Новые возможности Windows 10 Корпоративная LTSC 2015
Область применения
- Windows 10 Корпоративная LTSC 2015
В этой статье перечислены новые и обновленные функции и содержимое, которые представляют интерес для ИТ-специалистов для Windows 10 Корпоративная LTSC 2015 (LTSB). Краткое описание канала обслуживания LTSC см. в разделе Windows 10 Корпоративная LTSC.
Развертывание
Подготовка устройств с помощью конструктора образов и конфигураций Windows (ICD)
В Windows 10 можно создавать пакеты подготовки, позволяющие быстро и эффективно настраивать устройство без установки нового образа. ИТ-администратор, использующий подготовку Windows, может легко указать конфигурацию и параметры, необходимые для регистрации устройств в управлении с помощью пользовательского интерфейса на основе мастера, а затем применить эту конфигурацию к целевым устройствам в течение нескольких минут. Этот вариант лучше всего подходит для компаний малого и среднего бизнеса, развертывающих от нескольких десятков до нескольких сотен компьютеров.
Дополнительные сведения о подготовке в Windows 10
Безопасность
AppLocker
AppLocker был доступен для Windows 8.1 и улучшен с помощью Windows 10. Список требований к операционной системе см. в разделе Требования к использованию AppLocker .
Усовершенствования AppLocker в Windows 10 включают:
- В командлет Windows PowerShell New-AppLockerPolicy был добавлен новый параметр, позволяющий выбирать, применяются ли коллекции правил для исполняемых файлов и библиотек DLL к неинтерактивным процессам. Чтобы включить этот параметр, установите для параметра ServiceEnforcement значение Включено.
- Добавлен новый поставщик службы конфигурации AppLocker, что позволяет включать правила AppLocker, используя сервер MDM.
Узнайте, как управлять AppLocker в вашей организации.
BitLocker
Усовершенствования AppLocker в Windows 10 включают:
- Шифрование и восстановление устройства с помощью Azure Active Directory. Помимо использования учетной записи Майкрософт, автоматическое Шифрование устройства теперь может шифровать устройства, которые присоединены к домену Azure Active Directory. Если устройство зашифровано, ключ восстановления BitLocker автоматически передается на хранение в Azure Active Directory. Это упрощает восстановление ключа BitLocker через Интернет.
- Защита портов прямого доступа к памяти (DMA). Политику MDM DataProtection/AllowDirectMemoryAccess можно использовать для блокировки портов DMA при запуске устройства. Кроме того, когда устройство заблокировано, неиспользуемые порты DMA выключены, но все устройства, которые уже подключены к портам DMA, продолжают работать. После разблокировки устройства все порты DMA снова включаются.
- Новая групповая политика по настройке предзагрузочного восстановления. Теперь вы можете настроить предзагрузочное сообщение восстановления и URL-адрес восстановления, которые отображаются на предзагрузочном экране восстановления. Дополнительные сведения см. в разделе Настройка предзагрузочного сообщения и URL-адреса восстановления в статье «Параметры групповой политики BitLocker».
Узнайте, как развернуть BitLocker и управлять им в вашей организации.
Управление сертификатами
Для устройств на основе Windows 10 можно использовать сервер MDM, чтобы напрямую развертывать сертификаты проверки подлинности клиента с помощью PFX, а также выполнять регистрацию с помощью протокола SCEP, в т. ч. сертификаты по включению Windows Hello для бизнеса в вашей организации. Вы сможете использовать MDM для регистрации, обновления и удаления сертификатов.
Microsoft Passport
В Windows 10 служба Microsoft Passport заменяет пароли на строгую двухфакторную проверку подлинности, включающую зарегистрированное устройство и Windows Hello (биометрия) или PIN-код.
Microsoft Passport позволяет пользователю проводить проверку подлинности своей учетной записи Майкрософт, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (AD) или сторонней службы (не Майкрософт), которая поддерживает проверку подлинности Fast ID Online (FIDO) . После начальной двухэтапной проверки при регистрации в Microsoft Passport на устройстве пользователя настраивается служба Microsoft Passport и пользователь определяет жест, который может быть Windows Hello или PIN-кодом. Пользователь делает жест для проверки своего удостоверения, после чего Windows использует Microsoft Passport для проверки подлинности пользователя и предоставления доступа к защищенным ресурсам и службам.
Аудит безопасности
В Windows 10 реализован ряд улучшений аудита безопасности:
новые подкатегории аудита;
В Windows 10 в конфигурацию расширенной политики аудита добавлены две новые подкатегории аудита для большей детализации событий аудита.
- Подкатегория Членство в группе аудита, расположенная в категории «Вход/выход», позволяет отслеживать изменения членства в группах в маркере входа пользователя. События в этой подкатегории создаются при перечислении или при запросе членства в группах на компьютере, на котором был создан сеанс входа. Для интерактивного входа в систему событие аудита безопасности создается на компьютере, на котором пользователь вошел в систему. Для сетевого входа, например при доступе к общей папке в сети, событие аудита безопасности создается на компьютере, на котором размещен ресурс. При настройке этого параметра для каждого успешного входа создается одно или несколько событий аудита безопасности. Необходимо также включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/Выход. Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий.
- Подкатегория Аудит активности PNP, расположенная в категории «Подробное отслеживание», позволяет отслеживать обнаружение внешнего устройства Plug and Play. Для этой категории записываются только успешные операции аудита. Если не настраивать этот параметр политики, событие аудита не создается при обнаружении внешнего устройства Plug and Play. Событие аудита PnP можно использовать для отслеживания изменений в системном оборудовании. Оно регистрируется на компьютере, где произошло изменение. Список идентификаторов поставщиков оборудования включается в событие.
дополнительные сведения для имеющихся событий аудита.
В Windows 10 (версия 1507) мы добавили больше информации в имеющиеся события аудита, чтобы упростить получение полного журнала аудита и поиск сведений, необходимых для защиты вашей организации. Дополнены следующие события аудита:
- изменена политика аудита ядра по умолчанию;
- процесс SACL по умолчанию добавлен в LSASS.exe;
- добавлены новые поля в событие входа;
- добавлены новые поля в событие создания процесса;
- добавлены новые события диспетчера учетных записей безопасности;
- добавлены новые события BCD;
- добавлены новые события PNP.
изменена политика аудита ядра по умолчанию;
В предыдущих выпусках ядро зависел от локального центра безопасности (LSA) для получения сведений в некоторых событиях. В Windows 10 политика аудита событий создания процесса по умолчанию включена, пока фактическая политика аудита не будет получена от LSA. За счет этого улучшается аудит служб, которые могут запускаться до запуска LSA.
процесс SACL по умолчанию добавлен в LSASS.exe;
В Windows 10 процесс SACL по умолчанию был добавлен в LSASS.exe для регистрации процессов, пытающихся получить доступ к LSASS.exe. SACL: L"S:(AU;SAFA;0x0010;;;WD)"
. Этот процесс можно включить в разделе Конфигурация расширенной политики аудита\Доступ к объекту\Аудит объекта ядра.
Этот процесс при включении может помочь выявить атаки, которые похищают учетные данные из памяти процесса.
Новые поля в событии входа
Событие входа 4624 обновлено, теперь оно содержит более подробные сведения, что упрощает его анализ. В событие 4624 добавлены следующие поля.
- MachineLogon Строка: да или нет. Если учетная запись, которая вошел в компьютер, является учетной записью компьютера, это поле будет иметь значение "Да". В противном случае — «нет».
- ElevatedToken Строка: да или нет. Если учетная запись вошел в компьютер с помощью метода "административный вход", это поле будет иметь значение "Да". В противном случае — «нет». Кроме того, если это поле является частью разделенного маркера, также будет отображаться связанный идентификатор входа (LSAP_LOGON_SESSION).
- Строка TargetOutboundUserName, строка TargetOutboundUserDomain. Имя пользователя и домен удостоверения, созданного методом LogonUser для исходящего трафика.
- Строка VirtualAccount: да или нет. Если учетная запись, использованная для входа на компьютер, — это виртуальная учетная запись, в поле будет указано «да». В противном случае — «нет».
- Строка GroupMembership. Список всех групп в маркере пользователя.
- Строка RestrictedAdminMode: да или нет. Если пользователь входит на компьютер в ограниченном режиме администратора с помощью удаленного рабочего стола, в поле будет указано «да». Дополнительные сведения об ограниченном режиме администратора см. в разделе Ограниченный режим администратора для протокола удаленного рабочего стола.
Новые поля в событии создания процесса
Событие входа 4688 обновлено, теперь оно содержит более подробные сведения, что упрощает его анализ. В событие 4688 добавлены следующие поля.
- Строка TargetUserSid. Идентификатор безопасности целевого субъекта.
- Строка TargetUserName. Имя учетной записи целевого пользователя.
- TargetDomainName Строка — домен целевого пользователя.
- Строка TargetLogonId. Идентификатор входа целевого пользователя.
- Строка ParentProcessName. Имя процесса-автора.
