Изменения в обновлении Windows 11 2024 (версия 24H2), предназначенные для администраторов

1 октября 2024 года Microsoft начала постепенное развертывание обновления Windows 11 2024 Update (версия 24H2) для потребителей, а также для организаций, и хотя новые выпуски операционной системы обычно ориентированы на новые функции и улучшения для потребителей, компания также продвигает различные изменения для улучшения операционной системы для бизнеса и крупных организаций.

В рамках первоначального развертывания обновление функции доступно для потребителей с соответствующими устройствами под управлением Windows 11 Home и Pro. Кроме того, компания делает новую версию доступной через службы Windows Server Update Services, Configuration Manager, Центр обновления Windows для бизнеса и центр администрирования Microsoft 365.

Кроме того, для организаций новая версия для редакций Windows 11 Enterprise и Education получит поддержку в течение 36 месяцев. С другой стороны, версии Pro и Home получают 24 месяца поддержки.

Кроме того, 1 октября 2024 года Microsoft также предоставила Windows 11 Enterprise LTSC 2024 (или канал долгосрочного обслуживания) с поддержкой в ​​течение пяти лет, а Windows 11 IoT Enterprise LTSC 2024 будет поддерживаться в течение десяти лет.

В этом руководстве я опишу наиболее интересные изменения, которые Microsoft предлагает в обновлении Windows 11 2024 для организаций.

Изменения в Windows 11 версии 24H2 для администраторов

Помимо новых изменений, ориентированных на потребителей, Microsoft добавляет некоторые улучшения специально для сетевых администраторов.

Проводник файлов

В рамках изменений в Проводнике, начиная с этой новой версии, Microsoft рекламирует возможность создания архивных форматов.

Все последние новости, обзоры и руководства для фанатов Windows и Xbox.

Мастер включает поддержку создания файлов 7zip, Tar и Zip. Однако нет возможности архивировать «.rar», а также нет возможности работать с шифрованием.

Вы можете получить доступ к мастеру «Создать архив», щелкнув файл правой кнопкой мыши, выбрав элементы и нажав «Дополнительные параметры».

Это позволит вам создать файл Zip, 7z или TAR. Если вы выберете вариант 7zip, методы сжатия включают в себя:

• ЛЗМА2.
• Магазин.
• Сдуть.
• БЗип2.
• ЛЗМА1.
• ЛЗМА2.
• ППМд.

Для Tar (GNU, POSIX pax interchange, Restricted POSIX interchange и POSIX ustar) методы сжатия включают в себя:

Наконец, для Zip методы сжатия включают в себя:

Кроме того, в рамках процесса извлечения, когда файл конфликтует с файлом с тем же именем, Проводник автоматически выводит диалоговое окно, позволяющее пропустить или заменить конфликты для всех файлов.

Важно отметить, что поддержка архивных форматов изначально была доступна в версии 23H2, в которой можно было извлекать, но не создавать. Однако недавние обновления также добавили в версию 23H2 возможность создания архивных форматов.

Ярлыки контекстного меню

Еще одно незначительное, но важное улучшение — добавление меток «Вырезать», «Копировать», «Переименовать», «Поделиться» и «Удалить».

Это те изменения, которые рекламирует компания, но Проводник включает в себя и несколько других улучшений.

сеть

Обновление Windows 11 2024 также приносит различные приятные улучшения относительно сети, включая изменения в решении для пароля локального администратора (LAPS) и блоке сообщений сервера (SMB). Кроме того, эта версия операционной системы поддерживает Wi-Fi 7.

Решение для пароля локального администратора

LAPS — это функция, предназначенная для управления паролями локальных учетных записей компьютеров, присоединенных к домену. В этой новой версии операционной системы администраторы могут автоматически создавать управляемую локальную учетную запись, настраивать имя учетной записи, деактивировать или активировать учетные записи, а также рандомизировать имя учетной записи.

Политика «PasswordComplexity» теперь может генерировать более понятные пароли. Новое изменение будет игнорировать определенные символы, чтобы сделать пароль более читабельным. Кроме того, на вкладке LAPS в оснастке «Пользователи и компьютеры» для упрощения паролей теперь используется другой шрифт.

Кроме того, решение для паролей локального администратора поддерживает создание более читаемых и простых в вводе парольных фраз. Кроме того, администраторы могут выбирать из списков из трех слов и контролировать длину парольной фразы.

Кроме того, Решение для пароля локального администратора (LAPS) теперь может определять, когда устройство откатывается к предыдущему образу, гарантируя, что пароли одинаковы на компьютере и сервере, на котором работает Active Directory. Однако для работы с этой функцией сетевые администраторы должны использовать командлет PowerShell «Update-LapsADSchema».

Блок сообщений сервера (SMB)

СМБ — это протокол связи, который упрощает общий доступ к файлам, принтерам и последовательным портам между устройствами в сети.

В обновлении Windows 11 2024 Microsoft вносит изменения в подписывание и шифрование SMB, альтернативные порты клиента и сервера, список исключений блокировки NTLM, управление диалектами, SMB через QUIC и изменения в правилах брандмауэра.

Подписание и шифрование SMB

По умолчанию подпись SMB является обязательной для всех подключений в выпусках Windows 11 Home, Pro, Education и Enterprise, поскольку она помогает предотвратить изменение данных злоумышленниками или выдачу себя за другие устройства.

Кроме того, администраторы теперь могут требовать шифрования всех исходящих соединений, чтобы обеспечить высочайший уровень безопасности передаваемых данных.

Наконец, сетевые администраторы теперь могут легко включить аудит с помощью групповой политики или PowerShell для мониторинга соблюдения требований безопасности SMB.

Новые порты SMB-клиента и сервера

Теперь можно подключиться к SMB-серверу через TCP, QUIC или RDMA, используя альтернативные сетевые порты, отличные от портов по умолчанию. В серверной версии операционной системы SMB через QUIC поддерживает конечные точки с другими номерами портов вместо 443.

Блокировка SMB NTLM

Microsoft также добавляет возможность блокировать NTLM (более старый и менее безопасный метод аутентификации) для удаленных исходящих подключений без полного отключения NTLM.

Управление диалектами для малого и среднего бизнеса

Вы можете контролировать, какие версии SMB (диалекты) разрешены для подключения, потенциально блокируя старые и менее безопасные устройства.

SMB через QUIC

Команда разработчиков также добавляет больше контроля над клиентским доступом, отключением опций и аудитом SMB-соединений с использованием протокола QUIC (альтернативы традиционному TCP).

Правило брандмауэра SMB

Поведение брандмауэра по умолчанию для общих ресурсов SMB изменилось. Теперь он использует более строгий набор правил, закрывая ненужные порты по умолчанию и повышая безопасность. Однако Microsoft не удаляет возможность настраивать эти правила при необходимости.

Поддержка Wi-Fi 7

Операционная система теперь поддерживает Wi-Fi 7 (IEEE 802.11be Extremely High Throughput (EHT)), основанный на стандартах Wi-Fi 6 и 6E. Он обеспечивает скорость более 40 Гбит/с, что более чем в четыре раза превышает скорость, предлагаемую предыдущими версиями технологии, а также обеспечивает меньшую задержку, улучшенную эффективность, надежность и управление питанием.

Конечно, для использования этой технологии вашему устройству по-прежнему потребуется адаптер Wi-Fi 7 и поддерживаемое оборудование (например, совместимая точка доступа) в сети.

Вы можете узнать больше о дополнительных сетевых изменениях, которые появятся в этом обновлении функции.

Панель задач

Windows 11 версии 24H2 также включает в себя различные улучшения, относящиеся к панели задач. В этом выпуске вы найдете визуальные изменения в интерфейсе быстрых настроек, которые дистанцируются от редактируемого дизайна в пользу прокручиваемой страницы, на которой показаны все доступные параметры.

В интерфейсе теперь вы можете включать или отключать Live Captions, а на странице беспроводной сети появилась новая кнопка обновления для повторного сканирования доступных сетей вручную. Раньше приходилось ждать, пока система автоматически обновит сеть, что могло занять много времени.

Принтер

Этот выпуск включает изменения в функциях печати, наиболее заметным из которых является режим «Защищенная печать Windows» (WPP). Это новый универсальный стек печати, позволяющий настроить принтер без установки сторонних драйверов и программного обеспечения.

Поскольку злоумышленники все чаще атакуют систему печати Windows (например, Stuxnet и Print Nightmare), новая функция также направлена ​​на повышение безопасности за счет реализации протокола печати через Интернет (IPP) для печати, что устраняет необходимость в сторонних драйверах. , которые могут быть уязвимы для эксплойтов (особенно старых драйверов).

Режим защищенной печати Windows также ограничивает функциональные возможности, доступные диспетчеру очереди печати, обеспечивает более строгий контроль над тем, какой код может быть загружен во время процесса печати, и позволяет выполнять рендеринг XPS под пользователем, а не под системной учетной записью.

Важно отметить, что эта функция доступна только для Принтеры Моприаи при его настройке система удалит любой другой ранее установленный драйвер принтера.

Экономия энергии

В Windows 11 софтверный гигант меняет режим энергосбережения на режим энергосбережения.

Новая функция энергосбережения основана на существующих функциях энергосбережения и режима питания и позволяет продлить срок службы батареи и снизить энергопотребление за счет производительности.

Эта функция доступна на странице настроек «Питание и батарея» (или «Питание»), и ее можно использовать на ноутбуках и настольных компьютерах без батарей для экономии энергии.

Во всплывающем меню «Быстрые настройки» также имеется возможность быстрого включения или выключения этой функции с панели задач.

Операционная система также включает функцию адаптивного управления яркостью контента (CABC), которая управляет контрастностью и яркостью дисплея в зависимости от содержимого экрана. В версии 24H2 Microsoft расширяет эту функцию для ноутбуков и устройств 2-в-1 (когда они подключены к источнику питания), но включить эту функцию должен производитель.

Система

Операционная система теперь использует Rust для различных компонентов ядра Windows, чтобы сделать ее более безопасной.

Ржавчина — это язык программирования, который оказался более безопасным, чем C и C++, поскольку помогает предотвратить такие проблемы, как переполнение буфера, разыменование нулевых указателей и висячие указатели.

Кроме того, эта новая версия также поддерживает SHA-3, который включает производные функции, такие как SHAKE, cSHAKE и KMAC.

SHA-3 (алгоритм безопасного хеширования 3) — это криптографическая хэш-функция, разработанная для замены SHA-2, и это последний член семейства стандартов Secure Hash Algorithm, выпущенный Национальным институтом стандартов и технологий (NIST).

Эти функции теперь включаются через Библиотека CNG для Windows:

• Поддерживаемые хеш-функции SHA-3: SHA3-256, SHA3-384, SHA3-512 (SHA3-224 не поддерживается).
• Поддерживаемые алгоритмы SHA-3 HMAC: HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512.
• Поддерживаемые алгоритмы, производные от SHA-3: функции расширяемого вывода (XOF) (SHAKE128, SHAKE256), настраиваемые XOF (cSHAKE128, cSHAKE256) и KMAC (KMAC128, KMAC256, KMACXOF128, KMACXOF256).

команда судо

Microsoft представляет Linux-подобную версию команды Sudo (суперпользователь сделать), которая работает в любых консолях терминала Windows, включая командную строку, PowerShell и WSL.

До сих пор вам приходилось запускать терминал Windows от имени администратора, чтобы запускать команды с повышенными правами и предотвращать появление сообщения «Доступ запрещен». Команда Sudo позволяет легко запускать любую команду с правами администратора в сеансе, работающем от имени обычного пользователя.

Важно отметить, что это похоже, но это не та команда Sudo, которую вы получаете в операционных системах на базе UNIX, а это означает, что версия для Windows 11 более ограничена. Microsoft могла бы использовать другое имя, но хотела свести к минимуму препятствия для обучения пользователей.

Эту функцию необходимо включить вручную на странице настроек «Для разработчиков».

Улучшения локации

Microsoft представила новые элементы управления конфиденциальностью, позволяющие ограничить доступ приложений к списку ближайших сетей Wi-Fi, чтобы улучшить конфиденциальность вашего местоположения.

Это важно, поскольку приложения могут использовать сети Wi-Fi для приблизительного определения местоположения устройства, что, по сути, также может означать, что приложения могут определять ваше местоположение без вашего разрешения.

Управлять приложениями, имеющими доступ к списку беспроводных сетей, можно на странице настроек «Местоположение». Кроме того, система теперь сможет заблаговременно оповещать вас о появлении неожиданного запроса на доступ к службам определения местоположения, а также вы сможете его отклонить.

Если вы предоставите доступ к этой информации, приложение выполнит вход в раздел «Последние действия». Вы также можете отключить опцию «Уведомлять, когда приложения запрашивают местоположение», чтобы скрыть запросы, когда местоположение отключено.

Доступность

В этой версии операционной системы Microsoft также представляет поддержку слуховых аппаратов с технологией Bluetooth Low Energy Audio (LE Audio).

После сопряжения устройств на странице настроек «Слуховые аппараты» вы можете транслировать аудио и принимать звонки. Кроме того, можно управлять пресетами, окружающими звуками и улучшениями.

Кроме того, на странице настроек вы можете отслеживать срок службы батареи и состояние подключения ваших слуховых аппаратов.

Центр обновления Windows

Обновление Windows 11 2024 также поставляется с «Накопительные обновления контрольно-пропускных пунктов», новый тип механизма обновления, предназначенный для оптимизации процесса, упрощая и ускоряя загрузку и установку обновлений.

Новый процесс создает инкрементную контрольную точку, а затем вместо загрузки всего обновления, содержащего исправления с момента исходного выпуска, устройства получают только изменения, внесенные с момента последнего обновления «контрольной точки», что значительно сокращает размер загрузки, пропускную способность и время установки.

Чтобы этот процесс работал должным образом, Microsoft будет развертывать некоторые обновления в качестве «контрольных точек» несколько раз в год, а последующие обновления будут включать только новые изменения, произошедшие с момента последней контрольной точки.

Накопительные обновления Checkpoint работают автоматически в версиях 24H2 и более поздних версиях. Старые версии операционной системы будут по-прежнему обновляться традиционным методом.

Административные шаблоны

Microsoft теперь предлагает администраторам возможность загрузить административные шаблоны (.admx) для этой версии Windows 11 отдельно от шаблонов, уже имеющихся в папке «PolicyDefinitions».

Подключение к удаленному рабочему столу

Устаревшая версия приложения подключения к удаленному рабочему столу (mstsc.exe) имеет несколько незначительных улучшений. Например, приложение теперь будет следовать конфигурации масштабирования из приложения «Настройки», и вы сможете выбирать различные параметры масштабирования (350, 400, 450 и 500 процентов).

Реестр

Реестр не получил особых улучшений, но редактор реестра теперь включает поддержку ограничения поиска по текущему выбранному ключу и его потомкам.

Готовый опыт (OOBE)

Помимо изменения дизайна Windows, после установки, во время готовой работы, а точнее на странице сети, у вас появятся новые параметры «Установить драйверы», позволяющие при необходимости предоставлять сетевые драйверы.

Безопасность

В рамках улучшений безопасности для версии 24H2 компания рекламирует шифрование личных данных, Windows Hello с интеграцией ключей доступа, защитную защиту по умолчанию и защиту локального органа безопасности.

Шифрование личных данных

Шифрование персональных данных (PDE) — это новая функция, которая опирается на аутентификацию Windows Hello и создает уникальный ключ для папок «Рабочий стол», «Документы» и «Изображения» профиля для защиты их содержимого. При использовании этой функции вы увидите новый значок замка на каждом файле, и они доступны для чтения только во время активного сеанса.

Это означает, что если другой пользователь войдет в систему как администратор с другим профилем, он сможет просматривать файлы, но не сможет их открыть.

Эта функция доступна для предприятий и образовательных учреждений через проверку подлинности Windows Hello для бизнеса и работает независимо от BitLocker или любого другого типа шифрования. Эта функция призвана добавить дополнительный уровень безопасности и спокойствия.

Вы можете включить эту функцию в центре администрирования Microsoft Intune с помощью политики, и завершение шифрования может занять до недели.

Windows Hello с паролями

Начиная с этой версии операционной системы, Microsoft расширяет возможности Windows Hello для работы с ключами доступа для более безопасной, устойчивой к фишингу и многофакторной аутентификации при входе в приложения или на веб-сайты.

Другими словами, когда вы регистрируетесь в онлайн-сервисе или настраиваете компьютер с идентификатором Microsoft Entra ID и ключом доступа, Windows 11 создаст пару ключей. Один хранится на вашем устройстве, а другой — в онлайн-сервисе.

Кроме того, в рамках улучшений безопасности версии 24H2 ваши учетные данные проверки подлинности Windows Hello имеют более надежную защиту с помощью системы безопасности на основе виртуализации, которая изолирует учетные данные за пределами работающей операционной системы. Эта функция работает с компьютерами с биометрическими компонентами или без них.

Проактивная защита по умолчанию

В этом выпуске Windows 11 также добавлена ​​проактивная защита по умолчанию, чтобы добавить еще один уровень безопасности от кражи учетных данных с помощью вредоносного ПО.

Защита местного органа безопасности

Защита локального органа безопасности теперь является функцией, которую Microsoft включает по умолчанию через приложение Windows Security, чтобы предотвратить доступ ненадежного кода (неподписанных драйверов и плагинов) к памяти локального органа безопасности (LSA), которая обычно используется для хранения учетных данных.

Этот уровень безопасности не позволяет злоумышленникам получить токен приложения для входа и использовать его на другом устройстве для получения доступа к вашей учетной записи. Это известно как атака воспроизведения токена.

Возможности ИИ

Хотя новые функции, основанные на искусственном интеллекте, в какой-то момент станут доступны для поддерживаемых компьютеров Copilot+, Microsoft также рекламирует их как функции для сетевых администраторов. Некоторые из них включают в себя живые субтитры, эффекты Windows Studio, Cocreator on Paint, автоматическое суперразрешение для устройств на базе ARM, Restyle Image и Image Creator для фотографий и многое другое.

Живые субтитры с искусственным интеллектом

Хотя в Windows 11 уже есть Live Captions, теперь эта функция может использовать искусственный интеллект на ПК Copilot+ для перевода аудио- и видеоконтента в английские субтитры с 44 языков, причем не только в тексте, но и в аудио.

По данным компаниисканирование и создание перевода происходит на устройстве, а данные передаются в Microsoft.

Эффекты Windows Studio

Эффекты Windows Studio уже давно являются частью операционной системы, но в версии Windows 11 24H2 компания улучшает эти функции с помощью искусственного интеллекта и распространяет их на ПК Copilot+.

В рамках эффектов вы можете получить доступ к автоматическому кадрированию, размытию фона, портретному освещению, голосовому фокусу, творческим фильтрам и зрительному контакту (стандартному и телесуфлеру) для видео- и аудиозвонков.

• Автоматическое кадрирование: удерживает вас в центре кадра.
• Портретный свет: освещает ваше лицо во время видеовызовов.
• Зрительный контакт: отрегулируйте взгляд так, чтобы имитировать зрительный контакт. Например, опция «Стандарт» предлагает тонкую коррекцию, а опция «Телесуфлер» предлагает расширенный искусственный интеллект для более естественного зрительного контакта.
• Размытие фона: «Стандартное размытие» размывает фон, а «Портретное размытие» обеспечивает более выраженное размытие.
• Творческие фильтры: опция «Иллюстрировано» превращает ваше видео в иллюстрацию, а опция «Анимация» придает вашему видео живой, анимированный эффект. У вас также есть опция «Акварель», чтобы применить эффект акварели.

Четкость голоса

Вы также обнаружите, что Microsoft расширяет возможности Voice Clarity для большего числа пользователей. Эта функция разработана специально для подавления эха, минимизации реверберации в реальном времени и подавления фоновых шумов.

Автоматическое суперразрешение

Автоматическое суперразрешение (Auto SR) — это функция, которая использует оборудование искусственного интеллекта для повышения качества игр с целью повышения частоты кадров и качества изображения.

Эта функция работает аналогично NVIDIA DLSS Super Разрешение, AMD FidelityFX Super Разрешение и Intel XeSS, но Auto SR автоматически повышает качество игр без обновления кода разработчиками.

Эта функция работает за счет использования NPU (нейронного процессора), а не графического процессора (GPU) для выполнения масштабирования.

Эта функция является эксклюзивной для ПК Copilot+, и после ее включения на странице настроек «Графика» при обнаружении совместимой игры система покажет вам уведомление о том, что Auto SR доступен.

Изменение стиля изображения и создание изображений для фотографий

Microsoft также создает новую функцию «Изменить стиль изображения», которая использует аппаратное обеспечение искусственного интеллекта на вашем компьютере и позволяет вам изменять стиль любого изображения, используя различные фотографические методы, аналогично фильтрам, которые вы привыкли использовать на телефонах.

Также вы можете использовать текстовую подсказку для изменения фона и других частей изображения.

Компания также внедряет функцию «Image Creator» из приложения Paint в «Фото», чтобы преобразовать текстовую подсказку в изображение с помощью искусственного интеллекта.

Соавтор Paint

В Paint «Cocreator» — это новая функция, которая сканирует ваш рисунок и помогает создать произведение искусства.

Эта функция позволяет использовать текстовую подсказку и ползунок для регулировки интенсивности творчества. В этом случае функция использует алгоритм на основе диффузии для рисования высококачественного изображения с минимальными усилиями.

Другие детали

Обновление Windows 11 2024 не увеличивает требования к оборудованию для существующих устройств, совместимых с этой операционной системой. Кроме того, Microsoft отмечает, что администраторы могут круглосуточно обновлять совместимые системы под управлением Windows 10 непосредственно до версии Windows 11, используя возможности целевой версии, доступные в Центре обновления Windows для бизнеса, службе бизнес-развертывания и развертывании обновлений функций в Windows Autopatch.

По данным компании, большинство приложений совместимы с новой версией операционной системы, но если организации обнаружат проблемы совместимости, они могут использовать Служба App Assure за помощью.

По данным компании, 99,7% приложений будут работать только в Windows 11, а существующее оборудование и периферийные устройства также должны работать без проблем, если эти устройства оснащены процессором 8-го поколения от Intel или его эквивалентом.

В это руководство включены только те изменения, которые Microsoft предлагает сетевым администраторам. Однако новое обновление функций включает в себя множество других новых функций и улучшений.

Больше ресурсов

Дополнительные полезные статьи, обзоры и ответы на распространенные вопросы о Windows 10 и Windows 11 можно найти на следующих ресурсах: