Windows 10 企業版 LTSC 2021 的新功能
本文列出與 Windows 10 企業版 LTSC 2019 (LTSB) 相較之下,#DEA2D7D7D3C5846E998E8DFC61E90D7BE LTSC 2021 IT 專業人員感興趣的新功能和內容。 如需 LTSC 維護通道和相關聯支持的簡短描述,請參閱 Windows 10 企業版 LTSC。
注意
Windows 10 企業版 LTSC 2021 於 2021 年 11 月 16 日首次推出。 Windows 10 企業版 LTSC 2021 中的功能相當於 Windows 10 21H2 版。
LTSC 版本 適用於特殊用途裝置。 針對 Windows 10的一般可用性通道版本所設計的應用程式和工具對 LTSC 的支援可能會受到限制。
Windows 10 企業版 LTSC 2021 建置在 Windows 10 企業版 LTSC 2019 上,新增進階功能,例如針對新式安全性威脅和完整的裝置管理、應用程式管理和控制功能提供進階保護。
Windows 10 企業版 LTSC 2021 版本包含 Windows 10 版本 1903、1909、2004、21H1 和 21H2 中提供的累積增強功能。 以下提供這些增強功能的詳細數據。
生命週期
重要
Windows 10 企業版 LTSC 2021 有 5 年的生命週期。 (IoT 企業版 LTSC 持續有 10 年的生命週期) 。 因此,LTSC 2021 版本不是 LTSC 2019 的直接取代,LTSC 2019 有 10 年的生命週期。
如需此版本生命週期的詳細資訊,請參閱 LTSC) 發行 (下一個 Windows 10 長期維護通道。
硬體安全性
系統防護
系統防護 已改善此 Windows 版本中稱為 SMM 韌體保護的功能。 這項功能是以 系統防護 安全啟動為基礎,以減少韌體攻擊面,並確保裝置上的系統管理模式 (SMM) 韌體以狀況良好的方式運作 ,特別是 SMM 程式代碼無法存取 OS 記憶體和秘密。
在此版本中,Windows Defender 系統防護會啟用甚至「更高」層級的系統管理模式 (SMM) 韌體防護,其不僅能檢查 OS 記憶體和秘密,還可檢查暫存器和 IO 等其他資源。
利用這項改進功能,OS 可以偵測更高層級的 SMM 合規性,讓裝置更加強化,以防範 SMM 惡意探索和弱點。 根據基礎硬體和韌體平臺,有三個版本的 SMM 韌體保護 (一、二和三個) ,而每個後續版本提供比上述版本更強大的保護。
現今市場已有裝置提供SMM韌體保護第一版和第二版。 SMM 韌體保護第三版 此功能目前為前置外觀,需要即將推出的新硬體。
作業系統安全性
系統安全性
Windows 安全性應用程式改進功能現在包含保護歷程記錄,包括詳細且容易了解的威脅和可用動作資訊,受控資料夾存取權現在位於保護歷程記錄、Windows Defender Offline 掃描工具動作,以及任何擱置建議中。
加密與資料保護
BitLocker 和行動裝置 裝置管理 (MDM) 與 Microsoft Entra ID 一起運作,以保護您的裝置免於意外洩漏密碼。 現在,新的金鑰滾動功能會在 MDM 管理的裝置上安全地輪替修復密碼。 每當使用 Microsoft Intune/MDM 工具或修復密碼解鎖受 BitLocker 保護的磁碟機時,都會啟動此功能。 因此,當使用者手動解鎖 BitLocker 磁碟機時,修復密碼將得到更好的保護。
網路安全性
Windows Defender 防火牆
Windows Defender 防火牆現在提供下列優點:
降低風險:Windows Defender 防火牆會使用規則來限制或允許許多屬性的流量,例如IP位址、埠或程序路徑,以降低裝置的攻擊面。 減少裝置的受攻擊面會增加管理性,並降低成功攻擊的可能性。
保護數據:使用整合式因特網通訊協定安全性 (IPsec) ,Windows Defender 防火牆提供簡單的方法來強制執行已驗證的端對端網路通訊。 它提供可縮放、分層式存取受信任的網路資源,協助強制執行資料的完整性,並選擇性地協助保護資料的機密性。
擴充值:Windows Defender 防火牆是操作系統隨附的主機型防火牆,因此不需要任何其他硬體或軟體。 Windows Defender 防火牆也設計成透過記載的應用程式開發介面 (API) 來補充現有的非Microsoft網路安全性解決方案。
Windows Defender 防火牆現在也更容易進行分析和偵錯。 IPsec 行為已與封包監視器整合 (pktmon) ,這是適用於 Windows 的內建跨元件網路診斷工具。
此外,已增強 Windows Defender 防火牆事件記錄檔,以確保稽核可以識別負責任何指定事件的特定篩選。 這項增強功能可讓您分析防火牆行為和豐富的封包擷取,而不需要依賴其他工具。
Windows Defender 防火牆現在也支援 Windows 子系統 Linux 版 (WSL) ;您可以新增 WSL 程式的規則,就像 Windows 程序一樣。 如需詳細資訊,請參閱 Windows Defender 防火牆現在支援 Windows 子系統 Linux 版 (WSL) 。
病毒與威脅防護
受攻擊面區域縮小 - IT 系統管理員可以使用進階 Web 保護來設定裝置,讓裝置能夠定義特定 URL 和 IP 位址的允許清單和封鎖清單。 新一代保護 - 控制項已擴充為防止勒索軟體、認證誤用,以及透過抽取式存儲設備傳輸的攻擊。
- 完整性強制功能 - 啟用 Windows 10 平台的遠端運行時間證明。
- 防竄改功能 - 使用虛擬化型安全性,將重要的 適用於端點的 Microsoft Defender 安全性功能與操作系統和攻擊者隔離。 平台支援 - 除了 Windows 10,適用於端點的 Microsoft Defender的功能已擴充為支援 Windows 7 和 Windows 8.1 用戶端,以及具有其端點偵測 (EDR) 和 Endpoint Protection Platform (EPP) 功能的 macOS、Linux 和 Windows Server。
進階機器學習:改善進階機器學習和 AI 模型,讓它能夠抵禦利用創新的漏洞惡意探索技術、工具及惡意程式碼的 apex 攻擊者。
緊急爆發防護:提供緊急爆發防護,可在偵測到新的爆發時,使用新的情報自動更新裝置。
遵守 ISO 27001 認證規範:確保雲端服務已針對威脅、漏洞和影響進行分析,且風險管理與安全性控制皆已就緒。
地理位置支援:支援範例資料的地理位置和主權,以及可設定的保留原則。
已改善對 #DCE4EB2A8FE094F29839BEC44E3FE93A3 Advanced Threat Protection (ATP) Auto Incident Response (IR) 的非 ASCII 檔案路徑支援。
注意
DisableAntiSpyware 參數在此版本中已過時。
應用程式安全性
應用程式隔離
Windows 沙箱:隔離的桌面環境,在這裡您可以執行未受信任的軟體,而不必擔心會持續影響您的裝置。
Microsoft Defender 應用程式防護
Microsoft Defender 應用程式防護 增強功能包括:
獨立使用者可以安裝和設定其 Windows Defender 應用程式防護 設定,而不需要變更登錄機碼設定。 企業使用者可以檢查其設定,查看系統管理員已為其電腦進行了哪些設定,以進一步了解行為。
應用程式防護 現在是Google Chrome和Mozilla Firefox中的擴充功能。 許多用戶都處於混合式瀏覽器環境中,而且想要將 應用程式防護 的瀏覽器隔離技術延伸到Microsoft Edge 之外。 在最新版本中,用戶可以在其 Chrome 或 Firefox 瀏覽器中安裝 應用程式防護 延伸模組。 此延伸模組會將不受信任的流覽重新導向至 應用程式防護 Edge 瀏覽器。 另外還有一個隨附應用程式可在 Microsoft Store 中啟用此功能。 用戶可以使用此應用程式從桌面快速啟動 應用程式防護。 這項功能也適用於已套用最新更新的 Windows 10 版本 1803年或更新版本。
若要嘗試此擴充功能:
- 在裝置上設定 應用程式防護 原則。
- 移至 Chrome 網路商店或 Firefox 附加元件,並搜尋應用程式防護。 安裝擴充功能。
- 請遵循擴充功能設定頁面上的任何其他設定步驟。
- 將裝置重新開機。
- 瀏覽至 Chrome 和 Firefox 中未受信任的網站。
動態流覽:應用程式防護 現在可讓使用者從 應用程式防護 Microsoft Edge 流覽回其預設主機瀏覽器。 之前,在 應用程式防護Edge中瀏覽的用戶嘗試移至容器瀏覽器內的信任網站時,會看到錯誤頁面。 使用這項新功能時,使用者在 應用程式防護 Edge 中輸入或按下信任的網站時,會自動重新導向至其主機預設瀏覽器。 此功能也適用於已套用最新更新的 Windows 10 版本 1803 或更新版本。
應用程式防護 使用優化的文件開啟時間來改善效能:
- 已修正此問題:當您開啟 Microsoft Defender 應用程式防護 (應用程式防護) Office 檔時,可能會造成一分鐘或更短的延遲。 當您嘗試使用通用命名約定 (UNC) 路徑或伺服器消息塊塊 (SMB) 共用連結開啟檔案時,可能會發生此問題。
- 已修正記憶體問題,可能導致 應用程式防護 容器在容器閑置時使用將近 1 GB 的工作集記憶體。
- Robocopy 的效能在複製大小超過 400 MB 的檔案時已獲得改善。
應用程式控制
適用於 Windows 的應用程控:在 Windows 10 1903 版中,Windows Defender 應用程控 (WDAC) 新增了許多新功能,這些功能會啟動關鍵案例,並提供與 AppLocker 的功能同位。
- 多重原則:Windows Defender 應用程控現在支援一個裝置的多個同時程式代碼完整性原則,以啟用下列案例:1) 並行強制執行和稽核,2) 針對具有不同範圍/意圖的原則,更簡單的目標,3) 使用新的「補充」原則擴充原則。
-
以路徑為基礎的規則:路徑條件會依應用程式在電腦檔案系統中或在網路上的位置,來識別該應用程式,而非透過簽署者或雜湊識別碼來識別。 此外,WDAC 有一個選項可讓系統管理員在運行時間強制執行,只執行來自無法使用者寫入之路徑的程式代碼。 當程式代碼嘗試在運行時間執行時,會掃描目錄,並檢查檔案是否有未知系統管理員的寫入許可權。 如果檔案是使用者可寫入的檔案,除非其由簽署者或雜湊規則等路徑規則以外的授權,否則會封鎖可執行檔執行。
這項功能可讓 WDAC 在支援檔案路徑規則方面與 AppLocker 同位。 WDAC 會根據檔案路徑規則改善原則的安全性,提供在執行階段檢查使用者可寫入權限的功能,AppLocker 未提供此功能。 - 允許 COM 物件註冊:先前,Windows Defender 應用程控 (WDAC) 強制執行 COM 物件註冊的內建允許清單。 雖然此機制適用於最常見的應用程式使用案例,但有客戶已提供意見反應,指出在某些情況下需要允許更多 COM 物件。 Windows 10 的 1903 更新引進了一項功能,可透過其在 WDAC 原則中的 GUID 來指定允許的 COM 物件。
身分識別與隱私權
安全的身分識別
Windows Hello 增強功能包括:
- 在所有主要瀏覽器 (包括 Chrome 和 Firefox) 上,現在都會以 Fast Identity Online 2 (FIDO2) 驗證器的形式支援 Windows Hello。
- 您現在可以移至 >>[設定帳戶登入選項],然後選取 [讓裝置無密碼] 底下的 [開啟],為 Windows 10 裝置上的Microsoft帳戶啟用無密碼登入。 啟用無密碼登入會將 Windows 10 裝置上的所有 Microsoft 帳戶切換為 Windows Hello 臉部、指紋或 PIN 的新式驗證。
- Windows Hello PIN 登入支援已 新增到安全模式。
- Windows Hello 企業版 現在已 Microsoft Entra 混合式支持和電話號碼登入 (Microsoft帳戶) 。 FIDO2 安全性密鑰支援已擴充為 Microsoft Entra 混合式環境,讓具有混合式環境的企業能夠利用無密碼驗證。 如需詳細資訊,請參閱將 Azure Active Directory 對 FIDO2 預覽的支援擴充至混合式環境。
- Windows Hello 在出廠設定的 Windows 10 版本 20H2 的裝置上提供了專門的硬體和軟體元件,Windows Hello 現在透過支援指紋和面部感應器為基於虛擬化的安全性提供了額外的支援。 這項功能會隔離並保護使用者的生物特徵識別驗證資料。
- 新增 Windows Hello 的多重相機支援,可讓使用者在同時有支援外部和內部 Windows Hello 的相機時選擇外部相機優先。
- Windows Hello FIDO2 認證:Windows Hello 現在是 FIDO2 認證驗證器,可為支援 FIDO2 驗證的網站啟用無密碼登入,例如Microsoft帳戶和 Entra ID。
- 簡化 Windows Hello PIN 重設體驗:Microsoft 帳戶使用者的 Windows Hello PIN 重設體驗已改版,具有與登入網頁時相同的外觀和風格。
- 具有生物特徵辨識的遠端桌面:Microsoft Entra ID 和使用 Windows Hello 企業版 的 Active Directory 使用者可以使用生物特徵辨識來向遠端桌面會話進行驗證。
認證保護
Credential Guard
Credential Guard 現在適用於 ARM64 裝置,可針對在其組織中部署 ARM64 裝置的企業提供額外的保護,例如 Surface Pro X。
隱私權控制項
麥克風隱私權設定:麥克風圖示會出現在通知區域,讓您了解哪些應用程式正在使用您的麥克風。
雲端服務
Microsoft Intune
Microsoft Intune 支援 Windows 10 企業版 LTSC 2021,但下列例外狀況:
- 更新通道無法用於功能更新,因為 Windows 10 LTSC 版本不會收到功能更新。 更新通道可用於 Windows 10 企業版 LTSC 2021 用戶端的品質更新。
新的 Intune 遠端動作:收集診斷,可讓您從公司裝置收集記錄,而不需要中斷或等待使用者。 如需詳細資訊,請參閱收集診斷遠端動作。
Intune 也針對角色型存取控制 (RBAC) 新增功能,可用於進一步定義註冊狀態頁面 (ESP) 的設定檔設定。 如需詳細資訊,請參閱建立註冊狀態頁面設定檔並指派給群組。
如需 Microsoft Intune 中新功能的完整清單,請參閱 Microsoft Intune 的新功能。
行動裝置管理
行動 裝置管理 (MDM) 原則會使用新的本機使用者和 群組 設定來擴充,這些設定符合透過 群組原則 管理之裝置可用的選項。
有關 MDM 的新功能的更多資訊,請參閱行動裝置注册和管理中的新增功能
Windows Management Instrumentation (WMI) 群組原則服務 (GPSVC) 有可支援遠端工作案例的效能改善:
- 修正會導致 Active Directory (AD) 系統管理員對使用者或電腦群組成員資格的變更緩慢傳播的問題。 雖然存取權杖最終會更新,當系統管理員使用 gpresult /r 或 gpresult /h 建立報告時,這些變更可能不會顯示。
金鑰變換和金鑰輪換
此版本也包含兩個新功能,稱為「金鑰滾動」和「金鑰輪替」,可讓您視需要從 Microsoft Intune/MDM 工具或使用修復密碼解除鎖定受 BitLocker 保護的磁碟驅動器時,安全地在受 MDM 管理的 Microsoft Entra ID 裝置上輪流復原密碼。 此功能可在使用者手動解鎖 BitLocker 磁碟機時,協助防止意外洩露修復密碼。
部署
SetupDiag
SetupDiag 是一種命令列工具,可協助診斷 Windows 10 更新失敗的原因。 SetupDiag 透過搜尋 Windows 安裝程式記錄檔運作。 搜尋記錄檔時,SetupDiag 會使用一組規則來比對已知問題。 在目前版本的 SetupDiag 中,有 53 個規則包含在 rules.xml 檔案中 (此檔案會在 SetupDiag 執行時解壓縮)。 rules.xml 檔案將在有新版 SetupDiag 可供使用時更新。
保留的儲存空間
保留的記憶體:保留的記憶體會保留更新、應用程式、臨時檔和系統快取所要使用的磁碟空間。 透過確定重大作業系統功能一律具有磁碟空間的存取權,來改善電腦的日常功能。 在 Windows 10 版本 1903 已預先安裝且為全新安裝的新電腦上,保留的儲存空間將自動啟用。 當從舊版 Windows 10 更新時,則不會啟用。
Windows 評定及部署工具組 (ADK)
新的 Windows ADK 適用於也支援 Windows 10 版本 21H2 的 Windows 11。
Microsoft Deployment Toolkit (MDT)
如需 MDT 的最新資訊,請參閱 MDT 版本資訊。
Windows 安裝程式
Windows 安裝程式 回應檔案 (unattend.xml) 已改善語言處理。
此版本中 Windows 安裝程式的改進功能包括:
- 在功能更新期間縮短離線時間
- 改善保留儲存空間的控制項
- 改善控制項和診斷
- 新增復原選項
如需詳細資訊,請參閱 Windows IT 專業人員部落格中的 Windows 安裝程式增強功能。
Microsoft Edge
Microsoft Edge Browser 支援現已隨附。
Microsoft Edge kiosk 模式
Microsoft Edge kiosk 模式適用於從 2021 Windows 10 企業版 LTSC 和 Windows 10 IoT 企業版 2021 LTSC 開始的 LTSC 版本。
Microsoft Edge kiosk 模式提供兩種瀏覽器鎖定體驗,組織可建立、管理以及為客戶提供最佳的體驗。 可使用的鎖定體驗如下:
- 數位/互動式告示板體驗 - 以全螢幕模式顯示特定網站。
- 公用瀏覽體驗 - 可執行受限制的 Microsoft Edge 多索引標籤版本。
- 兩個體驗皆執行 Microsoft Edge InPrivate 工作階段,可保護使用者資料。
適用於 Linux 的 Windows 子系統
Windows 子系統 Linux 版 (可用的 WSL) 。
網路功能
WPA3 H2E 標準支援增強 Wi-Fi 安全性。
另請參閱
Windows 10 企業版 LTSC:LTSC 維護通道的簡短描述,其中包含每個版本相關信息的連結。