Поделиться через

Новые возможности Windows 11 версии 24H2

Windows 11 версия 24H2 — это обновление компонентов для Windows 11. Он включает все функции и исправления в предыдущих накопительных обновлениях для Windows 11 версии 23H2. В этой статье перечислены новые и обновленные компоненты, о которых должны знать ИТ-специалисты.

Ищете информацию для потребителей? См. Windows 11 обновлении 2024 года.

Windows 11 версия 24H2 соответствует временная шкала обслуживания Windows 11:

  • Windows 11 Pro: обслуживается в течение 24 месяцев с даты выпуска.
  • Windows 11 Корпоративная: обслуживается в течение 36 месяцев с даты выпуска.

Для обновления до версии 24H2 устройства должны работать под управлением Windows 11 версии 23H2 или 22H2 с предварительным обновлением за май 2024 г. или более поздним обновлением. Windows 11 версия 24H2 — это полный переключение ОС, поэтому он недоступен в качестве пакета включения. Windows 10 устройства можно обновить до Windows 11 версии 24H2, используя те же привычные процессы, политики и решения управления, которые использовались для первоначального развертывания Windows 10.

Windows 11 версия 24H2 доступна через Windows Server Update Services (включая Configuration Manager), клиентский компонент Центра обновления Windows для бизнеса и Центр обслуживания корпоративного лицензирования (VLSC).). Дополнительные сведения см. в разделе Как получить обновление Windows 11 версии 24H2. Ознакомьтесь с записью блога Windows 11 версии 24H2 Windows IT Pro, чтобы найти сведения о доступных ресурсах развертывания, таких как пакет средств оценки и развертывания Windows (Windows ADK).

Дополнительные сведения о состоянии развертывания обновления, известных проблемах и новых сведениях см. в статье Работоспособность выпуска Windows.

Функции больше не под временным контролем предприятия

Временное управление функциями предприятия временно отключает некоторые функции, которые были введены во время ежемесячных накопительных обновлений для управляемых Windows 11 устройств. Для временного управления предприятием система считается управляемой, если она настроена на получение обновлений из клиентский компонент Центра обновления Windows для бизнеса или Windows Server Update Services (WSUS). Клиенты, получающие обновления от Microsoft Configuration Manager и Microsoft Intune, считаются управляемыми, так как их обновления в конечном итоге поступают из WSUS или Windows Обновления для бизнеса.

В период между Windows 11 версии 23H2 и Windows 11 версии 24H2 временный контроль предприятия отсутствует. Список функций, которые находились под временным контролем предприятия между Windows 11 версии 22H2 и Windows 11 версии 23H2, см. в разделе Windows 11 функций, стоящих за временным управлением корпоративными функциями.

Накопительные обновления контрольных точек

Корпорация Майкрософт представляет накопительные обновления контрольных точек — новую модель обслуживания, которая позволяет устройствам под управлением Windows 11 версии 24H2 или более поздней, чтобы сэкономить время, пропускную способность и место на жестком диске при получении функций и улучшений безопасности с помощью последнего накопительного обновления. Ранее накопительные обновления содержали все изменения в двоичных файлах с момента последнего выпуска до версии RTM. Размер накопительных обновлений может увеличиваться с течением времени, так как RTM использовалась в качестве базового плана для каждого обновления.

При накопительных обновлениях контрольных точек различия на уровне файла обновления основаны на предыдущем накопительном обновлении, а не на выпуске RTM. Накопительные обновления, которые служат контрольной точкой, будут периодически выпускаться. Использование контрольной точки, а не RTM означает, что последующие пакеты обновления меньше, что ускоряет скачивание и установку. Использование контрольной точки также означает, что для установки устройства последнего накопительного обновления может потребоваться установка накопительного обновления. Дополнительные сведения о накопительных обновлениях контрольных точек см. в разделе https://aka.ms/CheckpointCumulativeUpdates.

Функции, эксклюзивные для компьютеров Copilot + в 24H2

Copilot + ПК — это новый класс компьютеров с Windows 11 ИИ, которые работают на основе нейронной вычислительной машины (NPU), которая может выполнять более 40 триллионов операций в секунду (TOPS). Следующие функции являются эксклюзивными для компьютеров Copilot+ в Windows 11 версии 24H2:

  • Субтитры в прямом эфире позволяют переводить аудио- и видеоконтент в субтитры на английском языке с 44 языков. Дополнительные сведения см. в статье Использование субтитров в реальном времени для лучшего понимания звука.
  • Эффекты Windows Studio — это собирательное название видеозвонков и звуковых эффектов на основе ИИ, доступных на компьютерах Copilot+ и выберите Windows 11 устройствах с совместимыми NPU. Эффекты Windows Studio автоматически улучшают освещение и отменяют шумы во время видеозвонков. Дополнительные сведения см. в разделе Эффекты Windows Studio.
  • Совместное создание в Paint позволяет создавать удивительные произведения искусства с помощью ИИ. Введите текстовый запрос, начните рисование в Paint, и Cocreator создаст иллюстрацию на основе того, что вы рисуете. Дополнительные сведения см. в разделе Cocreator in Paint.
  • Auto Super Resolution (Auto SR) — это первое решение супер-разрешения на основе ИИ, встроенное в операционную систему, благодаря чему игры автоматически выполняются плавно с более высоким разрешением. Дополнительные сведения см. в статье Автоматическое супер-разрешение.
  • Создатель изображений и Restyle Image в приложении Фотографии (Майкрософт) позволяет переосмыслеть свои фотографии или создавать новые изображения с помощью ИИ. Дополнительные сведения см. в разделе Фотографии (Майкрософт) Restyle Image and Создатель изображений.

Функции, добавленные в Windows 11 с версии 23H2

В Windows 11 версии 23H2 периодически внедрялись новые функции и улучшения, чтобы обеспечить непрерывное внедрение инноваций для Windows 11. Эти функции и улучшения используют обычные каналы обслуживания обновлений, с которыми вы уже знакомы. Сначала новые функции появляются с дополнительным предварительным выпуском, не защищенным безопасностью, и постепенно развертываются для клиентов. Эти новые функции будут выпущены позже в рамках ежемесячного выпуска обновлений для системы безопасности. Дополнительные сведения о непрерывных инновациях см. в разделе Цикл выпуска обновлений для клиентов Windows.

Некоторые из функций были выпущены в течение прошлого года непрерывных обновлений инноваций и перенесены в ежегодное обновление компонентов 24H2:

Изменения протокола SMB

Подписывание и шифрование SMB

Для подписывания и шифрования SMB были внесены следующие изменения:

  • Изменения в требованиях подписывания SMB. В Windows 11 версии 24H2 в выпусках Home, Pro, Education и Enterprise подписывание SMB теперь требуется по умолчанию для всех подключений. Подписывание SMB гарантирует, что каждое сообщение содержит сигнатуру, созданную с помощью ключа сеанса и набора шифров. Клиент помещает хэш всего сообщения в поле сигнатуры заголовка SMB. Если кто-то изменит само сообщение позже в сети, хэш не будет совпадать, и SMB знает, что кто-то подделал данные. Он также подтверждает отправителю и получателю, что они те, кто они говорят, что они, критические атаки ретранслятора. Дополнительные сведения о подписывание SMB требуется по умолчанию, см. в разделе https://aka.ms/SMBSigningOBD.

  • Шифрование клиента SMB. Теперь SMB поддерживает шифрование для всех исходящих клиентских подключений SMB. Шифрование всех исходящих клиентских подключений SMB обеспечивает наивысший уровень безопасности сети и обеспечивает четность управления для подписывания SMB, что обеспечивает требования как клиента, так и сервера. С помощью этого нового параметра администраторы могут поручить всем целевым серверам использовать SMB 3 и шифрование. Если эти возможности отсутствуют, клиент не будет подключаться. Дополнительные сведения об этом изменении см. в разделе https://aka.ms/SmbClientEncrypt.

  • Аудит подписывания и шифрования SMB. Теперь администраторы могут включить аудит сервера И клиента SMB для поддержки подписывания и шифрования SMB. Это показывает, не поддерживает ли сторонний клиент или сервер шифрование или подписывание SMB. Параметры аудита подписывания и шифрования SMB можно изменить в групповая политика или с помощью PowerShell.

Альтернативные порты клиента и сервера SMB

Клиент SMB теперь поддерживает подключение к серверу SMB по протоколу TCP, QUIC или RDMA с использованием альтернативных сетевых портов для жестко заданных по умолчанию. Однако подключиться к альтернативным портам можно только в том случае, если сервер SMB настроен для поддержки прослушивания этого порта. Начиная со сборки 26040 предварительной оценки Windows Server сервер SMB теперь поддерживает прослушивание на альтернативном сетевом порту для SMB через QUIC. Windows Server не поддерживает настройку альтернативных TCP-портов сервера SMB, но некоторые сторонние поставщики это делают. Дополнительные сведения об этом изменении см. в разделе https://aka.ms/SMBAlternativePorts.

Список исключений блокировки SMB NTLM

Клиент SMB теперь поддерживает блокировку NTLM для удаленных исходящих подключений. С помощью этого нового параметра администраторы могут намеренно запретить Windows предлагать NTLM через SMB и указать исключения для использования NTLM. Злоумышленник, который обманывает пользователя или приложение, отправляя ответы на запросы NTLM на вредоносный сервер, больше не будет получать данные NTLM и не может выполнять подбор, взлом или передачу хэшей. Это изменение добавляет новый уровень защиты для предприятий без необходимости полностью отключить использование NTLM в ОС.

Дополнительные сведения об этом изменении см. в разделе https://aka.ms/SmbNtlmBlock.

Управление диалектами SMB

Сервер SMB теперь поддерживает управление диалектами SMB 2 и 3 , которые он согласовывает. С помощью этого нового параметра администратор может удалить определенные протоколы SMB от использования в организации, блокируя подключение старых, менее безопасных и менее способных устройств Windows и сторонних производителей. Например, администраторы могут указать использовать только SMB 3.1.1, наиболее безопасный диалект протокола.

Дополнительные сведения об этом изменении см. в разделе https://aka.ms/SmbDialectManage.

SMB через QUIC

SMB через QUIC, который представляет альтернативу TCP и RDMA, обеспечивает безопасное подключение к пограничным файловым серверам через ненадежные сети, такие как Интернет. QUIC обладает значительными преимуществами, самым большим из которых является обязательное шифрование на основе сертификата, а не использование паролей. Управление доступом клиента SMB через QUIC улучшает существующую функцию SMB по сравнению с QUIC.

Теперь у администраторов есть больше возможностей для SMB через QUIC, например:

Дополнительные сведения об этих изменениях см. в разделе https://aka.ms/SmbOverQUICCAC.

Изменения правил брандмауэра SMB

Поведение брандмауэра Windows по умолчанию изменилось. Ранее при создании общей папки SMB брандмауэр автоматически настроял правила в группе Общий доступ к файлам и принтерам для заданных профилей брандмауэра. Теперь Windows автоматически настраивает новую группу общего доступа к файлам и принтерам (ограничительная), которая больше не содержит входящие порты NetBIOS 137–139.

Это изменение обеспечивает более высокую степень безопасности сети по умолчанию и приближает правила брандмауэра SMB к поведению роли файлового сервера Windows Server, которая открывает только минимальные порты, необходимые для подключения и управления общим доступом. Администраторы по-прежнему могут при необходимости настроить группу общего доступа к файлам и принтерам , а также изменить эту новую группу брандмауэра. Это просто поведение по умолчанию.

Дополнительные сведения об этом изменении см. в разделе https://aka.ms/SMBfirewall. Дополнительные сведения о безопасности сети SMB см. в статье Защита трафика SMB в Windows Server.

Включение защиты локального центра безопасности (LSA) при обновлении

Защита LSA помогает защититься от кражи секретов и учетных данных, используемых для входа, предотвращая запуск несанкционированного кода в процессе LSA и предотвращая сброс памяти процесса. Аудит выполняется на наличие несовместимости с защитой LSA в течение определенного периода времени, начиная с этого обновления. Если несовместимости не обнаружены, защита LSA включается автоматически. Вы можете проверка и изменить состояние включения защиты LSA в приложении Безопасность Windows на страницеИзоляция ядрабезопасности> устройств. В журнале событий защита LSA записывает, заблокирована ли загрузка программ в LSA. Если вы хотите проверка, если что-то заблокировано, просмотрите ведение журнала.

Протокол remote Mailslot отключен по умолчанию

Протокол Remote Mailslot был не рекомендуется использовать в ноябре 2023 г. И теперь по умолчанию отключен, начиная с Windows 11 версии 24H2. Дополнительные сведения об удаленных mailslotslots см. в разделе О mailslots.

Усовершенствования решения для паролей локального администратора (LAPS)

В LAPS появилась новая функция автоматического управления учетными записями. ИТ-администраторы могут настроить Windows LAPS для:

  • Автоматическое создание управляемой локальной учетной записи
  • Настройка имени учетной записи
  • Включение или отключение учетной записи
  • Рандомизация имени учетной записи

В LAPS реализованы следующие улучшения политики:

  • Добавлены параметры парольной фразы для политики PasswordComplexity
    • Использование passphraseLength для управления количеством слов в новой парольной фразе
  • Добавлен улучшенный параметр удобочитаемости для политики PasswordComplexity , который создает пароли без использования символов, которые легко спутать с другим символом. Например, ноль и буква O не используются в пароле, так как символы могут быть спутаны.
  • Добавлен Reset the password, logoff the managed account, and terminate any remaining processes параметр в политику PostAuthenticationActions . Кроме того, были расширены сообщения журнала событий, которые создаются во время выполнения действия после проверки подлинности, чтобы получить представление о том, что именно было сделано во время операции.

Для LAPS появилось обнаружение отката изображений. LAPS может определять, когда устройство было откатано к предыдущему образу. При откате устройства пароль в Active Directory может не совпадать с паролем на устройстве, на котором был выполнен откат. Эта новая функция добавляет атрибут msLAPS-CurrentPasswordVersionActive Directory в схему Windows LAPS. Этот атрибут содержит случайный GUID, который Windows LAPS записывает каждый раз, когда новый пароль сохраняется в Active Directory, а затем сохраняет локальную копию. Во время каждого цикла обработки идентификатор GUID, хранящийся в msLAPS-CurrentPasswordVersion , запрашивается и сравнивается с локально сохраненной копией. Если идентификаторы GUID отличаются, пароль немедленно сменяется. Чтобы включить эту функцию, необходимо запустить последнюю версию командлета PowerShell Update-LapsADSchema.

Rust в ядре Windows

В появилось новое внедрение региона GDI в win32kbase_rs.sys. Так как Rust предлагает преимущества в надежности и безопасности по сравнению с традиционными программами, написанными на C/C++, вы по-прежнему будете чаще использовать его в ядре.

Шифрование персональных данных (PDE) для папок

PDE для папок — это функция безопасности, при которой содержимое известных папок Windows (документы, рабочий стол и изображения) защищается с помощью механизма шифрования, прошедшего проверку подлинности пользователя. Windows Hello — это проверка подлинности пользователя, используемая для предоставления ключей для шифрования пользовательских данных в папках. PDE для папок можно включить из политики в Intune. ИТ-администраторы могут выбрать все папки или подмножество, а затем применить политику к группе пользователей в своей организации. Параметры PDE для папок доступны на Intune в разделеШифрование дискабезопасности конечных> точек.

Дополнительные сведения о PDE см. в статье Обзор PDE.

Режим печати, защищенный Windows

Режим печати, защищенный Windows, позволяет устройствам печатать только стек современной печати Windows, предназначенный для сертифицированных принтеров Morpia. Благодаря сертифицированным принтерам Morpia больше не нужно полагаться на сторонние установщики программного обеспечения. Чтобы включить режим печати под защитой Windows, выполните приведенные далее действия.

  • Перейдите в раздел Параметры>Bluetooth & устройства>Принтеры & сканеры, а затем выберите Настройка в режиме печати под защитой Windows.
  • Включение политики "Настройка защищенной печати Windows" в групповая политика в разделе "Конфигурация> компьютера" "Принтеры административных шаблонов>"

Поддержка SHA-3

Добавлена поддержка семейства хэш-функций SHA-3 и производных от SHA-3 функций (SHAKE, cSHAKE, KMAC). Семейство алгоритмов SHA-3 — это новейшие стандартизированные хэш-функции Национального института стандартов и технологий (NIST). Поддержка этих функций включается с помощью библиотеки Windows CNG .

  • Поддерживаемые хэш-функции SHA-3: SHA3-256, SHA3-384, SHA3-512 (SHA3-224 не поддерживается)

  • Поддерживаемые алгоритмы HMAC SHA-3: HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512

  • Поддерживаемые алгоритмы, производные от SHA-3: расширяемые выходные функции (XOF) (SHAKE128, SHAKE256), настраиваемые XOFs (cSHAKE128, cSHAKE256) и KMAC (KMAC128, KMAC256, KMACXOF128, KMACXOF256).

Управление приложениями для бизнеса

Теперь клиенты могут использовать элемент управления приложениями для бизнеса (прежнее название — Управление приложениями в Защитнике Windows) и его возможности следующего поколения для защиты цифровых свойств от вредоносного кода. С помощью управления приложениями для бизнеса ИТ-команды могут настраивать, что выполняется в бизнес-среде с помощью Microsoft Intune или других MDM в консоли администрирования, включая настройку Intune в качестве управляемого установщика. Дополнительные сведения см. в разделе Управление приложениями для Windows.

поддержка Wi-Fi 7

Добавлена поддержка Wi-Fi 7 для точек доступа потребителей. Wi-Fi 7, также известный как IEEE 802.11be Чрезвычайно высокая пропускная способность (EHT), — это новейшая технология Wi-Fi, которая обеспечивает беспрецедентную скорость, надежность и эффективность для беспроводных устройств. Дополнительные сведения о Wi-Fi 7 см. в объявлении о Wi-Fi Alliance.

Поддержка звука Bluetooth ® LE для вспомогательных устройств

Клиенты, использующие эти вспомогательные слуховые устройства, теперь могут напрямую связывать, передавать аудио, принимать звонки и управлять предустановками звука при использовании компьютера, совместимого с LE Audio. Пользователи, у которых есть вспомогательные слуховые устройства с поддержкой Bluetooth LE Audio, могут определить, совместим ли их компьютер с LE Audio, настроить свои устройства и управлять ими с помощью параметровСпециальные> возможности слуховых>устройств. Дополнительные сведения см. в статье Использование слуховых устройств с Windows 11 компьютером.

Улучшения расположения Windows

Добавлены новые элементы управления для управления приложениями, имеющими доступ к списку Wi-Fi сетей, которые можно использовать для определения вашего местоположения.

  • Вы можете просмотреть и изменить, какие приложения могут получить доступ к списку Wi-Fi сетей, в разделе Параметры>Конфиденциальность & расположение безопасности>.
  • Новый запрос появляется при первой попытке приложения получить доступ к вашему расположению или Wi-Fi информации.
    • Запрос также уведомляет, когда приложение неожиданно запрашивает доступ к службам определения местоположения, чтобы вы могли запретить его.
    • Если вы предоставите разрешение, приложения, использующие сведения о расположении или Wi-Fi, теперь отображаются в разделе Последние действия на странице Параметры расположения , а значок расположения отображается на панели задач во время использования приложения.
    • Чтобы скрыть эти запросы при отключенном расположении, отключите параметр Уведомлять, когда приложения запрашивают расположение на странице Параметры расположения .
  • Разработчики могут использовать статью Изменения в поведении API для Wi-Fi доступе и расположении , чтобы узнать о поверхностях API, на которые повлияло это изменение.

Sudo для Windows

Sudo для Windows — это новый способ выполнения команд с повышенными привилегиями (от имени администратора) непосредственно из сеанса консоли без обновления. Команду sudo можно настроить для выполнения в трех разных режимах:

  • В новом окне: команда с повышенными привилегиями выполняется в новом окне. Этот режим аналогичен поведению runas /user:admin команды.
  • Если вход отключен: запускает процесс с повышенными привилегиями в текущем окне, но с закрытым дескриптором ввода. Это означает, что процесс с повышенными привилегиями не сможет получать входные данные из текущего окна консоли.
  • Встроенный: запускает процесс с повышенными привилегиями в текущем окне, и процесс может получать входные данные из текущего сеанса консоли. Этот режим больше всего похож на режим sudo на других платформах.

Перед включением команды sudo на компьютере рекомендуется ознакомиться с рекомендациями по безопасности для каждого режима. Дополнительные сведения см. в статье Sudo для Windows.

Включение необязательных обновлений

Помимо ежемесячного накопительного обновления доступны необязательные обновления для предоставления новых функций и изменений, не относящихся к безопасности. Большинство необязательных обновлений выпускаются в четвертый вторник месяца, известный как необязательные предварительные выпуски, не связанные с безопасностью. Необязательные обновления также могут включать функции, которые постепенно развертываются, известные как управляемые выпуски функций (CFR). Установка необязательных обновлений не включена по умолчанию для устройств, получающих обновления с помощью клиентский компонент Центра обновления Windows для бизнеса. Однако можно включить необязательные обновления для устройств с помощью политики Включить необязательные обновления . Дополнительные сведения о необязательном содержимом см. в разделе Включение необязательных обновлений.

Улучшения подключения к удаленному рабочему столу

Подключение к удаленному рабочему столу имеет следующие улучшения:

  • Окно настройки подключения к удаленному рабочему столу (mstsc.exe) соответствует параметрам масштабирования текста в разделе Параметры Специальные>>возможностиРазмер текста.
  • Подключение к удаленному рабочему столу поддерживает параметры масштабирования 350, 400, 450 и 500 %
  • Улучшения структуры панели подключения

Дополнительные возможности

  • проводник. В контекстное меню проводник были внесены следующие изменения:
    • Поддержка создания архивов 7 ZIP и TAR
    • Сжатие до>Дополнительные параметры позволяют сжимать отдельные файлы с помощью gzip, BZip2, xz или Zstandard.
    • Метки добавлены в значки контекстного меню для таких действий, как копирование, вставка, удаление и переименование.
  • Улучшение OOBE: если вам нужно подключиться к сети и нет Wi-Fi драйверов, вам предоставляется параметр Установить драйверы для установки уже скачанных драйверов.
  • Редактор реестра: Редактор реестра поддерживает ограничение поиска только выбранным в данный момент разделом и его потомками.
  • Диспетчер задач: страница параметров диспетчера задач содержит материал Mica и переработанный значок

API для разработчиков

Добавлены или обновлены следующие API-интерфейсы разработчика:

  • Представлен API прогнозирования Power Grid. Разработчики приложений могут свести к минимуму воздействие на окружающую среду, перемещая фоновые рабочие нагрузки в периоды, когда возобновляемые источники энергии доступны для локальной сети. Данные прогноза недоступны глобально, а качество данных может отличаться в зависимости от региона.
  • Добавлен идентификатор GUID обратного вызова уведомления энергосбережения, который представляет новый интерфейс экономии энергии. Приложения могут подписаться на состояние экономии энергии, передав соответствующий GUID в API PowerSettingRegisterNotification и реализовать различные варианты поведения для оптимизации энергии или производительности в зависимости от текущего состояния средства экономии энергии. Дополнительные сведения см. в разделе Идентификаторы GUID параметров питания.
  • Расширен API эффективного режима питания для интерпретации новых уровней экономии энергии при определении возвращаемого эффективного режима питания.

Функции, удаленные в Windows 11 версии 24H2

Следующие устаревшие функцииудалены в Windows 11 версии 24H2: