要查看 Windows 10 版本信息,使用【運行】> dxdiag 回車
下表包含 Windows 10 的初始版本(版本 1507)中包括的一些新的和更新的功能以及對版本 1511 的 Windows 10 更新。
注意: 有關每個版本的發布日期和服務選項,請參閱 Windows 10 版本信息。
部署
使用 Windows 映像和配置設計器 (ICD) 預配設備
在 Windows 10 中,你可以創建一個設置包,這可使你快速且高效地配置設備,而無需安裝新映像。 Windows 預配可使 IT 管理員輕松配置最終用戶設備,而無需映像處理。 使用 Windows 預配,IT 管理員可以輕松指定將設備注冊到管理中(通過向導驅動的用戶界面)所需的配置和設置,然后在幾分鍾內將該配置應用到目標設備。 它最適合部署幾十台到幾百台計算機的小到中型企業。
安全
AppLocker
Windows 10 版本 1507 中的新 AppLocker 功能
- 已向 New-AppLockerPolicy Windows PowerShell cmdlet 添加了一個新參數,該參數可使你選擇可執行文件和 DLL 規則集合是否適用於非交互過程。 若要啟用此功能,請將“ServiceEnforcement” 設置為“已啟用” 。
- 已添加了新的 AppLocker 配置服務提供程序來允許你使用 MDM 服務器啟用 AppLocker 規則。
- 你可以使用新的 AppLocker 雲解決方案提供商管理 Windows 10 移動版設備。
BitLocker
Windows 10 版本 1511 中的新 BitLocker 功能
- XTS-AES 加密算法。 BitLocker 現在支持 XTS-AES 加密算法。 XTS-AES 提供面向一類對加密的攻擊的額外保護,該類攻擊依靠操縱密碼文本來導致純文本中出現可預測的更改。 BitLocker 支持 128 位和 256 位的 XTS-AES 密鑰。 它提供以下優勢:
- 該算法符合 FIPS。
- 易於管理。 你可以使用 BitLocker 向導、manage-bde、組策略、MDM 策略、Windows PowerShell 或 WMI 在組織中的設備上管理它。 >注意: 將無法在較早版本的 Windows 上訪問使用 XTS-AES 加密的驅動器。 僅建議將其用於固定和操作系統驅動器。 可移動驅動器應繼續使用 AES-CBC 128 位或 AES-CBC 256 位算法。
Windows 10 版本 1507 中的新 BitLocker 功能
- 使用 Azure Active Directory 加密和恢復設備。 除了使用 Microsoft 帳戶,自動 設備加密 現在可以對已加入 Azure Active Directory 域的設備進行加密。 當設備已加密后,BitLocker 恢復密鑰將自動托管到 Azure Active Directory。 這將使聯機恢復 BitLocker 密鑰變得更加簡單。
- DMA 端口保護。 你可以使用 DataProtection/AllowDirectMemoryAccess MDM 策略在設備啟動時阻止 DMA 端口。 同樣地,當設備鎖定時,所有未使用的 DMA 端口都將關閉,但所有已插入 DMA 端口的設備將繼續工作。 解鎖設備后,所有 DMA 端口將重新打開。
- 用於配置預啟動恢復的新組策略。 你現在可以配置預啟動恢復消息並恢復在預啟動恢復屏幕上顯示的 URL。 有關詳細信息,請參閱 BitLocker Group Policy settings中的“配置預啟動恢復消息和 URL”部分。
Credential Guard
Windows 10 版本 1511 中的新 Credential Guard 功能
- 憑據管理器支持。 使用憑據管理器存儲的憑據(包括域憑據)受到 Credential Guard 的保護,但有以下注意事項:
- 無法使用由遠程桌面協議保存的憑據。 你的組織中的員工可以在憑據管理器中將憑據手動存儲為通用憑據。
- 使用未記錄的 API 從憑據管理器提取派生域憑據的應用程序將無法再使用這些已保存的派生憑據。
- 如果憑據已從啟用 Credential Guard 的電腦進行備份,你無法使用憑據管理器控制面板還原憑據。 如果你需要備份憑據,你必須在啟用 Credential Guard 前執行此操作。 否則,你將無法還原這些憑據。
