Windows IoT 企业版 LTSC 2024 中的新增功能
概述
Windows IoT 企业版 LTSC 专为特殊设备和用例而设计,在这些情况下,功能和功能在设备生存期保持不变。 例如,需要法规认证的设备,或者几年内使用相同的操作系统版本执行关键业务功能的设备。 这些设备通常用于以下行业,其中包括但不限于银行、医疗保健、酒店、制造业和零售行业。
我们在设计 Windows IoT 企业版 LTSC 时考虑到了这些用例。 我们对每个 Windows IoT 企业版 LTSC 版本的支持为 10 年,并且确保特性和功能在该 10 年的生命周期内不会更改。
本文简要概述了 Windows IoT 企业版 LTSC 2024 中的设备制造商和 IT 专业人员所关心的重要更新。
生命周期
Windows 11 IoT 企业版 LTSC 2024 于 2024 年 5 月 22 日首次提供给 OEM 设备制造商。 Windows 11 IoT 企业版 LTSC 2024 中的功能类似于 Windows 11 版本 24H2。 Windows 11 IoT 企业版 LTSC 2024 适用于特殊用途固定功能设备。 Windows 11 IoT 企业版 LTSC 2024 继续提供为期 10 年的支持生命周期,其中包括每月通过 Windows 更新分发的质量更新。 从一个版本的 Windows IoT 企业版 LTSC 升级到下一个版本需要新的许可证。 如果设备预安装了早期版本的 Windows IoT 企业版 LTSC,请联系设备制造商,了解他们是否为设备提供升级。
Windows 11 IoT 企业版 LTSC 2024 遵循固定生命周期策略。
| 发布版本 | 生成 | 开始日期 | 服务终止 |
|---|---|---|---|
| Windows 11 IoT 企业版(版本 24H2) | 26100 | 2024‑10‑01 | 2034‑10‑10 |
有关详细信息,请参阅Windows 11 IoT 企业版 LTSC 2024 支持生命周期。
注意
Windows 11 IoT 企业版 LTSC 2024 现已可供生成新设备的 OME 和通过批量许可升级现有系统的企业客户使用。 和评估。
- 如果你是 OEM,请联系授权的 Windows IoT Distributor 以获取“许可”方面的帮助。
- 如果你是希望通过批量许可升级固定功能设备的企业客户,请参阅 Windows 桌面操作系统批量许可条款和批量许可证中的 Windows IoT 企业版 LTSC,以获取部署指南。
- 若要评估 Windows 11 IoT 企业版 LTSC 2024,请下载 90 天评估。
- 如果你有 Visual Studio 订阅,并且你的订阅中提供了 Windows IoT 企业版,则可以从 Visual Studio 订阅 - 下载中下载早期版本的 Windows IoT 企业版 LTSC。
Windows IoT 聚焦
Windows 11 IoT 企业版 LTSC 2024 版本包括以下年度版本提供的累积增强功能和 LTSC 版本特有的功能:
- Windows 11 IoT 企业版(版本 24H2)
- Windows 11 IoT 企业版版本 23H2
- Windows 11 IoT 企业版版本 22H2
- Windows 11 IoT 企业版版本 21H2
| 功能 [版本] |
说明 |
|---|---|
| 硬件要求 | 会更新系统要求,以便为设备制造商提供更大的灵活性。 有关详细信息,请参阅 Windows IoT 企业版的最低硬件要求 |
| 受限用户体验 23H2 |
受限用户体验 (以前是多应用展台模式) 支持创建受控用户体验,同时保持 Windows 11 桌面的熟悉外观和风格。 非常适合需要访问多个应用的共享设备,管理员可以配置特选体验,以限制干扰和潜在的篡改点,同时将体验集中在设备的专用用途周围。 |
| 可移动包 | Windows IoT 企业版 LTSC 的可移动包支持从 20 扩展到 36 个可移动包。 有关详细信息,请参阅还原包。 |
| 无线显示 | 无线显示可选功能现在适用于 Windows 11 IoT 企业版 LTSC,允许其他设备无线投影到运行 Windows 11 IoT 企业版 LTSC 的设备。 需要可兼容 Miracast 的硬件。 有关详细信息,请参阅屏幕镜像和投影到电脑。 |
辅助功能
| 功能 [版本] |
说明 |
