Windows 11 IoT 企业版版本 24H2 中的新增功能

概述

Windows 11 IoT 企业版版本 24H2 是 Windows 11 IoT 企业版的功能更新。 Windows 11 IoT 企业版版本 24H2 包括对 Windows 11 IoT 企业版版本 23H2 的所有更新,以及一些新的和更新的功能。 本文列出了对 IoT 场景有价值的新功能和更新的功能。

服务生命周期

Windows 11 IoT 企业版遵循新式生命周期策略

发布版本 生成 开始日期 服务终止
Windows 11 IoT 企业版,版本 24H2 26100 2024‑10‑01 2027‑10‑12

有关详细信息,请参阅《Windows 11 IoT 企业版支持生命周期》。

注意

Windows 11 IoT 企业版(版本 24H2)现已可供生成新设备的 OEM 使用,并可使用 Windows 更新进行升级。

  • 如果你是生成新设备的 OEM,请联系 Windows IoT Distributor,以获取许可方面的帮助。
  • 对于运行以前版本的 Windows 11 IoT 企业版(非 LTSC)的设备,Windows 11 IoT 企业版(版本 24H2)可通过Windows 更新进行升级。
  • 如果你有 Visual Studio 订阅,并且你的订阅中提供了 Windows IoT 企业版,则可以从 Visual Studio 订阅 - 下载中下载以前版本的 Windows IoT 企业版。

新设备

Windows 11 IoT 企业版版本 24H2 可供原始设备制造商 (OEM) 预安装。

  • 有关购买预安装 Windows IoT 企业版的设备的相关信息,请联系首选 OEM。

  • 有关 OEM 要在新设备上预安装 Windows IoT 企业版以供销售的信息,请参阅 OEM 许可

升级

Windows 11 IoT 企业版(版本 24H2)可通过 Windows 更新、Windows Server Update Services(包括配置管理器)、适用于企业的 Windows 更新和批量许可服务中心 (VLSC),作为运行 Windows 11 IoT 企业版(非 LTSC)设备的升级提供。 有关详细信息,请参阅如何获取 Windows 11 版本 24H2 更新Windows 11 版本 24H2 Windows IT Pro 博客文章

若要详细了解更新推出的状态、已知问题和新信息,请参阅 Windows 版本运行状况

辅助功能

功能 说明
辅助设备蓝牙® 低功耗音频支持
[24H2]
Windows 通过支持使用配备最新蓝牙® 低功耗音频技术的助听器,在辅助功能方面迈出了重要一步。 有关详细信息,请参阅使用蓝牙® 低功耗音频改进辅助功能
远程桌面连接改进
[24H2]
远程桌面连接设置窗口 (mstsc.exe) 遵循“设置”>“辅助功能”>“文本大小”下的文本缩放设置。 远程桌面连接支持缩放选项 350%、400%、450%和 500%

应用程序

Feature 说明
文件资源管理器
上下文菜单
[24H2]
支持创建 7-zip 和 TAR 存档。
压缩为>其他选项,支持使用 gzip、BZip2、xz 或 Zstandard 压缩单个文件
标签已添加到上下文菜单图标,以便执行复制、粘贴、删除和重命名等操作。
注册表编辑器
搜索
[24H2]
注册表编辑器支持将搜索限制为当前选定的键及其后代
远程桌面
连接改进
[24H2]
远程桌面连接设置窗口 (mstsc.exe) 遵循“设置”>“辅助功能”>“文本大小”下的文本缩放设置,提供 350%、400%、450%、500% 的缩放选项,并改进了连接栏设计
Sudo for Windows
[24H2]
Sudo for Windows 是用户(以管理员身份)直接从未提升权限的控制台会话运行提升的命令的一种新方式。 有关详细信息,请参阅 Sudo for Windows