- Строка ParentProcessId. Указатель на фактический родительский процесс, если он отличается от процесса-автора.
Новые события диспетчера учетных записей безопасности
В Windows 10 появились новые события SAM для отслеживания интерфейсов API SAM, которые выполняют операции чтения и запроса. В предыдущих версиях Windows отслеживались только операции записи. Новые события — 4798 и 4799. Теперь отслеживаются следующие интерфейсы API:
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
Новые события BCD
Событие 4826 добавлено для отслеживания следующих изменений в базе данных конфигурации загрузки (BCD):
- Параметры DEP/NEX
- Тестовая подпись
- Эмуляция PCAT SB
- Отладка
- Отладка загрузки
- Integrity Services
- Отключение меню отладки Winload
Новые события PNP
Событие 6416 добавлено, чтобы отслеживать обнаружение внешнего устройства с помощью Plug and Play. Один из важных сценариев можно представить следующим образом: внешнее устройство, содержащее вредоносные программы, вставляется в важный для компании компьютер, который не ожидает такого действия, например в контроллер домена.
Узнайте, как управлять политиками аудита безопасности в организации
Доверенный платформенный модуль
Новые функции доверенного платформенного модуля в Windows 10
В следующих разделах описаны новые и измененные функции доверенного платформенного модуля для Windows 10.
- Аттестация работоспособности устройства
- Поддержка Microsoft Passport
- Поддержка Device Guard
- Поддержка Credential Guard
Аттестация работоспособности устройства
Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства. На устройстве можно проверить следующее.
- Предотвращение выполнения данных поддерживается и включено?
- Шифрование диска BitLocker поддерживается и включено?
- Безопасная загрузка поддерживается и включена?
Примечание.
Устройство должно работать под управлением Windows 10 и должно поддерживать хотя бы TPM 2.0.
Узнайте, как развернуть TPM и управлять им в вашей организации.
Контроль учетных записей
Контроль учетных записей (UAC) позволяет предотвратить повреждение компьютера вредоносным ПО и помогает развернуть в организации более управляемую настольную среду.
Не следует выключать UAC, так как такой параметр не поддерживает устройства, работающие под управлением Windows 10. Если выключить контроль учетных записей, все приложения универсальной платформы Windows перестанут работать. Необходимо всегда задать для реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA значение 1. Если необходимо обеспечить автоматическое повышение прав для программного доступа или установки, можно задать для реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin значение 0, что аналогично настройке ползунка UAC Never Notify. Этот параметр не рекомендуется для устройств под управлением Windows 10.
Дополнительные сведения об управлении UAC см. в разделе Параметры групповая политика контроля учетных записей и параметры раздела реестра.
В Windows 10 контроль учетных записей пользователей добавил некоторые улучшения:
- Интеграция с интерфейсом Antimalware Scan Interface (AMSI). AMSI проверяет все запросы повышения привилегий контроля учетных записей на вредоносность. Если обнаружена вредоносная программа, привилегии администратора блокируются.
Узнайте, как управлять контролем учетных записей в вашей организации.
Параметры профиля VPN
Windows 10 предоставляет набор функций VPN, которые повышают безопасность предприятия и обеспечивают улучшенное взаимодействие с пользователем, в том числе:
- автоматическое подключение для обеспечения режима "Постоянное подключение";
- VPN-подключение, инициируемое приложением;
- фильтры трафика VPN;
- блокировка VPN;
- интеграция с Microsoft Passport for Work.
Дополнительные сведения о параметрах VPN в Windows 10.
Управление
Windows 10 располагает функциями управления мобильными устройствами (MDM) для компьютеров, ноутбуков, планшетов и телефонов, обеспечивающих управление личными и корпоративными устройствами на уровне предприятия.
Поддержка MDM
Политики MDM для Windows 10 соответствуют политикам, поддерживаемым Windows 8.1. Они расширены для поддержки большего числа корпоративных сценариев, таких как управление несколькими пользователями с учетными записями Microsoft Azure Active Directory (Azure AD), полный контроль над Microsoft Store, конфигурация VPN и др.
Поддержка MDM в Windows 10 основана на протоколе управления устройствами (DM) версии 1.2.1 Открытого сообщества производителей мобильной связи (OMA).
Корпоративные устройства могут регистрироваться автоматически, если организации используют Azure AD. Справочник по управлению мобильными устройствами для Windows 10
Отмена регистрации
Если пользователь покидает вашу организацию и необходимо отменить регистрацию учетной записи пользователя или устройства для прекращения управления, то конфигурации и приложения, управляемые на корпоративном уровне, удаляются с соответствующего устройства. Вы можете отменить регистрацию устройства удаленно, или пользователь может сделать это, вручную удалив учетную запись с устройства.