- 在沒有 UEFI 鎖定的情況下啟用 Credential Guard。 你可以使用注冊表啟用 Credential Guard。 這允許你遠程禁用 Credential Guard。 但是,我們建議使用 UEFI 鎖定啟用 Credential Guard。 你可以使用組策略進行此配置。
- CredSSP/TsPkg 憑據委派。 當啟用 Credential Guard 時,CredSSP/TsPkg 無法委派默認憑據。
了解如何在組織內部署和管理 Credential Guard。
更簡單的證書管理
對於基於 Windows 10 的設備,除了使用簡單證書注冊協議 (SCEP) 進行注冊,你還可以通過 MDM 服務器使用個人信息交換 (PFX) 直接部署客戶端身份驗證證書,包括用於在企業中支持 Windows Hello 企業版的證書。 你將能夠使用 MDM 注冊、續訂和刪除證書。 和在 Windows Phone 8.1 中一樣,你可以使用證書應用查看設備上的證書詳細信息。 了解如何在 Windows 10 移動版上安裝數字證書。
Microsoft Passport
在 Windows 10 中,Microsoft Passport 將密碼替換為由注冊設備和 Windows Hello(生物識別)或 PIN 組成的強雙因素身份驗證。
Microsoft Passport 允許用戶對 Microsoft 帳戶、Active Directory 帳戶、Microsoft Azure Active Directory (AD) 帳戶或支持 Fast ID Online (FIDO) 身份驗證的非 Microsoft 服務進行身份驗證。 在 Microsoft Passport 注冊期間的初始雙重驗證后,Microsoft Passport 在用戶設備上完成設置,用戶將獲得一個手勢,該手勢可以是 Windows Hello 或 PIN。 用戶提供手勢來驗證身份;然后,Windows 使用 Microsoft Passport 對用戶進行身份驗證並幫助他們訪問受保護的資源和服務。
安全審核
Windows 10 版本 1511 中的新安全審核功能
- WindowsSecurityAuditing 和報告配置服務提供程序允許你將安全審核策略添加到移動設備。
Windows 10 版本 1507 中的新功能
在 Windows 10 中,安全審核添加了一些改進:
新的審核子類別
在 Windows 10 中,高級審核策略配置中添加了兩項新的審核子類別以在審核事件中提供更高的精度:
- Audit Group Membership 審核組成員身份子類別可在登錄/注銷審核類別中找到,它允許你審核用戶登錄令牌中的組成員身份信息。 當枚舉組成員身份或在創建登錄會話的電腦上查詢時,將生成此子類別中的事件。 為實現交互式登錄,將在用戶登錄的電腦上生成安全審核事件。 為實現網絡登錄,例如訪問網絡上的共享文件夾,將在托管資源的電腦上生成安全審核事件。 在配置此設置時,每次成功登錄會生成一項或多項安全審核事件。 還必須在 Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff 下啟用“審核登錄”設置。 如果組成員身份信息無法容納於單個安全審核事件中,將生成多個事件。
- Audit PNP Activity 審核 PNP 活動子類別可在詳細追蹤類別下找到,它允許你在即插即用檢測到外部設備時進行審核。 對於此類別,僅記錄“成功”審核。 如果未配置此策略設置,則在即插即用檢測到外部設備時,將不會生成任何審核事件。 PnP 審核事件可用於跟蹤系統硬件的更改,並將記錄在發生更改的電腦上。 該事件包括了硬件供應商 ID 列表。
向現有審核事件添加了更多信息
在 Windows 10 版本 1507 中,我們已向現有審核事件添加了更多信息,以使你能更輕松地將完整審核跟蹤進行匯總,並獲取保護企業所需的信息。 對以下審核事件作了改進:
- 更改了內核默認審核策略
- 將默認進程 SACL 添加到了 LSASS.exe
- 在登錄事件中添加了新字段
- 在進程創建事件中添加了新字段
- 添加了新的安全帳戶管理器事件
- 添加了新的 BCD 事件
- 添加了新的 PNP 事件
更改了內核默認審核策略
在以前的版本中,內核依賴於本地安全頒發機構 (LSA) 來檢索它的一些事件中的信息。 在 Windows 10 中,將自動啟用進程創建事件審核策略,直到從 LSA 中接收到了實際審核策略。 這將在 LSA 啟動前更好地審核可能啟動的服務。
將默認進程 SACL 添加到了 LSASS.exe
在 Windows 10 中,默認進程 SACL 添加到了 LSASS.exe,以記錄嘗試訪問 LSASS.exe 的過程。 SACL 即 L"S:(AU;SAFA;0x0010;;;WD)"。 你可以在 Advanced Audit Policy Configuration\Object Access\Audit Kernel Object 下啟用它。 這可以幫助標識從某一進程的內存中盜取憑據的攻擊。
登錄事件中的新字段
登錄事件 ID 4624 已更新為包括使其更易於分析的更為詳細的信息。 以下字段已添加到事件 4624:
- MachineLogon 字符串:Yes 或 No 如果登錄到電腦的帳戶是計算機帳戶,則此字段為“Yes”。 否則,此字段為“No”。
- ElevatedToken 字符串:Yes 或 No 如果登錄到電腦的帳戶是管理登錄,則此字段為“Yes”。 否則,此字段為“No”。 此外,如果這是拆分令牌的一部分,還將顯示鏈接的登錄 ID (LSAP_LOGON_SESSION)。
- TargetOutboundUserName 字符串 TargetOutboundUserDomain 字符串 使用 LogonUser 方法為出站流量創建的用戶名和標識域。
- VirtualAccount 字符串:Yes 或 No 如果登錄到電腦的帳戶是虛擬帳戶,則此字段為“Yes”。 否則,此字段為“No”。
- GroupMembership 字符串 用戶令牌中所有組的列表。
- RestrictedAdminMode 字符串:Yes 或 No 如果用戶使用遠程桌面登錄處於受限管理員模式下的電腦,則此字段為“Yes”。 有關受限管理員模式的詳細信息,請參閱適用於 RDP 的受限管理員模式。
進程創建事件中的新字段
登錄事件 ID 4688 已更新為包括使其更易於分析的更為詳細的信息。 以下字段已添加到事件 4688:
- TargetUserSid 字符串 目標主體的 SID。
- TargetUserName 字符串 目標用戶的帳戶名稱。
- TargetDomainName 字符串 目標用戶的域。
- TargetLogonId 字符串 目標用戶的登錄 ID。
- ParentProcessName 字符串 創建程序進程的名稱。
- ParentProcessId 字符串 指向實際父進程的指針(如果它不同於創建者進程)。
新安全帳戶管理器事件
在 Windows 10 中,添加了新 SAM 事件以包含用於執行讀取/查詢操作的 SAM API。 在以前版本的 Windows 中,僅審核寫入操作。 新事件為事件 ID 4798 和事件 ID 4799。 現在將審核以下 API:
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
新 BCD 事件
添加了事件 ID 4826,以便跟蹤啟動配置數據庫 (BCD) 所作的以下更改:
- DEP/NEX 設置
- 測試簽名
- PCAT SB 模擬
- 調試
- 啟動調試
- 完整性服務
- 禁用 Winload 調試菜單
新的 PNP 事件
添加了事件 ID 6416,以便在通過即插即用檢測到外部設備時進行跟蹤。 一個重要方案是,將包含惡意軟件的外部設備插入到未預料到這種操作的高價值計算機(例如域控制器)中。
Learn how to manage your security audit policies within your organization。
受信任的平台模塊
Windows 10 版本 1511 中的新 TPM 功能
- 密鑰存儲提供程序 (KSP) 和 srvcrypt 支持橢圓形曲線加密 (ECC)。
Windows 10 版本 1507 中的新 TPM 功能
以下部分介紹了 TPM 中適用於 Windows 10 的新的和更改的功能:
設備運行狀況證明
設備運行狀況證明使企業能夠根據托管設備的硬件和軟件組件來建立信任。 使用設備運行狀況證明,你可以配置 MDM 服務器來查詢將允許或拒絕托管設備訪問安全資源的運行狀況證明服務。 以下是你可以在設備上查看的一些事項:
- 數據執行保護是否受支持並已啟用?
- BitLocker 驅動器加密是否受支持並已啟用?
