indows 10 企業版 LTSC 2021 中的新增功能
Windows 10 企業版 LTSC 2021本文列出了與 Windows 10 企業版 LTSC 2019 (LTSB) 相比,適用于 Windows 10 企業版 LTSC 2021 的 IT 專業人員感興趣的新功能和更新的功能和內容。 有關 LTSC 服務通道和相關支持的簡要說明,請參閱 Windows 10 企業版 LTSC。
備注:
Windows 10 企業版 LTSC 2021 中的功能等效于 Windows 10 版本 21H2。
LTSC 版本適用于特殊用途設備。 針對面向 Windows 10 的正式發布頻道版本的應用和工具對 LTSC 的支持可能受到限制。
Windows 10 企業版 LTSC 2021 基于 Windows 10 企業版 LTSC 2019 構建,添加了高級功能,例如針對新式安全威脅的高級防護以及全面的設備管理、應用管理、控制功能。
Windows 10 企業版 LTSC 2021 版本包括 Windows 10 版本 1903、1909、2004、21H1、21H2 中提供的累積增強功能。 下面提供了有關這些增強功能的詳細信息。
Windows 10 企業版 LTSC 2021 具有 5 年生命周期(IoT 仍然具有 10 年生命周期)。 因此,LTSC 2021 版本不是 LTSC 2019 的直接替代,LTSC 2019 的生命周期為 10 年。
有關此版本的生命周期的詳細信息,請參閱下一個 Windows 10 長期服務頻道 (LTSC) 版本。
硬件安全性
System Guard
System Guard 改進了此版本的 Windows 中的一項功能,稱為 SMM 固件保護。 此功能基于 System Guard 安全啟動來減少固件攻擊面,并確保設備上的系統管理模式 (SMM) 固件以正常方式運行 - 具體而言,SMM 代碼無法訪問 OS 內存和機密。
在此版本中,Windows Defender System Guard 實現了更高級別的系統管理模式 (SMM) 固件保護,不僅檢查 OS 內存和密碼的范圍,還會檢查寄存器和 IO 等其他資源。
通過此改進,操作系統可以檢測到更高級別的 SMM 遵從性,從而使設備能更有力地抵御 SMM 的攻擊和漏洞。 以平臺、基礎硬件、固件為基礎,SMM 固件保護有三個版本(一、二、三),每個后續版本提供的保護比前面的版本更強。
目前市場上已有一些提供 SMM 固件保護版本一和二的設備。 SMM 固件保護版本三。此功能當前具有前衛的外觀,它需要使用在不久的將來推出的新硬件。
操作系統安全性
系統安全性
Windows 安全應用改進現在包括保護歷史記錄(其中包括有關威脅和可用操作的更容易理解的詳細信息)、保護歷史記錄中的受控文件夾訪問權限阻止、Windows Defender 脫機版掃描工具操作,以及任何擱置建議。
加密和數據保護
BitLocker 和移動設備管理 (MDM) 以及 Azure Active Directory 可以共同保護設備以防密碼意外泄露。 現在,一項新的密鑰滾動功能可在 MDM 托管設備上安全地輪換恢復密碼。 只要 Microsoft Intune/MDM 工具或恢復密碼用于解鎖受 BitLocker 保護的驅動器,就會激活該功能。 因此,當用戶手動解鎖 BitLocker 驅動器時,恢復密碼將受到更好的保護。
網絡安全
Windows Defender 防火墻
Windows Defender 防火墻現在具有以下優勢:
風險:Windows Defender 防火墻使用規則來限制或允許許多屬性(如 IP 地址、端口或程序路徑)的設備的攻擊面。 減少設備的攻擊面可提高可管理性,并降低成功攻擊的可能性。
Safeguard 數據:借助集成的 Internet 協議安全性 (IPsec),Windows Defender 防火墻提供了一種實施經過身份驗證的端到端網絡通信的簡單方法。 它提供對受信任網絡資源的可縮放分層訪問,有助于強制實施數據的完整性,并可以選擇性地幫助保護數據的機密性。
