Windows 10 版本 1507 中的新 AppLocker 功能

时间:2021-09-15 11:37:50

要查看 Windows 10 版本信息,使用【运行】> dxdiag  回车

下表包含 Windows 10 的初始版本(版本 1507)中包括的一些新的和更新的功能以及对版本 1511 的 Windows 10 更新。

注意: 有关每个版本的发布日期和服务选项,请参阅 Windows 10 版本信息

部署

使用 Windows 映像和配置设计器 (ICD) 预配设备

在 Windows 10 中,你可以创建一个设置包,这可使你快速且高效地配置设备,而无需安装新映像。 Windows 预配可使 IT 管理员轻松配置最终用户设备,而无需映像处理。 使用 Windows 预配,IT 管理员可以轻松指定将设备注册到管理中(通过向导驱动的用户界面)所需的配置和设置,然后在几分钟内将该配置应用到目标设备。 它最适合部署几十台到几百台计算机的小到中型企业。

了解有关在 Windows 10 中进行预配的详细信息。

安全

AppLocker

Windows 10 版本 1507 中的新 AppLocker 功能

  • 已向 New-AppLockerPolicy Windows PowerShell cmdlet 添加了一个新参数,该参数可使你选择可执行文件和 DLL 规则集合是否适用于非交互过程。 若要启用此功能,请将“ServiceEnforcement”  设置为“已启用” 。
  • 已添加了新的 AppLocker 配置服务提供程序来允许你使用 MDM 服务器启用 AppLocker 规则。
  • 你可以使用新的 AppLocker 云解决方案提供商管理 Windows 10 移动版设备。

了解如何在组织内管理 AppLocker

BitLocker

Windows 10 版本 1511 中的新 BitLocker 功能

  • XTS-AES 加密算法。 BitLocker 现在支持 XTS-AES 加密算法。 XTS-AES 提供面向一类对加密的攻击的额外保护,该类攻击依靠操纵密码文本来导致纯文本中出现可预测的更改。 BitLocker 支持 128 位和 256 位的 XTS-AES 密钥。 它提供以下优势:
    • 该算法符合 FIPS。
    • 易于管理。 你可以使用 BitLocker 向导、manage-bde、组策略、MDM 策略、Windows PowerShell 或 WMI 在组织中的设备上管理它。 >注意: 将无法在较早版本的 Windows *问使用 XTS-AES 加密的驱动器。  仅建议将其用于固定和操作系统驱动器。 可移动驱动器应继续使用 AES-CBC 128 位或 AES-CBC 256 位算法。

Windows 10 版本 1507 中的新 BitLocker 功能

  • 使用 Azure Active Directory 加密和恢复设备。 除了使用 Microsoft 帐户,自动 设备加密 现在可以对已加入 Azure Active Directory 域的设备进行加密。 当设备已加密后,BitLocker 恢复密钥将自动托管到 Azure Active Directory。 这将使联机恢复 BitLocker 密钥变得更加简单。
  • DMA 端口保护。 你可以使用 DataProtection/AllowDirectMemoryAccess MDM 策略在设备启动时阻止 DMA 端口。 同样地,当设备锁定时,所有未使用的 DMA 端口都将关闭,但所有已插入 DMA 端口的设备将继续工作。 解锁设备后,所有 DMA 端口将重新打开。
  • 用于配置预启动恢复的新组策略。 你现在可以配置预启动恢复消息并恢复在预启动恢复屏幕上显示的 URL。 有关详细信息,请参阅 BitLocker Group Policy settings中的“配置预启动恢复消息和 URL”部分。

