Condividi tramite

Novità di Windows 11 versione 24H2

Windows 11, la versione 24H2 è un aggiornamento delle funzionalità per Windows 11. Include tutte le funzionalità e le correzioni negli aggiornamenti cumulativi precedenti per Windows 11 versione 23H2. In questo articolo sono elencate le funzionalità nuove e aggiornate che i professionisti IT dovrebbero conoscere.

Stai cercando informazioni per utenti privati? Vedere Windows 11 aggiornamento 2024.

Windows 11 versione 24H2 segue la sequenza temporale di manutenzione Windows 11:

  • Windows 11 Pro: 24 mesi dopo la data di rilascio.
  • Windows 11 Enterprise: viene funzionalità gestita per 36 mesi dalla data di rilascio.

I dispositivi devono eseguire Windows 11 versione 23H2 o 22H2 con l'aggiornamento di anteprima non di sicurezza di maggio 2024 o un aggiornamento successivo, installato per eseguire l'aggiornamento alla versione 24H2. Windows 11, la versione 24H2 è uno scambio completo del sistema operativo, quindi non è disponibile come pacchetto di abilitazione. Windows 10 dispositivi possono essere aggiornati a Windows 11 versione 24H2 usando gli stessi processi, criteri e soluzioni di gestione familiari usati per distribuire in origine Windows 10.

Windows 11 versione 24H2 è disponibile tramite Windows Server Update Services (inclusi Configuration Manager), Windows Update per le aziende e Volume Licensing Service Center (VLSC). Per altre informazioni, vedere Come ottenere l'aggiornamento di Windows 11 versione 24H2. Esaminare il post di blog Windows 11 versione 24H2 di Windows IT Pro per scoprire informazioni sulle risorse di distribuzione disponibili, ad esempio Windows Assessment and Deployment Kit (Windows ADK).Review the Windows 11, version 24H2 Windows IT Pro blog post to discover information about available deployment resources, such as the Windows Assessment and Deployment Kit (Windows ADK).

Per altre informazioni sullo stato dell'implementazione dell'aggiornamento, sui problemi noti e sulle nuove informazioni, vedi Integrità delle versioni di Windows.

Funzionalità non più sotto il controllo aziendale temporaneo

Il controllo temporaneo delle funzionalità aziendali disattiva temporaneamente alcune funzionalità introdotte durante gli aggiornamenti cumulativi mensili per i dispositivi Windows 11 gestiti. Ai fini del controllo aziendale temporaneo, un sistema viene considerato gestito se è configurato per ottenere gli aggiornamenti da Windows Update per le aziende o Windows Server Update Services (WSUS). I client che ricevono gli aggiornamenti da Microsoft Configuration Manager e Microsoft Intune vengono considerati gestiti poiché gli aggiornamenti provengono in definitiva da WSUS o Windows Aggiornamenti for Business.

Non sono presenti funzionalità sotto il controllo aziendale temporaneo tra Windows 11, versione 23H2 e Windows 11 versione 24H2. Per un elenco delle funzionalità sottoposte a controllo aziendale temporaneo tra Windows 11, versione 22H2 e Windows 11 versione 23H2, vedere Windows 11 funzionalità dietro il controllo temporaneo delle funzionalità aziendali.

Aggiornamenti cumulativi del checkpoint

Microsoft sta introducendo gli aggiornamenti cumulativi dei checkpoint, un nuovo modello di manutenzione che consente ai dispositivi che eseguono Windows 11 versione 24H2 o successiva di risparmiare tempo, larghezza di banda e spazio sul disco rigido quando si ottengono funzionalità e miglioramenti della sicurezza tramite l'aggiornamento cumulativo più recente. In precedenza, gli aggiornamenti cumulativi contenevano tutte le modifiche apportate ai file binari dall'ultima versione alla versione di produzione (RTM). Le dimensioni degli aggiornamenti cumulativi potrebbero aumentare nel tempo da quando RTM è stato usato come baseline per ogni aggiornamento.