Extend 值:Windows Defender 防火墻是基于主機的防火墻,包含在操作系統中,因此無需其他硬件或軟件。 Windows Defender 防火墻還旨在通過記錄的應用程序編程接口 (API) 來補充現有的非 Microsoft 網絡安全解決方案。
Windows Defender 防火墻現在也更易于分析和調試。 IPsec 行為已與數據包監視器 (pktmon) 集成,它是一種適用于 Windows 的內置跨組件網絡診斷工具。
此外,Windows Defender 防火墻事件日志已得到增強,以確保審核可以識別對任何給定事件負責的特定篩選器。 這樣就可以分析防火墻行為和豐富的數據包捕獲,而無需依賴其他工具。
Windows Defender 防火墻現在也支持適用于 Linux 的 Windows 子系統 (WSL)。你可以添加適用于 WSL 進程的規則,就像添加適用于 Windows 進程的規則。 有關詳細信息,請參閱 Windows Defender 防火墻現在支持適用于 Linux 的 Windows 子系統 (WSL)。
病毒和威脅防護
攻擊面區域減少 – IT 管理員可以為設備配置高級 Web 防護,從而定義針對特定 URL 和 IP 地址的允許列表和拒絕列表。 下一代保護 – 擴展了針對通過可移動存儲傳輸的勒索軟件、憑據濫用和攻擊的防護控件。
完整性實施功能 – 實現 Windows 10 平臺遠程運行時證明。
防篡改功能 - 使用基于虛擬化的安全措施將關鍵的 Microsoft Defender for Endpoint 安全功能與操作系統和攻擊者隔離開來。 平臺支持 - 除 Windows 10 以外,Microsoft Defender for Endpoint 的功能也已進行擴展,可通過終結點檢測 (EDR) 和終結點保護平臺 (EPP) 功能來支持 Windows 7 和 Windows 8.1 客戶端,以及 macOS、Linux 和 Windows Server。
高級機器學習:改進了高級機器學習和 AI 模型,因此可以抵御 apex 攻擊者使用創新漏洞攻擊技術、工具和惡意軟件進行的攻擊。
爆發緊急保護:提供爆發緊急保護,在檢測到新的病毒爆發時使用新智能自動更新設備。
經過認證的 ISO 27001 合規性:確保已針對威脅、漏洞和影響分析了云服務,并且風險管理和安全控件已準備就緒。
地理位置支持:示例數據和可配置的保留策略支持地理位置和主權。
對 Microsoft Defender 高級威脅防護 (ATP) 自動事件響應 (IR) 的非 ASCII 文件路徑的改進支持。
備注
在此版本中, DisableAntiSpyware 參數已棄用。
應用程序安全性
應用隔離
Windows 沙盒:隔離化的桌面環境,可在其中運行不受信任的軟件,同時無需擔心長久影響設備。
Microsoft Defender 應用程序防護
Microsoft Defender 應用程序防護增強功能包括:
單機用戶無需更改注冊表項設置即可安裝和配置 Windows Defender 應用程序防護設置。 企業用戶可以通過檢查設置了解管理員為其計算機進行了哪些配置,以便更好地了解該行為。
Google Chrome 和 Mozilla Firefox 中現在支持應用程序防護擴展。 許多用戶采用混合的瀏覽器環境,并希望將應用程序防護的瀏覽器隔離技術應用到 Microsoft Edge 之外。 在最新版本中,用戶可在 Chrome 或 Firefox 瀏覽器組中安裝應用程序防護擴展。 此擴展會將不受信任的導航重定向到應用程序防護 Edge 瀏覽器。 Microsoft Store 中還有一個配套應用,用于實現此功能。 用戶可以使用此應用從其桌面快速啟動應用程序防護。 安裝了最新更新的 Windows 10 版本 1803 或更高版本中也有此功能。
若要嘗試此擴展,請執行以下操作:
在設備上配置應用程序防護策略。
轉到 Chrome Web Store 或 Firefox 加載項, 然后搜索“應用程序防護”。 安裝該擴展。
執行擴展設置頁面中的其他任何配置步驟。
重新啟動設備。
在 Chrome 和 Firefox 中導航到不受信任的站點。
動態導航:應用程序防護現在允許用戶從應用程序防護 Microsoft Edge 導航回其默認主機瀏覽器。 以前,當用戶在應用程序防護 Edge 中瀏覽時,如果嘗試在容器瀏覽器內訪問可信站點,將顯示錯誤頁。 使用這項新功能,當用戶在應用程序防護 Edge 中輸入或單擊可信站點時,將被自動重定向到主機的默認瀏覽器。 安裝了最新更新的 Windows 10 版本 1803 或更高版本中也有此功能。
利用優化的文檔打開時間提升應用程序防護性能:
已修復了一個問題,在打開 Microsoft Defender Application Guard(應用程序防護)Office 文檔時可能會導致一分鐘或數次延遲。 嘗試使用通用命名約定 (UNC) 路徑或服務器消息塊 (SMB) 共享鏈接打開文件時,會發生此情況。
已修復了一個內存問題,在容器空閑時可能會導致應用程序防護容器使用幾乎 1 GB 的工作集內存。
復制大小超過 400 MB 的文件時,Robocopy 的性能得到改進。
自 2020 年初以來,適用于 Microsoft Defender 應用程序防護的 Edge 支持一直對基于 Chromium 的 Microsoft Edge 可用。
應用程序防護現支持 Office:使用適用于 Office 的 Microsoft Defender 應用程序防護,可在獨立容器中啟動不受信任的 Office 文檔(來自企業外部),防止可能存在的惡意內容危及設備。
應用程序控制
適用于 Windows 的應用程序控制:在 Windows 10 版本 1903 中,WDAC 新增了大量功能,這些功能對關鍵方案大有助益,并通過 AppLocker 提供功能校驗。
多個策略:WDAC 現在支持一個設備采用多個同時代碼完整性策略,以便實現以下方案:1) 并行強制實施和審核,2) 通過不同范圍/意圖簡化策略的目標設定,3) 使用新的“補充”策略擴展策略。
基于路徑的規則:路徑條件通過其在計算機文件系統中的位置或在網絡中的位置(而不是簽名者或哈希標識符)標識應用。 此外,WDAC 還有一個選項可供管理員在運行時實施,即僅執行來自用戶不可寫入的路徑的代碼。 在運行時嘗試執行代碼時,將掃描目錄,并檢查文件以了解未知管理員的寫入權限。 如果發現用戶可寫入某個文件,則阻止該可執行文件運行,除非其已獲得非路徑規則(如簽名者或哈希規則)授權。
這使 WDAC 能夠以文件路徑規則支持的形式使用 AppLocker 進行功能校驗。 WDAC 提高了基于策略的文件路徑規則的安全,原因是可以在運行時進行用戶可寫性檢查,這是 AppLocker 不具備的一項功能。
允許 COM 對象注冊:在以前,WDAC 對 COM 對象注冊實施內置允許列表。 雖然此機制支持大多數常見應用程序使用方案,客戶還是反饋有時需要允許更多 COM 對象。 Windows 10 的 1903 更新中引入了新功能,因此可以通過 COM 對象在 WDAC 策略中的 GUID 來指定允許的此類對象。
標識和隱私
安全標識
Windows Hello 增強功能包括:
現在,所有主要瀏覽器(包括 Chrome 和 Firefox)都支持 Windows Hello
如果許可在解除激活前,您已經把SOLIDWORKS卸載了,或者SOLIDWORKS已經無法啟動了,這個時候如何將許可解除激活呢?是不是還需要安裝SOLIDWORKS軟件后再進行許可的解除激活?其實完全不需要,您可以使用SOLIDWORKS Activation wizard工具將許可解除激活。
SOLIDWORKS Activation wizard的獲取方法有兩個:
SOLIDWORKS Activation wizard下載后解壓縮進行安裝。正常安裝后可以在Windows開始菜單?SOLIDWORKS XXXX?SOLIDWORKS 激活向導 找到激活向導程序。
在SOLIDWORKS激活向導窗口,選擇轉移產品許可到新的/已升級的計算機。
選擇下一步,選擇要解除激活許可的SOLIDWORKS產品,輸入您的郵箱,即可以將許可解除激活,具體操作見測試一下計算機運行SOLIDWORKS的性能。