了解如何在组织内部署和管理 BitLocker

Credential Guard

Windows 10 版本 1511 中的新 Credential Guard 功能

  • 凭据管理器支持。 使用凭据管理器存储的凭据(包括域凭据)受到 Credential Guard 的保护,但有以下注意事项:
    • 无法使用由远程桌面协议保存的凭据。 你的组织中的员工可以在凭据管理器中将凭据手动存储为通用凭据。
    • 使用未记录的 API 从凭据管理器提取派生域凭据的应用程序将无法再使用这些已保存的派生凭据。
    • 如果凭据已从启用 Credential Guard 的电脑进行备份,你无法使用凭据管理器控制面板还原凭据。 如果你需要备份凭据,你必须在启用 Credential Guard 前执行此操作。 否则,你将无法还原这些凭据。
  • 在没有 UEFI 锁定的情况下启用 Credential Guard。 你可以使用注册表启用 Credential Guard。 这允许你远程禁用 Credential Guard。 但是,我们建议使用 UEFI 锁定启用 Credential Guard。 你可以使用组策略进行此配置。
  • CredSSP/TsPkg 凭据委派。 当启用 Credential Guard 时,CredSSP/TsPkg 无法委派默认凭据。

了解如何在组织内部署和管理 Credential Guard

更简单的证书管理

对于基于 Windows 10 的设备,除了使用简单证书注册协议 (SCEP) 进行注册,你还可以通过 MDM 服务器使用个人信息交换 (PFX) 直接部署客户端身份验证证书,包括用于在企业中支持 Windows Hello 企业版的证书。 你将能够使用 MDM 注册、续订和删除证书。 和在 Windows Phone 8.1 中一样,你可以使用证书应用查看设备上的证书详细信息。 了解如何在 Windows 10 移动版上安装数字证书。

Microsoft Passport

在 Windows 10 中,Microsoft Passport 将密码替换为由注册设备和 Windows Hello(生物识别)或 PIN 组成的强双因素身份验证。

Microsoft Passport 允许用户对 Microsoft 帐户、Active Directory 帐户、Microsoft Azure Active Directory (AD) 帐户或支持 Fast ID Online (FIDO) 身份验证的非 Microsoft 服务进行身份验证。 在 Microsoft Passport 注册期间的初始双重验证后,Microsoft Passport 在用户设备上完成设置,用户将获得一个手势,该手势可以是 Windows Hello 或 PIN。 用户提供手势来验证身份;然后,Windows 使用 Microsoft Passport 对用户进行身份验证并帮助他们访问受保护的资源和服务。

安全审核

Windows 10 版本 1511 中的新安全审核功能

Windows 10 版本 1507 中的新功能

在 Windows 10 中,安全审核添加了一些改进:

新的审核子类别

在 Windows 10 中,高级审核策略配置中添加了两项新的审核子类别以在审核事件中提供更高的精度:

  • Audit Group Membership 审核组成员身份子类别可在登录/注销审核类别中找到,它允许你审核用户登录令牌中的组成员身份信息。 当枚举组成员身份或在创建登录会话的电脑上查询时,将生成此子类别中的事件。 为实现交互式登录,将在用户登录的电脑上生成安全审核事件。 为实现网络登录,例如访问网络上的共享文件夹,将在托管资源的电脑上生成安全审核事件。 在配置此设置时,每次成功登录会生成一项或多项安全审核事件。 还必须在 Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff 下启用“审核登录”设置。 如果组成员身份信息无法容纳于单个安全审核事件中,将生成多个事件。
  • Audit PNP Activity 审核 PNP 活动子类别可在详细追踪类别下找到,它允许你在即插即用检测到外部设备时进行审核。 对于此类别,仅记录“成功”审核。 如果未配置此策略设置,则在即插即用检测到外部设备时,将不会生成任何审核事件。 PnP 审核事件可用于跟踪系统硬件的更改,并将记录在发生更改的电脑上。 该事件包括了硬件供应商 ID 列表。
向现有审核事件添加了更多信息

在 Windows 10 版本 1507 中,我们已向现有审核事件添加了更多信息,以使你能更轻松地将完整审核跟踪进行汇总,并获取保护企业所需的信息。 对以下审核事件作了改进:

更改了内核默认审核策略

在以前的版本中,内核依赖于本地安全颁发机构 (LSA) 来检索它的一些事件中的信息。 在 Windows 10 中,将自动启用进程创建事件审核策略,直到从 LSA 中接收到了实际审核策略。 这将在 LSA 启动前更好地审核可能启动的服务。