|---|---|
| Windows 辅助功能 22H2 |
对残障人士的改进:系统范围内的实时字幕、焦点会话、语音访问以及更自然的讲述人声音。 有关详细信息,请参阅: • Windows 11 推出的新辅助功能 • 包容性如何推动 Windows 11 中的创新 • 面向 IT 专业人员的辅助功能信息。 |
| 盲文显示器 23H2 |
盲文显示器可在多个屏幕阅读器上无缝且可靠地工作,改善最终用户体验。 我们还在讲述人中添加了对新盲文显示器和新盲文输入和输出语言的支持。 有关详细信息,请参阅面向 IT 专业人员的辅助功能信息。 |
| 讲述人改进 23H2 |
向讲述人添加了脚本功能。 讲述人包括更自然的语音。 有关详细信息,请参阅讲述人完整指南 |
| 辅助设备蓝牙®低功耗 (LE) 音频支持 24H2 |
Windows 通过支持使用配备最新蓝牙® LE 音频技术的助听器,在辅助功能方面迈出了重要一步。 有关详细信息,请参阅使用蓝牙® LE 音频改进辅助功能。 |
| 远程桌面连接改进 24H2 |
远程桌面连接设置窗口 (mstsc.exe) 遵循“设置”>“辅助功能”>“文本大小”下的文本缩放设置。 远程桌面连接支持缩放选项 350%、400%、450%和 500% |
应用程序
Windows 11 IoT 企业版建立在与 Windows 10 IoT 企业版相同的基础上。 因此,现在可使用与管理 Windows 11 IoT 企业版设备相同的工具和解决方案来部署、管理和保护 Windows 11 IoT 企业版设备。
Windows 11 IoT 企业版保留对 Windows 做出的应用程序兼容性承诺。 Windows 11 IoT 企业版不需要更改现有支持流程或工具来生成、部署或使应用程序保持最新。
大多数适用于 Windows 10 IoT 企业版的附件和相关驱动程序预计都适用于 Windows 11 IoT 企业版。 有关具体的详细信息,请咨询附件制造商。
| 功能 [版本] |
说明 |
|---|---|
| Internet Explorer | Internet Explorer (IE) 在 Windows 11 IoT 企业版 LTSC 2024 中不再可用。 但是,如果网站需要 Internet Explorer,则可以使用 IE 模式。 有关详细信息,请参阅 Internet Explorer (IE) 模式 |
| Microsoft Edge 21H2 |
Microsoft Edge 浏览器是默认浏览器。 有关在 Windows 上配置 Microsoft Edge 的信息,请参阅在 Windows 设备上配置 Microsoft Edge 策略设置。 |
| 文件资源管理器 23H2/24H2 |
选项卡:文件资源管理器包含可帮助整理“文件资源管理器会话”的选项卡。 上下文菜单:支持创建 7 zip 和 TAR 存档。 压缩为>其他选项,可以使用 gzip、BZip2、xz 或 Zstandard 压缩单个文件。 标签已添加到上下文菜单图标,用于复制、粘贴、删除和重命名等操作。 |
| 任务管理器 22H2/23H2 |
向每个页面添加了一个新的命令栏,用于授予对常见操作的访问权限。 任务管理器与 Windows 设置中配置的系统范围主题匹配。 添加了一种效率模式,允许限制进程的资源使用。 已将进程筛选、主题设置以及选择退出效率模式通知的功能添加到任务管理器。 |
| 注册表编辑器 搜索 24H2 |
注册表编辑器支持将搜索限制为当前选定的键及其后代 |
| 远程桌面 连接改进 24H2 |
远程桌面连接设置窗口 (mstsc.exe) 遵循“设置”>“辅助功能”>“文本大小”下的文本缩放设置,提供 350%、400%、450%、500% 的缩放选项,并改进了连接栏设计 |
| Sudo for Windows 24H2 |
Sudo for Windows 是用户(以管理员身份)直接从未提升权限的控制台会话运行提升的命令的一种新方式。 有关详细信息,请参阅 Sudo for Windows。 |
开发人员
| 功能 [版本] |
说明 |
|---|---|
| Arm64EC (“仿真兼容”) | 作为 Arm64EC 而生成的代码与在同一个进程中的仿真环境下运行的 x64 代码进行互操作。 此进程中的 Arm64EC 代码以本机性能运行,而任何 x64 代码都使用 Windows 11 的内置仿真环境运行。 有关更多信息,请参阅 Arm64EC - 生成和移植应用,以便在 Arm 上实现本机性能 |
| ARM 上的 Windows 应用程序 | Windows 11 IoT 企业版添加了对在不修改 Arm64 处理器的情况下运行 x64 应用程序的支持。 有关更多信息,请参阅基于 Arm 的 Windows 处理器 |
| 电网预测 24H2 |
引入电网预测 API。 应用程序开发人员可以通过将后台工作负载转移到本地电网可使用可再生能源的时间来最大限度地减少对环境的影响。 预测数据并非全球通用,数据质量因地区而异。 |
| 节能通知回调 24H2 |
添加节能通知回调设置 GUID 来表示新的节能体验。 应用可以订阅节能状态,并且可以实施不同的行为来根据当前的节能状态优化能源或性能。 有关详细信息,请参阅电源设置 GUID |
| 有效电源模式 24H2 |
扩展了有效电源模式 API,用于在确定返回的有效电源模式时解释新的节能级别。 |
管理
| 功能 [版本] |
说明 |
|---|---|
| Microsoft Intune 21H2 |
Microsoft Intune 可提供移动设备管理 (MDM) 和移动应用程序管理 (MAM)。 它有助于管理设备,以及管理组织中的设备上的应用。 配置策略,然后将这些策略部署到用户和组。 可以创建和部署用于安装应用、配置设备功能、强制实施 PIN 要求、阻止泄露的设备等的策略。 如果使用组策略管理 Windows 10 设备,则还可以使用组策略来管理 Windows 11 设备。 在 Intune 中,有管理模板和设置目录,其中包括许多相同的策略。 组策略分析可对本地组策略对象进行分析。 |
| 控制 Windows 更新通知 22H2 |
现在可以在使用时段阻止 Windows 更新的用户通知。 此设置特别适用于希望防止在工作时间发生 Windows 更新通知的组织。 有关详细信息,请参阅控件重启通知。 |
| 更新通知中的组织名称 | 当 Windows 客户端与 Microsoft Entra ID 租户关联时,组织名称现在会显示在 Windows 更新通知中。 有关详细信息,请参阅在 Windows 更新通知中显示组织名称。 |
| 开始菜单布局 22H2 |
用于自定义开始菜单布局的新配置服务提供程序 (CSPs)。 这些 CSP 允许隐藏应用列表并禁用上下文菜单。 有关详细信息,请参阅 Windows 11 开始菜单支持的配置服务提供程序 (CSP) 策略。 |
| 受限用户体验 23H2 |
受限用户体验 (以前是多应用展台模式) 支持创建受控用户体验,同时保持 Windows 11 桌面的熟悉外观和风格。 非常适合需要访问多个应用的共享设备,管理员可以配置特选体验,以限制干扰和潜在的篡改点,同时将体验集中在设备的专用用途周围。 |
| 声明的配置协议 23H2 |
声明的配置协议是基于所需状态模型并使用 OMA-DM SyncML 协议的设备配置管理的新协议。 它允许服务器为设备提供特定场景的设置集合,并允许设备处理配置请求并维护其状态。 有关详细信息,请参阅声明的配置协议。 |
| 控制文件资源管理器主页建议部分 23H2 |
为使用 Microsoft Entra ID 帐户登录 Windows 的用户配置添加到文件资源管理器主页的“建议”部分。 有关详细信息,请参阅 DisableGraphRecentItems。 若要使用本地组策略编辑器进行配置,请参阅 Computer Configuration\Administrative Templates\Windows Components\File Explorer\Turn off files from Office.com in Quick Access View。 |
| 任务栏按钮策略 23H2 |
添加了用于自定义任务栏按钮的策略,以更好地控制整个组织的任务栏搜索体验。 有关详细信息,请参阅支持的任务栏 CSP。 |
| 控制开始菜单建议部分 23H2 |
配置“开始”菜单的“建议”部分,该部分显示个性化网站建议。 有关详细信息,请参阅 HideRecoPersonalizedSites。 若要使用本地组策略编辑器进行配置,请参阅 Computer Configuration\Administrative Templates\Start Menu and Taskbar\Remove Personalized Website Recommendations from the Recommended section in the Start Menu。 |
| Sudo for Windows 24H2 |
Sudo for Windows 是用户(以管理员身份)直接从未提升权限的控制台会话运行提升的命令的一种新方式。 有关详细信息,请参阅 Sudo for Windows。 |
网络
| 功能 [版本] |
说明 |
|---|---|
| Wi-Fi 7 使用者接入点 24H2 |
对 Wi-Fi 7 使用者接入点的支持为无线设备提供了前所未有的速度、可靠性和效率。 有关详细信息,请参阅 Wi-Fi 联盟和 Windows 预览体验成员的 Wi-Fi 7 公告。 |
| Windows 位置改进 24H2 |
添加了新控件以帮助管理哪些应用有权访问你周围的 Wi-Fi 网络列表,这些网络可用于确定你的位置。 可以通过设置>隐私和安全>位置查看和修改哪些应用程序可以访问 Wi-Fi 网络列表。 首次尝试访问你的位置或 Wi-Fi 信息时,会出现新的提示。 开发人员可以使用 Wi-Fi 访问和位置的 API 行为变更文章来了解受此更改影响的 API 图面。 |
安全性
Windows 11 中的安全和隐私功能类似于 Windows 10。 设备的安全性从硬件开始,包括 OS 安全性、应用程序安全性,以及用户和标识安全性。 Windows OS 中提供了一些功能来帮助这些方面。 本部分介绍其中一些新功能。 Microsoft 的 Edge Secured-core 计划提供了推荐的硬件和这些功能,以确保现成的安全性。 有关更全面的视图,包括零信任,请参阅 Windows 安全性。
| 功能 [版本] |
说明 |
|---|---|
| Windows 安全应用 21H2 |
Windows 安全应用是一个易于使用的界面,并结合了常用的安全功能。 例如,可以访问病毒和威胁防护、防火墙和网络保护、帐户保护等。 有关详细信息,请参阅 Windows 安全应用。 |
| 安全基线 21H2 |
安全基线包括已配置的安全设置,并已准备好部署到设备。 如果不知道从何处开始,或者太耗时,无法完成所有设置,则应查看安全基线。 有关详细信息,请参阅 Windows 安全基线。 |
| Microsoft Defender 防病毒 21H2 |
Microsoft Defender 防病毒有助于使用下一代安全性保护设备。 与 Microsoft Defender for Endpoint 一起使用时,组织将获得强大的终结点保护以及高级终结点保护和响应。 如果使用 Intune 管理设备,则可以在 Microsoft Defender for Endpoint 中基于威胁级别创建策略。 有关详细信息,请参阅: • Microsoft Defender 防病毒 • Microsoft Defender for Endpoint • 强制实现 Microsoft Defender for Endpoint 合规性 |
| 应用程序安全 21H2 |
应用程序安全功能有助于防止不需要的或恶意的代码运行、隔离不受信任的网站和不受信任的 Office 文件、防止网络钓鱼或恶意软件网站等。 有关详细信息,请参阅 Windows 应用程序安全性。 |
| Microsoft Pluton 22H2 |
Pluton 由 Microsoft 设计,由芯片合作伙伴构建,是 CPU 中内置的安全加密处理器。 Pluton 提供核心安全性,以确保代码完整性和最新的保护与 Microsoft 通过 Windows 更新提供的更新。 Pluton 保护凭据、标识、个人数据和加密密钥。 即使攻击者安装了恶意软件或完全实际拥有,也无法从 Pluton 中删除此信息。 有关详细信息,请参阅 Microsoft Pluton 安全处理器。 |
| 增强网络钓鱼防护 22H2 |
Microsoft Defender SmartScreen 中的增强型网络钓鱼防护可帮助保护 Microsoft 密码免受网络钓鱼和不安全的使用。 增强型网络钓鱼保护与 Windows 安全保护一起工作,以帮助保护登录密码。 有关详细信息,请参阅: • Microsoft Defender SmartScreen 中的增强网络钓鱼保护 • 在 Windows IT 专业人员博客中使用增强的网络钓鱼保护的保护密码。 |
| 智能应用控制 22H2 |
智能应用控制通过阻止恶意或不受信任的应用,增加了对恶意软件(包括新威胁和新兴威胁)的重大保护。 智能应用控制有助于阻止不需要的应用,此类应用会影响性能、显示意外广告、提供不需要的额外软件,以及不需要的其他内容。 有关详细信息,请参阅智能应用控制。 |
| Credential Guard 22H2 |
默认启用的 Credential Guard 使用基于虚拟化的安全性 (VBS) 隔离密钥,只有拥有相应权限的系统软件才能访问它们。 未经授权访问这些机密可能会导致凭据盗窃攻击,例如“哈希传递”或“票证传递”。 有关详细信息,请参阅配置Credential Guard。 |
| 恶意和易受攻击的驱动程序阻止 22H2 |
启用智能应用控制并安装 Windows 时,将自动在设备上启用易受攻击的驱动程序阻止列表。 有关详细信息,请参阅建议的阻止规则。 |
| 安全强化和威胁防护 22H2 |
增强了对本地安全机构 (LSA) 的支持,以防止发生损害凭据安全性的代码注入。 有关详细信息,请参阅“配置其他 LSA 保护”。 |
| 个人数据加密 (PDE) 22H2 |
个人数据加密 (PDE) 是一项安全功能,为 Windows 提供基于文件的数据加密功能。 PDE 利用 Windows Hello 企业版将数据加密密钥与用户凭据链接。 当用户使用 Windows Hello 企业版 登录到设备时,会释放解密密钥,并且加密的数据可供用户访问。 |
| Windows 中的通行密钥 23H2 |
Windows 为密钥管理提供本机体验。 可以使用 Settings 应用查看和管理为应用或网站保存的密钥。 有关详细信息,请参阅 Windows 中对密钥的支持。 |
| Windows 无密码体验 23H2 |
Windows 无密码体验是一种安全策略,用于在已加入 Microsoft Entra 的设备上提升无密码的用户体验。 启用该策略后,某些 Windows 身份验证场景不会为用户提供使用密码的选项,从而帮助组织并使用户做好准备逐渐放弃使用密码。 有关详细信息,请参阅 Windows 无密码体验。 |
| 适用于 Windows 的 Web 登录 23H2 |
可以在已加入 Microsoft Entra 的设备上启用基于 Web 的登录体验,解锁新的登录选项和功能。 有关详细信息,请参阅适用于 Windows 的 Web 登录。 |
| 联合登录 23H2 |
联合登录是简化用户登录过程的一种绝佳方法:不必记住 Microsoft Entra ID 中定义的用户名和密码,而可以使用联合标识提供者中的现有凭据登录。 有关详细信息,请参阅配置 Windows 设备的联合登录。 |
| Windows Hello 企业版身份验证改进 23H2 |
外设人脸和指纹传感器可用于在出厂时已启用增强的登录安全性(安全生物识别)的设备上进行 Windows Hello 企业版身份验证。 有关详细信息,请参阅有关 Windows Hello 企业版的常见问题。 |
| 商用应用控制 24H2 |
客户现在可以使用商用应用控制(以前称为 Windows Defender 应用程序控制)及其下一代功能来保护其数字资产免受恶意代码的影响。 借助商用应用控制,IT 团队可以通过管理控制台中的 Microsoft Intune 或其他 MDM 配置业务环境中运行的内容,包括将 Intune 设置为托管安装程序。 有关详细信息,请参阅“适用于 Windows 的应用程序控制”。 |
| 本地安全机构 (LSA) 保护 24H2 |
LSA 保护 可防止未经授权的代码在 LSA 进程中运行,以防止窃取用于登录的机密和凭据,并防止转储进程内存。 对于从此升级开始的 LSA 保护不兼容,将进行审核。 如果未检测到不兼容,则会自动启用 LSA 保护。 可以在“设备安全”>“核心隔离”页面下的 Windows 安全应用程序中检查和更改 LSA 保护的启用状态。 在事件日志中,LSA 保护记录程序是否被阻止加载到 LSA。 如果要检查是否阻止了某些内容,请查看 LSA 保护日志。 |
| Windows 内核中的 Rust 24H2 |
win32kbase_rs.sys 中,GDI 区域的新实现利用 Rust,它比用 C/C++ 编写的传统程序在可靠性和安全性方面具有优势。 预计内核中 Rust 的使用会增加。 |
| SHA-3 支持 24H2 |
添加了对 SHA-3 系列哈希函数和 SHA-3 派生函数 (SHAKE、cSHAKE、KMAC) 的支持。 SHA-3 算法系列是美国国家标准与技术研究院 (NIST) 的最新标准化哈希函数。 通过 Windows CNG 库启用对这些函数的支持。 |
| Windows 本地管理员密码解决方案 (LAPS) 24H2 |
Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入 Microsoft Entra 或已加入 Windows Server Active Directory 的设备上的本地管理员帐户的密码。 Windows LAPS 是现已弃用的旧版 Microsoft LAPS 产品的后续产品。 有关详细信息,请参阅什么是 Windows LAPS? |
| Windows LAPS 自动帐户管理 24H2 |
Windows 本地管理员密码解决方案 (LAPS) 具有新的自动帐户管理功能。 管理员可以将 Windows LAPS 配置为: • 自动创建托管本地帐户 • 配置帐户名称 • 启用或禁用帐户 • 帐户名称随机化 |
| Windows LAPS 策略改进 24H2 |
• 添加了 PasswordComplexity 策略 的密码设置• 使用 PassphraseLength 控制新密码 中的字数• 添加了 PasswordComplexity 策略的改进的可读性设置,该策略在不使用容易与其他字符混淆的字符的情况下生成密码。 例如,数字 0 和字母 O 不在密码中使用,因为字符可能会混淆。 • 已将 Reset the password, logoff the managed account, and terminate any remaining processes 设置添加到 PostAuthenticationActions 策略。 还会扩展在身份验证后操作执行期间发出的事件日志记录消息,以便深入了解操作期间执行的操作。 |
| Windows LAPS 映像回滚检测 24H2 |
为 LAPS 引入了映像回滚检测。 LAPS 可以检测设备何时回滚到以前的映像。 回滚设备后,Active Directory 中的密码可能与回滚的设备上的密码不匹配。 此新功能将 Active Directory 属性 msLAPS-CurrentPasswordVersion添加到 Windows LAPS 架构。 此特性包含一个随机 GUID,每次在 Active Directory 中保留新密码时 Windows LAPS 都会写入该 GUID,然后保存本地副本。 在每个处理循环中,都将查询 msLAPS-CurrentPasswordVersion 中存储的 GUID,并将其与本地持久化副本进行比较。 如果这两个 GUID 不一致,则会立即轮换密码。 若要启用此功能,需要运行最新版本的 Update-LapsADSchema PowerShell cmdlet。 |
| Windows 保护打印模式 24H2 |
Windows 保护打印模式 (WPP) 支持新式打印堆栈,该堆栈旨在专门与 Mopria 认证打印机一起使用。 有关详细信息,请参阅什么是 Windows 保护打印模式 (WPP) 和 Windows 预览体验成员 WPP 公告。 |
| SMB 签名要求更改 24H2 |
默认情况下,所有连接现在都需要 SMB 签名。 SMB 签名意味着每条消息都包含使用会话密钥和密码套件生成的签名。 客户端将整个消息的哈希放入 SMB 标头的签名字段中。 如果有人稍后在网络上更改消息本身,哈希将不匹配,SMB 知道有人篡改了数据。 它还能向发送方和接收方确认他们的身份,从而破解中继攻击。 有关默认需要 SMB 签名的详细信息,请参阅 https://aka.ms/SMBSigningOBD。 |
| SMB 客户端加密 24H2 |
SMB 现在支持在所有出站 SMB 客户端连接上要求加密。 对所有出站 SMB 客户端连接进行加密可实现最高级别的网络安全性,并为 SMB 签名提供管理奇偶校验,从而满足客户端和服务器的要求。 使用此新选项,管理员可以强制所有目标服务器使用 SMB 3 和加密,如果缺少这些功能,客户端将无法连接。 有关这一更改的详细信息,请参阅 https://aka.ms/SmbClientEncrypt。 |
| SMB 签名和加密审核 24H2 |
管理员现在可以启用对 SMB 服务器和客户端的审核,以支持 SMB 签名和加密。 这会显示第三方客户端或服务器是否不支持 SMB 加密或签名。 可以在组策略中或通过 PowerShell 修改 SMB 签名和加密审核设置。 |
| SMB 替代客户端和服务器端口 24H2 |
SMB 客户端现在支持使用替代网络端口通过 TCP、QUIC 或 RDMA 连接到 SMB 服务器,而不是使用硬编码默认值。 但是,只有当 SMB 服务器配置为支持侦听端口时才能连接到替代端口。 从 Windows Server 预览体验版本 26040 开始,SMB 服务器现在支持侦听基于 QUIC 的 SMB 的替代网络端口。 Windows Server 不支持配置替代 SMB 服务器 TCP 端口,但某些第三方支持。 有关这一更改的详细信息,请参阅 https://aka.ms/SMBAlternativePorts。 |
| SMB NTLM 阻止异常列表 24H2 |
SMB 客户端现在支持阻止 NTLM 远程出站连接。 使用此新选项,管理员可以有意阻止 Windows 通过 SMB 提供 NTLM,并指定 NTLM 使用的例外情况。 欺骗用户或应用程序向恶意服务器发送 NTLM 质询响应的攻击者将不会再收到任何 NTLM 数据,并且无法暴力破解或传递哈希。 此更改为企业增加了新的保护级别,而无需在操作系统中完全禁用 NTLM 的使用。 有关这一更改的详细信息,请参阅 https://aka.ms/SmbNtlmBlock。 |
| SMB 方言管理 24H2 |
SMB 服务器现在支持控制它协商的 SMB 2 和 3 方言。 通过这一新选项,管理员可以删除组织中使用的特定 SMB 协议,阻止较旧、安全性较低和功能较差的 Windows 设备和第三方进行连接。 例如,管理员可以指定只使用 SMB 3.1.1,这是协议中最安全的方言。 有关这一更改的详细信息,请参阅 https://aka.ms/SmbDialectManage。 |
| 基于 QUIC 的 SMB 客户端访问控制 24H2 |
基于 QUIC 的 SMB 引入了 TCP 和 RDMA 的替代方案,通过互联网等不受信任的网络提供到边缘文件服务器的安全连接。 QUIC 具有显著优势,其中最大的优势是基于证书的强制加密,而不是依赖密码。 基于 QUIC 的 SMB 客户端访问控制 改进了现有的基于 QUIC 的 SMB 功能。 管理员现在拥有更多基于 QUIC 的 SMB 选项,例如: • 指定哪些客户端 可以通过 QUIC 服务器访问 SMB。 这为组织提供了更多的保护,但不会更改用于建立 SMB 连接或最终用户体验的 Windows 身份验证。 • 通过组策略和 PowerShell 为客户端禁用基于 QUIC 的 SMB • 针对基于 QUIC 的 SMB 审核客户端连接事件 有关这些更改的详细信息,请参阅 https://aka.ms/SmbOverQUICCAC。 |
| SMB 防火墙规则更改 24H2 |
Windows 防火墙默认行为已更改。 以前,创建 SMB 共享会自动将防火墙配置为针对给定的防火墙配置文件启用文件和打印机共享组中的规则。 现在,Windows 会自动配置新的文件和打印机共享(限制)组,该组不再包含入站 NetBIOS 端口 137-139。 此更改强制实施更高程度的网络安全默认设置,并使 SMB 防火墙规则更接近 Windows Server 文件服务器角色行为,仅打开连接和管理共享所需的最小端口。 如有必要,管理员仍可配置文件和打印机共享组,并修改这个新的防火墙组,这些只是默认行为。 有关这一更改的详细信息,请参阅 https://aka.ms/SMBfirewall。 有关 SMB 网络安全的详细信息,请参阅 Windows Server 中的安全 SMB 流量。 |
服务
与 Windows 10 一样,Windows 11 IoT 企业版 LTSC 2024 将接收每月质量更新。 某些更新很大,并且使用带宽。
| 功能 [版本] |
说明 |
|---|---|
| Windows 更新和传递优化 21H2 |
传递优化有助于减少带宽占用。 它与部署中的多个设备分担下载更新包的工作。 Windows 11 更新较小,因为它们仅拉取不同的源文件。 可以创建配置传递优化设置的策略。 例如,设置最大上传和下载带宽、设置高速缓存大小等。 有关详细信息,请参阅: • 适用于 Windows 更新的传递优化 • 安装和更新 • 管理 Windows 中的更新 |
| 控制 Windows 更新通知 22H2 |
现在可以在使用时段阻止 Windows 更新的用户通知。 此设置特别适用于希望防止在工作时间发生 Windows 更新通知的组织。 有关详细信息,请参阅控件重启通知。 |
| 更新通知中的组织名称 | 当 Windows 客户端与 Microsoft Entra ID 租户关联时,组织名称现在会显示在 Windows 更新通知中。 有关详细信息,请参阅在 Windows 更新通知中显示组织名称。 |
| 检查点累积更新 24H2 |
Windows 质量更新在 Windows 版本的整个生命周期内以累积更新的形式提供。 检查点累积更新引入了定期基线,可减少将来累积更新的大小,从而使每月质量更新的分发更高效。 有关详细信息,请参阅 https://aka.ms/CheckpointCumulativeUpdates。 |
用户体验
| 功能 [版本] |
说明 |
|---|---|
| 高效视频编码 (HEVC) 支持 22H2 |
HEVC 旨在利用某些较新的设备上的硬件功能来支持 4K 和超级 HD 内容。 对没有 HEVC 视频硬件支持的设备,提供软件支持,但播放体验可能因视频分辨率和设备性能而异。 |
| 任务管理器 22H2/23H2 |
向每个页面添加了一个新的命令栏,用于授予对常见操作的访问权限。 任务管理器与 Windows 设置中配置的系统范围主题匹配。 添加了一种效率模式,允许限制进程的资源使用。 已将进程筛选、主题设置以及选择退出效率模式通知的功能添加到任务管理器。 |
| 任务栏溢出菜单 23H2 |
任务栏提供菜单的入口点,该菜单在一个位置显示所有溢出的应用。 |
| 针对触控优化任务栏 23H2 |
任务栏触控优化可用于可用作平板电脑的设备。 启用后,用户可以在折叠的任务栏和扩展的任务栏之间切换,前者节省屏幕空间,后者针对触控进行了优化。 在二合一设备上断开或折叠键盘时,任务栏将更改为此优化版本。 若要在可用作平板电脑的设备上启用或禁用此功能,请转到“设置”>“个性化”>“任务栏”>“任务栏行为”。 另请参阅 2023 年 2 月 28 日 - KB5022913 |
| 作为输入的 Windows Ink 23H2 |
通过 Windows Ink,用户可直接在大多数可编辑字段上手写 |
| 卸载 Win32 应用 23H2 |
从右键单击菜单中对 Win32 应用选择“卸载”将使用“设置”中的“已安装的应用”页面,而不是“控制面板”下的“程序和功能”。有关详细信息,请参阅 2023 年 9 月 - KB5030310 |
| 开发人员驱动器 23H2 |
开发驱动器是一种新形式的存储卷,可用于提高关键开发人员工作负载的性能。 有关详细信息,请参阅在 Windows 11 上设置开发人员驱动器和 2023 年 9 月 - KB5030310。 |
已删除或弃用的功能
每个版本的 Windows 客户端都添加了新特性和功能。 有时,会删除特性和功能,这通常是因为添加了一个较新的选项。 有关可能在未来版本中删除的已停止开发的功能列表,请参阅已弃用的功能。 Windows 11 IoT 企业版 LTSC 2024 中删除了以下功能:
| Feature | 说明 |
|---|---|
| WordPad 24H2 |
从 Windows 11 版本 24H2 和 Windows Server 2025 开始的所有 Windows 版本中删除了 WordPad。 |
| Alljoyn 24H2 |
Microsoft 对 AllJoyn 的实现(包括 Windows.Devices.AllJoyn API 命名空间、Win32 API、管理配置服务提供程序 (CSP) 和 Alljoyn 路由器服务)已弃用。 |
相关内容
- Windows 11 IoT 企业版 LTSC 2024 发布公告
- 版本历史
- 最低硬件要求
- Windows IoT Distributor
- Windows 11 版本 24H2 中面向 IT 专业人员的新增功能 | Windows IT 专业人员博客
- Windows 11 版本 23H2 中面向 IT 专业人员的新增功能 | Windows IT 专业人员博客
- Windows 11 版本 22H2 中面向 IT 专业人员的新增功能 | Windows IT 专业人员博客
- Windows 11 版本 24H2 中的新增功能
- 最近 Windows 更新中的新增功能 | Windows 使用者
- Windows 11 的要求
- 适用于 Windows 11 的计划
- 针对 Windows 11 进行准备
- Windows 版本运行状况
- Windows 11 版本信息