Новая версия Windows 10: взгляд сисадмина
Конфигурирование
Конструктор Windows Configuration Designer
Ранее этот компонент назывался Windows Imaging and Configuration Designer, ICD и использовался для создания пакетов подготовки. В этой версии он получил новое название Windows Configuration Designer. В предыдущих версиях Windows, его можно установить в составе комплекта средств для развертывания и оценки Windows ADK.
Для упрощённого создания пакетов подготовки в конструкторе Windows Configuration Designer в Windows 10 версии 1703 есть ряд новых мастеров.
В обеих версиях мастера — для настольных компьютеров и киосков — есть возможность удалить предустановленное ПО с использованием поставщика службы конфигураций CleanPC.
Массовое подключение к Azure Active Directory
Новые мастера из состава Windows Configuration Designer позволяют создавать пакеты подготовки для присоединения устройств к Azure Active Directory. Массовое подключение к Azure Active Directory доступно в мастерах для настольных компьютеров, мобильных устройств, киосков и устройств Surface Hub.
Windows Spotlight
Добавились новые групповые политики и параметры управления мобильными устройствами (MDM):
- Turn off the Windows Spotlight on Action Center;
- Do not use diagnostic data for tailored experiences;
- Turn off the Windows Welcome Experience.
Подробнее о Windows Spotlight.
Структура меню Пуск, начального экрана и панели задач
Наверняка вы знаете, что предприятия могут менять вид меню Пуск, начального экрана и панели задач на компьютерах под управлением Windows 10 редакций Enterprise и Education. В версии 1703 эти модификации можно применить также к редакции Pro.
Ранее нестандартную панель задач можно было развёртывать только с помощью групповых политик или пакетов подготовки. В новой версии поддержка нестандартных панелей появилась в средстве управления мобильными устройствами (MDM).
Появились новые параметры политик MDM для управления меню Пуск и структурой начального экрана и панели задач. Параметры политик MDM:
- параметры для плитки Пользователь (User): Start/HideUserTile, Start/HideSwitchAccount, Start/HideSignOut, Start/HideLock и Start/HideChangeAccountSettings;
- параметры для управления элементом Питание (Power): Start/HidePowerButton, Start/HideHibernate, Start/HideRestart, Start/HideShutDown и Start/HideSleep;
- дополнительные новые параметры: Start/HideFrequentlyUsedApps, Start/HideRecentlyAddedApps, AllowPinnedFolder, ImportEdgeAssets, Start/HideRecentJumplists, Start/NoPinningToTaskbar, Settings/PageVisibilityList и Start/HideAppsList.
Развёртывание
Утилита MBR2GPT.EXE
MBR2GPT.EXE — новый инструмент командной строки. Он преобразует MBR-диск (Master Boot Record) в раздел GPT (GUID Partition Table), не меняя и не удаляя данные на диске. Эта утилита предназначена для использования в командной строке среды предустановки Windows (Windows PE), но её можно использовать и в полнофункциональной операционной системе Windows 10.
Формат разделов GPT более новый и позволяет создавать больше разделов большего размера. Он также обеспечивает повышенную надежность данных, поддерживает дополнительные типы разделов и повышает скорость загрузки и выключения. После преобразования системного диска из MBR в GPT следует перенастроить компьютер для загрузки в режиме UEFI, поэтому перед преобразованием системного диска надо убедиться, что ваше устройство поддерживает UEFI.
После загрузки в режиме UEFI в Windows 10 становятся доступными следующие функции безопасности: безопасная загрузка, ранний запуск антивредоносного драйвера ELAM (Early Launch Anti-malware), надежная загрузка Windows, измеряемая загрузка, Охранник устройств, Охранник учетных данных и сетевая разблокировка BitLocker.
Безопасность
Windows Defender Advanced Threat Protection
Новые возможности Windows Defender Advanced Threat Protection (ATP) для Windows 10 версии 1703. Кстати, напоминаем, что недавно делились описанием функционала ATP на Хабре.
Обнаружение атак
К основным улучшениям в области обнаружения атак относятся:
- возможность использовать api-интерфейса аналитики угроз для создания пользовательских оповещений;
- улучшения сенсоров ОС для памяти и ядра, чтобы обеспечить поддержку обнаружения атак в памяти и на уровне ядра;
- обновление механизмов обнаружения программ-шантажистов, а также других сложных атак;
- функциональность ретроспективного обнаружения, которая позволяет применять новые правила обнаружения атак в архивных данных с глубиной до полугода, чтобы обнаруживать атаки, которые ранее остались незамеченными.