将默认进程 SACL 添加到了 LSASS.exe

在 Windows 10 中,默认进程 SACL 添加到了 LSASS.exe,以记录尝试访问 LSASS.exe 的过程。 SACL 即 L"S:(AU;SAFA;0x0010;;;WD)"。 你可以在 Advanced Audit Policy Configuration\Object Access\Audit Kernel Object 下启用它。 这可以帮助标识从某一进程的内存中盗取凭据的攻击。

登录事件中的新字段

登录事件 ID 4624 已更新为包括使其更易于分析的更为详细的信息。 以下字段已添加到事件 4624:

  1. MachineLogon 字符串:Yes 或 No 如果登录到电脑的帐户是计算机帐户,则此字段为“Yes”。 否则,此字段为“No”。
  2. ElevatedToken 字符串:Yes 或 No 如果登录到电脑的帐户是管理登录,则此字段为“Yes”。 否则,此字段为“No”。 此外,如果这是拆分令牌的一部分,还将显示链接的登录 ID (LSAP_LOGON_SESSION)。
  3. TargetOutboundUserName 字符串 TargetOutboundUserDomain 字符串 使用 LogonUser 方法为出站流量创建的用户名和标识域。
  4. VirtualAccount 字符串:Yes 或 No 如果登录到电脑的帐户是虚拟帐户,则此字段为“Yes”。 否则,此字段为“No”。
  5. GroupMembership 字符串 用户令牌中所有组的列表。
  6. RestrictedAdminMode 字符串:Yes 或 No 如果用户使用远程桌面登录处于受限管理员模式下的电脑,则此字段为“Yes”。 有关受限管理员模式的详细信息,请参阅适用于 RDP 的受限管理员模式
进程创建事件中的新字段

登录事件 ID 4688 已更新为包括使其更易于分析的更为详细的信息。 以下字段已添加到事件 4688:

  1. TargetUserSid 字符串 目标主体的 SID。
  2. TargetUserName 字符串 目标用户的帐户名称。
  3. TargetDomainName 字符串 目标用户的域。
  4. TargetLogonId 字符串 目标用户的登录 ID。
  5. ParentProcessName 字符串 创建程序进程的名称。
  6. ParentProcessId 字符串 指向实际父进程的指针(如果它不同于创建者进程)。
新安全帐户管理器事件

在 Windows 10 中,添加了新 SAM 事件以包含用于执行读取/查询操作的 SAM API。 在以前版本的 Windows 中,仅审核写入操作。 新事件为事件 ID 4798 和事件 ID 4799。 现在将审核以下 API:

  • SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership
  • SamrLookupNamesInDomain
  • SamrLookupIdsInDomain
  • SamrQueryInformationUser
  • SamrQueryInformationGroup
  • SamrQueryInformationUserAlias
  • SamrGetMembersInGroup
  • SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation
新 BCD 事件

添加了事件 ID 4826,以便跟踪启动配置数据库 (BCD) 所作的以下更改:

  • DEP/NEX 设置
  • 测试签名
  • PCAT SB 模拟
  • 调试
  • 启动调试
  • 完整性服务
  • 禁用 Winload 调试菜单
新的 PNP 事件

添加了事件 ID 6416,以便在通过即插即用检测到外部设备时进行跟踪。 一个重要方案是,将包含恶意软件的外部设备插入到未预料到这种操作的高价值计算机(例如域控制器)中。

Learn how to manage your security audit policies within your organization

受信任的平台模块

Windows 10 版本 1511 中的新 TPM 功能

  • 密钥存储提供程序 (KSP) 和 srvcrypt 支持椭圆形曲线加密 (ECC)。

Windows 10 版本 1507 中的新 TPM 功能

以下部分介绍了 TPM 中适用于 Windows 10 的新的和更改的功能:

设备运行状况证明

设备运行状况证明使企业能够根据托管设备的硬件和软件组件来建立信任。 使用设备运行状况证明,你可以配置 MDM 服务器来查询将允许或拒绝托管设备访问安全资源的运行状况证明服务。 以下是你可以在设备上查看的一些事项:

  • 数据执行保护是否受支持并已启用?
  • BitLocker 驱动器加密是否受支持并已启用?
  • SecureBoot 是否受支持并已启用?

