Compartilhar via


Novidades no Windows 10 Enterprise LTSC 2021

Este artigo apresenta uma lista de funcionalidades e conteúdos novos e atualizados que são do interesse dos Profissionais de TI para Windows 10 Enterprise LTSC 2021, em comparação com Windows 10 Enterprise LTSC 2019 (LTSB). Para obter uma breve descrição do canal de manutenção LTSC e do suporte associado, veja Windows 10 Enterprise LTSC.

Observação

Windows 10 Enterprise LTSC 2021 foi disponibilizado pela primeira vez a 16 de novembro de 2021. As funcionalidades no Windows 10 Enterprise LTSC 2021 são equivalentes a Windows 10, versão 21H2.

A versão LTSC destina-se a dispositivos de utilização especial. O suporte para LTSC por aplicações e ferramentas concebidas para a versão de canal de disponibilidade geral do Windows 10 pode ser limitado.

Windows 10 Enterprise LTSC 2021 baseia-se no Windows 10 Enterprise LTSC 2019, adicionando funcionalidades premium, como proteção avançada contra ameaças de segurança modernas e gestão abrangente de dispositivos, gestão de aplicações e capacidades de controlo.

A versão do Windows 10 Enterprise LTSC 2021 inclui os melhoramentos cumulativos fornecidos nas versões Windows 10 1903, 1909, 2004, 21H1 e 21H2. Os detalhes sobre estes melhoramentos são fornecidos abaixo.

Ciclo de vida

Importante

Windows 10 Enterprise LTSC 2021 tem um ciclo de vida de 5 anos. (O IoT Enterprise LTSC continua a ter um ciclo de vida de 10 anos). Assim, a versão LTSC 2021 não é uma substituição direta do LTSC 2019, que tem um ciclo de vida de 10 anos.

Para obter mais informações sobre o ciclo de vida desta versão, veja O próximo Windows 10 versão do canal de manutenção de longo prazo (LTSC).

Segurança de hardware

System Guard

System Guard melhorou uma funcionalidade nesta versão do Windows denominada Proteção de Firmware do SMM. Esta funcionalidade baseia-se no System Guard Iniciação Segura para reduzir a superfície de ataque de firmware e garantir que o firmware do Modo de Gestão do Sistema (SMM) no dispositivo está a funcionar de forma saudável- especificamente, o código do SMM não consegue aceder à memória e aos segredos do SO.

Nesta versão, o Microsoft Defender System Guard permite um nível aindamaiorde Proteção do firmware do Modo de gerenciamento do sistema (SMM), que vai além de verificar a memória do sistema operacional e os segredos para os recursos adicionais, como registradores e E/S.

Com essa melhoria, o sistema operacional pode detectar um nível mais alto de conformidade SMM, permitindo que os dispositivos sejam ainda mais robustos contra explorações e vulnerabilidades do SMM. Com base na plataforma, o hardware e firmware subjacentes, existem três versões do SMM Firmware Protection (uma, duas e três), com cada versão subsequente a oferecer proteções mais fortes do que as anteriores.

Atualmente, já existem dispositivos no mercado que oferecem versões 1 e 2 do SMM Firmware Protection. SMM Firmware Protection versão três Esta funcionalidade está atualmente com aspeto futuro e requer novo hardware que será disponibilizado em breve.

Segurança do sistema operacional

Segurança do sistema

Os aprimoramentos do aplicativo Segurança do Windows agora incluem Histórico de proteção, incluindo informações detalhadas e mais fáceis de entender sobre ameaças e ações disponíveis, os blocos de Acesso Controlado a Pastas agora estão no Histórico de proteção, ações da ferramenta o Windows Defender Ações da ferramenta de Verificação do Windows Defender Offline e quaisquer recomendações pendentes.

Criptografia e proteção de dados

O BitLocker e o Mobile Gerenciamento de Dispositivos (MDM) com Microsoft Entra ID trabalhar em conjunto para proteger os seus dispositivos contra a divulgação acidental de palavras-passe. Agora, uma nova funcionalidade de implementação de chaves roda de forma segura palavras-passe de recuperação em dispositivos geridos por MDM. O recurso é ativado sempre que as ferramentas do Microsoft Intune/MDM ou uma senha de recuperação é usada para desbloquear uma unidade protegida pelo BitLocker. Como resultado, a senha de recuperação estará mais protegida quando os usuários desbloquearem manualmente uma unidade do BitLocker.

Segurança de rede

Windows Defender Firewall

A Firewall do Windows Defender oferece agora os seguintes benefícios:

Reduzir o risco: a Firewall do Windows Defender reduz a superfície de ataque de um dispositivo com regras para restringir ou permitir o tráfego por muitas propriedades, como endereços IP, portas ou caminhos de programa. Reduzir a superfície de ataque de um dispositivo aumenta a capacidade de gerenciamento e diminui a probabilidade de um ataque bem-sucedido.

Dados de salvaguarda: com o IPsec (Internet Protocol Security) integrado, a Firewall do Windows Defender fornece uma forma simples de impor comunicações de rede autenticadas ponto a ponto. Ele fornece acesso escalonável e em camadas a recursos de rede confiáveis, ajudando a reforçar a integridade dos dados e, opcionalmente, ajudando a proteger a confidencialidade dos dados.

Expandir valor: a Firewall do Windows Defender é uma firewall baseada no anfitrião que está incluída no sistema operativo, pelo que não é necessário outro hardware ou software. A Firewall do Windows Defender também foi concebida para complementar as soluções de segurança de rede não Microsoft existentes através de uma interface de programação de aplicações (API) documentada.

A Firewall do Windows Defender também é agora mais fácil de analisar e depurar. O comportamento IPsec foi integrado com o Monitor de Pacotes (pktmon), uma ferramenta de diagnóstico de rede entre componentes incorporada para Windows.

Além disso, os registos de eventos da Firewall do Windows Defender foram melhorados para garantir que uma auditoria pode identificar o filtro específico responsável por qualquer evento. Esta melhoria permite a análise do comportamento da firewall e da captura de pacotes avançada sem depender de outras ferramentas.

A Firewall do Windows Defender também suporta agora Subsistema do Windows para Linux (WSL); Pode adicionar regras para o processo WSL, tal como para os processos do Windows. Para obter mais informações, veja A Firewall do Windows Defender suporta agora Subsistema do Windows para Linux (WSL).

Proteção contra vírus e ameaças

Redução da área da superfície de ataque – os administradores de TI podem configurar dispositivos com proteção Web avançada que lhes permite definir listas de permissões e listas de bloqueio para URLs e endereços IP específicos. Proteção da próxima geração – os controlos foram expandidos para proteção contra ransomware, utilização indevida de credenciais e ataques transmitidos através de armazenamento amovível.

  • Capacidades de imposição de integridade – ative o atestado de tempo de execução remoto da plataforma Windows 10.
  • Capacidades de verificação de adulteração – utiliza a segurança baseada em virtualização para isolar as capacidades de segurança de Microsoft Defender para Ponto de Extremidade críticas longe do SO e dos atacantes. Suporte da plataforma – para além de Windows 10, a funcionalidade do Microsoft Defender para Ponto de Extremidade foi alargada para suportar clientes windows 7 e Windows 8.1, bem como macOS, Linux e Windows Server com as respetivas capacidades de Deteção de Ponto Final (EDR) e de Plataforma do Endpoint Protection (EPP).

Advanced Machine Learning: aprimorado com os modelos Advanced Machine Learning e IA que o habilitam para se proteger contra invasores do Apex usando técnicas inovadoras de exploração de vulnerabilidade, ferramentas e malware.

Proteção de emergência contra ataques: fornece proteção de emergência contra ataques que atualizará automaticamente os dispositivos com nova inteligência quando uma nova epidemia for detectada.

Conformidade com a ISO 27001 certificado: garante que o serviço na nuvem analisou ameaças, vulnerabilidades e impactos, e que os controles de segurança e gerenciamento de riscos estão em vigor.

Suporte à geolocalização: suporte a localização geográfica e soberania de dados de exemplo e a políticas de retenção configuráveis.

Suporte melhorado para caminhos de ficheiro não ASCII para Microsoft Defender Resposta a Incidentes Automáticos (IR) da Proteção Avançada Contra Ameaças (ATP).

Observação

O parâmetro DisableAntiSpyware foi depreciado neste lançamento.

Segurança do aplicativo

Isolamento de aplicações

Área Restrita do Windows: ambiente de área de trabalho isolado onde você pode executar software não confiável sem o medo de impacto duradouro em seu dispositivo.

Microsoft Defender Application Guard

Microsoft Defender Application Guard melhorias incluem:

  • Os utilizadores autónomos podem instalar e configurar as respetivas definições de Application Guard do Windows Defender sem precisarem de alterar as definições da chave do registo. Os usuários da empresa podem verificar suas configurações para ver o que os administradores configuraram para seus computadores a compreender melhor o comportamento.

  • Application Guard é agora uma extensão no Google Chrome e mozilla Firefox. Muitos utilizadores estão num ambiente de browser híbrido e gostariam de expandir a tecnologia de isolamento do browser do Application Guard para além do Microsoft Edge. Na versão mais recente, os utilizadores podem instalar a extensão Application Guard nos respetivos browsers Chrome ou Firefox. Esta extensão irá redirecionar a navegação não fidedigno para o browser Application Guard Edge. Também há um aplicativo complementar para habilitar esse recurso na Microsoft Store. Os utilizadores podem iniciar rapidamente Application Guard a partir do ambiente de trabalho com esta aplicação. Esse recurso também está disponível no Windows 10, versão 1803 ou posterior, com as atualizações mais recentes.

    Para experimentar esta extensão:

    1. Configure Application Guard políticas no seu dispositivo.
    2. Vá para a Chrome Web Store ou complementos do Firefox e pesquise o Application Guard. Instale a extensão.
    3. Siga as outras etapas de configuração na página de instalação de extensão.
    4. Reinicialize o dispositivo.
    5. Navegue até um site não confiável no Chrome e no Firefox.

Navegação dinâmica: Application Guard agora permite que os utilizadores regressem ao browser anfitrião predefinido a partir do Application Guard Microsoft Edge. Anteriormente, os utilizadores que navegavam no Application Guard Edge veriam uma página de erro quando tentavam aceder a um site fidedigno no browser de contentor. Com esta nova funcionalidade, os utilizadores serão automaticamente redirecionados para o browser predefinido do anfitrião quando entrarem ou clicarem num site fidedigno no Application Guard Edge. Esse recurso também está disponível no Windows 10, versão 1803 ou posterior, com as atualizações mais recentes.

Application Guard desempenho é melhorado com tempos de abertura de documentos otimizados:

  • Foi corrigido um problema que poderia causar um atraso de um minuto ou mais ao abrir um Microsoft Defender Application Guard (Application Guard) documento do Office. Este problema pode ocorrer quando tenta abrir um ficheiro com um caminho UNC (Universal Naming Convention) ou uma ligação de partilha SMB (Server Message Block).
  • Foi corrigido um problema de memória que poderia fazer com que um contentor Application Guard utilizasse quase 1 GB de memória do conjunto de trabalho quando o contentor estava inativo.
  • O desempenho do Robocopy é aprimorado ao copiar arquivos com mais de 400 MB de tamanho.

Controle de Aplicativo

Controlo de Aplicações para Windows: no Windows 10, versão 1903, o Controlo de Aplicações do Windows Defender (WDAC) adicionou muitas funcionalidades novas que iluminam os principais cenários e fornecem paridade de funcionalidades com o AppLocker.

  • Múltiplas Políticas: o Controlo de Aplicações do Windows Defender suporta agora várias políticas de integridade de código simultâneas para um dispositivo, de modo a permitir os seguintes cenários: 1) impor e auditar lado a lado, 2) filtragem mais simples para políticas com âmbito/intenção diferentes, 3) ao expandir uma política utilizando uma nova política "suplementar".
  • Regras baseadas em caminho: a condição de caminho identifica um aplicativo por sua localização no sistema de arquivos do computador ou na rede, em vez de um signatário ou identificador de hash. Além disso, o WDAC tem uma opção que permite aos administradores impor no runtime que apenas o código de caminhos que não são graváveis pelo utilizador é executado. Quando o código tenta executar no runtime, o diretório é analisado e os ficheiros serão verificados quanto a permissões de escrita para administradores desconhecidos. Se for encontrado um arquivo gravado pelo usuário, o executável será bloqueado, a menos que ele seja autorizado por algo que não seja uma regra de caminho, como um signatário ou regra de hash.
    Essa funcionalidade traz WDAC para a paridade da funcionalidade com AppLocker em termos de suporte para regras de caminho de arquivo. O WDAC melhora a segurança das políticas com base em regras de caminho de arquivo com a disponibilidade das verificações de permissão para ser gravável pelo usuário no tempo de execução, além de ser um recurso que não está disponível com o AppLocker.
  • Permitir Registo de Objetos COM: anteriormente, o Controlo de Aplicações do Windows Defender (WDAC) impôs uma lista de permissões incorporada para o registo de objetos COM. Embora esse mecanismo funcione para a maioria dos cenários de uso de aplicativos, os clientes fornecem comentários de que há casos em que outros objetos COM precisam ser permitidos. A atualização 1903 para o Windows 10 introduz a capacidade de especificar objetos COM permitidos por meio de seu GUID na política WDAC.

Identidade e privacidade

Identidade segura

Windows Hello melhorias incluem:

  • O Windows Hello agora é compatível com o autenticador FIDO2 (Fast Identity Online 2) em todos os principais navegadores, como o Chrome e o Firefox.
  • Agora, pode ativar o início de sessão sem palavra-passe para contas Microsoft no seu dispositivo Windows 10, acedendo a Definições Contas > Opções > de início de sessão e selecionando Ativado em Tornar o seu dispositivo sem palavra-passe. Habilitar o logon sem senha mudará todas as contas Microsoft em seu dispositivo Windows 10 para a autenticação moderna com o rosto do Windows Hello, a impressão digital ou o PIN.
  • O suporte para entrada com o PIN do Windows Hello é adicionado ao modo de segurança.
  • Windows Hello para Empresas tem agora Microsoft Entra suporte híbrido e início de sessão de número de telefone (conta Microsoft). O suporte da chave de segurança FIDO2 é expandido para Microsoft Entra ambientes híbridos, permitindo que as empresas com ambientes híbridos tirem partido da autenticação sem palavra-passe. Para saber mais, confira expandir o suporte do Azure Active Directory para visualização do FIDO2 para ambientes híbridos.
  • Com componentes especializados de hardware e software disponíveis em dispositivos com Windows 10, versão 20H2 configurados fora da fábrica, o Windows Hello agora oferece suporte adicional para segurança baseada na virtualização com suporte a sensores de impressão digital e facial. Este recurso isola e protege os dados biométricos de autenticação do usuário.
  • O suporte a várias câmeras Windows Hello é adicionado, permitindo que os usuários escolham uma prioridade de câmera externa quando as câmeras externas e internas com capacidade para Windows Hello estão presentes.
  • Windows Hello certificação FIDO2: Windows Hello é agora um autenticador certificado FIDO2 e permite o início de sessão sem palavra-passe para sites que suportem a autenticação FIDO2, como a conta Microsoft e o Entra ID.
  • Experiência simplificada de redefinição de PIN do Windows Hello: os usuários da conta Microsoft têm uma experiência renovada de redefinição de PIN do Windows Hello com a mesma aparência que entrar na Web.
  • Ambiente de Trabalho Remoto com Biometria: Microsoft Entra ID e os utilizadores do Active Directory que utilizam Windows Hello para Empresas podem utilizar biometria para autenticar numa sessão de ambiente de trabalho remoto.

Proteção de credenciais

Credential Guard

O Credential Guard está agora disponível para dispositivos ARM64, para proteção adicional contra roubo de credenciais para empresas que implementem dispositivos ARM64 nas suas organizações, como Surface Pro X.

Controles de privacidade

Configurações de privacidade do microfone: um ícone de microfone é exibido na área de notificação, permitindo que você veja quais aplicativos estão usando o microfone.

Serviços de Nuvem

Microsoft Intune

Microsoft Intune suporta Windows 10 Enterprise LTSC 2021 com a seguinte exceção:

  • As cadentes de atualização não podem ser utilizadas para atualizações de funcionalidades, uma vez que Windows 10 versões LTSC não recebem atualizações de funcionalidades. As cadentes de atualização podem ser utilizadas para atualizações de qualidade para clientes Windows 10 Enterprise LTSC 2021.

Uma nova ação remota do Intune: Coletar diagnósticos, permite coletar os logs de dispositivos corporativos sem interromper ou aguardar o usuário final. Para obter mais informações, consulte Ação remota de coleta de diagnósticos.

O Intune também adicionou recursos ao controle de acesso baseado em função (RBAC) que podem ser usados para definir ainda mais as configurações de perfil para a Página de Status do Registro (ESP). Para obter mais informações, confira Criar perfil da Página de Status do Registro e atribuir a um grupo.

Para ver uma lista completa das novidades na Microsoft Intune, consulte Novidades no Microsoft Intune.

Gerenciamento de Dispositivos Móveis

A política de Gerenciamento de Dispositivos móvel (MDM) é expandida com novos Utilizadores Locais e definições de Grupos que correspondem às opções disponíveis para dispositivos geridos através de Política de Grupo.

Para maiores informações sobre as novidades na MDM, consulteO que há de novo na inscrição e gerenciamento de dispositivos móveis.

O Serviço de Política de Grupo (GPSVC) da WMI (Instrumentação de Gerenciamento do Windows) tem uma melhoria de desempenho para dar suporte a cenários de trabalho remoto:

  • Um problema é corrigido que causava alterações por um administrador do Active Directory (AD) às associações de usuário ou grupo de computadores a se propagar lentamente. Embora o token de acesso seja atualizado, essas alterações podem não aparecer quando o administrador usa gpresult /r ou gpresult /h para criar um relatório.

Rolagem de chaves e rotação de chaves

Esta versão também inclui duas novas funcionalidades denominadas key-rolling e rotação de chaves que permitem a implementação segura de palavras-passe de recuperação em dispositivos Microsoft Entra ID geridos pela MDM a pedido a partir de ferramentas de Microsoft Intune/MDM ou quando é utilizada uma palavra-passe de recuperação para desbloquear a unidade protegida do BitLocker. Esse recurso ajudará a evitar a divulgação acidental de senhas de recuperação como parte do desbloqueio manual do BitLocker da unidade por parte dos usuários.

Implantação

SetupDiag

O SetupDiag é uma ferramenta de linha de comando que pode ajudar a diagnosticar o motivo pelo qual uma atualização do Windows 10 falhou. O SetupDiag funciona pesquisando os arquivos de registro da Instalação do Windows. Ao pesquisar os arquivos de log, o SetupDiag usa um conjunto de regras para corresponder aos problemas conhecidos. Existem 53 regras contidas na versão atual do SetupDiag no arquivo rules.xml, que é extraído quando SetupDiag é executado. O arquivo rules.xml será atualizado conforme novas versões do SetupDiag forem disponibilizadas.

Armazenamento reservado

Armazenamento reservado: o armazenamento reservado reserva espaço em disco para ser utilizado por atualizações, aplicações, ficheiros temporários e caches do sistema. Ele aprimora a função do dia-a-dia do computador garantindo que as funções essenciais do sistema operacional sempre tenham acesso ao espaço em disco. O armazenamento reservado será habilitado automaticamente em novos computadores com o Windows 10, versão 1903 pré-instalado e para instalações limpas. Ele não será habilitado durante a atualização de uma versão anterior do Windows 10.

Kit de ferramentas de Avaliação e Implantação do Windows (ADK)

Está disponível um novo Windows ADK para Windows 11 que também suporta Windows 10, versão 21H2.

Microsoft Deployment Toolkit (MDT)

Para obter as informações mais recentes sobre o MDT, confira o artigo Notas de versão do MDT.

Instalação do Windows

Os ficheiros de resposta da Configuração do Windows (unattend.xml) melhoraram o processamento de idiomas.

Os aperfeiçoamentos na Instalação do Windows com esta versão também incluem:

  • Tempo offline reduzido durante atualizações de recursos
  • Controles aprimorados para armazenamento reservado
  • Controles e diagnósticos aprimorados
  • Novas opções de recuperação

Para saber mais, confira aperfeiçoamentos da Instalação do Windows no Blog Windows IT Pro.

Microsoft Edge

O suporte do Microsoft Edge Browser está agora incluído na caixa.

Modo de quiosque do Microsoft Edge

O modo de quiosque do Microsoft Edge está disponível para versões LTSC a partir de Windows 10 Enterprise 2021 LTSC e Windows 10 IoT Enterprise 2021 LTSC.

O modo de quiosque do Microsoft Edge oferece duas experiências de bloqueio do navegador, para que as organizações possam criar, gerenciar e oferecer a melhor experiência para seus clientes. As seguintes experiências de bloqueio estão disponíveis:

  • Experiência de Sinalização Digital/Interativa: exibe um site específico no modo de tela inteira.
  • Experiência de Navegação Pública: executa uma versão de várias guias no Microsoft Edge.
  • As duas experiências estão executando uma sessão InPrivate do Microsoft Edge, que protege os dados do usuário.

Subsistema do Windows para Linux

Subsistema do Windows para Linux (WSL) está disponível na caixa.

Rede

As normas WPA3 H2E são suportadas para segurança Wi-Fi melhorada.

Veja também

Windows 10 Enterprise LTSC: uma breve descrição do canal de manutenção LTSC com ligações para informações sobre cada versão.