Расследование атак
Корпоративные клиенты теперь могут воспользоваться полным набором функций безопасности Windows благодаря тому, что информация об обнаружении атак средствами Windows Defender Antivirus и блоки Охранника устройств отображаются в портале Windows Defender ATP.
Добавлены другие возможности, позволяющие получить целостную картину расследований. К другим улучшениям расследования атак относятся:
- исследование пользовательской учётной записи — возможность выявления учётных записей пользователей с наибольшим количеством оповещений и расследование случаев возможной компрометации учётных данных;
- дерево процессов оповещений — агрегирование множественных событий обнаружения и связанных с этим событий в единое представление для сокращения времени разрешения;
- получение оповещений с применением api rest — использование API-интерфейса REST для получения оповещений от Windows Defender ATP.
Реагирование на атаки
При обнаружении атаки группы реагирования могут предпринимать неотложные меры по изоляции бреши в системе безопасности:
- принимать ответные меры на хосте — быстро реагировать на обнаруженные атаки, изолируя машины или собирая пакет аналитики;
- принимать ответные меры к файлу — быстро реагировать на обнаруженные атаки путём остановки работы файлов, их перемещения в карантин или блокировки.
Другие возможности
Проверка состояния работоспособности сенсоров — проверка способности конечной точки предоставлять данные сенсора и взаимодействовать со службой Windows Defender ATP, а также устранять известные неполадки.
Windows Defender Antivirus
Защитник Windows получил новое название — Windows Defender Antivirus. Его новые возможности:
- обновление информации о том, как можно сконфигурировать функциональность блокировки при первом появлении (Block at First Sight);
- возможность определить уровень защиты облака;
- защита Windows Defender Antivirus в приложении Windows Defender Security Center.
Также расширились возможности по защите от программ-шантажистов за счёт обновленного мониторинга поведения и постоянной защиты в реальном времени.
Параметры безопасности групповых политик
Параметр безопасности Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован (Interactive logon: Display user information when the session is locked) был обновлён и теперь работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа.
Появился новый параметр политики безопасности — Interactive logon: Don’t display username at sign-in. Этот параметр определяет, нужно ли отображать имя пользователя во время входа в систему, и работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа. Этот параметр влияет только на плитку Other user.
Windows Hello для бизнеса
Теперь забытый PIN-код можно сбросить, не удаляя корпоративные данные или приложения, управляемые средствами Microsoft Intune. Администратор может инициировать удаленный сброс PIN-кода устройств под управлением PIN через портал Intune.
На настольных ПК пользователи могут сбросить забытый PIN-код в разделе Параметры > Учетные записи > Параметры входа.
Обновление
Windows Update for Business
Функция приостановки обновления изменилась: теперь в ней требуется указывать дату начала установки. Если не сконфигурирована соответствующая политика, у пользователей теперь есть возможность отложить обновление в параметрах Windows Settings → Update & security → Windows Update → Advanced options. Также увеличилось время, на которое можно откладывать исправления, — до 35 дней.
Обновление устройств, управляемых с помощью Windows Update for Business, теперь можно откладывать на срок до 365 дней (ранее обновление можно было отложить только на 180 дней). Пользователи могут задавать в параметрах уровень готовности своей ветви и время, на которое следует отложить обновления.
Windows Insider for Business
Добавилась возможность загружать сборки предварительной версии Windows 10 Insider Preview, используя корпоративные учетные данные Azure Active Directory (AAD).
Оптимизация доставки обновлений
Изменения в новой версии позволили обеспечить полную поддержку экспресс-обновлений в System Center Configuration Manager, начиная с версии 1702 этого продукта, а также обновлений и управления продуктами сторонних производителей, в которых реализована эта функциональность. Она дополнила существующую поддержку экспресс-обновлений в Центре обновлений Windows, Центре обновлений Windows для бизнеса и WSUS.
Примечание. Указанные изменения доступны в Windows 10 версии 1607 после установки апрельского обновления 2017 года.
Политики оптимизации доставки обновлений теперь позволяют задавать дополнительные ограничения, что дает возможность лучше управлять различными сценариями обновления.
К новым политикам относятся:
- поддержка загрузки при заданном уровне заряда, когда устройство работает от батареи;
- поддержка однорангового кеширования при подключении устройства через VPN;
- определение памяти (включительно), которую разрешено использовать для однорангового кеширования;
- минимальный объём дискового пространства, который разрешено использовать для однорангового кеширования;
- минимальный размер файла для содержимого однорангового кеширования.
Установленные ранее приложения больше не обновляются автоматически
При обновлении до Windows 10 версии 1703 поставляемые в составе Windows приложения, которые пользователь ранее удалил, не будут автоматически устанавливаться в рамках процесса обновления.
Управление
Новые возможности MDM
В новой версии появилось множество новых поставщиков услуг конфигурации (CSP) для управления Windows 10 с применением средств управления мобильными устройствами (MDM) или пакетов подготовки. Помимо прочего эти CSP-поставщики позволяют управлять несколькими сотнями самых полезных групповых политик посредством MDM.
Новые CSP-поставщики:
- DynamicManagement CSP позволяет по-разному управлять устройствам в зависимости от их местоположения, подключения к сети и времени. Например, на управляемых устройствах можно отключать камеры, когда они находятся на рабочем месте, поддержку мобильной связи — при выезде из страны для предотвращения больших расходов на роуминг; или беспроводную сеть — когда устройство не находится в здании организации или кампуса. После конфигурирования эти параметры могут применяться даже в отсутствие связи с сервером управления из-за смены местоположения или сети. Dynamic Management CSP позволяет конфигурировать политики, меняющие порядок управления устройством в дополнение к настройке условий, при которых такое изменение происходит.
- CleanPC CSP позволяет удалять предустановленные и установленные пользователем приложения, сохраняя при этом пользовательские данные.
- BitLocker CSP используется для управления шифрованием на настольных компьютерах и устройствах. Например, можно обеспечить шифрование данных на картах памяти устройств или дисков с операционной системой.
- NetworkProxy CSP служит для конфигурирования прокси-сервера для подключения через Ethernet или Wi-Fi.
- Office CSP позволяет устанавливать на устройство клиент Microsoft Office с помощью средства развертывания Office.
- EnterpriseAppVManagement CSP служит для управления виртуальными приложениями на настольных компьютерах под управлением Windows 10 (в редакциях Enterprise и Education) и позволяет передавать виртуализованные приложения App-V на компьютеры, даже если те управляются средствами MDM.
Для определения групповых политик, которые были сконфигурированы для пользователя или компьютера, и для перекрестного связывания этих параметров со встроенным списком поддерживаемых политик MDM, используется MDM Migration Analysis Tool (MMAT). Инструмент позволяет получать отчеты в форматах XML и HTML, в которых указывается уровень поддержки всех параметров групповых политик и их эквивалентов в MDM.
Управление мобильными приложениями в Windows 10
Версия управления мобильными приложениями (mobile application management, MAM) для Windows — это облегченное решение для управления доступом к корпоративным данным и безопасностью на личных устройствах. Начиная с Windows 10 версии 1703, поддержка MAM встроена в Windows поверх WIP (Windows Information Protection).
Диагностика MDM
Продолжилась работа над совершенствованием средств диагностики, соответствующих требованиям современного управления. Появление автоматического ведения журнала для мобильных устройств позволило Windows автоматически фиксировать в журнале ошибки в MDM, избавляя от необходимости постоянно вести журнал на устройствах с небольшим объёмом памяти. Кроме того, появился Microsoft Message Analyzer — дополнительный инструмент, помогающий сотрудникам службы поддержки быстро обнаружить причины неполадок и, таким образом, обеспечить экономию времени и денег.
Мобильные устройства в Windows 10
Lockdown Designer
Приложение Lockdown Designer помогает сконфигурировать и создать XML-файл блокировки, который должен применяться к устройствам под управлением Windows 10, а также содержит функциональность удалённого моделирования, позволяющую определять конфигурацию плиток в меню Пуск и на начальном экране. Использовать Lockdown Designer проще, чем вручную создавать XML-файл блокировки.
Другие улучшения
Также появились следующие улучшения:
- шифрование карт SD;
- удаленный сброс PIN-кодов учетных записей Azure Active Directory;
- архивирование текстовых SMS-сообщений;
- управление Wi-Fi Direct;
- управление отображением Continuum;
- индивидуальное отключение экрана монитора или телефона в отсутствие активности;
- индивидуальное определение таймаута экрана;
- решения для стыковки Continuum;
- определение свойств портов Ethernet;
- определение свойств прокси для портов Ethernet.
Полезные материалы из нашего блога и не только
- Служба Advanced Threat Protection в Защитнике Windows
- Сбор и анализ логов для новичков
- Windows Server 2016 и службы интеграции Hyper-V
- Azure понятным языком [Шпаргалка]
- Бесплатные мероприятия от Microsoft: Гибридная инфраструктура, DevCon School: Современная архитектура, Технический обзор Azure Stack TP3
Комментарии (1)
11 апреля 2017 в 23:45
0↑
↓
На w10pro можно как-то отключить запрос пароля и пинкода при входе? Понятно, что безопасность и всё прочее, но тем не менее. Раньше был формальный пинкод 1111, теперь и его запретили, введя требования к сложности. Ставил даже какую-то утилиту от Руссиновича, но не помогло.