注意 设备必须运行 Windows 10,并且它必须至少支持 TPM 2.0。

了解如何在组织内部署和管理 TPM

用户帐户控制

用户帐户控制 (UAC) 有助于防止恶意软件损坏计算机并且有助于组织部署更易于管理的桌面环境。

你不应关闭 UAC,因为这对于运行 Windows 10 的设备而言不是受支持的方案。 如果你关闭 UAC,所有通用 Windows 平台应用都将停止工作。 你必须始终将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA 注册表值设置为 1。 如果你需要提供用于编程访问或安装的自动提升,可以将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin 注册表值设置为 0,这与将 UAC 滑块设置为“从不通知”相同。 对于运行 Windows 10 的设备不建议此方法。

有关如何管理 UAC 的详细信息,请参阅 UAC Group Policy Settings and Registry Key Settings

在 Windows 10 中,用户帐户控制已添加了一些改进。

Windows 10 版本 1507 中的新用户帐户控制功能

  • 与反恶意软件扫描接口 (AMSI) 集成AMSI 扫描恶意软件的所有 UAC 提升权限请求。 一旦检测到恶意软件,将阻止管理员权限。

了解如何在组织内管理用户帐户控制

VPN 配置文件选项

Windows 10 提供了一组 VPN 功能,可提高企业安全性并提供改进的用户体验,包括:

  • 始终可用自动连接行为
  • 应用触发 VPN
  • VPN 流量筛选器
  • 锁定 VPN
  • 与 Microsoft Passport for Work 集成

了解有关 Windows 10 中的 VPN 选项的详细信息。

管理

Windows 10 将为 PC、笔记本电脑、平板电脑和手机提供移动设备管理 (MDM) 功能,这些功能支持公司所拥有设备和个人设备的企业级管理。

MDM 支持

Windows 10 的 MDM 策略与 Windows 8.1 中支持的策略一致,并且经过了扩展以处理更多企业方案,例如管理多个具有 Microsoft Azure Active Directory (Azure AD) 帐户的用户、对 Windows 应用商店的完全控制、VPN 配置等。

Windows 10 中的 MDM 支持基于开放移动联盟 (OMA) 设备管理 (DM) 协议 1.2.1 规范。

可以使用 Azure AD 为企业自动注册公司所拥有的设备。 Windows 10 的移动设备管理参考

注销

当某人离开你的组织并且你注销该用户帐户或设备不再进行管理时,企业控制的配置和应用将从该设备中删除。 你可以远程注销该设备,或者该人员可以通过手动从该设备中删除用户帐户来进行注销。

当注销某台个人设备时,用户的数据和应用保持不变,但将删除企业信息,例如证书、VPN 配置文件和企业应用。

基础结构

企业具有以下标识和管理选择。

区域 选择
标识 Active Directory;Azure AD
分组 域加入; 工作组; Azure AD 加入
设备管理 组策略;System Center Configuration Manager;Microsoft Intune;其他 MDM 解决方案;Exchange ActiveSync;Windows PowerShell;Windows Management Instrumentation (WMI)

注意 随着 Windows Server 2012 R2 的发布,网络访问保护 (NAP) 已弃用,并且 NAP 客户端现已从 Windows 10 中删除。 有关支持生命周期的详细信息,请参阅 Microsoft 支持生命周期

设备锁定

是否需要只能执行一种操作的计算机? 例如:

  • 大厅中客户可用于查看产品目录的设备。

  • 驾驶员可用于在地图上查看路线的便携式设备。

  • 临时工作人员用于输入数据的设备。

你可以配置永久的锁定状态来创建一个网亭类型的设备。 当登录锁定的帐户时,设备仅显示你选择的应用。

你还可以配置锁定状态,该操作在给定用户帐户登录时生效。 锁定将用户限制为仅使用你指定的应用。

还可以为设备外观配置锁定设置,例如某个主题或“开始”屏幕上的自定义布局

自定义的“开始”屏幕布局

对于通用于多个用户的设备以及出于专用目的而锁定的设备,自定义的标准“开始”屏幕布局会非常有用。 从 Windows 10 版本 1511 开始,管理员可以配置部分“开始”屏幕布局,这将在允许用户创建和自定义其自己的磁贴组时应用指定的磁贴组。 了解如何自定义和导出“开始”屏幕布局

管理员还可以使用移动设备管理 (MDM) 或组策略来禁用锁屏界面上的 Windows 聚焦的使用。

适用于企业的 Windows 应用商店

Windows 10 版本 1511 中的新功能

通过适用于企业的 Windows 应用商店,组织可以批量购买 Windows 应用。 适用于企业的应用商店支持基于组织标识、灵活分配选项和回收或重复使用许可证功能购买应用。 组织还可以使用适用于企业的应用商店为他们的员工创建专用应用商店,其中包括应用商店中的应用以及专用业务线 (LOB) 应用。

有关详细信息,请参阅适用于企业的 Windows 应用商店概述

更新

适用于企业的 Windows 更新使信息技术管理员通过将这些系统直接连接到 Microsoft 的 Windows 更新服务,使组织中基于 Windows 10 的设备始终保持最新,并具有最新的安全防护和 Windows 功能。

通过使用 组策略对象,适用于企业的 Windows 更新是一个轻松建立和实现的系统,它使组织和管理员可以对如何更新基于 Windows 10 的设备施以控制,方法是通过允许:

  • 部署和验证组;管理员可以指定哪些设备先进行第一波更新,以及哪些设备稍后更新(确保符合所有质量规定)。

  • 对等传递,管理员可以通过非常有效的有限带宽将更新传递到分支机构和远程站点。

  • 与现有工具配合使用,如 System Center Configuration Manager 和企业移动性套件

而且,这些适用于企业的 Windows 更新功能有助于持续降低设备管理成本、控制更新部署、更快速地访问安全更新以及访问 Microsoft 的最新创新。 适用于企业的 Windows 更新对于所有 Windows 10 专业版、企业版和教育版而言均是免费的服务,并且可独立使用,也可以与现有的设备管理解决方案(如 Windows Server Update Services (WSUS)System Center Configuration Manager)结合使用。

了解有关Windows Update for Business的详细信息。

有关更新 Windows 10 的详细信息,请参阅Windows 10 servicing options for updates and upgrades

Microsoft Edge

Microsoft Edge 不仅仅使你可以浏览,还可以通过诸如 Web 笔记、阅读视图和 Cortana 等功能与 Web 积极互动。

  • Web 笔记。 Microsoft Edge 允许你直接在网页上添加注释、突出显示和调用内容。
  • 阅读视图。 Microsoft Edge 允许你在无干扰布局(已针对你的屏幕大小优化)中欣赏和打印联机文章。 在阅读视图中时,还可以将网页或 PDF 文件保存到阅读列表,以供以后查看。
  • Cortana。 Cortana 在 Microsoft Edge 上自动启用。 Microsoft Edge 允许突出显示词语以获取详细信息,并且使你通过一次单击即可访问餐馆预订和评论等内容,无需离开网页。
  • 兼容性和安全。 Microsoft Edge 可使你针对位于公司 Intranet 上或包含在企业模式站点列表中的站点继续使用 IE11。 必须使用 IE11 来运行不太安全的早期技术,如 ActiveX 控件。

企业指南

Microsoft Edge 是 Windows 10 和 Windows 10 移动版的默认浏览器体验。 但是,如果你运行的是需要 ActiveX 控件的 Web 应用,我们建议继续使用适用于它们的 Internet Explorer 11。 如果尚未安装 IE11,可从 Windows 应用商店或 Internet Explorer 11 下载页下载它。

如果运行的是任何早期版本的 Internet Explorer,我们也建议升级到 IE11。 IE11 在 Windows 7、Windows 8.1 和 Windows 10 上均受支持。 因此,任何适用于 IE11 的传统应用都将继续运行,即使是迁移到 Windows 10。

了解有关在企业中使用 Microsoft Edge 的详细信息

了解详细信息