Con gli aggiornamenti cumulativi del checkpoint, i differenziali a livello di file di aggiornamento si basano su un aggiornamento cumulativo precedente anziché sulla versione RTM. Gli aggiornamenti cumulativi che fungono da checkpoint verranno rilasciati periodicamente. L'uso di un checkpoint anziché RTM significa che i pacchetti di aggiornamento successivi sono più piccoli, il che rende i download e le installazioni più veloci. L'uso di un checkpoint significa anche che per consentire a un dispositivo di installare l'aggiornamento cumulativo più recente, potrebbe essere necessaria l'installazione di un aggiornamento cumulativo prerequisito. Per altre informazioni sugli aggiornamenti cumulativi dei checkpoint, vedere https://aka.ms/CheckpointCumulativeUpdates.

Funzionalità esclusive dei PC Copilot+ in 24H2

I PC Copilot+ sono una nuova classe di PC Windows 11 di intelligenza artificiale alimentati da un'unità di elaborazione neurale (NPU) in grado di eseguire più di 40 trilioni di operazioni al secondo (TOPS). Le funzionalità seguenti sono esclusive dei PC Copilot+ in Windows 11 versione 24H2:

Funzionalità aggiunte a Windows 11 dalla versione 23H2

Sono state introdotte periodicamente nuove funzionalità e miglioramenti per Windows 11 versione 23H2 per offrire un'innovazione continua per Windows 11. Queste funzionalità e miglioramenti usano i normali canali di manutenzione degli aggiornamenti già noti. All'inizio vengono introdotte nuove funzionalità con una versione facoltativa di anteprima non di sicurezza e implementate gradualmente ai client. Queste nuove funzionalità vengono rilasciate in un secondo momento come parte di una versione mensile dell'aggiornamento della sicurezza. Per altre informazioni sull'innovazione continua, vedere Aggiornare il ciclo di rilascio per i client Windows.

Alcune delle funzionalità sono state rilasciate nell'ambito degli aggiornamenti continui dell'innovazione dello scorso anno e sono state riportate nell'aggiornamento annuale delle funzionalità 24H2:

Modifiche al protocollo SMB (Server Message Block)

Firma e crittografia SMB

Per la firma e la crittografia SMB sono state apportate le modifiche seguenti:

  • Modifiche ai requisiti di firma SMB: in Windows 11 versione 24H2 nelle edizioni Home, Pro, Education ed Enterprise, la firma SMB è ora necessaria per impostazione predefinita per tutte le connessioni. La firma SMB garantisce che ogni messaggio contenga una firma generata usando la chiave di sessione e la suite di crittografia. Il client inserisce un hash dell'intero messaggio nel campo della firma dell'intestazione SMB. Se qualcuno modifica il messaggio stesso in un secondo momento, l'hash non corrisponde e SMB sa che qualcuno ha manomesso i dati. Conferma anche al mittente e al destinatario che sono chi dicono di essere, interrompendo gli attacchi di inoltro. Per altre informazioni sulla firma SMB richiesta per impostazione predefinita, vedere https://aka.ms/SMBSigningOBD.

  • Crittografia client SMB: SMB supporta ora la richiesta di crittografia in tutte le connessioni client SMB in uscita. La crittografia di tutte le connessioni client SMB in uscita impone il massimo livello di sicurezza di rete e porta la parità di gestione alla firma SMB, che consente sia i requisiti client che i requisiti del server. Con questa nuova opzione, gli amministratori possono imporre a tutti i server di destinazione di usare SMB 3 e la crittografia e, se mancano tali funzionalità, il client non si connetterà. Per altre informazioni su questa modifica, vedere https://aka.ms/SmbClientEncrypt.

  • Controllo della firma e della crittografia SMB: gli amministratori possono ora abilitare il controllo del server e del client SMB per supportare la firma e la crittografia SMB. Ciò indica se un client o un server di terze parti non supporta la crittografia O la firma SMB. Le impostazioni di controllo della firma e della crittografia SMB possono essere modificate in Criteri di gruppo o tramite PowerShell.

Porte client e server alternative SMB

Il client SMB supporta ora la connessione a un server SMB tramite TCP, QUIC o RDMA usando porte di rete alternative alle impostazioni predefinite hardcoded. Tuttavia, è possibile connettersi a porte alternative solo se il server SMB è configurato per supportare l'ascolto su tale porta. A partire da Windows Server Build 26040 di Insider, il server SMB supporta ora l'ascolto su una porta di rete alternativa per SMB su QUIC. Windows Server non supporta la configurazione di porte TCP del server SMB alternative, ma alcune terze parti lo fanno. Per altre informazioni su questa modifica, vedere https://aka.ms/SMBAlternativePorts.

Elenco di eccezioni di blocco NTLM SMB

Il client SMB supporta ora il blocco di NTLM per le connessioni remote in uscita. Con questa nuova opzione, gli amministratori possono impedire intenzionalmente a Windows di offrire NTLM tramite SMB e specificare eccezioni per l'utilizzo di NTLM. Un utente malintenzionato che inganna un utente o un'applicazione a inviare risposte di richiesta NTLM a un server malintenzionato non riceverà più dati NTLM e non potrà forzare, violare o passare hash. Questa modifica aggiunge un nuovo livello di protezione per le aziende senza l'obbligo di disabilitare completamente l'utilizzo di NTLM nel sistema operativo.

Per altre informazioni su questa modifica, vedere https://aka.ms/SmbNtlmBlock.

Gestione dei dialetti SMB

Il server SMB supporta ora il controllo dei dialetti SMB 2 e 3 negoziati. Con questa nuova opzione, un amministratore può rimuovere protocolli SMB specifici dall'uso nell'organizzazione, bloccando la connessione di dispositivi Windows meno recenti, meno sicuri e meno idonei e di terze parti. Ad esempio, gli amministratori possono specificare di usare solo SMB 3.1.1, il dialetto più sicuro del protocollo.

Per altre informazioni su questa modifica, vedere https://aka.ms/SmbDialectManage.

SMB su QUIC

SMB su QUIC, che ha introdotto un'alternativa a TCP e RDMA, fornisce connettività sicura ai file server perimetrali su reti non attendibili come Internet. QUIC offre vantaggi significativi, il più grande dei quali è la crittografia basata su certificati obbligatoria invece di basarsi sulle password. Il controllo di accesso client SMB su QUIC migliora la funzionalità SMB su QUIC esistente.

Gli amministratori hanno ora più opzioni per SMB tramite QUIC, ad esempio:

Per altre informazioni su queste modifiche, vedere https://aka.ms/SmbOverQUICCAC.

Modifiche alle regole del firewall SMB

Il comportamento predefinito di Windows Firewall è stato modificato. In precedenza, la creazione di una condivisione SMB configurava automaticamente il firewall per abilitare le regole nel gruppo Condivisione file e stampanti per i profili firewall specificati. Ora, Windows configura automaticamente il nuovo gruppo Condivisione file e stampanti (restrittivo), che non contiene più porte NetBIOS in ingresso 137-139.

Questa modifica impone un livello più elevato di sicurezza di rete predefinita e avvicina le regole del firewall SMB al comportamento del ruolo Windows Server file server, che apre solo le porte minime necessarie per connettersi e gestire la condivisione. Gli amministratori possono comunque configurare il gruppo Condivisione file e stampanti , se necessario, nonché modificare questo nuovo gruppo firewall, si tratta solo di comportamenti predefiniti.

Per altre informazioni su questa modifica, vedere https://aka.ms/SMBfirewall. Per altre informazioni sulla sicurezza di rete SMB, vedere Proteggere il traffico SMB in Windows Server.

Abilitazione della protezione dell'autorità di sicurezza locale (LSA) all'aggiornamento

La protezione LSA consente di proteggere dal furto di segreti e credenziali usati per l'accesso impedendo l'esecuzione di codice non autorizzato nel processo LSA e impedendo il dumping della memoria del processo. Si verifica un controllo per le incompatibilità con la protezione LSA per un periodo di tempo, a partire da questo aggiornamento. Se non vengono rilevate incompatibilità, la protezione LSA viene abilitata automaticamente. È possibile controllare e modificare lo stato di abilitazione della protezione LSA nell'applicazione Sicurezza di Windows nella paginaIsolamento dei componenti di base della sicurezza> del dispositivo. Nel registro eventi, la protezione LSA registra se ai programmi viene impedito il caricamento in LSA. Se si vuole verificare se è stato bloccato un elemento, esaminare la registrazione.