开发人员

Feature 说明
电网预测
[24H2]
引入电网预测 API。 应用程序开发人员可以通过将后台工作负载转移到本地电网可使用可再生能源的时间来最大限度地减少对环境的影响。 预测数据并非全球通用,数据质量因地区而异。
节能通知回调
[24H2]
添加节能通知回调设置 GUID 来表示新的节能体验。 应用可以订阅节能状态,并实施不同的行为来根据当前的节能状态优化能源或性能。 有关详细信息,请参阅电源设置 GUID
有效电源模式
[24H2]
扩展了有效电源模式 API,用于在确定返回的有效电源模式时解释新的节能级别。

管理

功能 说明
Sudo for Windows
[24H2]
Sudo for Windows 是用户(以管理员身份)直接从未提升权限的控制台会话运行提升的命令的一种新方式。 有关详细信息,请参阅 Sudo for Windows

网络

功能 说明
Wi-Fi 7 使用者接入点
[24H2]
对 Wi-Fi 7 使用者接入点的支持为无线设备提供了前所未有的速度、可靠性和效率。 有关详细信息,请参阅 Wi-Fi 联盟Windows 预览体验成员的 Wi-Fi 7 公告。
Windows 位置改进
[24H2]
添加了新控件以帮助管理哪些应用有权访问你周围的 Wi-Fi 网络列表,这些网络可用于确定你的位置。 可以通过设置>隐私和安全>位置查看和修改哪些应用程序可以访问 Wi-Fi 网络列表。 首次尝试访问你的位置或 Wi-Fi 信息时,会出现新的提示。 开发人员可以使用 Wi-Fi 访问和位置的 API 行为变更文章来了解受此更改影响的 API 图面。

