune支援 LTSC 2021 Windows 10 企業版,但裝置設定檔中的Windows Update環除外。

新的 Intune 遠端動作:收集診斷,可讓您從公司裝置收集記錄,而不需要中斷或等待使用者。 如需詳細資訊,請參閱收集診斷遠端動作

Intune 也針對角色型存取控制 (RBAC) 新增功能,可用於進一步定義註冊狀態頁面 (ESP) 的設定檔設定。 如需詳細資訊,請參閱建立註冊狀態頁面設定檔並指派給群組

如需 Microsoft Intune 中新功能的完整清單,請參閱 Microsoft Intune 的新功能

行動裝置管理

行動裝置管理 (MDM) 原則會擴充為符合透過 群組原則 管理之裝置可用選項的新本機使用者和群組設定。

有關 MDM 的新功能的更多資訊,請參閱行動裝置注册和管理中的新增功能

Windows Management Instrumentation (WMI) 群組原則服務 (GPSVC) 有可支援遠端工作案例的效能改善:

  • 修正會導致 Active Directory (AD) 系統管理員對使用者或電腦群組成員資格的變更緩慢傳播的問題。 雖然存取權杖最終會更新,當系統管理員使用 gpresult /r 或 gpresult /h 建立報告時,這些變更可能不會顯示。

金鑰變換和金鑰輪換

此版本也包含兩個新功能,稱為「金鑰輪替」和「金鑰輪替」,可在受 MDM 管理的 Azure Active Directory 裝置上,視需要從Microsoft Intune/MDM 工具或使用修復密碼解除鎖定受 BitLocker 保護的磁片磁碟機時,安全地輪替修復密碼。 此功能可在使用者手動解鎖 BitLocker 磁碟機時,協助防止意外洩露修復密碼。

部署

SetupDiag

SetupDiag 是一種命令列工具,可協助診斷 Windows 10 更新失敗的原因。 SetupDiag 透過搜尋 Windows 安裝程式記錄檔運作。 搜尋記錄檔時,SetupDiag 會使用一組規則來比對已知問題。 在目前版本的 SetupDiag 中,有 53 個規則包含在 rules.xml 檔案中 (此檔案會在 SetupDiag 執行時解壓縮)。 rules.xml 檔案將在有新版 SetupDiag 可供使用時更新。

保留的儲存空間

保留的存儲器:保留的儲存體會保留更新、應用程式、暫存檔案和系統快取所要使用的磁碟空間。 透過確定重大作業系統功能一律具有磁碟空間的存取權,來改善電腦的日常功能。 在 Windows 10 版本 1903 已預先安裝且為全新安裝的新電腦上,保留的儲存空間將自動啟用。 當從舊版 Windows 10 更新時,則不會啟用。

Windows 評定及部署工具組 (ADK)

新的Windows ADK適用于也支援 Windows 10 版本 21H2 的Windows 11。

Microsoft Deployment Toolkit (MDT)

如需 MDT 的最新資訊,請參閱 MDT 版本資訊

Windows 安裝程式

Windows 安裝程式 回應檔案 (unattend.xml) 已改善語言處理。

此版本中 Windows 安裝程式的改進功能包括:

  • 在功能更新期間縮短離線時間
  • 改善保留儲存空間的控制項
  • 改善控制項和診斷
  • 新增復原選項

如需詳細資訊,請參閱 Windows IT 專業人員部落格中的 Windows 安裝程式增強功能。

Microsoft Edge

Microsoft Edge Browser 支援現已隨附于內建。

Microsoft Edge kiosk 模式

從 2021 Windows 10 企業版 LTSC 和 2021 LTSC Windows 10 IoT 企業版開始,Microsoft Edge kiosk 模式適用于LTSC版本。

Microsoft Edge kiosk 模式提供兩種瀏覽器鎖定體驗,組織可建立、管理以及為客戶提供最佳的體驗。 可使用的鎖定體驗如下:

  • 數位/互動式告示板體驗 - 以全螢幕模式顯示特定網站。
  • 公用瀏覽體驗 - 可執行受限制的 Microsoft Edge 多索引標籤版本。
  • 兩個體驗皆執行 Microsoft Edge InPrivate 工作階段,可保護使用者資料。

適用於 Linux 的 Windows 子系統

Windows 子系統 Linux 版 (可用的 WSL) 。

網路功能

WPA3 H2E 標準支援增強Wi-Fi安全性。

另請參閱

Windows 10 企業版 LTSC:LTSC 維護通道的簡短描述,其中包含每個版本相關資訊的連結。