- SecureBoot 是否受支持並已啟用?
注意 設備必須運行 Windows 10,並且它必須至少支持 TPM 2.0。
用戶帳戶控制
用戶帳戶控制 (UAC) 有助於防止惡意軟件損壞計算機並且有助於組織部署更易於管理的桌面環境。
你不應關閉 UAC,因為這對於運行 Windows 10 的設備而言不是受支持的方案。 如果你關閉 UAC,所有通用 Windows 平台應用都將停止工作。 你必須始終將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 注冊表值設置為 1。 如果你需要提供用於編程訪問或安裝的自動提升,可以將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin 注冊表值設置為 0,這與將 UAC 滑塊設置為“從不通知”相同。 對於運行 Windows 10 的設備不建議此方法。
有關如何管理 UAC 的詳細信息,請參閱 UAC Group Policy Settings and Registry Key Settings。
在 Windows 10 中,用戶帳戶控制已添加了一些改進。
Windows 10 版本 1507 中的新用戶帳戶控制功能
- 與反惡意軟件掃描接口 (AMSI) 集成。 AMSI 掃描惡意軟件的所有 UAC 提升權限請求。 一旦檢測到惡意軟件,將阻止管理員權限。
VPN 配置文件選項
Windows 10 提供了一組 VPN 功能,可提高企業安全性並提供改進的用戶體驗,包括:
- 始終可用自動連接行為
- 應用觸發 VPN
- VPN 流量篩選器
- 鎖定 VPN
- 與 Microsoft Passport for Work 集成
了解有關 Windows 10 中的 VPN 選項的詳細信息。
管理
Windows 10 將為 PC、筆記本電腦、平板電腦和手機提供移動設備管理 (MDM) 功能,這些功能支持公司所擁有設備和個人設備的企業級管理。
MDM 支持
Windows 10 的 MDM 策略與 Windows 8.1 中支持的策略一致,並且經過了擴展以處理更多企業方案,例如管理多個具有 Microsoft Azure Active Directory (Azure AD) 帳戶的用戶、對 Windows 應用商店的完全控制、VPN 配置等。
Windows 10 中的 MDM 支持基於開放移動聯盟 (OMA) 設備管理 (DM) 協議 1.2.1 規范。
可以使用 Azure AD 為企業自動注冊公司所擁有的設備。 Windows 10 的移動設備管理參考
注銷
當某人離開你的組織並且你注銷該用戶帳戶或設備不再進行管理時,企業控制的配置和應用將從該設備中刪除。 你可以遠程注銷該設備,或者該人員可以通過手動從該設備中刪除用戶帳戶來進行注銷。
當注銷某台個人設備時,用戶的數據和應用保持不變,但將刪除企業信息,例如證書、VPN 配置文件和企業應用。
基礎結構
企業具有以下標識和管理選擇。
| 區域 | 選擇 |
|---|---|
| 標識 | Active Directory;Azure AD |
| 分組 | 域加入; 工作組; Azure AD 加入 |
| 設備管理 | 組策略;System Center Configuration Manager;Microsoft Intune;其他 MDM 解決方案;Exchange ActiveSync;Windows PowerShell;Windows Management Instrumentation (WMI) |
注意 隨着 Windows Server 2012 R2 的發布,網絡訪問保護 (NAP) 已棄用,並且 NAP 客戶端現已從 Windows 10 中刪除。 有關支持生命周期的詳細信息,請參閱 Microsoft 支持生命周期。
設備鎖定
是否需要只能執行一種操作的計算機? 例如:
-
大廳中客戶可用於查看產品目錄的設備。
-
駕駛員可用於在地圖上查看路線的便攜式設備。
-
臨時工作人員用於輸入數據的設備。
你可以配置永久的鎖定狀態來創建一個網亭類型的設備。 當登錄鎖定的帳戶時,設備僅顯示你選擇的應用。
你還可以配置鎖定狀態,該操作在給定用戶帳戶登錄時生效。 鎖定將用戶限制為僅使用你指定的應用。
還可以為設備外觀配置鎖定設置,例如某個主題或“開始”屏幕上的自定義布局。
自定義的“開始”屏幕布局
對於通用於多個用戶的設備以及出於專用目的而鎖定的設備,自定義的標准“開始”屏幕布局會非常有用。 從 Windows 10 版本 1511 開始,管理員可以配置部分“開始”屏幕布局,這將在允許用戶創建和自定義其自己的磁貼組時應用指定的磁貼組。 了解如何自定義和導出“開始”屏幕布局。
管理員還可以使用移動設備管理 (MDM) 或組策略來禁用鎖屏界面上的 Windows 聚焦的使用。
適用於企業的 Windows 應用商店
Windows 10 版本 1511 中的新功能
通過適用於企業的 Windows 應用商店,組織可以批量購買 Windows 應用。 適用於企業的應用商店支持基於組織標識、靈活分配選項和回收或重復使用許可證功能購買應用。 組織還可以使用適用於企業的應用商店為他們的員工創建專用應用商店,其中包括應用商店中的應用以及專用業務線 (LOB) 應用。
有關詳細信息,請參閱適用於企業的 Windows 應用商店概述。
更新
適用於企業的 Windows 更新使信息技術管理員通過將這些系統直接連接到 Microsoft 的 Windows 更新服務,使組織中基於 Windows 10 的設備始終保持最新,並具有最新的安全防護和 Windows 功能。
通過使用 組策略對象,適用於企業的 Windows 更新是一個輕松建立和實現的系統,它使組織和管理員可以對如何更新基於 Windows 10 的設備施以控制,方法是通過允許:
-
部署和驗證組;管理員可以指定哪些設備先進行第一波更新,以及哪些設備稍后更新(確保符合所有質量規定)。
-
對等傳遞,管理員可以通過非常有效的有限帶寬將更新傳遞到分支機構和遠程站點。
-
與現有工具配合使用,如 System Center Configuration Manager 和企業移動性套件。
而且,這些適用於企業的 Windows 更新功能有助於持續降低設備管理成本、控制更新部署、更快速地訪問安全更新以及訪問 Microsoft 的最新創新。 適用於企業的 Windows 更新對於所有 Windows 10 專業版、企業版和教育版而言均是免費的服務,並且可獨立使用,也可以與現有的設備管理解決方案(如 Windows Server Update Services (WSUS) 和 System Center Configuration Manager)結合使用。
了解有關Windows Update for Business的詳細信息。
有關更新 Windows 10 的詳細信息,請參閱Windows 10 servicing options for updates and upgrades。
Microsoft Edge
Microsoft Edge 不僅僅使你可以瀏覽,還可以通過諸如 Web 筆記、閱讀視圖和 Cortana 等功能與 Web 積極互動。
- Web 筆記。 Microsoft Edge 允許你直接在網頁上添加注釋、突出顯示和調用內容。
- 閱讀視圖。 Microsoft Edge 允許你在無干擾布局(已針對你的屏幕大小優化)中欣賞和打印聯機文章。 在閱讀視圖中時,還可以將網頁或 PDF 文件保存到閱讀列表,以供以后查看。
- Cortana。 Cortana 在 Microsoft Edge 上自動啟用。 Microsoft Edge 允許突出顯示詞語以獲取詳細信息,並且使你通過一次單擊即可訪問餐館預訂和評論等內容,無需離開網頁。
- 兼容性和安全。 Microsoft Edge 可使你針對位於公司 Intranet 上或包含在企業模式站點列表中的站點繼續使用 IE11。 必須使用 IE11 來運行不太安全的早期技術,如 ActiveX 控件。
企業指南
Microsoft Edge 是 Windows 10 和 Windows 10 移動版的默認瀏覽器體驗。 但是,如果你運行的是需要 ActiveX 控件的 Web 應用,我們建議繼續使用適用於它們的 Internet Explorer 11。 如果尚未安裝 IE11,可從 Windows 應用商店或 Internet Explorer 11 下載頁下載它。
如果運行的是任何早期版本的 Internet Explorer,我們也建議升級到 IE11。 IE11 在 Windows 7、Windows 8.1 和 Windows 10 上均受支持。 因此,任何適用於 IE11 的傳統應用都將繼續運行,即使是遷移到 Windows 10。
了解有關在企業中使用 Microsoft Edge 的詳細信息