安全性

功能 说明
商用应用控制
[24H2]
客户现在可以使用商用应用控制(以前称为 Windows Defender 应用程序控制)及其下一代功能来保护其数字资产免受恶意代码的影响。 借助商用应用控制,IT 团队可以通过管理控制台中的 Microsoft Intune 或其他 MDM 配置业务环境中运行的内容,包括将 Intune 设置为托管安装程序。 有关详细信息,请参阅“适用于 Windows 的应用程序控制”。
本地安全机构 (LSA) 保护
[24H2]
LSA 保护 可防止未经授权的代码在 LSA 进程中运行,以防止窃取用于登录的机密和凭据,并防止转储进程内存。 对于从此升级开始的 LSA 保护不兼容,将进行审核。 如果未检测到不兼容,则会自动启用 LSA 保护。 可以在“设备安全”>“核心隔离”页面下的 Windows 安全应用程序中检查和更改 LSA 保护的启用状态。 在事件日志中,LSA 保护记录程序是否被阻止加载到 LSA。 如果要检查是否阻止了某些内容,请查看 LSA 保护日志
Windows 内核中的 Rust
[24H2]
win32kbase_rs.sys 中,GDI 区域的新实现利用 Rust,它比用 C/C++ 编写的传统程序在可靠性和安全性方面具有优势。 预计内核中 Rust 的使用会增加。
SHA-3 支持
[24H2]
添加了对 SHA-3 系列哈希函数和 SHA-3 派生函数 (SHAKE、cSHAKE、KMAC) 的支持。 SHA-3 算法系列是美国国家标准与技术研究院 (NIST) 的最新标准化哈希函数。 通过 Windows CNG 库启用对这些函数的支持。
Windows 本地管理员密码解决方案 (LAPS)
[24H2]
Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入 Microsoft Entra 或已加入 Windows Server Active Directory 的设备上的本地管理员帐户的密码。 Windows LAPS 是现已弃用的旧版 Microsoft LAPS 产品的后续产品。 有关详细信息,请参阅什么是 Windows LAPS?
Windows LAPS
自动帐户管理
[24H2]
Windows 本地管理员密码解决方案 (LAPS) 具有新的自动帐户管理功能。 管理员可以将 Windows LAPS 配置为:
• 自动创建托管本地帐户
• 配置帐户名称
• 启用或禁用帐户
• 帐户名称随机化
Windows LAPS
策略改进
[24H2]
  • 添加了 PasswordComplexity 策略
的密码设置• 使用 PassphraseLength 控制新密码
中的字数• 添加了 PasswordComplexity 策略的改进的可读性设置,该策略在不使用容易与其他字符混淆的字符的情况下生成密码。 例如,数字 0 和字母 O 不在密码中使用,因为字符可能会混淆。
• 已将 Reset the password, logoff the managed account, and terminate any remaining processes 设置添加到 PostAuthenticationActions 策略。 还会扩展在身份验证后操作执行期间发出的事件日志记录消息,以便深入了解操作期间执行的操作。
Windows LAPS
映像回滚检测
[24H2]
为 LAPS 引入了映像回滚检测。 LAPS 可以检测设备何时回滚到以前的映像。 回滚设备后,Active Directory 中的密码可能与回滚的设备上的密码不匹配。 此新功能将 Active Directory 属性 msLAPS-CurrentPasswordVersion添加到 Windows LAPS 架构。 此特性包含一个随机 GUID,每次在 Active Directory 中保留新密码时 Windows LAPS 都会写入该 GUID,然后保存本地副本。 在每个处理循环中,都将查询 msLAPS-CurrentPasswordVersion 中存储的 GUID,并将其与本地持久化副本进行比较。 如果这两个 GUID 不一致,则会立即轮换密码。 若要启用此功能,需要运行最新版本的 Update-LapsADSchema PowerShell cmdlet
Windows 保护打印模式
[24H2]
Windows 保护打印模式 (WPP) 支持新式打印堆栈,该堆栈旨在专门与 Mopria 认证打印机一起使用。 有关详细信息,请参阅什么是 Windows 保护打印模式 (WPP)Windows 预览体验成员 WPP 公告
SMB 签名要求更改
[24H2]
默认情况下,所有连接现在都需要 SMB 签名。 SMB 签名意味着每条消息都包含使用会话密钥和密码套件生成的签名。 客户端将整个消息的哈希放入 SMB 标头的签名字段中。 如果有人稍后在网络上更改消息本身,哈希将不匹配,SMB 知道有人篡改了数据。 它还能向发送方和接收方确认他们的身份,从而破解中继攻击。 有关默认需要 SMB 签名的详细信息,请参阅 https://aka.ms/SMBSigningOBD
SMB 客户端加密
[24H2]
SMB 现在支持在所有出站 SMB 客户端连接上要求加密。 对所有出站 SMB 客户端连接进行加密可实现最高级别的网络安全性,并为 SMB 签名提供管理奇偶校验,从而满足客户端和服务器的要求。 使用此新选项,管理员可以强制所有目标服务器使用 SMB 3 和加密,如果缺少这些功能,客户端将无法连接。 有关这一更改的详细信息,请参阅 https://aka.ms/SmbClientEncrypt
SMB 签名和加密审核
[24H2][24H2]
管理员现在可以启用对 SMB 服务器和客户端的审核,以支持 SMB 签名和加密。 这会显示第三方客户端或服务器是否不支持 SMB 加密或签名。 可以在组策略中或通过 PowerShell 修改 SMB 签名和加密审核设置。
SMB 备用客户端和服务器端口
[24H2]
SMB 客户端现在支持使用替代网络端口通过 TCP、QUIC 或 RDMA 连接到 SMB 服务器,而不是使用硬编码默认值。 但是,只有当 SMB 服务器配置为支持侦听端口时才能连接到替代端口。 从 Windows Server 预览体验版本 26040 开始,SMB 服务器现在支持侦听基于 QUIC 的 SMB 的替代网络端口。 Windows Server 不支持配置替代 SMB 服务器 TCP 端口,但某些第三方支持。 有关这一更改的详细信息,请参阅 https://aka.ms/SMBAlternativePorts
SMB NTLM 阻止异常列表
[24H2]
SMB 客户端现在支持阻止 NTLM 远程出站连接。 使用此新选项,管理员可以有意阻止 Windows 通过 SMB 提供 NTLM,并指定 NTLM 使用的例外情况。 欺骗用户或应用程序向恶意服务器发送 NTLM 质询响应的攻击者将不会再收到任何 NTLM 数据,并且无法暴力破解或传递哈希。 此更改为企业增加了新的保护级别,而无需在操作系统中完全禁用 NTLM 的使用。 有关这一更改的详细信息,请参阅 https://aka.ms/SmbNtlmBlock
SMB 方言管理
[24H2]
SMB 服务器现在支持控制它协商的 SMB 2 和 3 方言。 通过这一新选项,管理员可以删除组织中使用的特定 SMB 协议,阻止较旧、安全性较低和功能较差的 Windows 设备和第三方进行连接。 例如,管理员可以指定只使用 SMB 3.1.1,这是协议中最安全的方言。 有关这一更改的详细信息,请参阅 https://aka.ms/SmbDialectManage
基于 QUIC 的 SMB 客户端访问控制
[24H2]
基于 QUIC 的 SMB 引入了 TCP 和 RDMA 的替代方案,通过互联网等不受信任的网络提供到边缘文件服务器的安全连接。 QUIC 具有显著优势,其中最大的优势是基于证书的强制加密,而不是依赖密码。 基于 QUIC 的 SMB 客户端访问控制 改进了现有的基于 QUIC 的 SMB 功能。 管理员现在拥有更多基于 QUIC 的 SMB 选项,例如:
指定哪些客户端 可以通过 QUIC 服务器访问 SMB。 这为组织提供了更多的保护,但不会更改用于建立 SMB 连接或最终用户体验的 Windows 身份验证。
• 通过组策略和 PowerShell 为客户端禁用基于 QUIC 的 SMB
• 针对基于 QUIC 的 SMB 审核客户端连接事件

有关这些更改的详细信息,请参阅 https://aka.ms/SmbOverQUICCAC
SMB 防火墙规则更改
[24H2]
Windows 防火墙默认行为已更改。 以前,创建 SMB 共享会自动将防火墙配置为针对给定的防火墙配置文件启用文件和打印机共享组中的规则。 现在,Windows 会自动配置新的文件和打印机共享(限制)组,该组不再包含入站 NetBIOS 端口 137-139。

此更改强制实施更高程度的网络安全默认设置,并使 SMB 防火墙规则更接近 Windows Server 文件服务器角色行为,仅打开连接和管理共享所需的最小端口。 如有必要,管理员仍可配置文件和打印机共享组,并修改这个新的防火墙组,这些只是默认行为。 有关这一更改的详细信息,请参阅 https://aka.ms/SMBfirewall。 有关 SMB 网络安全的详细信息,请参阅 Windows Server 中的安全 SMB 流量

服务

Feature 说明
检查点累积更新
[24H2]
Windows 质量更新在 Windows 版本的整个生命周期内以累积更新的形式提供。 检查点累积更新引入了定期基线,可减少将来累积更新的大小,从而使每月质量更新的分发更高效。 有关详细信息,请参阅 https://aka.ms/CheckpointCumulativeUpdates

已删除或弃用的功能

每个版本的 Windows 客户端都添加了新特性和功能。 有时,会删除特性和功能,这通常是因为添加了一个较新的选项。 有关可能在未来版本中移除的已停止开发的功能列表,请参阅已弃用的功能。 Windows 11 IoT 企业版 LTSC 2024 中删除了以下功能:

Feature 说明
WordPad
[24H2]
从 Windows 11 版本 24H2 和 Windows Server 2025 开始的所有 Windows 版本中删除了 WordPad。
Alljoyn
[24H2]
Microsoft 的 AllJoyn 实现,其中包括 Windows.Devices.AllJoyn API 命名空间Win32 API管理配置服务提供程序 (CSP)Alljoyn 路由器服务 已停用。