Если отменяется регистрация личного устройства, данные и приложения пользователя остаются без изменений, тогда как корпоративные данные, такие как сертификаты, профили VPN и корпоративные приложения, удаляются.
Инфраструктура
Организации могут выбирать следующие возможности, связанные с удостоверениями и управлением.
Область | Варианты |
---|---|
Удостоверение | Active Directory; Azure AD |
Группирование | Присоединение к домену, рабочей группе, Azure AD |
Управление устройствами | групповая политика; Microsoft Configuration Manager; Microsoft Intune; другие решения MDM; Exchange ActiveSync; Windows PowerShell; Инструментарий управления Windows (WMI) |
Примечание.
С момента выпуска Windows Server 2012 R2 защита доступа к сети (NAP) является устаревшей технологией и была удалена из Windows 10. Дополнительные сведения о жизненных циклах поддержки см. в разделе Жизненный цикл технической поддержки Microsoft.
Блокировка устройств
Вам нужен компьютер, который предназначен только для решения одной задачи? Например:
- Устройство в зале ожидания, которое может использоваться клиентами для просмотра вашего каталога продуктов.
- Портативное устройство, которое может использоваться водителями для сверки с маршрутом на карте.
- Устройство, которое используется стажером для ввода данных.
Вы можете настроить состояние постоянной блокировки для создания устройства-терминала. При выполнении входа под зафиксированной учетной записью на устройстве отображается только выбранное приложение.
Можно также настроить состояние блокировки, которое вступает в силу при выполнении входа под определенной учетной записью пользователя. Блокировка ограничивает пользователя возможностью выполнения только заданных вами приложений.
Параметры блокировки также могут быть настроены в соответствии с интерфейсом устройства, например с указанием темы и пользовательской компоновки начального экрана.
Макет начального экрана
Стандартный начальный экран может быть полезен на устройствах, которыми пользуются несколько человек, а также устройствах, заблокированных с определенной целью. Начиная с Windows 10 версии 1511, администраторы могут настраивать частичный макет начального экрана, в котором используются указанные группы плиток, а пользователям при этом предоставляется возможность создавать и настраивать собственные группы плиток. Узнайте, как настраивать и экспортировать макет начального экрана.
Администраторы также могут использовать службу управления мобильными устройствами (MDM) или групповую политику для отключения использования функции Windows: интересное на экране блокировки.
Обновления
Центр обновления Windows для бизнеса позволяет ИТ-администраторам поддерживать устройства под управлением Windows 10 в организации в актуальном состоянии (имеются в виду новейшие версии механизмов обеспечения безопасности и компонентов Windows) путем непосредственного подключения этих систем к службе Центра обновления Windows корпорации Microsoft.
Благодаря объектам групповой политики Центр обновления Windows для бизнеса представляет собой простую в установке и во внедрении систему, которая позволяет организациям и администраторам осуществлять контроль над обновлением устройств с Windows 10. Для этого используются:
Группы развертывания и проверки: здесь администраторы могут указать, какие устройства обновляются первыми, а какие — после (чтобы обеспечить соблюдение требований по качеству).
Одноранговая доставка: администраторы могут воспользоваться этой функцией для эффективной доставки обновлений в офисы филиалов и на удаленные объекты с ограниченной пропускной способностью.
Используйте с существующими средствами, такими как Microsoft Intune и Enterprise Mobility Suite.
Совокупность этих возможностей Центра обновления Windows для бизнеса позволяет снизить затраты на управление устройствами, наладить контроль над развертыванием обновлений, обеспечить ускоренный доступ к обновлениям для системы безопасности и сделать доступными последние обновления Майкрософт на постоянной основе. клиентский компонент Центра обновления Windows для бизнеса — это бесплатная служба для всех выпусков Windows 10 Pro, Enterprise и Education. Ее можно использовать независимо от существующих решений для управления устройствами, таких как Windows Server Update Services (WSUS) или в сочетании с ним. и Microsoft Configuration Manager.
Подробнее о Центре обновления Windows для бизнеса.
Дополнительные сведения об обновлении Windows 10 см. в статье Введение в вопросы обслуживания Windows 10.
Microsoft Edge
Новый microsoft Edge на основе chromium не входит в выпуск LTSC Windows 10. Однако его можно скачать и установить отдельно здесь.
См. также
Windows 10 Корпоративная LTSC: описание канала обслуживания LTSC со ссылками на сведения о каждом выпуске.