Protocollo Mailslot remoto disabilitato per impostazione predefinita

Il protocollo Mailslot remoto è stato deprecato a novembre 2023 ed è ora disabilitato per impostazione predefinita a partire da Windows 11 versione 24H2. Per altre informazioni su Remote Mailslots, vedere Informazioni su Mailslot.

Miglioramenti della soluzione laps (Local Administrator Password Solution)

LAPS ha una nuova funzionalità di gestione automatica degli account. Gli amministratori IT possono configurare Windows LAPS per:

  • Creare automaticamente l'account locale gestito
  • Configurare il nome dell'account
  • Abilitare o disabilitare l'account
  • Casualizzare il nome dell'account

LAPS presenta i miglioramenti dei criteri seguenti:

  • Aggiunta delle impostazioni della passphrase per i criteri PasswordComplexity
    • Usare PassphraseLength per controllare il numero di parole in una nuova passphrase
  • Aggiunta di un'impostazione di leggibilità migliorata per i criteri PasswordComplexity , che genera password senza usare caratteri facilmente confusi con un altro carattere. Ad esempio, lo zero e la lettera O non vengono usati nella password perché i caratteri possono essere confusi.
  • Aggiunta dell'impostazione Reset the password, logoff the managed account, and terminate any remaining processes al criterio PostAuthenticationActions . Anche i messaggi di registrazione eventi generati durante l'esecuzione post-autenticazione-azione sono stati espansi per fornire informazioni dettagliate esattamente su ciò che è stato fatto durante l'operazione.

Il rilevamento del rollback delle immagini è stato introdotto per LAPS. LAPS può rilevare quando è stato eseguito il rollback di un dispositivo a un'immagine precedente. Quando viene eseguito il rollback di un dispositivo, la password in Active Directory potrebbe non corrispondere alla password nel dispositivo di cui è stato eseguito il rollback. Questa nuova funzionalità aggiunge un attributo di Active Directory, msLAPS-CurrentPasswordVersion, allo schema LAPS di Windows. Questo attributo contiene un GUID casuale scritto da Windows LAPS ogni volta che una nuova password viene salvata in modo permanente in Active Directory, seguita dal salvataggio di una copia locale. Durante ogni ciclo di elaborazione, il GUID archiviato in msLAPS-CurrentPasswordVersion viene sottoposto a query e confrontato con la copia persistente in locale. Se i GUID sono diversi, la password viene ruotata immediatamente. Per abilitare questa funzionalità, è necessario eseguire la versione più recente del cmdlet Di PowerShell Update-LapsADSchema.

Rust nel kernel di Windows

È disponibile una nuova implementazione dell'area GDI in win32kbase_rs.sys. Poiché Rust offre vantaggi in materia di affidabilità e sicurezza rispetto ai programmi tradizionali scritti in C/C++, si continuerà a vedere un uso maggiore di esso nel kernel.

Crittografia dei dati personali per le cartelle

Personal Data Encryption per le cartelle è una funzionalità di sicurezza in cui il contenuto delle cartelle di Windows note (Documenti, Desktop e Immagini) è protetto tramite un meccanismo di crittografia autenticato dall'utente. Windows Hello è l'autenticazione utente usata per fornire le chiavi per la crittografia dei dati utente nelle cartelle. Crittografia dati personali per le cartelle può essere abilitata da un criterio in Intune. Gli amministratori IT possono selezionare tutte le cartelle o un subset, quindi applicare i criteri a un gruppo di utenti nell'organizzazione. Crittografia dati personali per le impostazioni delle cartelle è disponibile in Intune inCrittografia dischidi Sicurezza> degli endpoint.

Per altre informazioni sulla crittografia dei dati personali, vedere Panoramica della crittografia dei dati personali

Modalità di stampa protetta da Windows

La modalità di stampa protetta da Windows consente ai dispositivi di stampare usando solo lo stack di stampa moderno di Windows, progettato per le stampanti con certificazione Morpia. Con le stampanti certificate Morpia, non è più necessario affidarsi a programmi di installazione software di terze parti. Per abilitare la modalità di stampa protetta di Windows:

  • Passare a Impostazioni>Bluetooth & Dispositivi>Stampanti & scanner, quindi scegliere Configura in modalità di stampa protetta di Windows
  • Abilitare il criterio Configura stampa protetta di Windows in Criteri di gruppo in Configurazione> computerModelli> amministrativiStampanti

Supporto sha-3

È stato aggiunto il supporto per la famiglia SHA-3 di funzioni hash e funzioni derivate da SHA-3 (SHAKE, cSHAKE, KMAC). La famiglia di algoritmi SHA-3 è la più recente funzione hash standardizzata del National Institute of Standards and Technology (NIST). Il supporto per queste funzioni è abilitato tramite la libreria CNG di Windows.

  • Funzioni hash SHA-3 supportate: SHA3-256, SHA3-384, SHA3-512 (SHA3-224 non è supportato)

  • Algoritmi HMAC SHA-3 supportati: HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512

  • Algoritmi derivati da SHA-3 supportati: funzioni di output estendibile (XOF) (SHAKE128, SHAKE256), XOFs personalizzabili (cSHAKE128, cSHAKE256) e KMAC (KMAC128, KMAC256, KMACXOF128, KMACXOF256).

Controllo app per le aziende

I clienti possono ora usare Controllo app per le aziende (in precedenza denominato Windows Defender Application Control) e le funzionalità di nuova generazione per proteggere la proprietà digitale da codice dannoso. Con Controllo app per le aziende, i team IT possono configurare le esecuzioni in un ambiente aziendale tramite Microsoft Intune o altri MDM nella console di amministrazione, inclusa la configurazione di Intune come programma di installazione gestito. Per altre informazioni, vedere Controllo applicazioni per Windows.

supporto Wi-Fi 7

È stato aggiunto il supporto per Wi-Fi 7 per i punti di accesso consumer. Wi-Fi 7, noto anche come IEEE 802.11be Extremely High Throughput (EHT) è la tecnologia di Wi-Fi più recente che offre velocità, affidabilità ed efficienza senza precedenti per i dispositivi wireless. Per altre informazioni su Wi-Fi 7, vedere l'annuncio di Wi-Fi Alliance.

Supporto audio Bluetooth ® LE per i dispositivi di assistive

I clienti che usano questi dispositivi acustici assistivi sono ora in grado di associare, trasmettere audio in streaming, effettuare chiamate e controllare i set di impostazioni audio quando usano un PC compatibile con LE Audio. Gli utenti che dispongono di dispositivi acustici assistivi con supporto perl'audioBluetooth LE possono determinare se il PC è compatibile con LE Audio, configurare e gestire i dispositivi tramite i dispositivi Settings> Accessibility >Hearing. Per altre informazioni, vedere Uso di dispositivi acustici con il PC Windows 11.

Miglioramenti della posizione di Windows

Sono stati aggiunti nuovi controlli che consentono di gestire le app che hanno accesso all'elenco di reti Wi-Fi che possono essere usate per determinare la posizione.

  • È possibile visualizzare e modificare le app che possono accedere all'elenco di reti Wi-Fi da Impostazioni>Privacy & posizione di sicurezza>.
  • Viene visualizzata una nuova richiesta la prima volta che un'app tenta di accedere alla posizione o alle informazioni Wi-Fi.
    • La richiesta notifica anche quando un'app richiede in modo imprevisto l'accesso ai servizi di posizione in modo che sia possibile negarlo.
    • Se si concede l'autorizzazione, le app che usano la posizione o Wi-Fi informazioni vengono ora visualizzate in Attività recenti nella pagina Impostazioni percorso e l'icona della posizione viene visualizzata nella barra delle applicazioni mentre l'app è in uso.
    • Per nascondere queste richieste quando la posizione è stata disattivata, disattivare Notifica quando le app richiedono la posizione nella pagina Impostazioni percorso .
  • Gli sviluppatori possono usare l'articolo Modifiche al comportamento dell'API per Wi-Fi l'accesso e la posizione per informazioni sulle superfici API interessate da questa modifica.

Sudo per Windows

Sudo per Windows è un nuovo modo per gli utenti di eseguire comandi con privilegi elevati (come amministratore) direttamente da una sessione della console non assegnata. Il comando sudo può essere configurato per l'esecuzione in tre diverse modalità:

  • In una nuova finestra: il comando con privilegi elevati viene eseguito in una nuova finestra. Questa modalità è simile al comportamento del runas /user:admin comando.
  • Con input disabilitato: esegue il processo con privilegi elevati nella finestra corrente, ma con l'handle di input chiuso. Ciò significa che il processo con privilegi elevati non sarà in grado di ricevere l'input dalla finestra della console corrente.
  • Inline: esegue il processo con privilegi elevati nella finestra corrente e il processo è in grado di ricevere input dalla sessione console corrente. Questa modalità è più simile all'esperienza sudo su altre piattaforme.

È consigliabile esaminare le considerazioni sulla sicurezza per ogni modalità prima di abilitare il comando sudo nel computer. Per altre informazioni, vedere Sudo per Windows.

Abilitare gli aggiornamenti facoltativi

Oltre all'aggiornamento cumulativo mensile, sono disponibili aggiornamenti facoltativi per fornire nuove funzionalità e modifiche non di sicurezza. La maggior parte degli aggiornamenti facoltativi viene rilasciata il quarto martedì del mese, nota come versioni facoltative di anteprima non di sicurezza. Gli aggiornamenti facoltativi possono includere anche funzionalità implementate gradualmente, note come implementazioni di funzionalità controllate (CFR). L'installazione degli aggiornamenti facoltativi non è abilitata per impostazione predefinita per i dispositivi che ricevono gli aggiornamenti usando Windows Update per le aziende. È tuttavia possibile abilitare gli aggiornamenti facoltativi per i dispositivi usando i criteri Abilita aggiornamenti facoltativi . Per altre informazioni sul contenuto facoltativo, vedere Abilitare gli aggiornamenti facoltativi.

Miglioramenti alla connessione Desktop remoto

Connessione Desktop remoto presenta i miglioramenti seguenti:

  • La finestra di configurazione di Connessione Desktop remoto (mstsc.exe) segue le impostazioni di ridimensionamento del testo in Impostazioni Dimensioni>testoaccessibilità>.
  • Connessione Desktop remoto supporta opzioni di zoom pari a 350, 400, 450 e 500%
  • Miglioramenti alla progettazione della barra di connessione

Funzionalità aggiuntive

  • Esplora file: Sono state apportate le modifiche seguenti al menu di scelta rapida Esplora file:
    • Supporto per la creazione di archivi 7-zip e TAR
    • Comprimere in>Le opzioni aggiuntive consentono di comprimere singoli file con gzip, BZip2, xz o Zstandard
    • Le etichette sono state aggiunte alle icone del menu di scelta rapida per azioni come copia, incolla, eliminazione e ridenominazione
  • Miglioramento della configurazione guidata: quando è necessario connettersi a una rete e non sono presenti driver Wi-Fi, viene offerta un'opzione Installa driver per installare i driver già scaricati
  • Editor del Registro di sistema: l'Editor del Registro di sistema supporta la limitazione di una ricerca alla chiave attualmente selezionata e ai relativi discendenti
  • Gestione attività: la pagina delle impostazioni di Gestione attività contiene materiale Mica e un'icona riprogettata

API per sviluppatori

Sono state aggiunte o aggiornate le API per sviluppatori seguenti:

  • È stata introdotta l'API Power Grid Forecast. Gli sviluppatori di app possono ridurre al minimo l'impatto ambientale spostando carichi di lavoro in background in momenti in cui l'energia rinnovabile è disponibile per la rete locale. I dati di previsione non sono disponibili a livello globale e la qualità dei dati può variare in base all'area.
  • È stato aggiunto un GUID dell'impostazione di callback della notifica risparmio energia per rappresentare la nuova esperienza di risparmio energia. Le app possono sottoscrivere lo stato di risparmio energia passando il GUID appropriato all'API PowerSettingRegisterNotification e possono implementare comportamenti diversi per ottimizzare l'energia o le prestazioni a seconda dello stato corrente del risparmio energetico. Per altre informazioni, vedere GUID di power setting
  • È stata estesa l'API Modalità di alimentazione effettiva per interpretare i nuovi livelli di risparmio energia quando si determina la modalità di alimentazione effettiva restituita.

Funzionalità rimosse in Windows 11 versione 24H2

Le funzionalità deprecate seguenti vengono rimosse in Windows 11 versione 24H2: