Windows 10 企业版 LTSC 2021 中的新增功能
本文列出了与 Windows 10 企业版 LTSC 2019 (LTSB) 相比,适用于 Windows 10 企业版 LTSC 2021 的 IT 专业人员感兴趣的新功能和更新的功能和内容。 有关 LTSC 服务通道和相关支持的简要说明,请参阅 Windows 10 企业版 LTSC。
注意
Windows 10 企业版 LTSC 2021 于 2021 年 11 月 16 日首次发布。 Windows 10 企业版 LTSC 2021 中的功能等效于 Windows 10 版本 21H2。
LTSC 版本适用于特殊用途设备。 为 Windows 10 的正式发布通道版本设计的应用和工具对 LTSC 的支持可能会受到限制。
Windows 10 企业版 LTSC 2021 基于 Windows 10 企业版 LTSC 2019 构建,添加了高级功能,例如针对新式安全威胁的高级防护以及全面的设备管理、应用管理、控制功能。
Windows 10 企业版 LTSC 2021 版本包括 Windows 10 版本 1903、1909、2004、21H1、21H2 中提供的累积增强功能。 下面提供了有关这些增强功能的详细信息。
生命周期
重要提示
Windows 10 企业版 LTSC 2021 的生命周期为 5 年。 (IoT 企业 LTSC 的生命周期) 为 10 年 。 因此,LTSC 2021 版本不是 LTSC 2019 的直接替代,LTSC 2019 的生命周期为 10 年。
有关此版本的生命周期的详细信息,请参阅下一个Windows 10长期服务通道 (LTSC) 版本。
硬件安全性
System Guard
System Guard 改进了此版本的 Windows 中的一项功能,称为 SMM 固件保护。 此功能基于 System Guard 安全启动来减少固件攻击面,并确保设备上的系统管理模式 (SMM) 固件以正常方式运行 - 具体而言,SMM 代码无法访问 OS 内存和机密。
在此版本中,Windows Defender System Guard 实现了更高级别的系统管理模式 (SMM) 固件保护,不仅检查 OS 内存和密码的范围,还会检查寄存器和 IO 等其他资源。
通过此改进,操作系统可以检测到更高级别的 SMM 遵从性,从而使设备能更有力地抵御 SMM 的攻击和漏洞。 以平台、基础硬件、固件为基础,SMM 固件保护有三个版本(一、二、三),每个后续版本提供的保护比前面的版本更强。
目前市场上已有一些提供 SMM 固件保护版本一和二的设备。 SMM 固件保护版本三。此功能当前具有前卫的外观,它需要使用在不久的将来推出的新硬件。
操作系统安全性
系统安全性
Windows 安全应用改进现在包括保护历史记录(其中包括有关威胁和可用操作的更容易理解的详细信息)、保护历史记录中的受控文件夹访问权限阻止、Windows Defender 脱机版扫描工具操作,以及任何搁置建议。
加密和数据保护
BitLocker 和移动设备管理 (MDM) 与 Microsoft Entra ID 协同工作,防止设备意外泄露密码。 现在,一项新的密钥滚动功能可在 MDM 托管设备上安全地轮换恢复密码。 只要 Microsoft Intune/MDM 工具或恢复密码用于解锁受 BitLocker 保护的驱动器,就会激活该功能。 因此,当用户手动解锁 BitLocker 驱动器时,恢复密码将受到更好的保护。
网络安全
Windows Defender 防火墙
Windows Defender 防火墙现在具有以下优势:
风险:Windows Defender 防火墙使用规则来限制或允许许多属性(如 IP 地址、端口或程序路径)的设备的攻击面。 减少设备的攻击面可提高可管理性,并降低成功攻击的可能性。
Safeguard 数据:借助集成的 Internet 协议安全性 (IPsec),Windows Defender 防火墙提供了一种实施经过身份验证的端到端网络通信的简单方法。 它提供对受信任网络资源的可缩放分层访问,有助于强制实施数据的完整性,并可以选择性地帮助保护数据的机密性。
Extend 值:Windows Defender 防火墙是基于主机的防火墙,包含在操作系统中,因此无需其他硬件或软件。 Windows Defender 防火墙还旨在通过记录的应用程序编程接口 (API) 来补充现有的非 Microsoft 网络安全解决方案。
Windows Defender 防火墙现在也更易于分析和调试。 IPsec 行为已与数据包监视器 (pktmon) 集成,它是一种适用于 Windows 的内置跨组件网络诊断工具。
此外,Windows Defender 防火墙事件日志已得到增强,以确保审核可以识别对任何给定事件负责的特定筛选器。 此加强可以帮助分析防火墙行为和丰富的数据包捕获,而无需依赖其他工具。
Windows Defender 防火墙现在也支持适用于 Linux 的 Windows 子系统 (WSL)。你可以添加适用于 WSL 进程的规则,就像添加适用于 Windows 进程的规则。 有关详细信息,请参阅 Windows Defender 防火墙现在支持适用于 Linux 的 Windows 子系统 (WSL)。
病毒和威胁防护
攻击面面积减少 - IT 管理员可以配置具有高级 Web 保护的设备,使设备能够定义特定 URL 和 IP 地址的允许列表和阻止列表。 下一代保护 - 已扩展控制措施,以防范勒索软件、凭据滥用和通过可移动存储传输的攻击。
- 完整性强制功能 - 启用Windows 10平台的远程运行时证明。
- 防篡改功能 - 使用基于虚拟化的安全性将关键Microsoft Defender for Endpoint安全功能与 OS 和攻击者隔离开来。 平台支持 - 除了Windows 10之外,Microsoft Defender for Endpoint的功能还进行了扩展,以支持 Windows 7 和Windows 8.1客户端,以及具有终结点检测 (EDR) 和 Endpoint Protection Platform (EPP) 功能的 macOS、Linux 和 Windows Server。
高级机器学习:改进了高级机器学习和 AI 模型,因此可以抵御 apex 攻击者使用创新漏洞攻击技术、工具和恶意软件进行的攻击。
爆发紧急保护:提供爆发紧急保护,在检测到新的病毒爆发时使用新智能自动更新设备。
经过认证的 ISO 27001 合规性:确保已针对威胁、漏洞和影响分析了云服务,并且风险管理和安全控件已准备就绪。
地理位置支持:示例数据和可配置的保留策略支持地理位置和主权。
对 Microsoft Defender 高级威胁防护 (ATP) 自动事件响应 (IR) 的非 ASCII 文件路径的改进支持。
注意
在此版本中, DisableAntiSpyware 参数已弃用。
应用程序安全性
应用隔离
Windows 沙盒:隔离化的桌面环境,可在其中运行不受信任的软件,同时无需担心长久影响设备。
Microsoft Defender 应用程序防护
Microsoft Defender 应用程序防护增强功能包括:
单机用户无需更改注册表项设置即可安装和配置 Windows Defender 应用程序防护设置。 企业用户可以通过检查设置了解管理员为其计算机进行了哪些配置,以便更好地了解该行为。
Google Chrome 和 Mozilla Firefox 中现在支持应用程序防护扩展。 许多用户位于混合浏览器环境中,希望将应用程序防护的浏览器隔离技术扩展到 Microsoft Edge 之外。 在最新版本中,用户可在 Chrome 或 Firefox 浏览器组中安装应用程序防护扩展。 此扩展会将不受信任的导航重定向到应用程序防护 Edge 浏览器。 Microsoft Store 中还有一个配套应用,用于实现此功能。 用户可以使用此应用从其桌面快速启动应用程序防护。 安装了最新更新的 Windows 10 版本 1803 或更高版本中也有此功能。
若要尝试此扩展,请执行以下操作:
- 在设备上配置应用程序防护策略。
- 转到 Chrome Web Store 或 Firefox 加载项, 然后搜索“应用程序防护”。 安装该扩展。
- 执行扩展设置页面中的其他任何配置步骤。
- 重新启动设备。
- 在 Chrome 和 Firefox 中导航到不受信任的站点。
动态导航:应用程序防护现在允许用户从应用程序防护 Microsoft Edge 导航回其默认主机浏览器。 以前,当用户在应用程序防护 Edge 中浏览时,如果尝试在容器浏览器内访问可信站点,将显示错误页。 使用这项新功能,当用户在应用程序防护 Edge 中输入或单击可信站点时,将被自动重定向到主机的默认浏览器。 安装了最新更新的 Windows 10 版本 1803 或更高版本中也有此功能。
利用优化的文档打开时间提升应用程序防护性能:
- 已修复了一个问题,在打开 Microsoft Defender Application Guard(应用程序防护)Office 文档时可能会导致一分钟或数次延迟。 尝试使用通用命名约定 (UNC) 路径或服务器消息块 (SMB) 共享链接打开文件时,会发生此问题。
- 已修复了一个内存问题,在容器空闲时可能会导致应用程序防护容器使用几乎 1 GB 的工作集内存。
- 复制大小超过 400 MB 的文件时,Robocopy 的性能得到改进。
应用程序控制
适用于 Windows 的应用程序控制:在 Windows 10 版本 1903 中,Windows Defender 应用程序控制 (WDAC) 添加了许多新功能,这些功能对关键方案大有助益,并通过 AppLocker 提供功能校验。
- 多个策略:Windows Defender 应用程序控制现在支持一台设备的多个同时代码完整性策略,以便启用以下方案:1) 并行强制实施和审核,2) 针对具有不同范围/意向的策略更简单的目标,3) 使用新的“补充”策略扩展策略。
-
基于路径的规则:路径条件通过其在计算机文件系统中的位置或在网络中的位置(而不是签名者或哈希标识符)标识应用。 此外,WDAC 还有一个选项可供管理员在运行时实施,即仅执行来自用户不可写入的路径的代码。 在运行时尝试执行代码时,将扫描目录,并检查文件以了解未知管理员的写入权限。 如果发现用户可写入某个文件,则阻止该可执行文件运行,除非其已获得非路径规则(如签名者或哈希规则)授权。
此功能使 WDAC 在对文件路径规则的支持方面与AppLocker持平。 WDAC 提高了基于策略的文件路径规则的安全,原因是可以在运行时进行用户可写性检查,这是 AppLocker 不具备的一项功能。 - 允许 COM 对象注册:以前,Windows Defender 应用程序控制 (WDAC) 为 COM 对象注册强制实施了内置允许列表。 虽然此机制支持大多数常见应用程序使用方案,客户还是反馈有时需要允许更多 COM 对象。 Windows 10 的 1903 更新中引入了新功能,因此可以通过 COM 对象在 WDAC 策略中的 GUID 来指定允许的此类对象。
标识和隐私
安全标识
Windows Hello 增强功能包括:
- 现在,所有主要浏览器(包括 Chrome 和 Firefox)都支持 Windows Hello 作为快速线上身份认证联盟 2 (FIDO2) 的身份验证器。
- 现在,可以通过转到“设置帐户登录选项”,在“使设备无密码”>下选择“开”,为Windows 10设备上的Microsoft帐户>启用无密码登录。 启用无密码登录会将 Windows 10 设备上的所有 Microsoft 帐户切换为使用 Windows Hello 人脸、指纹或 PIN 的新式身份验证。
- Windows Hello PIN 登录支持已添加到安全模式。
- Windows Hello 企业版现在Microsoft Entra混合支持和电话号码登录 (Microsoft帐户) 。 FIDO2 安全密钥支持已扩展到Microsoft Entra混合环境,使具有混合环境的企业能够利用无密码身份验证。 有关更多信息,请参阅将针对 FIDO2 预览的 Azure Active Directory 支持扩展到混合环境。
- 借助在设备上可用的专用硬件和软件组件(与 配置好的 Windows 10 版本 20H2 一起从工厂送出),现在的 Windows Hello 通过支持指纹和人脸传感器,对基于虚拟化安全性的支持提供了附加支持。 此功能将隔离和保护用户的生物识别身份验证数据。
- 添加了 Windows Hello 多相机支持,允许用户在同时存在支持 Windows Hello 的外部和内部相机时选择外部照相机优先级。
- Windows Hello FIDO2 认证:Windows Hello现在是 FIDO2 认证的验证器,并且为支持 FIDO2 身份验证的网站(如 Microsoft 帐户和 Entra ID)启用无密码登录。
- 简化 Windows Hello PIN 重置体验:登录 Web 时提供相同的外观和体验,从而为 Microsoft 帐户用户提供全新的 Windows Hello PIN 重置体验。
- 使用生物识别的远程桌面:使用 Windows Hello 企业版 的Microsoft Entra ID和 Active Directory 用户可以使用生物识别技术对远程桌面会话进行身份验证。
凭据保护
Credential Guard
Credential Guard 现在可用于 ARM64 设备,为在其组织中部署 ARM64 设备的企业(例如 Surface Pro X)提供额外的凭据盗用保护。
隐私控制
麦克风隐私设置:通知区域中显示麦克风图标,用于查看哪些应用正在使用麦克风。
云服务
Microsoft Intune
Microsoft Intune支持 Windows 10 企业版 LTSC 2021,但有以下例外:
- 更新通道不能用于功能更新,因为Windows 10 LTSC 版本不接收功能更新。 更新通道可用于Windows 10 企业版 LTSC 2021 客户端的质量更新。
新的 Intune 远程操作 :收集诊断,允许你从公司设备收集日志,而无需中断或等待最终用户。 有关详细信息,请参阅 收集诊断远程操作。
Intune还为基于角色的访问控制(RBAC)添加了功能,可用于进一步定义“注册状态页面(ESP)”的配置文件设置。 有关详细信息,请参阅 创建注册状态页面配置文件并分配到组。
有关最新功能的完整Microsoft Intune,请参阅 Microsoft Intune 中的新增功能。
移动设备管理
移动设备管理 (MDM) 策略使用新的“本地用户和组设置”进行扩展,此设置与通过组策略所管理的设备而可用的选项相匹配。
有关 MDM 中新增功能的详细信息,请参阅“移动设备注册和管理中的新增功能”
WindowsMANAGEMENT Instrumentation (WMI) GROUP Policy Service (GPSVC) 具有性能改进,以支持远程工作方案:
- 修复了一个问题,该问题导致 Active Directory (AD) 用户或计算机组成员身份的更改传播缓慢。 尽管访问令牌最终会更新,但管理员使用 gpresult /r 或 gpresult /h 创建报告时可能不会显示这些更改。
密钥滚动和密钥轮换
此版本还包括两项新功能,称为密钥滚动和密钥轮换,可在 MDM 管理的Microsoft Entra ID设备上按需从Microsoft Intune/MDM 工具中安全滚动恢复密码,或者当恢复密码用于解锁受 BitLocker 保护的驱动器时。 此功能将有助于防止用户手动解锁 BitLocker 驱动器过程中意外泄露恢复密码。
部署
SetupDiag
SetupDiag 是一款命令行工具,可帮助诊断 Windows 10 更新失败的原因。 SetupDiag 通过搜索 Windows 安装程序日志文件工作。 搜索日志文件时,SetupDiag 使用一组规则来匹配已知问题。 在当前版本的 SetupDiag 中,rules.xml 文件中包含 53 条规则,运行 SetupDiag 时会解压缩此文件。 当推出新版本的 SetupDiag 时,将更新 rules.xml 文件。
保留存储
保留存储:预留存储留出磁盘空间,供更新、应用、临时文件和系统缓存使用。 它可以确保关键操作系统功能始终能够访问磁盘空间,从而改进电脑的日常功能。 预装了 Windows 10 版本 1903 的新电脑和要进行全新安装的电脑上将自动启用保留存储。 如果是从 Windows 10 之前版本更新,则不会启用。
Windows 评估和部署工具包 (ADK)
新的 Windows ADK 适用于同样支持 Windows 10 版本 21H2 的 Windows 11。
Microsoft 部署工具包 (MDT)
有关 MDT 的最新信息,请参阅 MDT 发行说明。
Windows 安装程序
Windows 安装程序应答文件 (unattend.xml) 改进了语言处理。
此版本在 Windows 安装程序中的改进还包括:
- 缩短了功能更新期间的离线时间
- 改进了对保留存储的控制
- 改进了控制和诊断
- 新增恢复选项
有关更多信息,请参阅 Windows IT 专业人员博客中的 Windows 安装程序增强功能。
Microsoft Edge
Microsoft Edge 浏览器支持现包含在内。
Microsoft Edge 展台模式
Microsoft Edge 展台模式适用于从 Windows 10 企业版 2021 LTSC 和 Windows 10 IoT 企业版 2021 LTSC 开始的 LTSC 版本。
Microsoft Edge 展台模式提供两种浏览器锁定体验,因此组织可以创建、管理并为其客户提供最佳体验。 提供以下锁定体验:
- 数字/交互式标志 体验 - 以全屏模式显示特定网站。
- 公共浏览 体验 - 运行 Microsoft Edge 的有限多选项卡版本。
- 这两种体验都在运行 Microsoft Edge InPrivate 会话,以保护用户数据。
适用于 Linux 的 Windows 子系统
适用于 Linux 的 Windows 子系统 (WSL) 内置可用。
网络
WPA3 H2E 标准支持增强的 Wi-Fi 安全性。
另请参阅
Windows 10 企业版 LTSC:LTSC 服务通道的简短说明,其中包含有关每个版本的信息的链接。