Windows 10 企业版 LTSC 2021 中的新增功能
Windows 10 企业版 LTSC 2021本文列出了与 Windows 10 企业版 LTSC 2019 (LTSB) 相比,适用于 Windows 10 企业版 LTSC 2021 的 IT 专业人员感兴趣的新功能和更新的功能和内容。 有关 LTSC 服务通道和相关支持的简要说明,请参阅 Windows 10 企业版 LTSC。
备注:
Windows 10 企业版 LTSC 2021 中的功能等效于 Windows 10 版本 21H2。
LTSC 版本适用于特殊用途设备。 针对面向 Windows 10 的正式发布频道版本的应用和工具对 LTSC 的支持可能受到限制。
Windows 10 企业版 LTSC 2021 基于 Windows 10 企业版 LTSC 2019 构建,添加了高级功能,例如针对新式安全威胁的高级防护以及全面的设备管理、应用管理、控制功能。
Windows 10 企业版 LTSC 2021 版本包括 Windows 10 版本 1903、1909、2004、21H1、21H2 中提供的累积增强功能。 下面提供了有关这些增强功能的详细信息。
Windows 10 企业版 LTSC 2021 具有 5 年生命周期(IoT 仍然具有 10 年生命周期)。 因此,LTSC 2021 版本不是 LTSC 2019 的直接替代,LTSC 2019 的生命周期为 10 年。
有关此版本的生命周期的详细信息,请参阅下一个 Windows 10 长期服务频道 (LTSC) 版本。
硬件安全性
System Guard
System Guard 改进了此版本的 Windows 中的一项功能,称为 SMM 固件保护。 此功能基于 System Guard 安全启动来减少固件攻击面,并确保设备上的系统管理模式 (SMM) 固件以正常方式运行 - 具体而言,SMM 代码无法访问 OS 内存和机密。
在此版本中,Windows Defender System Guard 实现了更高级别的系统管理模式 (SMM) 固件保护,不仅检查 OS 内存和密码的范围,还会检查寄存器和 IO 等其他资源。
通过此改进,操作系统可以检测到更高级别的 SMM 遵从性,从而使设备能更有力地抵御 SMM 的攻击和漏洞。 以平台、基础硬件、固件为基础,SMM 固件保护有三个版本(一、二、三),每个后续版本提供的保护比前面的版本更强。
目前市场上已有一些提供 SMM 固件保护版本一和二的设备。 SMM 固件保护版本三。此功能当前具有前卫的外观,它需要使用在不久的将来推出的新硬件。
操作系统安全性
系统安全性
Windows 安全应用改进现在包括保护历史记录(其中包括有关威胁和可用操作的更容易理解的详细信息)、保护历史记录中的受控文件夹访问权限阻止、Windows Defender 脱机版扫描工具操作,以及任何搁置建议。
加密和数据保护
BitLocker 和移动设备管理 (MDM) 以及 Azure Active Directory 可以共同保护设备以防密码意外泄露。 现在,一项新的密钥滚动功能可在 MDM 托管设备上安全地轮换恢复密码。 只要 Microsoft Intune/MDM 工具或恢复密码用于解锁受 BitLocker 保护的驱动器,就会激活该功能。 因此,当用户手动解锁 BitLocker 驱动器时,恢复密码将受到更好的保护。
网络安全
Windows Defender 防火墙
Windows Defender 防火墙现在具有以下优势:
风险:Windows Defender 防火墙使用规则来限制或允许许多属性(如 IP 地址、端口或程序路径)的设备的攻击面。 减少设备的攻击面可提高可管理性,并降低成功攻击的可能性。
Safeguard 数据:借助集成的 Internet 协议安全性 (IPsec),Windows Defender 防火墙提供了一种实施经过身份验证的端到端网络通信的简单方法。 它提供对受信任网络资源的可缩放分层访问,有助于强制实施数据的完整性,并可以选择性地帮助保护数据的机密性。
Extend 值:Windows Defender 防火墙是基于主机的防火墙,包含在操作系统中,因此无需其他硬件或软件。 Windows Defender 防火墙还旨在通过记录的应用程序编程接口 (API) 来补充现有的非 Microsoft 网络安全解决方案。
Windows Defender 防火墙现在也更易于分析和调试。 IPsec 行为已与数据包监视器 (pktmon) 集成,它是一种适用于 Windows 的内置跨组件网络诊断工具。
此外,Windows Defender 防火墙事件日志已得到增强,以确保审核可以识别对任何给定事件负责的特定筛选器。 这样就可以分析防火墙行为和丰富的数据包捕获,而无需依赖其他工具。
Windows Defender 防火墙现在也支持适用于 Linux 的 Windows 子系统 (WSL)。你可以添加适用于 WSL 进程的规则,就像添加适用于 Windows 进程的规则。 有关详细信息,请参阅 Windows Defender 防火墙现在支持适用于 Linux 的 Windows 子系统 (WSL)。
病毒和威胁防护
攻击面区域减少 – IT 管理员可以为设备配置高级 Web 防护,从而定义针对特定 URL 和 IP 地址的允许列表和拒绝列表。 下一代保护 – 扩展了针对通过可移动存储传输的勒索软件、凭据滥用和攻击的防护控件。
完整性实施功能 – 实现 Windows 10 平台远程运行时证明。
防篡改功能 - 使用基于虚拟化的安全措施将关键的 Microsoft Defender for Endpoint 安全功能与操作系统和攻击者隔离开来。 平台支持 - 除 Windows 10 以外,Microsoft Defender for Endpoint 的功能也已进行扩展,可通过终结点检测 (EDR) 和终结点保护平台 (EPP) 功能来支持 Windows 7 和 Windows 8.1 客户端,以及 macOS、Linux 和 Windows Server。
高级机器学习:改进了高级机器学习和 AI 模型,因此可以抵御 apex 攻击者使用创新漏洞攻击技术、工具和恶意软件进行的攻击。
爆发紧急保护:提供爆发紧急保护,在检测到新的病毒爆发时使用新智能自动更新设备。
经过认证的 ISO 27001 合规性:确保已针对威胁、漏洞和影响分析了云服务,并且风险管理和安全控件已准备就绪。
地理位置支持:示例数据和可配置的保留策略支持地理位置和主权。
对 Microsoft Defender 高级威胁防护 (ATP) 自动事件响应 (IR) 的非 ASCII 文件路径的改进支持。
备注
在此版本中, DisableAntiSpyware 参数已弃用。
应用程序安全性
应用隔离
Windows 沙盒:隔离化的桌面环境,可在其中运行不受信任的软件,同时无需担心长久影响设备。
Microsoft Defender 应用程序防护
Microsoft Defender 应用程序防护增强功能包括:
单机用户无需更改注册表项设置即可安装和配置 Windows Defender 应用程序防护设置。 企业用户可以通过检查设置了解管理员为其计算机进行了哪些配置,以便更好地了解该行为。
Google Chrome 和 Mozilla Firefox 中现在支持应用程序防护扩展。 许多用户采用混合的浏览器环境,并希望将应用程序防护的浏览器隔离技术应用到 Microsoft Edge 之外。 在最新版本中,用户可在 Chrome 或 Firefox 浏览器组中安装应用程序防护扩展。 此扩展会将不受信任的导航重定向到应用程序防护 Edge 浏览器。 Microsoft Store 中还有一个配套应用,用于实现此功能。 用户可以使用此应用从其桌面快速启动应用程序防护。 安装了最新更新的 Windows 10 版本 1803 或更高版本中也有此功能。
若要尝试此扩展,请执行以下操作:
在设备上配置应用程序防护策略。
转到 Chrome Web Store 或 Firefox 加载项, 然后搜索“应用程序防护”。 安装该扩展。
执行扩展设置页面中的其他任何配置步骤。
重新启动设备。
在 Chrome 和 Firefox 中导航到不受信任的站点。
动态导航:应用程序防护现在允许用户从应用程序防护 Microsoft Edge 导航回其默认主机浏览器。 以前,当用户在应用程序防护 Edge 中浏览时,如果尝试在容器浏览器内访问可信站点,将显示错误页。 使用这项新功能,当用户在应用程序防护 Edge 中输入或单击可信站点时,将被自动重定向到主机的默认浏览器。 安装了最新更新的 Windows 10 版本 1803 或更高版本中也有此功能。
利用优化的文档打开时间提升应用程序防护性能:
已修复了一个问题,在打开 Microsoft Defender Application Guard(应用程序防护)Office 文档时可能会导致一分钟或数次延迟。 尝试使用通用命名约定 (UNC) 路径或服务器消息块 (SMB) 共享链接打开文件时,会发生此情况。
已修复了一个内存问题,在容器空闲时可能会导致应用程序防护容器使用几乎 1 GB 的工作集内存。
复制大小超过 400 MB 的文件时,Robocopy 的性能得到改进。
自 2020 年初以来,适用于 Microsoft Defender 应用程序防护的 Edge 支持一直对基于 Chromium 的 Microsoft Edge 可用。
应用程序防护现支持 Office:使用适用于 Office 的 Microsoft Defender 应用程序防护,可在独立容器中启动不受信任的 Office 文档(来自企业外部),防止可能存在的恶意内容危及设备。
应用程序控制
适用于 Windows 的应用程序控制:在 Windows 10 版本 1903 中,WDAC 新增了大量功能,这些功能对关键方案大有助益,并通过 AppLocker 提供功能校验。
多个策略:WDAC 现在支持一个设备采用多个同时代码完整性策略,以便实现以下方案:1) 并行强制实施和审核,2) 通过不同范围/意图简化策略的目标设定,3) 使用新的“补充”策略扩展策略。
基于路径的规则:路径条件通过其在计算机文件系统中的位置或在网络中的位置(而不是签名者或哈希标识符)标识应用。 此外,WDAC 还有一个选项可供管理员在运行时实施,即仅执行来自用户不可写入的路径的代码。 在运行时尝试执行代码时,将扫描目录,并检查文件以了解未知管理员的写入权限。 如果发现用户可写入某个文件,则阻止该可执行文件运行,除非其已获得非路径规则(如签名者或哈希规则)授权。
这使 WDAC 能够以文件路径规则支持的形式使用 AppLocker 进行功能校验。 WDAC 提高了基于策略的文件路径规则的安全,原因是可以在运行时进行用户可写性检查,这是 AppLocker 不具备的一项功能。
允许 COM 对象注册:在以前,WDAC 对 COM 对象注册实施内置允许列表。 虽然此机制支持大多数常见应用程序使用方案,客户还是反馈有时需要允许更多 COM 对象。 Windows 10 的 1903 更新中引入了新功能,因此可以通过 COM 对象在 WDAC 策略中的 GUID 来指定允许的此类对象。
标识和隐私
安全标识
Windows Hello 增强功能包括:
现在,所有主要浏览器(包括 Chrome 和 Firefox)都支持 Windows Hello