Главная » Linux

Windows 10 pro 1507

Содержание
  1. Windows 10 Pro 1507 10240.17394 th1 PIP by Lopatkin (x86-x64) (2017) Год выпуска: 2017 Версия: Windows 10 Pro 1507 10240.17394 th1 Автор сборки: Lopatkin Платформа: x86-x64 Язык интерфейса: русский Таблэтка: требуется Системные требования: CPU — 1 ggz RAM — 1-2 gb HDD — 4-6 gb Video — c DirectX 9.0 Display — 1024 x 768 Описание: Максимально облегченные сборки, для планшеток и ПК, с сенсорной клавиатурой, Framework 3.5 и 4.6.2, но без магазина, EDGE, xBox, метро приложений, Defender, речи, рукописи, Cortana, облака, телеметрии, кешей браузера, плеера, winsxs. Выход на стол с работающими Пуск и Поиск (через ярлык в ПУ\Администрирование), есть поддержка старых игр, работает Superfetch, подключение к удаленному столу. Драйверы на модемы (кроме базовых и Nokia), принтеры (кроме HP, GE, OLED, MS), магазин, EDGE, xBox, все метро приложения, речь, рукопись, Defender, Cortana, облако, Hyper-V, IME, InputMethod, migwiz, восстановление, родительский контроль, остальные языки и азиатские шрифты (есть просмотр китайских сайтов), заставки, нативе, функция браузера по F12, кеши браузера, плеера, winsxs. Оставлены сенсорная и экранная клавиатуры, групповая политика, домашняя группа, печать по сети, почта, PowerShell. Работают подключение через удаленный стол, Superfetch, поиск (через ярлык Searh в ПУ\Администрирование, закрепите на Панели задач, скрыв старый). Windows 10 1507 Pro 10240.17443.th1 SZ by Lopatkin (x86-x64) (2018) Год выпуска: 2018 Версия: Windows 10Pro 10240.17443 Платформа: x86-x64 Автор сборки: lopatkin CPU — 1 ggz RAM — 1-2 gb HDD — 3-5 gb Video — c DirectX 9.0 Display — 1024 x 768 Язык интерфейса: русский Максимально облегченные сборки Pro 10240.17443, только для ПК, с Framework 3.5, но без магазина, EDGE, xBox, камеры, сенсорной и экранной клавиатур, речи рукописи, остальных метро приложений, Cortana, Defender, облака, телеметрии, кешей браузера, плеера, winsxs. Включены ASP.NET 4.5, DirectPlay, поддержка разработчиков и технических специалистов. Драйверы на модемы (кроме базовых и Nokia), принтеры (кроме HP, GE, OLED, MS), сенсорная и экранная клавиатуры, речь, рукопись, магазин, xBox, все метро приложения, Cortana, Defender, облако, IIS, IME, InputMethod, Hyper-V, migwiz, восстановление, остальные языки и азиатские шрифты, заставки, нативе, кеши браузера, плеера, winsxs. Включены Framework 3.5, DirectPlay, ASP.NET 4.5. Подкачка отключена, UAC на минимуме, гибернация по умолчанию, печать на ручном. Перед установкой принтера поставьте на Автомат и запустите Диспетчера печати. Поиск сторонними программами. Установка с DVD или подготовленной флешки (просто извлечь содержимое образа на подготовленную флешку FAT32) из под BIOS по «Press any key to BootCD. «, вчистую, обновиться нельзя, ключ для установки не требуется, активация KMS. На столе Restart.cmd, запуск от имени Админа, будет удалено облако из автозапуска, отключены гибернация, UAC, центр обнов и фоновая интеллектуальная службы, очищены все логи, добавлен пункт в меню запуска по F8 «Включить последнюю удачную конфигурацию», выполнен перезапуск. Можно работать. Сборка, как и все предыдущие и последующие, не преследует никаких коммерческих целей. Сборка выпущена в целях ознакомления с возможностями старых и новых Windows систем разработанных MS. Поэтому за всё использование данного программного обеспечения автор ответственности не несет. Сборка выпущена «КАК ЕСТЬ» и скачивается Вами по собственному желанию и на свой страх и риск. Что нового в Windows 10 версии 1507 и 1511 для ИТ-специалистов What’s new in Windows 10, versions 1507 and 1511 for IT Pros Ниже приведен список некоторых новых и обновленных функций, включенных в начальный выпуск Windows 10 (версия 1507) и обновление Windows 10 до версии 1511. Below is a list of some of the new and updated features included in the initial release of Windows 10 (version 1507) and the Windows 10 update to version 1511. Сведения о датах выпусков и типах обслуживания каждой версии см. в статье Информация о выпуске Windows 10. For release dates and servicing options for each version, see Windows 10 release information. Развертывание Deployment Подготовка устройств с помощью конструктора образов и конфигураций Windows (ICD) Provisioning devices using Windows Imaging and Configuration Designer (ICD) В Windows 10 можно создавать пакеты подготовки, позволяющие быстро и эффективно настраивать устройство без установки нового образа. With Windows 10, you can create provisioning packages that let you quickly and efficiently configure a device without having to install a new image. Подготовка Windows помогает ИТ-администраторам настраивать устройства конечных пользователей без создания образов. Windows provisioning makes it easy for IT administrators to configure end-user devices without imaging. Используя подготовку Windows, ИТ-администратор может легко указать желаемую конфигурацию и параметры, необходимые для регистрации устройства в системе управления (через пользовательский интерфейс при помощи мастера), а затем применить эту конфигурацию для целевых устройств за считанные минуты. Using Windows Provisioning, an IT administrator can easily specify desired configuration and settings required to enroll the devices into management (through a wizard-driven user interface) and then apply that configuration to target devices in a matter of minutes. Этот вариант лучше всего подходит для компаний малого и среднего бизнеса, развертывающих от нескольких десятков до нескольких сотен компьютеров. It is best suited for small- to medium-sized businesses with deployments that range from tens to a few hundred computers. Безопасность Security AppLocker AppLocker Новые функции AppLocker в Windows 10 версии 1507 New AppLocker features in Windows 10, version 1507 В командлет Windows PowerShell New-AppLockerPolicy был добавлен новый параметр, позволяющий выбирать, применяются ли коллекции правил для исполняемых файлов и библиотек DLL к неинтерактивным процессам. A new parameter was added to the New-AppLockerPolicy Windows PowerShell cmdlet that lets you choose whether executable and DLL rule collections apply to non-interactive processes. Для включения этой функции задайте для параметра ServiceEnforcement значение Enabled. To enable this, set the ServiceEnforcement to Enabled. Добавлен новый поставщик служб конфигурации AppLocker , что позволяет включать правила AppLocker, используя сервер MDM. A new AppLocker configuration service provider was add to allow you to enable AppLocker rules by using an MDM server. Для управления устройствами с Windows 10 Mobile можно использовать новый AppLocker CSP. You can manage Windows 10 Mobile devices by using the new AppLocker CSP. BitLocker BitLocker Новые возможности BitLocker в Windows 10 (версия 1511) New BitLocker features in Windows 10, version 1511 Алгоритм шифрования XTS-AES. XTS-AES encryption algorithm. BitLocker теперь поддерживает алгоритм шифрования XTS-AES. BitLocker now supports the XTS-AES encryption algorithm. XTS-AES обеспечивает дополнительный уровень защиты от атак на систему шифрования, которые заключаются в манипулировании текстом шифра так, что это вызывает предсказуемые изменения в обычном тексте. XTS-AES provides additional protection from a class of attacks on encryption that rely on manipulating cipher text to cause predictable changes in plain text. BitLocker поддерживает и 128-разрядные, и 256-разрядные ключи XTS-AES. BitLocker supports both 128-bit and 256-bit XTS-AES keys. Это обеспечивает следующие преимущества: It provides the following benefits: Соответствие требованиям FIPS. The algorithm is FIPS-compliant. Простота администрирования. Easy to administer. Возможность использования мастера BitLocker, команды manage-bde, групповой политики, политики MDM, Windows PowerShell или WMI для управления алгоритмом на устройствах организации. You can use the BitLocker Wizard, manage-bde, Group Policy, MDM policy, Windows PowerShell, or WMI to manage it on devices in your organization. Зашифрованные с помощью алгоритма XTS-AES диски недоступны в предыдущих версиях Windows. Drives encrypted with XTS-AES will not be accessible on older version of Windows. Этот алгоритм рекомендуется использовать только для фиксированных дисков и дисков с ОС. This is only recommended for fixed and operating system drives. Со съемными носителями требуется и впредь использовать 128-разрядные или 256-разрядные алгоритмы AES-CBC. Removable drives should continue to use the AES-CBC 128-bit or AES-CBC 256-bit algorithms. Новые функции BitLocker в Windows 10 версии 1507 New BitLocker features in Windows 10, version 1507 Шифрование и восстановление устройства с помощью Azure Active Directory. Encrypt and recover your device with Azure Active Directory. Помимо использования учетной записи Майкрософт, автоматическое Шифрование устройства теперь может шифровать устройства, которые присоединены к домену Azure Active Directory. In addition to using a Microsoft Account, automatic Device Encryption can now encrypt your devices that are joined to an Azure Active Directory domain. Если устройство зашифровано, ключ восстановления BitLocker автоматически передается на хранение в Azure Active Directory. When the device is encrypted, the BitLocker recovery key is automatically escrowed to Azure Active Directory. Это упрощает восстановление ключа BitLocker в Интернете. This will make it easier to recover your BitLocker key online. Защита портов прямого доступа к памяти (DMA). DMA port protection. Политику MDM DataProtection/AllowDirectMemoryAccess можно использовать для блокировки портов DMA при запуске устройства. You can use the DataProtection/AllowDirectMemoryAccess MDM policy to block DMA ports when the device is starting up. Кроме того, когда устройство заблокировано, неиспользуемые порты DMA выключены, но все устройства, которые уже подключены к портам DMA, продолжают работать. Also, when a device is locked, all unused DMA ports are turned off, but any devices that are already plugged into a DMA port will continue to work. После разблокировки устройства все порты DMA снова включаются. When the device is unlocked, all DMA ports are turned back on. Новая групповая политика по настройке предзагрузочного восстановления. New Group Policy for configuring pre-boot recovery. Теперь вы можете настроить предзагрузочное сообщение восстановления и URL-адрес восстановления, которые отображаются на предзагрузочном экране восстановления. You can now configure the pre-boot recovery message and recover URL that is shown on the pre-boot recovery screen. Дополнительные сведения см. в разделе Настройка предзагрузочного сообщения и URL-адреса восстановления в статье «Параметры групповой политики BitLocker». For more info, see the Configure pre-boot recovery message and URL section in «BitLocker Group Policy settings.» Credential Guard Credential Guard Новые возможности Credential Guard в Windows 10 (версия 1511) New Credential Guard features in Windows 10, version 1511 Поддержка диспетчера учетных данных. Credential Manager support. Учетные данные, хранимые в диспетчере учетных данных, включая учетные данные домена, защищаются с помощью Credential Guard на следующих условиях: Credentials that are stored with Credential Manager, including domain credentials, are protected with Credential Guard with the following considerations: Учетные данные, сохраненные протоколом удаленного рабочего стола, использовать невозможно. Credentials that are saved by the Remote Desktop Protocol cannot be used. Сотрудники организации могут вручную сохранять учетные данные в диспетчере учетных данных в качестве универсальных учетных данных. Employees in your organization can manually store credentials in Credential Manager as generic credentials. Приложения, извлекающие учетные данные домена из диспетчера учетных данных с помощью недокументированных API, больше не смогут использовать эти сохраненные и извлеченные учетные данные. Applications that extract derived domain credentials using undocumented APIs from Credential Manager will no longer be able to use those saved derived credentials. Невозможно восстановить учетные данные с помощью панели управления диспетчера учетных данных, если резервная копия учетных данных создана с ПК с включенным Credential Guard. You cannot restore credentials using the Credential Manager control panel if the credentials were backed up from a PC that has Credential Guard turned on. Если необходимо создать резервную копию учетных данных, это нужно сделать до включения Credential Guard. If you need to back up your credentials, you must do this before you enable Credential Guard. В противном случае восстановить эти учетные данные будет невозможно. Otherwise, you won’t be able to restore those credentials. Включение Credential Guard без блокировки UEFI. Enable Credential Guard without UEFI lock. Включить Credential Guard можно с помощью реестра. You can enable Credential Guard by using the registry. Это позволяет отключать Credential Guard удаленно. This allows you to disable Credential Guard remotely. Однако рекомендуется включать Credential Guard с блокировкой UEFI. However, we recommend that Credential Guard is enabled with UEFI lock. Это можно настроить с помощью групповой политики. You can configure this by using Group Policy. Делегирование учетных данных CredSSP/TsPkg. CredSSP/TsPkg credential delegation. Если Credential Guard включен, пакет CredSSP/TsPkg не может делегировать учетные данные по умолчанию. CredSSP/TsPkg cannot delegate default credentials when Credential Guard is enabled. Более простое управление сертификатами Easier certificate management Для устройств на основе Windows 10 можно использовать сервер MDM, чтобы напрямую развертывать сертификаты проверки подлинности клиента с помощью PFX, а также выполнять регистрацию с помощью протокола SCEP, в т. ч. сертификаты по включению Windows Hello для бизнеса в вашей организации. For Windows 10-based devices, you can use your MDM server to directly deploy client authentication certificates using Personal Information Exchange (PFX), in addition to enrolling using Simple Certificate Enrollment Protocol (SCEP), including certificates to enable Windows Hello for Business in your enterprise. Вы сможете использовать MDM для регистрации, обновления и удаления сертификатов. You’ll be able to use MDM to enroll, renew, and delete certificates. Как и в Windows Phone 8.1, вы можете использовать приложение Сертификаты для просмотра сведений о сертификатах на своем устройстве. As in Windows Phone 8.1, you can use the Certificates app to review the details of certificates on your device. Узнайте, как установить цифровые сертификаты в Windows 10 Mobile. Learn how to install digital certificates on Windows 10 Mobile. Microsoft Passport Microsoft Passport В Windows 10 служба Microsoft Passport заменяет пароли на строгую двухфакторную проверку подлинности, включающую зарегистрированное устройство и Windows Hello (биометрия) или PIN-код. In Windows 10, Microsoft Passport replaces passwords with strong two-factor authentication that consists of an enrolled device and a Windows Hello (biometric) or PIN. Microsoft Passport позволяет пользователю проводить проверку подлинности своей учетной записи Майкрософт, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (AD) или сторонней службы (не Майкрософт), которая поддерживает проверку подлинности Fast ID Online (FIDO) . Microsoft Passport lets users authenticate to a Microsoft account, an Active Directory account, a Microsoft Azure Active Directory (AD) account, or non-Microsoft service that supports Fast ID Online (FIDO) authentication. После начальной двухэтапной проверки при регистрации в Microsoft Passport на устройстве пользователя настраивается служба Microsoft Passport и пользователь определяет жест, который может быть Windows Hello или PIN-кодом. After an initial two-step verification during Microsoft Passport enrollment, a Microsoft Passport is set up on the user’s device and the user sets a gesture, which can be Windows Hello or a PIN. Пользователь делает жест для проверки своего удостоверения, после чего Windows использует Microsoft Passport для проверки подлинности пользователя и предоставления доступа к защищенным ресурсам и службам. The user provides the gesture to verify identity; Windows then uses Microsoft Passport to authenticate users and help them to access protected resources and services. Аудит безопасности Security auditing Новые функции аудита безопасности в Windows 10 (версия 1511) New Security auditing features in Windows 10, version 1511 Поставщики служб конфигурации WindowsSecurityAuditing и Reporting позволяют добавлять политики аудита безопасности на мобильные устройства. The WindowsSecurityAuditing and Reporting configuration service providers allow you to add security audit policies to mobile devices. Новые возможности в Windows 10 версии 1507 New features in Windows 10, version 1507 В Windows 10 реализован ряд улучшений аудита безопасности: In Windows 10, security auditing has added some improvements: новые подкатегории аудита; New audit subcategories В Windows 10 в конфигурацию расширенной политики аудита добавлены две новые подкатегории аудита для большей детализации событий аудита. In Windows 10, two new audit subcategories were added to the Advanced Audit Policy Configuration to provide greater granularity in audit events: Подкатегория Членство в группе аудита, расположенная в категории «Вход/выход», позволяет отслеживать изменения членства в группах в маркере входа пользователя. Audit Group Membership Found in the Logon/Logoff audit category, the Audit Group Membership subcategory allows you to audit the group membership information in a user’s logon token. События в этой подкатегории создаются при перечислении или запросе членства в группах на компьютере, на котором был создан сеанс входа в систему. Events in this subcategory are generated when group memberships are enumerated or queried on the PC where the logon session was created. Для интерактивного входа в систему событие аудита безопасности создается на компьютере, на котором пользователь вошел в систему. For an interactive logon, the security audit event is generated on the PC that the user logged on to. Для сетевого входа, например при доступе к общей папке в сети, событие аудита безопасности создается на компьютере, на котором размещен ресурс. For a network logon, such as accessing a shared folder on the network, the security audit event is generated on the PC hosting the resource. Если этот параметр настроен, одно или несколько событий аудита безопасности формируются для каждого успешного входа. When this setting is configured, one or more security audit events are generated for each successful logon. Также необходимо включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/выход. You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий. Multiple events are generated if the group membership information cannot fit in a single security audit event. Подкатегория Аудит активности PNP, расположенная в категории «Подробное отслеживание», позволяет отслеживать обнаружение внешнего устройства Plug and Play. Audit PNP Activity Found in the Detailed Tracking category, the Audit PNP Activity subcategory allows you to audit when plug and play detects an external device. Для этой категории записываются только успешные операции аудита. Only Success audits are recorded for this category. Если не настраивать этот параметр политики, событие аудита не создается при обнаружении внешнего устройства Plug and Play. If you do not configure this policy setting, no audit event is generated when an external device is detected by plug and play. Событие аудита PnP можно использовать для отслеживания изменений в системном оборудовании. Оно регистрируется на компьютере, где произошло изменение. A PnP audit event can be used to track down changes in system hardware and will be logged on the PC where the change took place. Список идентификаторов поставщиков оборудования включается в событие. A list of hardware vendor IDs are included in the event. дополнительные сведения для имеющихся событий аудита. More info added to existing audit events В Windows 10 (версия 1507) мы добавили больше информации в имеющиеся события аудита, чтобы упростить получение полного журнала аудита и поиск сведений, необходимых для защиты вашей организации. With Windows 10, version 1507, we’ve added more info to existing audit events to make it easier for you to put together a full audit trail and come away with the information you need to protect your enterprise. Дополнены следующие события аудита: Improvements were made to the following audit events: изменена политика аудита ядра по умолчанию; Changed the kernel default audit policy В предыдущих выпусках ядро использовало подсистему LSA для получения сведений из некоторых событий. In previous releases, the kernel depended on the Local Security Authority (LSA) to retrieve info in some of its events. В Windows 10 политика аудита событий создания процесса по умолчанию включена, пока фактическая политика аудита не будет получена от LSA. In Windows 10, the process creation events audit policy is automatically enabled until an actual audit policy is received from LSA. Это улучшает аудит служб, которые могут запускаться до активации подсистемы LSA. This results in better auditing of services that may start before LSA starts. процесс SACL по умолчанию добавлен в LSASS.exe; Added a default process SACL to LSASS.exe В Windows 10 процесс SACL по умолчанию был добавлен в LSASS.exe для регистрации процессов, пытающихся получить доступ к LSASS.exe. In Windows 10, a default process SACL was added to LSASS.exe to log processes attempting to access LSASS.exe. Этот SACL — L»S:(AU;SAFA;0x0010;;;WD)». The SACL is L»S:(AU;SAFA;0x0010;;;WD)». Этот параметр можно включить в разделе Конфигурация расширенной политики аудита\Доступ к объектам\Аудит объектов ядра. You can enable this under Advanced Audit Policy Configuration\Object Access\Audit Kernel Object. Это помогает определить атаки, которые крадут учетные данные из памяти процесса. This can help identify attacks that steal credentials from the memory of a process. Новые поля в событии входа New fields in the logon event Событие входа 4624 теперь содержит более подробные сведения, что упрощает его анализ. The logon event ID 4624 has been updated to include more verbose information to make them easier to analyze. В событие 4624 добавлены следующие поля. The following fields have been added to event 4624: Строка MachineLogon: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись компьютера, в поле будет указано «да». MachineLogon String: yes or no If the account that logged into the PC is a computer account, this field will be yes. В противном случае — «нет». Otherwise, the field is no. Строка ElevatedToken: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись администратора, в поле будет указано «да». ElevatedToken String: yes or no If the account that logged into the PC is an administrative logon, this field will be yes. В противном случае — «нет». Otherwise, the field is no. Кроме того, если данная учетная запись представляет собой часть разделенного маркера, также будет отображаться связанный идентификатор входа (LSAP_LOGON_SESSION). Additionally, if this is part of a split token, the linked login ID (LSAP_LOGON_SESSION) will also be shown. Строка TargetOutboundUserName, строка TargetOutboundUserDomain. Имя пользователя и домен удостоверения, созданного методом LogonUser для исходящего трафика. TargetOutboundUserName String TargetOutboundUserDomain String The username and domain of the identity that was created by the LogonUser method for outbound traffic. Строка VirtualAccount: да или нет. Если учетная запись, использованная для входа на компьютер, — это виртуальная учетная запись, в поле будет указано «да». VirtualAccount String: yes or no If the account that logged into the PC is a virtual account, this field will be yes. В противном случае — «нет». Otherwise, the field is no. Строка GroupMembership. Список всех групп в маркере пользователя. GroupMembership String A list of all of the groups in the user’s token. Строка RestrictedAdminMode: да или нет. Если пользователь входит на компьютер в ограниченном режиме администратора с помощью удаленного рабочего стола, в поле будет указано «да». RestrictedAdminMode String: yes or no If the user logs into the PC in restricted admin mode with Remote Desktop, this field will be yes. Дополнительные сведения об ограниченном режиме администратора см. в разделе Ограниченный режим администратора для протокола удаленного рабочего стола. For more information about restricted admin mode, see Restricted Admin mode for RDP. Новые поля в событии создания процесса New fields in the process creation event Событие входа 4688 теперь содержит более подробные сведения, что упрощает его анализ. The logon event ID 4688 has been updated to include more verbose information to make them easier to analyze. В событие 4688 добавлены следующие поля. The following fields have been added to event 4688: Строка TargetUserSid. Идентификатор безопасности целевого субъекта. TargetUserSid String The SID of the target principal. Строка TargetUserName. Имя учетной записи целевого пользователя. TargetUserName String The account name of the target user. Строка TargetDomainName. Домен целевого пользователя. TargetDomainName String The domain of the target user.. Строка TargetLogonId. Идентификатор входа целевого пользователя. TargetLogonId String The logon ID of the target user. Строка ParentProcessName. Имя процесса-автора. ParentProcessName String The name of the creator process. Строка ParentProcessId. Указатель на фактический родительский процесс, если он отличается от процесса-автора. ParentProcessId String A pointer to the actual parent process if it’s different from the creator process. Новые события диспетчера учетных записей безопасности New Security Account Manager events В Windows 10 появились новые события SAM для отслеживания интерфейсов API SAM, которые выполняют операции чтения и запроса. In Windows 10, new SAM events were added to cover SAM APIs that perform read/query operations. В предыдущих версиях Windows отслеживались только операции записи. In previous versions of Windows, only write operations were audited. Новые события — 4798 и 4799. The new events are event ID 4798 and event ID 4799. Теперь отслеживаются следующие интерфейсы API: The following APIs are now audited: SamrEnumerateGroupsInDomain SamrEnumerateGroupsInDomain SamrEnumerateUsersInDomain SamrEnumerateUsersInDomain SamrEnumerateAliasesInDomain SamrEnumerateAliasesInDomain SamrGetAliasMembership SamrGetAliasMembership SamrLookupNamesInDomain SamrLookupNamesInDomain SamrLookupIdsInDomain SamrLookupIdsInDomain SamrQueryInformationUser SamrQueryInformationUser SamrQueryInformationGroup SamrQueryInformationGroup SamrQueryInformationUserAlias SamrQueryInformationUserAlias SamrGetMembersInGroup SamrGetMembersInGroup SamrGetMembersInAlias SamrGetMembersInAlias SamrGetUserDomainPasswordInformation SamrGetUserDomainPasswordInformation Новые события BCD New BCD events Событие 4826 добавлено для отслеживания следующих изменений в базе данных конфигурации загрузки (BCD): Event ID 4826 has been added to track the following changes to the Boot Configuration Database (BCD): Параметры DEP/NEX DEP/NEX settings Тестовая подпись Test signing Эмуляция PCAT SB PCAT SB simulation Отладка Debug Отладка загрузки Boot debug Integrity Services Integrity Services Отключение меню отладки Winload Disable Winload debugging menu Новые события PNP New PNP events Событие 6416 добавлено, чтобы отслеживать обнаружение внешнего устройства с помощью Plug and Play. Event ID 6416 has been added to track when an external device is detected through Plug and Play. Один из важных сценариев можно представить следующим образом: внешнее устройство, содержащее вредоносные программы, вставляется в важный для компании компьютер, который не ожидает такого действия, например в контроллер домена. One important scenario is if an external device that contains malware is inserted into a high-value machine that doesn’t expect this type of action, such as a domain controller. Доверенный платформенный модуль Trusted Platform Module Новые возможности TPM в Windows 10 (версия 1511) New TPM features in Windows 10, version 1511 Поставщики хранилища ключей (KSP) и srvcrypt поддерживают шифрование на основе эллиптических кривых (ECC). Key Storage Providers (KSPs) and srvcrypt support elliptical curve cryptography (ECC). Новые возможности TPM в Windows 10 (версия 1507) New TPM features in Windows 10, version 1507 В следующих разделах описаны новые и измененные функции доверенного платформенного модуля для Windows 10. The following sections describe the new and changed functionality in the TPM for Windows 10: Аттестация работоспособности устройства Device health attestation Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. Device health attestation enables enterprises to establish trust based on hardware and software components of a managed device. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства. With device health attestation, you can configure an MDM server to query a health attestation service that will allow or deny a managed device access to a secure resource. На устройстве можно проверить следующее. Some things that you can check on the device are: Предотвращение выполнения данных поддерживается и включено? Is Data Execution Prevention supported and enabled? Шифрование диска BitLocker поддерживается и включено? Is BitLocker Drive Encryption supported and enabled? Безопасная загрузка поддерживается и включена? Is SecureBoot supported and enabled? Устройство должно работать под управлением Windows10 и должно поддерживать хотя бы TPM 2.0. The device must be running Windows 10 and it must support at least TPM 2.0. Контроль учетных записей User Account Control Контроль учетных записей (UAC) позволяет предотвратить повреждение компьютера вредоносным ПО и помогает развернуть в организации более управляемую настольную среду. User Account Control (UAC) helps prevent malware from damaging a computer and helps organizations deploy a better-managed desktop environment. Не следует выключать контроль учетных записей, так как такой сценарий не поддерживается для устройств под управлением Windows 10. You should not turn off UAC because this is not a supported scenario for devices running Windows 10. Если выключить контроль учетных записей, все приложения универсальной платформы Windows перестанут работать. If you do turn off UAC, all Universal Windows Platform apps stop working. Реестр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA всегда должен иметь значение 1. You must always set the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA registry value to 1. Если необходимо обеспечить автоматическое повышение прав для программного доступа или установки, вы можете установить для реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin значение 0, что равнозначно установке ползунка контроля учетных записей в положение «Никогда не уведомлять». If you need to provide auto elevation for programmatic access or installation, you could set the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin registry value to 0, which is the same as setting the UAC slider Never Notify. Подобное действие не рекомендуется выполнять для устройств под управлением Windows 10. This is not recommended for devices running Windows 10. Дополнительные сведения о том, как управлять контролем учетных записей, см. в разделе Параметры групповой политики контроля учетных записей и параметры раздела реестра. For more info about how manage UAC, see UAC Group Policy Settings and Registry Key Settings. В Windows 10 в контроль учетных записей внесены некоторые улучшения. In Windows 10, User Account Control has added some improvements. Новые возможности контроля учетных записей в Windows 10 (версия 1507) New User Account Control features in Windows 10, version 1507 Интеграция с интерфейсом Antimalware Scan Interface (AMSI). Integration with the Antimalware Scan Interface (AMSI). AMSI проверяет все запросы повышения привилегий контроля учетных записей на вредоносность. The AMSI scans all UAC elevation requests for malware. Если обнаружена вредоносная программа, привилегии администратора блокируются. If malware is detected, the admin privilege is blocked. Параметры профиля VPN VPN profile options Windows 10 предоставляет набор функций VPN, которые повышают безопасность предприятия и обеспечивают улучшенное взаимодействие с пользователем, в том числе: Windows 10 provides a set of VPN features that both increase enterprise security and provide an improved user experience, including: автоматическое подключение для обеспечения режима «Постоянное подключение»; Always-on auto connection behavior VPN-подключение, инициируемое приложением; App=triggered VPN фильтры трафика VPN; VPN traffic filters блокировка VPN; Lock down VPN интеграция с Microsoft Passport for Work. Integration with Microsoft Passport for Work Управление Management Windows 10 располагает функциями управления мобильными устройствами (MDM) для компьютеров, ноутбуков, планшетов и телефонов, обеспечивающих управление личными и корпоративными устройствами на уровне предприятия. Windows 10 provides mobile device management (MDM) capabilities for PCs, laptops, tablets, and phones that enable enterprise-level management of corporate-owned and personal devices. Поддержка MDM MDM support Политики MDM для Windows 10 соответствуют политикам, поддерживаемым Windows 8.1. Они расширены для поддержки большего числа корпоративных сценариев, таких как управление несколькими пользователями с учетными записями Microsoft Azure Active Directory (Azure AD), полный контроль над Microsoft Store, конфигурация VPN и др. MDM policies for Windows 10 align with the policies supported in Windows 8.1 and are expanded to address even more enterprise scenarios, such as managing multiple users who have Microsoft Azure Active Directory (Azure AD) accounts, full control over the Microsoft Store, VPN configuration, and more. Поддержка MDM в Windows 10 основана на протоколе управления устройствами (DM) версии 1.2.1 Открытого сообщества производителей мобильной связи (OMA). MDM support in Windows 10 is based on Open Mobile Alliance (OMA) Device Management (DM) protocol 1.2.1 specification. Корпоративные устройства могут регистрироваться автоматически, если организации используют Azure AD. Corporate-owned devices can be enrolled automatically for enterprises using Azure AD. Справочник по управлению мобильными устройствами для Windows 10 Reference for Mobile device management for Windows 10 Отмена регистрации Unenrollment Если пользователь покидает вашу организацию и необходимо отменить регистрацию учетной записи пользователя или устройства для прекращения управления, то конфигурации и приложения, управляемые на корпоративном уровне, удаляются с соответствующего устройства. When a person leaves your organization and you unenroll the user account or device from management, the enterprise-controlled configurations and apps are removed from the device. Вы можете отменить регистрацию устройства удаленно, или пользователь может сделать это, вручную удалив учетную запись с устройства. You can unenroll the device remotely or the person can unenroll by manually removing the account from the device. Если отменяется регистрация личного устройства, данные и приложения пользователя остаются без изменений, тогда как корпоративные данные, такие как сертификаты, профили VPN и корпоративные приложения, удаляются. When a personal device is unenrolled, the user’s data and apps are untouched, while enterprise information such as certificates, VPN profiles, and enterprise apps are removed. Инфраструктура Infrastructure Организации могут выбирать следующие возможности, связанные с удостоверениями и управлением. Enterprises have the following identity and management choices. Область Area Варианты Choices Удостоверение Identity Active Directory; Azure AD Active Directory; Azure AD Группирование Grouping Присоединение к домену, рабочей группе, Azure AD Domain join; Workgroup; Azure AD join Управление устройствами Device management Групповая политика; Microsoft Endpoint Configuration Manager; Microsoft Intune; другие решения MDM; Exchange ActiveSync; Windows PowerShell; инструментарий управления Windows (WMI) Group Policy; Microsoft Endpoint Configuration Manager; Microsoft Intune; other MDM solutions; Exchange ActiveSync; Windows PowerShell; Windows Management Instrumentation (WMI) Примечание. С момента выпуска Windows Server 2012 R2 защита доступа к сети (NAP) является устаревшей технологией и была удалена из Windows 10. Note: With the release of Windows Server 2012 R2, Network Access Protection (NAP) was deprecated and the NAP client has now been removed in Windows 10. Дополнительные сведения о жизненных циклах поддержки см. в разделе Жизненный цикл технической поддержки Microsoft. For more information about support lifecycles, see Microsoft Support Lifecycle. Блокировка устройств Device lockdown Вам нужен компьютер, который предназначен только для решения одной задачи? Do you need a computer that can only do one thing? Например: For example: Устройство в зале ожидания, которое может использоваться клиентами для просмотра вашего каталога продуктов. A device in the lobby that customers can use to view your product catalog. Портативное устройство, которое может использоваться водителями для сверки с маршрутом на карте. A portable device that drivers can use to check a route on a map. Устройство, которое используется стажером для ввода данных. A device that a temporary worker uses to enter data. Вы можете настроить состояние постоянной блокировки для создания устройства-терминала. You can configure a persistent locked down state to create a kiosk-type device. При выполнении входа под зафиксированной учетной записью на устройстве отображается только выбранное приложение. When the locked-down account is logged on, the device displays only the app that you select. Можно также настроить состояние блокировки, которое вступает в силу при выполнении входа под определенной учетной записью пользователя. You can also configure a lockdown state that takes effect when a given user account logs on. Блокировка ограничивает пользователя возможностью выполнения только заданных вами приложений. The lockdown restricts the user to only the apps that you specify. Параметры блокировки также могут быть настроены в соответствии с интерфейсом устройства, например с указанием темы и пользовательской компоновки начального экрана. Lockdown settings can also be configured for device look and feel, such as a theme or a custom layout on the Start screen. Пользовательский макет начального экрана Customized Start layout Стандартный пользовательский начальный экран может быть полезен на устройствах, которыми пользуются несколько человек, а также устройствах, заблокированных с определенной целью. A standard, customized Start layout can be useful on devices that are common to multiple users and devices that are locked down for specialized purposes. Начиная с Windows 10 версии 1511, администраторы могут настраивать частичный макет начального экрана, в котором используются указанные группы плиток, а пользователям при этом предоставляется возможность создавать и настраивать собственные группы плиток. Starting in Windows 10, version 1511, administrators can configure a partial Start layout, which applies specified tile groups while allowing users to create and customize their own tile groups. Узнайте, как настраивать и экспортировать макет начального экрана. Learn how to customize and export Start layout. Администраторы также могут использовать службу управления мобильными устройствами (MDM) или групповую политику для отключения использования функции Windows: интересное на экране блокировки. Administrators can also use mobile device management (MDM) or Group Policy to disable the use of Windows Spotlight on the lock screen. Microsoft Store для бизнеса Microsoft Store for Business Новые возможности в Windows 10 (версия 1511) New in Windows 10, version 1511 Microsoft Store для бизнеса позволяет организациям приобретать приложения для Windows с корпоративной лицензией. With the Microsoft Store for Business, organizations can make volume purchases of Windows apps. В Магазине для бизнеса можно приобрести приложения с учетом специфики организации. Предлагаются гибкие варианты распространения и возможность использования освободившихся лицензий и многократного использования лицензий. The Store for Business provides app purchases based on organizational identity, flexible distribution options, and the ability to reclaim or re-use licenses. Организации могут использовать Магазин для бизнеса для создания собственного магазина для своих сотрудников, где будут размещены приложения из Магазина и внутренние бизнес-приложения. Organizations can also use the Store for Business to create a private store for their employees that includes apps from the Store, as well private Line-of-Business (LOB) apps. Обновления Updates Центр обновления Windows для бизнеса позволяет ИТ-администраторам поддерживать устройства под управлением Windows 10 в организации в актуальном состоянии (имеются в виду новейшие версии механизмов обеспечения безопасности и компонентов Windows) путем непосредственного подключения этих систем к службе Центра обновления Windows корпорации Microsoft. Windows Update for Business enables information technology administrators to keep the Windows 10-based devices in their organization always up to date with the latest security defenses and Windows features by directly connecting these systems to Microsoft’s Windows Update service. Благодаря объектам групповой политикиЦентр обновления Windows для бизнеса представляет собой простую в установке и внедрении систему, которая позволяет организациям и администраторам осуществлять контроль над обновлением устройств с Windows 10. By using Group Policy Objects, Windows Update for Business is an easily established and implemented system which enables organizations and administrators to exercise control on how their Windows 10-based devices are updated, by allowing: Группы развертывания и проверки: здесь администраторы могут указать, какие устройства обновляются первыми, а какие— после (чтобы обеспечить соблюдение требований по качеству). Deployment and validation groups; where administrators can specify which devices go first in an update wave, and which devices will come later (to ensure any quality bars are met). Одноранговая доставка: администраторы могут воспользоваться этой функцией для эффективной доставки обновлений в офисы филиалов и на удаленные объекты (с ограниченной пропускной способностью). Peer-to-peer delivery, which administrators can enable to make delivery of updates to branch offices and remote sites with limited bandwidth very efficient. Используйте с существующими средствами, такими как Microsoft Endpoint Manager и Корпоративный набор мобильности. Use with existing tools such as Microsoft Endpoint Manager and the Enterprise Mobility Suite. Совокупность этих возможностей Центра обновления Windows для бизнеса позволяет снизить затраты на управление устройствами, наладить контроль над развертыванием обновлений, обеспечить более быструю доступность обновлений для системы безопасности и новейших инноваций Майкрософт на постоянной основе. Together, these Windows Update for Business features help reduce device management costs, provide controls over update deployment, offer quicker access to security updates, as well as provide access to the latest innovations from Microsoft on an ongoing basis. Центр обновления Windows для бизнеса — это бесплатная служба для всех выпусков Windows 10 Pro, Корпоративная и Windows 10 для образовательных учреждений. Эту службу можно использовать отдельно или совместно с существующими решениями для управления устройствами, такими как Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. Windows Update for Business is a free service for all Windows 10 Pro, Enterprise, and Education editions, and can be used independent of, or in conjunction with, existing device management solutions such as Windows Server Update Services (WSUS) and Microsoft Endpoint Configuration Manager. Дополнительные сведения об обновлении Windows 10 см. в статье Введение в вопросы обслуживания Windows 10. For more information about updating Windows 10, see Windows 10 servicing options for updates and upgrades. Microsoft Edge Microsoft Edge Microsoft Edge позволяет не просто просматривать веб-страницы, но и активно взаимодействовать с сетью с помощью таких функций, как веб-заметки, режим чтения и Кортана. Microsoft Edge takes you beyond just browsing to actively engaging with the web through features like Web Note, Reading View, and Cortana. Веб-заметки. Web Note. Microsoft Edge позволяет добавлять примечания и выделять элементы прямо на веб-страницах. Microsoft Edge lets you annotate, highlight, and call things out directly on webpages. Режим чтения. Reading view. В Microsoft Edge можно читать и распечатывать интернет-статьи в представлении, не содержащем отвлекающих элементов и оптимизированном для размера экрана. Microsoft Edge lets you enjoy and print online articles in a distraction-free layout that’s optimized for your screen size. В режиме чтения можно также сохранять веб-страницы или PDF-файлы в списке для чтения, чтобы вернуться к ним позднее. While in reading view, you can also save webpages or PDF files to your reading list, for later viewing. Кортана. Cortana. Кортана автоматически включается в Microsoft Edge. Cortana is automatically enabled on Microsoft Edge. Microsoft Edge позволяет выделять слова для получения дополнительной информации, а также, например, одним нажатием кнопки забронировать столик в ресторане и прочитать отзывы, оставаясь на текущей веб-странице. Microsoft Edge lets you highlight words for more info and gives you one-click access to things like restaurant reservations and reviews, without leaving the webpage. Совместимость и безопасность. Compatibility and security. Microsoft Edge по-прежнему позволяет использовать IE11 для сайтов в корпоративной интрасети или сайтов, входящих в список сайтов режима предприятия. Microsoft Edge lets you continue to use IE11 for sites that are on your corporate intranet or that are included on your Enterprise Mode Site List. IE11 требуется для запуска устаревших, менее безопасных технологий, таких как элементы ActiveX. You must use IE11 to run older, less secure technology, such as ActiveX controls. Руководство для предприятий Enterprise guidance Microsoft Edge — браузер по умолчанию для Windows 10 и Windows 10 Mobile. Microsoft Edge is the default browser experience for Windows 10 and Windows 10 Mobile. Однако для веб-приложений, которым требуются элементы ActiveX, рекомендуется по-прежнему использовать Internet Explorer 11. However, if you’re running web apps that need ActiveX controls, we recommend that you continue to use Internet Explorer 11 for them. Если вы удалили браузер Internet Explorer 11, его можно скачать из Microsoft Store или со страницы загрузки Internet Explorer 11. If you don’t have IE11 installed anymore, you can download it from the Microsoft Store or from the Internet Explorer 11 download page. Также рекомендуется выполнить обновление до IE11, если вы используете более ранние версии Internet Explorer. We also recommend that you upgrade to IE11 if you’re running any earlier versions of Internet Explorer. IE11 поддерживается в Windows 7, Windows 8.1 и Windows 10. IE11 is supported on Windows 7, Windows 8.1, and Windows 10. Поэтому все прежние приложения, работающие с IE11, будут работать и после перехода на Windows 10. So any legacy apps that work with IE11 will continue to work even as you migrate to Windows 10.
  2. Windows 10 1507 Pro 10240.17443.th1 SZ by Lopatkin (x86-x64) (2018) Год выпуска: 2018 Версия: Windows 10Pro 10240.17443 Платформа: x86-x64 Автор сборки: lopatkin CPU — 1 ggz RAM — 1-2 gb HDD — 3-5 gb Video — c DirectX 9.0 Display — 1024 x 768 Язык интерфейса: русский Максимально облегченные сборки Pro 10240.17443, только для ПК, с Framework 3.5, но без магазина, EDGE, xBox, камеры, сенсорной и экранной клавиатур, речи рукописи, остальных метро приложений, Cortana, Defender, облака, телеметрии, кешей браузера, плеера, winsxs. Включены ASP.NET 4.5, DirectPlay, поддержка разработчиков и технических специалистов. Драйверы на модемы (кроме базовых и Nokia), принтеры (кроме HP, GE, OLED, MS), сенсорная и экранная клавиатуры, речь, рукопись, магазин, xBox, все метро приложения, Cortana, Defender, облако, IIS, IME, InputMethod, Hyper-V, migwiz, восстановление, остальные языки и азиатские шрифты, заставки, нативе, кеши браузера, плеера, winsxs. Включены Framework 3.5, DirectPlay, ASP.NET 4.5. Подкачка отключена, UAC на минимуме, гибернация по умолчанию, печать на ручном. Перед установкой принтера поставьте на Автомат и запустите Диспетчера печати. Поиск сторонними программами. Установка с DVD или подготовленной флешки (просто извлечь содержимое образа на подготовленную флешку FAT32) из под BIOS по «Press any key to BootCD. «, вчистую, обновиться нельзя, ключ для установки не требуется, активация KMS. На столе Restart.cmd, запуск от имени Админа, будет удалено облако из автозапуска, отключены гибернация, UAC, центр обнов и фоновая интеллектуальная службы, очищены все логи, добавлен пункт в меню запуска по F8 «Включить последнюю удачную конфигурацию», выполнен перезапуск. Можно работать. Сборка, как и все предыдущие и последующие, не преследует никаких коммерческих целей. Сборка выпущена в целях ознакомления с возможностями старых и новых Windows систем разработанных MS. Поэтому за всё использование данного программного обеспечения автор ответственности не несет. Сборка выпущена «КАК ЕСТЬ» и скачивается Вами по собственному желанию и на свой страх и риск. Что нового в Windows 10 версии 1507 и 1511 для ИТ-специалистов What’s new in Windows 10, versions 1507 and 1511 for IT Pros Ниже приведен список некоторых новых и обновленных функций, включенных в начальный выпуск Windows 10 (версия 1507) и обновление Windows 10 до версии 1511. Below is a list of some of the new and updated features included in the initial release of Windows 10 (version 1507) and the Windows 10 update to version 1511. Сведения о датах выпусков и типах обслуживания каждой версии см. в статье Информация о выпуске Windows 10. For release dates and servicing options for each version, see Windows 10 release information. Развертывание Deployment Подготовка устройств с помощью конструктора образов и конфигураций Windows (ICD) Provisioning devices using Windows Imaging and Configuration Designer (ICD) В Windows 10 можно создавать пакеты подготовки, позволяющие быстро и эффективно настраивать устройство без установки нового образа. With Windows 10, you can create provisioning packages that let you quickly and efficiently configure a device without having to install a new image. Подготовка Windows помогает ИТ-администраторам настраивать устройства конечных пользователей без создания образов. Windows provisioning makes it easy for IT administrators to configure end-user devices without imaging. Используя подготовку Windows, ИТ-администратор может легко указать желаемую конфигурацию и параметры, необходимые для регистрации устройства в системе управления (через пользовательский интерфейс при помощи мастера), а затем применить эту конфигурацию для целевых устройств за считанные минуты. Using Windows Provisioning, an IT administrator can easily specify desired configuration and settings required to enroll the devices into management (through a wizard-driven user interface) and then apply that configuration to target devices in a matter of minutes. Этот вариант лучше всего подходит для компаний малого и среднего бизнеса, развертывающих от нескольких десятков до нескольких сотен компьютеров. It is best suited for small- to medium-sized businesses with deployments that range from tens to a few hundred computers. Безопасность Security AppLocker AppLocker Новые функции AppLocker в Windows 10 версии 1507 New AppLocker features in Windows 10, version 1507 В командлет Windows PowerShell New-AppLockerPolicy был добавлен новый параметр, позволяющий выбирать, применяются ли коллекции правил для исполняемых файлов и библиотек DLL к неинтерактивным процессам. A new parameter was added to the New-AppLockerPolicy Windows PowerShell cmdlet that lets you choose whether executable and DLL rule collections apply to non-interactive processes. Для включения этой функции задайте для параметра ServiceEnforcement значение Enabled. To enable this, set the ServiceEnforcement to Enabled. Добавлен новый поставщик служб конфигурации AppLocker , что позволяет включать правила AppLocker, используя сервер MDM. A new AppLocker configuration service provider was add to allow you to enable AppLocker rules by using an MDM server. Для управления устройствами с Windows 10 Mobile можно использовать новый AppLocker CSP. You can manage Windows 10 Mobile devices by using the new AppLocker CSP. BitLocker BitLocker Новые возможности BitLocker в Windows 10 (версия 1511) New BitLocker features in Windows 10, version 1511 Алгоритм шифрования XTS-AES. XTS-AES encryption algorithm. BitLocker теперь поддерживает алгоритм шифрования XTS-AES. BitLocker now supports the XTS-AES encryption algorithm. XTS-AES обеспечивает дополнительный уровень защиты от атак на систему шифрования, которые заключаются в манипулировании текстом шифра так, что это вызывает предсказуемые изменения в обычном тексте. XTS-AES provides additional protection from a class of attacks on encryption that rely on manipulating cipher text to cause predictable changes in plain text. BitLocker поддерживает и 128-разрядные, и 256-разрядные ключи XTS-AES. BitLocker supports both 128-bit and 256-bit XTS-AES keys. Это обеспечивает следующие преимущества: It provides the following benefits: Соответствие требованиям FIPS. The algorithm is FIPS-compliant. Простота администрирования. Easy to administer. Возможность использования мастера BitLocker, команды manage-bde, групповой политики, политики MDM, Windows PowerShell или WMI для управления алгоритмом на устройствах организации. You can use the BitLocker Wizard, manage-bde, Group Policy, MDM policy, Windows PowerShell, or WMI to manage it on devices in your organization. Зашифрованные с помощью алгоритма XTS-AES диски недоступны в предыдущих версиях Windows. Drives encrypted with XTS-AES will not be accessible on older version of Windows. Этот алгоритм рекомендуется использовать только для фиксированных дисков и дисков с ОС. This is only recommended for fixed and operating system drives. Со съемными носителями требуется и впредь использовать 128-разрядные или 256-разрядные алгоритмы AES-CBC. Removable drives should continue to use the AES-CBC 128-bit or AES-CBC 256-bit algorithms. Новые функции BitLocker в Windows 10 версии 1507 New BitLocker features in Windows 10, version 1507 Шифрование и восстановление устройства с помощью Azure Active Directory. Encrypt and recover your device with Azure Active Directory. Помимо использования учетной записи Майкрософт, автоматическое Шифрование устройства теперь может шифровать устройства, которые присоединены к домену Azure Active Directory. In addition to using a Microsoft Account, automatic Device Encryption can now encrypt your devices that are joined to an Azure Active Directory domain. Если устройство зашифровано, ключ восстановления BitLocker автоматически передается на хранение в Azure Active Directory. When the device is encrypted, the BitLocker recovery key is automatically escrowed to Azure Active Directory. Это упрощает восстановление ключа BitLocker в Интернете. This will make it easier to recover your BitLocker key online. Защита портов прямого доступа к памяти (DMA). DMA port protection. Политику MDM DataProtection/AllowDirectMemoryAccess можно использовать для блокировки портов DMA при запуске устройства. You can use the DataProtection/AllowDirectMemoryAccess MDM policy to block DMA ports when the device is starting up. Кроме того, когда устройство заблокировано, неиспользуемые порты DMA выключены, но все устройства, которые уже подключены к портам DMA, продолжают работать. Also, when a device is locked, all unused DMA ports are turned off, but any devices that are already plugged into a DMA port will continue to work. После разблокировки устройства все порты DMA снова включаются. When the device is unlocked, all DMA ports are turned back on. Новая групповая политика по настройке предзагрузочного восстановления. New Group Policy for configuring pre-boot recovery. Теперь вы можете настроить предзагрузочное сообщение восстановления и URL-адрес восстановления, которые отображаются на предзагрузочном экране восстановления. You can now configure the pre-boot recovery message and recover URL that is shown on the pre-boot recovery screen. Дополнительные сведения см. в разделе Настройка предзагрузочного сообщения и URL-адреса восстановления в статье «Параметры групповой политики BitLocker». For more info, see the Configure pre-boot recovery message and URL section in «BitLocker Group Policy settings.» Credential Guard Credential Guard Новые возможности Credential Guard в Windows 10 (версия 1511) New Credential Guard features in Windows 10, version 1511 Поддержка диспетчера учетных данных. Credential Manager support. Учетные данные, хранимые в диспетчере учетных данных, включая учетные данные домена, защищаются с помощью Credential Guard на следующих условиях: Credentials that are stored with Credential Manager, including domain credentials, are protected with Credential Guard with the following considerations: Учетные данные, сохраненные протоколом удаленного рабочего стола, использовать невозможно. Credentials that are saved by the Remote Desktop Protocol cannot be used. Сотрудники организации могут вручную сохранять учетные данные в диспетчере учетных данных в качестве универсальных учетных данных. Employees in your organization can manually store credentials in Credential Manager as generic credentials. Приложения, извлекающие учетные данные домена из диспетчера учетных данных с помощью недокументированных API, больше не смогут использовать эти сохраненные и извлеченные учетные данные. Applications that extract derived domain credentials using undocumented APIs from Credential Manager will no longer be able to use those saved derived credentials. Невозможно восстановить учетные данные с помощью панели управления диспетчера учетных данных, если резервная копия учетных данных создана с ПК с включенным Credential Guard. You cannot restore credentials using the Credential Manager control panel if the credentials were backed up from a PC that has Credential Guard turned on. Если необходимо создать резервную копию учетных данных, это нужно сделать до включения Credential Guard. If you need to back up your credentials, you must do this before you enable Credential Guard. В противном случае восстановить эти учетные данные будет невозможно. Otherwise, you won’t be able to restore those credentials. Включение Credential Guard без блокировки UEFI. Enable Credential Guard without UEFI lock. Включить Credential Guard можно с помощью реестра. You can enable Credential Guard by using the registry. Это позволяет отключать Credential Guard удаленно. This allows you to disable Credential Guard remotely. Однако рекомендуется включать Credential Guard с блокировкой UEFI. However, we recommend that Credential Guard is enabled with UEFI lock. Это можно настроить с помощью групповой политики. You can configure this by using Group Policy. Делегирование учетных данных CredSSP/TsPkg. CredSSP/TsPkg credential delegation. Если Credential Guard включен, пакет CredSSP/TsPkg не может делегировать учетные данные по умолчанию. CredSSP/TsPkg cannot delegate default credentials when Credential Guard is enabled. Более простое управление сертификатами Easier certificate management Для устройств на основе Windows 10 можно использовать сервер MDM, чтобы напрямую развертывать сертификаты проверки подлинности клиента с помощью PFX, а также выполнять регистрацию с помощью протокола SCEP, в т. ч. сертификаты по включению Windows Hello для бизнеса в вашей организации. For Windows 10-based devices, you can use your MDM server to directly deploy client authentication certificates using Personal Information Exchange (PFX), in addition to enrolling using Simple Certificate Enrollment Protocol (SCEP), including certificates to enable Windows Hello for Business in your enterprise. Вы сможете использовать MDM для регистрации, обновления и удаления сертификатов. You’ll be able to use MDM to enroll, renew, and delete certificates. Как и в Windows Phone 8.1, вы можете использовать приложение Сертификаты для просмотра сведений о сертификатах на своем устройстве. As in Windows Phone 8.1, you can use the Certificates app to review the details of certificates on your device. Узнайте, как установить цифровые сертификаты в Windows 10 Mobile. Learn how to install digital certificates on Windows 10 Mobile. Microsoft Passport Microsoft Passport В Windows 10 служба Microsoft Passport заменяет пароли на строгую двухфакторную проверку подлинности, включающую зарегистрированное устройство и Windows Hello (биометрия) или PIN-код. In Windows 10, Microsoft Passport replaces passwords with strong two-factor authentication that consists of an enrolled device and a Windows Hello (biometric) or PIN. Microsoft Passport позволяет пользователю проводить проверку подлинности своей учетной записи Майкрософт, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (AD) или сторонней службы (не Майкрософт), которая поддерживает проверку подлинности Fast ID Online (FIDO) . Microsoft Passport lets users authenticate to a Microsoft account, an Active Directory account, a Microsoft Azure Active Directory (AD) account, or non-Microsoft service that supports Fast ID Online (FIDO) authentication. После начальной двухэтапной проверки при регистрации в Microsoft Passport на устройстве пользователя настраивается служба Microsoft Passport и пользователь определяет жест, который может быть Windows Hello или PIN-кодом. After an initial two-step verification during Microsoft Passport enrollment, a Microsoft Passport is set up on the user’s device and the user sets a gesture, which can be Windows Hello or a PIN. Пользователь делает жест для проверки своего удостоверения, после чего Windows использует Microsoft Passport для проверки подлинности пользователя и предоставления доступа к защищенным ресурсам и службам. The user provides the gesture to verify identity; Windows then uses Microsoft Passport to authenticate users and help them to access protected resources and services. Аудит безопасности Security auditing Новые функции аудита безопасности в Windows 10 (версия 1511) New Security auditing features in Windows 10, version 1511 Поставщики служб конфигурации WindowsSecurityAuditing и Reporting позволяют добавлять политики аудита безопасности на мобильные устройства. The WindowsSecurityAuditing and Reporting configuration service providers allow you to add security audit policies to mobile devices. Новые возможности в Windows 10 версии 1507 New features in Windows 10, version 1507 В Windows 10 реализован ряд улучшений аудита безопасности: In Windows 10, security auditing has added some improvements: новые подкатегории аудита; New audit subcategories В Windows 10 в конфигурацию расширенной политики аудита добавлены две новые подкатегории аудита для большей детализации событий аудита. In Windows 10, two new audit subcategories were added to the Advanced Audit Policy Configuration to provide greater granularity in audit events: Подкатегория Членство в группе аудита, расположенная в категории «Вход/выход», позволяет отслеживать изменения членства в группах в маркере входа пользователя. Audit Group Membership Found in the Logon/Logoff audit category, the Audit Group Membership subcategory allows you to audit the group membership information in a user’s logon token. События в этой подкатегории создаются при перечислении или запросе членства в группах на компьютере, на котором был создан сеанс входа в систему. Events in this subcategory are generated when group memberships are enumerated or queried on the PC where the logon session was created. Для интерактивного входа в систему событие аудита безопасности создается на компьютере, на котором пользователь вошел в систему. For an interactive logon, the security audit event is generated on the PC that the user logged on to. Для сетевого входа, например при доступе к общей папке в сети, событие аудита безопасности создается на компьютере, на котором размещен ресурс. For a network logon, such as accessing a shared folder on the network, the security audit event is generated on the PC hosting the resource. Если этот параметр настроен, одно или несколько событий аудита безопасности формируются для каждого успешного входа. When this setting is configured, one or more security audit events are generated for each successful logon. Также необходимо включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/выход. You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий. Multiple events are generated if the group membership information cannot fit in a single security audit event. Подкатегория Аудит активности PNP, расположенная в категории «Подробное отслеживание», позволяет отслеживать обнаружение внешнего устройства Plug and Play. Audit PNP Activity Found in the Detailed Tracking category, the Audit PNP Activity subcategory allows you to audit when plug and play detects an external device. Для этой категории записываются только успешные операции аудита. Only Success audits are recorded for this category. Если не настраивать этот параметр политики, событие аудита не создается при обнаружении внешнего устройства Plug and Play. If you do not configure this policy setting, no audit event is generated when an external device is detected by plug and play. Событие аудита PnP можно использовать для отслеживания изменений в системном оборудовании. Оно регистрируется на компьютере, где произошло изменение. A PnP audit event can be used to track down changes in system hardware and will be logged on the PC where the change took place. Список идентификаторов поставщиков оборудования включается в событие. A list of hardware vendor IDs are included in the event. дополнительные сведения для имеющихся событий аудита. More info added to existing audit events В Windows 10 (версия 1507) мы добавили больше информации в имеющиеся события аудита, чтобы упростить получение полного журнала аудита и поиск сведений, необходимых для защиты вашей организации. With Windows 10, version 1507, we’ve added more info to existing audit events to make it easier for you to put together a full audit trail and come away with the information you need to protect your enterprise. Дополнены следующие события аудита: Improvements were made to the following audit events: изменена политика аудита ядра по умолчанию; Changed the kernel default audit policy В предыдущих выпусках ядро использовало подсистему LSA для получения сведений из некоторых событий. In previous releases, the kernel depended on the Local Security Authority (LSA) to retrieve info in some of its events. В Windows 10 политика аудита событий создания процесса по умолчанию включена, пока фактическая политика аудита не будет получена от LSA. In Windows 10, the process creation events audit policy is automatically enabled until an actual audit policy is received from LSA. Это улучшает аудит служб, которые могут запускаться до активации подсистемы LSA. This results in better auditing of services that may start before LSA starts. процесс SACL по умолчанию добавлен в LSASS.exe; Added a default process SACL to LSASS.exe В Windows 10 процесс SACL по умолчанию был добавлен в LSASS.exe для регистрации процессов, пытающихся получить доступ к LSASS.exe. In Windows 10, a default process SACL was added to LSASS.exe to log processes attempting to access LSASS.exe. Этот SACL — L»S:(AU;SAFA;0x0010;;;WD)». The SACL is L»S:(AU;SAFA;0x0010;;;WD)». Этот параметр можно включить в разделе Конфигурация расширенной политики аудита\Доступ к объектам\Аудит объектов ядра. You can enable this under Advanced Audit Policy Configuration\Object Access\Audit Kernel Object. Это помогает определить атаки, которые крадут учетные данные из памяти процесса. This can help identify attacks that steal credentials from the memory of a process. Новые поля в событии входа New fields in the logon event Событие входа 4624 теперь содержит более подробные сведения, что упрощает его анализ. The logon event ID 4624 has been updated to include more verbose information to make them easier to analyze. В событие 4624 добавлены следующие поля. The following fields have been added to event 4624: Строка MachineLogon: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись компьютера, в поле будет указано «да». MachineLogon String: yes or no If the account that logged into the PC is a computer account, this field will be yes. В противном случае — «нет». Otherwise, the field is no. Строка ElevatedToken: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись администратора, в поле будет указано «да». ElevatedToken String: yes or no If the account that logged into the PC is an administrative logon, this field will be yes. В противном случае — «нет». Otherwise, the field is no. Кроме того, если данная учетная запись представляет собой часть разделенного маркера, также будет отображаться связанный идентификатор входа (LSAP_LOGON_SESSION). Additionally, if this is part of a split token, the linked login ID (LSAP_LOGON_SESSION) will also be shown. Строка TargetOutboundUserName, строка TargetOutboundUserDomain. Имя пользователя и домен удостоверения, созданного методом LogonUser для исходящего трафика. TargetOutboundUserName String TargetOutboundUserDomain String The username and domain of the identity that was created by the LogonUser method for outbound traffic. Строка VirtualAccount: да или нет. Если учетная запись, использованная для входа на компьютер, — это виртуальная учетная запись, в поле будет указано «да». VirtualAccount String: yes or no If the account that logged into the PC is a virtual account, this field will be yes. В противном случае — «нет». Otherwise, the field is no. Строка GroupMembership. Список всех групп в маркере пользователя. GroupMembership String A list of all of the groups in the user’s token. Строка RestrictedAdminMode: да или нет. Если пользователь входит на компьютер в ограниченном режиме администратора с помощью удаленного рабочего стола, в поле будет указано «да». RestrictedAdminMode String: yes or no If the user logs into the PC in restricted admin mode with Remote Desktop, this field will be yes. Дополнительные сведения об ограниченном режиме администратора см. в разделе Ограниченный режим администратора для протокола удаленного рабочего стола. For more information about restricted admin mode, see Restricted Admin mode for RDP. Новые поля в событии создания процесса New fields in the process creation event Событие входа 4688 теперь содержит более подробные сведения, что упрощает его анализ. The logon event ID 4688 has been updated to include more verbose information to make them easier to analyze. В событие 4688 добавлены следующие поля. The following fields have been added to event 4688: Строка TargetUserSid. Идентификатор безопасности целевого субъекта. TargetUserSid String The SID of the target principal. Строка TargetUserName. Имя учетной записи целевого пользователя. TargetUserName String The account name of the target user. Строка TargetDomainName. Домен целевого пользователя. TargetDomainName String The domain of the target user.. Строка TargetLogonId. Идентификатор входа целевого пользователя. TargetLogonId String The logon ID of the target user. Строка ParentProcessName. Имя процесса-автора. ParentProcessName String The name of the creator process. Строка ParentProcessId. Указатель на фактический родительский процесс, если он отличается от процесса-автора. ParentProcessId String A pointer to the actual parent process if it’s different from the creator process. Новые события диспетчера учетных записей безопасности New Security Account Manager events В Windows 10 появились новые события SAM для отслеживания интерфейсов API SAM, которые выполняют операции чтения и запроса. In Windows 10, new SAM events were added to cover SAM APIs that perform read/query operations. В предыдущих версиях Windows отслеживались только операции записи. In previous versions of Windows, only write operations were audited. Новые события — 4798 и 4799. The new events are event ID 4798 and event ID 4799. Теперь отслеживаются следующие интерфейсы API: The following APIs are now audited: SamrEnumerateGroupsInDomain SamrEnumerateGroupsInDomain SamrEnumerateUsersInDomain SamrEnumerateUsersInDomain SamrEnumerateAliasesInDomain SamrEnumerateAliasesInDomain SamrGetAliasMembership SamrGetAliasMembership SamrLookupNamesInDomain SamrLookupNamesInDomain SamrLookupIdsInDomain SamrLookupIdsInDomain SamrQueryInformationUser SamrQueryInformationUser SamrQueryInformationGroup SamrQueryInformationGroup SamrQueryInformationUserAlias SamrQueryInformationUserAlias SamrGetMembersInGroup SamrGetMembersInGroup SamrGetMembersInAlias SamrGetMembersInAlias SamrGetUserDomainPasswordInformation SamrGetUserDomainPasswordInformation Новые события BCD New BCD events Событие 4826 добавлено для отслеживания следующих изменений в базе данных конфигурации загрузки (BCD): Event ID 4826 has been added to track the following changes to the Boot Configuration Database (BCD): Параметры DEP/NEX DEP/NEX settings Тестовая подпись Test signing Эмуляция PCAT SB PCAT SB simulation Отладка Debug Отладка загрузки Boot debug Integrity Services Integrity Services Отключение меню отладки Winload Disable Winload debugging menu Новые события PNP New PNP events Событие 6416 добавлено, чтобы отслеживать обнаружение внешнего устройства с помощью Plug and Play. Event ID 6416 has been added to track when an external device is detected through Plug and Play. Один из важных сценариев можно представить следующим образом: внешнее устройство, содержащее вредоносные программы, вставляется в важный для компании компьютер, который не ожидает такого действия, например в контроллер домена. One important scenario is if an external device that contains malware is inserted into a high-value machine that doesn’t expect this type of action, such as a domain controller. Доверенный платформенный модуль Trusted Platform Module Новые возможности TPM в Windows 10 (версия 1511) New TPM features in Windows 10, version 1511 Поставщики хранилища ключей (KSP) и srvcrypt поддерживают шифрование на основе эллиптических кривых (ECC). Key Storage Providers (KSPs) and srvcrypt support elliptical curve cryptography (ECC). Новые возможности TPM в Windows 10 (версия 1507) New TPM features in Windows 10, version 1507 В следующих разделах описаны новые и измененные функции доверенного платформенного модуля для Windows 10. The following sections describe the new and changed functionality in the TPM for Windows 10: Аттестация работоспособности устройства Device health attestation Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. Device health attestation enables enterprises to establish trust based on hardware and software components of a managed device. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства. With device health attestation, you can configure an MDM server to query a health attestation service that will allow or deny a managed device access to a secure resource. На устройстве можно проверить следующее. Some things that you can check on the device are: Предотвращение выполнения данных поддерживается и включено? Is Data Execution Prevention supported and enabled? Шифрование диска BitLocker поддерживается и включено? Is BitLocker Drive Encryption supported and enabled? Безопасная загрузка поддерживается и включена? Is SecureBoot supported and enabled? Устройство должно работать под управлением Windows10 и должно поддерживать хотя бы TPM 2.0. The device must be running Windows 10 and it must support at least TPM 2.0. Контроль учетных записей User Account Control Контроль учетных записей (UAC) позволяет предотвратить повреждение компьютера вредоносным ПО и помогает развернуть в организации более управляемую настольную среду. User Account Control (UAC) helps prevent malware from damaging a computer and helps organizations deploy a better-managed desktop environment. Не следует выключать контроль учетных записей, так как такой сценарий не поддерживается для устройств под управлением Windows 10. You should not turn off UAC because this is not a supported scenario for devices running Windows 10. Если выключить контроль учетных записей, все приложения универсальной платформы Windows перестанут работать. If you do turn off UAC, all Universal Windows Platform apps stop working. Реестр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA всегда должен иметь значение 1. You must always set the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA registry value to 1. Если необходимо обеспечить автоматическое повышение прав для программного доступа или установки, вы можете установить для реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin значение 0, что равнозначно установке ползунка контроля учетных записей в положение «Никогда не уведомлять». If you need to provide auto elevation for programmatic access or installation, you could set the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin registry value to 0, which is the same as setting the UAC slider Never Notify. Подобное действие не рекомендуется выполнять для устройств под управлением Windows 10. This is not recommended for devices running Windows 10. Дополнительные сведения о том, как управлять контролем учетных записей, см. в разделе Параметры групповой политики контроля учетных записей и параметры раздела реестра. For more info about how manage UAC, see UAC Group Policy Settings and Registry Key Settings. В Windows 10 в контроль учетных записей внесены некоторые улучшения. In Windows 10, User Account Control has added some improvements. Новые возможности контроля учетных записей в Windows 10 (версия 1507) New User Account Control features in Windows 10, version 1507 Интеграция с интерфейсом Antimalware Scan Interface (AMSI). Integration with the Antimalware Scan Interface (AMSI). AMSI проверяет все запросы повышения привилегий контроля учетных записей на вредоносность. The AMSI scans all UAC elevation requests for malware. Если обнаружена вредоносная программа, привилегии администратора блокируются. If malware is detected, the admin privilege is blocked. Параметры профиля VPN VPN profile options Windows 10 предоставляет набор функций VPN, которые повышают безопасность предприятия и обеспечивают улучшенное взаимодействие с пользователем, в том числе: Windows 10 provides a set of VPN features that both increase enterprise security and provide an improved user experience, including: автоматическое подключение для обеспечения режима «Постоянное подключение»; Always-on auto connection behavior VPN-подключение, инициируемое приложением; App=triggered VPN фильтры трафика VPN; VPN traffic filters блокировка VPN; Lock down VPN интеграция с Microsoft Passport for Work. Integration with Microsoft Passport for Work Управление Management Windows 10 располагает функциями управления мобильными устройствами (MDM) для компьютеров, ноутбуков, планшетов и телефонов, обеспечивающих управление личными и корпоративными устройствами на уровне предприятия. Windows 10 provides mobile device management (MDM) capabilities for PCs, laptops, tablets, and phones that enable enterprise-level management of corporate-owned and personal devices. Поддержка MDM MDM support Политики MDM для Windows 10 соответствуют политикам, поддерживаемым Windows 8.1. Они расширены для поддержки большего числа корпоративных сценариев, таких как управление несколькими пользователями с учетными записями Microsoft Azure Active Directory (Azure AD), полный контроль над Microsoft Store, конфигурация VPN и др. MDM policies for Windows 10 align with the policies supported in Windows 8.1 and are expanded to address even more enterprise scenarios, such as managing multiple users who have Microsoft Azure Active Directory (Azure AD) accounts, full control over the Microsoft Store, VPN configuration, and more. Поддержка MDM в Windows 10 основана на протоколе управления устройствами (DM) версии 1.2.1 Открытого сообщества производителей мобильной связи (OMA). MDM support in Windows 10 is based on Open Mobile Alliance (OMA) Device Management (DM) protocol 1.2.1 specification. Корпоративные устройства могут регистрироваться автоматически, если организации используют Azure AD. Corporate-owned devices can be enrolled automatically for enterprises using Azure AD. Справочник по управлению мобильными устройствами для Windows 10 Reference for Mobile device management for Windows 10 Отмена регистрации Unenrollment Если пользователь покидает вашу организацию и необходимо отменить регистрацию учетной записи пользователя или устройства для прекращения управления, то конфигурации и приложения, управляемые на корпоративном уровне, удаляются с соответствующего устройства. When a person leaves your organization and you unenroll the user account or device from management, the enterprise-controlled configurations and apps are removed from the device. Вы можете отменить регистрацию устройства удаленно, или пользователь может сделать это, вручную удалив учетную запись с устройства. You can unenroll the device remotely or the person can unenroll by manually removing the account from the device. Если отменяется регистрация личного устройства, данные и приложения пользователя остаются без изменений, тогда как корпоративные данные, такие как сертификаты, профили VPN и корпоративные приложения, удаляются. When a personal device is unenrolled, the user’s data and apps are untouched, while enterprise information such as certificates, VPN profiles, and enterprise apps are removed. Инфраструктура Infrastructure Организации могут выбирать следующие возможности, связанные с удостоверениями и управлением. Enterprises have the following identity and management choices. Область Area Варианты Choices Удостоверение Identity Active Directory; Azure AD Active Directory; Azure AD Группирование Grouping Присоединение к домену, рабочей группе, Azure AD Domain join; Workgroup; Azure AD join Управление устройствами Device management Групповая политика; Microsoft Endpoint Configuration Manager; Microsoft Intune; другие решения MDM; Exchange ActiveSync; Windows PowerShell; инструментарий управления Windows (WMI) Group Policy; Microsoft Endpoint Configuration Manager; Microsoft Intune; other MDM solutions; Exchange ActiveSync; Windows PowerShell; Windows Management Instrumentation (WMI) Примечание. С момента выпуска Windows Server 2012 R2 защита доступа к сети (NAP) является устаревшей технологией и была удалена из Windows 10. Note: With the release of Windows Server 2012 R2, Network Access Protection (NAP) was deprecated and the NAP client has now been removed in Windows 10. Дополнительные сведения о жизненных циклах поддержки см. в разделе Жизненный цикл технической поддержки Microsoft. For more information about support lifecycles, see Microsoft Support Lifecycle. Блокировка устройств Device lockdown Вам нужен компьютер, который предназначен только для решения одной задачи? Do you need a computer that can only do one thing? Например: For example: Устройство в зале ожидания, которое может использоваться клиентами для просмотра вашего каталога продуктов. A device in the lobby that customers can use to view your product catalog. Портативное устройство, которое может использоваться водителями для сверки с маршрутом на карте. A portable device that drivers can use to check a route on a map. Устройство, которое используется стажером для ввода данных. A device that a temporary worker uses to enter data. Вы можете настроить состояние постоянной блокировки для создания устройства-терминала. You can configure a persistent locked down state to create a kiosk-type device. При выполнении входа под зафиксированной учетной записью на устройстве отображается только выбранное приложение. When the locked-down account is logged on, the device displays only the app that you select. Можно также настроить состояние блокировки, которое вступает в силу при выполнении входа под определенной учетной записью пользователя. You can also configure a lockdown state that takes effect when a given user account logs on. Блокировка ограничивает пользователя возможностью выполнения только заданных вами приложений. The lockdown restricts the user to only the apps that you specify. Параметры блокировки также могут быть настроены в соответствии с интерфейсом устройства, например с указанием темы и пользовательской компоновки начального экрана. Lockdown settings can also be configured for device look and feel, such as a theme or a custom layout on the Start screen. Пользовательский макет начального экрана Customized Start layout Стандартный пользовательский начальный экран может быть полезен на устройствах, которыми пользуются несколько человек, а также устройствах, заблокированных с определенной целью. A standard, customized Start layout can be useful on devices that are common to multiple users and devices that are locked down for specialized purposes. Начиная с Windows 10 версии 1511, администраторы могут настраивать частичный макет начального экрана, в котором используются указанные группы плиток, а пользователям при этом предоставляется возможность создавать и настраивать собственные группы плиток. Starting in Windows 10, version 1511, administrators can configure a partial Start layout, which applies specified tile groups while allowing users to create and customize their own tile groups. Узнайте, как настраивать и экспортировать макет начального экрана. Learn how to customize and export Start layout. Администраторы также могут использовать службу управления мобильными устройствами (MDM) или групповую политику для отключения использования функции Windows: интересное на экране блокировки. Administrators can also use mobile device management (MDM) or Group Policy to disable the use of Windows Spotlight on the lock screen. Microsoft Store для бизнеса Microsoft Store for Business Новые возможности в Windows 10 (версия 1511) New in Windows 10, version 1511 Microsoft Store для бизнеса позволяет организациям приобретать приложения для Windows с корпоративной лицензией. With the Microsoft Store for Business, organizations can make volume purchases of Windows apps. В Магазине для бизнеса можно приобрести приложения с учетом специфики организации. Предлагаются гибкие варианты распространения и возможность использования освободившихся лицензий и многократного использования лицензий. The Store for Business provides app purchases based on organizational identity, flexible distribution options, and the ability to reclaim or re-use licenses. Организации могут использовать Магазин для бизнеса для создания собственного магазина для своих сотрудников, где будут размещены приложения из Магазина и внутренние бизнес-приложения. Organizations can also use the Store for Business to create a private store for their employees that includes apps from the Store, as well private Line-of-Business (LOB) apps. Обновления Updates Центр обновления Windows для бизнеса позволяет ИТ-администраторам поддерживать устройства под управлением Windows 10 в организации в актуальном состоянии (имеются в виду новейшие версии механизмов обеспечения безопасности и компонентов Windows) путем непосредственного подключения этих систем к службе Центра обновления Windows корпорации Microsoft. Windows Update for Business enables information technology administrators to keep the Windows 10-based devices in their organization always up to date with the latest security defenses and Windows features by directly connecting these systems to Microsoft’s Windows Update service. Благодаря объектам групповой политикиЦентр обновления Windows для бизнеса представляет собой простую в установке и внедрении систему, которая позволяет организациям и администраторам осуществлять контроль над обновлением устройств с Windows 10. By using Group Policy Objects, Windows Update for Business is an easily established and implemented system which enables organizations and administrators to exercise control on how their Windows 10-based devices are updated, by allowing: Группы развертывания и проверки: здесь администраторы могут указать, какие устройства обновляются первыми, а какие— после (чтобы обеспечить соблюдение требований по качеству). Deployment and validation groups; where administrators can specify which devices go first in an update wave, and which devices will come later (to ensure any quality bars are met). Одноранговая доставка: администраторы могут воспользоваться этой функцией для эффективной доставки обновлений в офисы филиалов и на удаленные объекты (с ограниченной пропускной способностью). Peer-to-peer delivery, which administrators can enable to make delivery of updates to branch offices and remote sites with limited bandwidth very efficient. Используйте с существующими средствами, такими как Microsoft Endpoint Manager и Корпоративный набор мобильности. Use with existing tools such as Microsoft Endpoint Manager and the Enterprise Mobility Suite. Совокупность этих возможностей Центра обновления Windows для бизнеса позволяет снизить затраты на управление устройствами, наладить контроль над развертыванием обновлений, обеспечить более быструю доступность обновлений для системы безопасности и новейших инноваций Майкрософт на постоянной основе. Together, these Windows Update for Business features help reduce device management costs, provide controls over update deployment, offer quicker access to security updates, as well as provide access to the latest innovations from Microsoft on an ongoing basis. Центр обновления Windows для бизнеса — это бесплатная служба для всех выпусков Windows 10 Pro, Корпоративная и Windows 10 для образовательных учреждений. Эту службу можно использовать отдельно или совместно с существующими решениями для управления устройствами, такими как Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. Windows Update for Business is a free service for all Windows 10 Pro, Enterprise, and Education editions, and can be used independent of, or in conjunction with, existing device management solutions such as Windows Server Update Services (WSUS) and Microsoft Endpoint Configuration Manager. Дополнительные сведения об обновлении Windows 10 см. в статье Введение в вопросы обслуживания Windows 10. For more information about updating Windows 10, see Windows 10 servicing options for updates and upgrades. Microsoft Edge Microsoft Edge Microsoft Edge позволяет не просто просматривать веб-страницы, но и активно взаимодействовать с сетью с помощью таких функций, как веб-заметки, режим чтения и Кортана. Microsoft Edge takes you beyond just browsing to actively engaging with the web through features like Web Note, Reading View, and Cortana. Веб-заметки. Web Note. Microsoft Edge позволяет добавлять примечания и выделять элементы прямо на веб-страницах. Microsoft Edge lets you annotate, highlight, and call things out directly on webpages. Режим чтения. Reading view. В Microsoft Edge можно читать и распечатывать интернет-статьи в представлении, не содержащем отвлекающих элементов и оптимизированном для размера экрана. Microsoft Edge lets you enjoy and print online articles in a distraction-free layout that’s optimized for your screen size. В режиме чтения можно также сохранять веб-страницы или PDF-файлы в списке для чтения, чтобы вернуться к ним позднее. While in reading view, you can also save webpages or PDF files to your reading list, for later viewing. Кортана. Cortana. Кортана автоматически включается в Microsoft Edge. Cortana is automatically enabled on Microsoft Edge. Microsoft Edge позволяет выделять слова для получения дополнительной информации, а также, например, одним нажатием кнопки забронировать столик в ресторане и прочитать отзывы, оставаясь на текущей веб-странице. Microsoft Edge lets you highlight words for more info and gives you one-click access to things like restaurant reservations and reviews, without leaving the webpage. Совместимость и безопасность. Compatibility and security. Microsoft Edge по-прежнему позволяет использовать IE11 для сайтов в корпоративной интрасети или сайтов, входящих в список сайтов режима предприятия. Microsoft Edge lets you continue to use IE11 for sites that are on your corporate intranet or that are included on your Enterprise Mode Site List. IE11 требуется для запуска устаревших, менее безопасных технологий, таких как элементы ActiveX. You must use IE11 to run older, less secure technology, such as ActiveX controls. Руководство для предприятий Enterprise guidance Microsoft Edge — браузер по умолчанию для Windows 10 и Windows 10 Mobile. Microsoft Edge is the default browser experience for Windows 10 and Windows 10 Mobile. Однако для веб-приложений, которым требуются элементы ActiveX, рекомендуется по-прежнему использовать Internet Explorer 11. However, if you’re running web apps that need ActiveX controls, we recommend that you continue to use Internet Explorer 11 for them. Если вы удалили браузер Internet Explorer 11, его можно скачать из Microsoft Store или со страницы загрузки Internet Explorer 11. If you don’t have IE11 installed anymore, you can download it from the Microsoft Store or from the Internet Explorer 11 download page. Также рекомендуется выполнить обновление до IE11, если вы используете более ранние версии Internet Explorer. We also recommend that you upgrade to IE11 if you’re running any earlier versions of Internet Explorer. IE11 поддерживается в Windows 7, Windows 8.1 и Windows 10. IE11 is supported on Windows 7, Windows 8.1, and Windows 10. Поэтому все прежние приложения, работающие с IE11, будут работать и после перехода на Windows 10. So any legacy apps that work with IE11 will continue to work even as you migrate to Windows 10.
  3. Что нового в Windows 10 версии 1507 и 1511 для ИТ-специалистов What’s new in Windows 10, versions 1507 and 1511 for IT Pros
  4. Развертывание Deployment
  5. Подготовка устройств с помощью конструктора образов и конфигураций Windows (ICD) Provisioning devices using Windows Imaging and Configuration Designer (ICD)
  6. Безопасность Security
  7. AppLocker AppLocker
  8. Новые функции AppLocker в Windows 10 версии 1507 New AppLocker features in Windows 10, version 1507
  9. BitLocker BitLocker
  10. Новые возможности BitLocker в Windows 10 (версия 1511) New BitLocker features in Windows 10, version 1511
  11. Новые функции BitLocker в Windows 10 версии 1507 New BitLocker features in Windows 10, version 1507
  12. Credential Guard Credential Guard
  13. Новые возможности Credential Guard в Windows 10 (версия 1511) New Credential Guard features in Windows 10, version 1511
  14. Более простое управление сертификатами Easier certificate management
  15. Microsoft Passport Microsoft Passport
  16. Аудит безопасности Security auditing
  17. Новые функции аудита безопасности в Windows 10 (версия 1511) New Security auditing features in Windows 10, version 1511
  18. Новые возможности в Windows 10 версии 1507 New features in Windows 10, version 1507
  19. Доверенный платформенный модуль Trusted Platform Module
  20. Новые возможности TPM в Windows 10 (версия 1511) New TPM features in Windows 10, version 1511
  21. Новые возможности TPM в Windows 10 (версия 1507) New TPM features in Windows 10, version 1507
  22. Аттестация работоспособности устройства Device health attestation
  23. Контроль учетных записей User Account Control
  24. Новые возможности контроля учетных записей в Windows 10 (версия 1507) New User Account Control features in Windows 10, version 1507
  25. Параметры профиля VPN VPN profile options
  26. Управление Management
  27. Поддержка MDM MDM support
  28. Отмена регистрации Unenrollment
  29. Инфраструктура Infrastructure
  30. Блокировка устройств Device lockdown
  31. Пользовательский макет начального экрана Customized Start layout
  32. Microsoft Store для бизнеса Microsoft Store for Business
  33. Обновления Updates
  34. Microsoft Edge Microsoft Edge
  35. Руководство для предприятий Enterprise guidance
Читайте также:  Mac os открытый код

Windows 10 Pro 1507 10240.17394 th1 PIP by Lopatkin (x86-x64) (2017)


Год выпуска: 2017
Версия: Windows 10 Pro 1507 10240.17394 th1
Автор сборки: Lopatkin
Платформа: x86-x64
Язык интерфейса: русский
Таблэтка: требуется

Системные требования:
CPU — 1 ggz
RAM — 1-2 gb
HDD — 4-6 gb
Video — c DirectX 9.0
Display — 1024 x 768

Описание:
Максимально облегченные сборки, для планшеток и ПК, с сенсорной клавиатурой, Framework 3.5 и 4.6.2, но без магазина, EDGE, xBox, метро приложений, Defender, речи, рукописи, Cortana, облака, телеметрии, кешей браузера, плеера, winsxs. Выход на стол с работающими Пуск и Поиск (через ярлык в ПУ\Администрирование), есть поддержка старых игр, работает Superfetch, подключение к удаленному столу.

Драйверы на модемы (кроме базовых и Nokia), принтеры (кроме HP, GE, OLED, MS), магазин, EDGE, xBox, все метро приложения, речь, рукопись, Defender, Cortana, облако, Hyper-V, IME, InputMethod, migwiz, восстановление, родительский контроль, остальные языки и азиатские шрифты (есть просмотр китайских сайтов), заставки, нативе, функция браузера по F12, кеши браузера, плеера, winsxs. Оставлены сенсорная и экранная клавиатуры, групповая политика, домашняя группа, печать по сети, почта, PowerShell.

Работают подключение через удаленный стол, Superfetch, поиск (через ярлык Searh в ПУ\Администрирование, закрепите на Панели задач, скрыв старый).

Windows 10 1507 Pro 10240.17443.th1 SZ by Lopatkin (x86-x64) (2018)


Год выпуска: 2018
Версия: Windows 10Pro 10240.17443
Платформа: x86-x64
Автор сборки: lopatkin

CPU — 1 ggz
RAM — 1-2 gb
HDD — 3-5 gb
Video — c DirectX 9.0
Display — 1024 x 768
Язык интерфейса: русский

Максимально облегченные сборки Pro 10240.17443, только для ПК, с Framework 3.5, но без магазина, EDGE, xBox, камеры, сенсорной и экранной клавиатур, речи рукописи, остальных метро приложений, Cortana, Defender, облака, телеметрии, кешей браузера, плеера, winsxs. Включены ASP.NET 4.5, DirectPlay, поддержка разработчиков и технических специалистов.

Драйверы на модемы (кроме базовых и Nokia), принтеры (кроме HP, GE, OLED, MS), сенсорная и экранная клавиатуры, речь, рукопись, магазин, xBox, все метро приложения, Cortana, Defender, облако, IIS, IME, InputMethod, Hyper-V, migwiz, восстановление, остальные языки и азиатские шрифты, заставки, нативе, кеши браузера, плеера, winsxs. Включены Framework 3.5, DirectPlay, ASP.NET 4.5.

Подкачка отключена, UAC на минимуме, гибернация по умолчанию, печать на ручном. Перед установкой принтера поставьте на Автомат и запустите Диспетчера печати. Поиск сторонними программами.

Установка с DVD или подготовленной флешки (просто извлечь содержимое образа на подготовленную флешку FAT32) из под BIOS по «Press any key to BootCD. «, вчистую, обновиться нельзя, ключ для установки не требуется, активация KMS. На столе Restart.cmd, запуск от имени Админа, будет удалено облако из автозапуска, отключены гибернация, UAC, центр обнов и фоновая интеллектуальная службы, очищены все логи, добавлен пункт в меню запуска по F8 «Включить последнюю удачную конфигурацию», выполнен перезапуск. Можно работать.

Сборка, как и все предыдущие и последующие, не преследует никаких коммерческих целей.

Сборка выпущена в целях ознакомления с возможностями старых и новых Windows систем разработанных MS.

Поэтому за всё использование данного программного обеспечения автор ответственности не несет.

Сборка выпущена «КАК ЕСТЬ» и скачивается Вами по собственному желанию и на свой страх и риск.

Что нового в Windows 10 версии 1507 и 1511 для ИТ-специалистов What’s new in Windows 10, versions 1507 and 1511 for IT Pros

Ниже приведен список некоторых новых и обновленных функций, включенных в начальный выпуск Windows 10 (версия 1507) и обновление Windows 10 до версии 1511. Below is a list of some of the new and updated features included in the initial release of Windows 10 (version 1507) and the Windows 10 update to version 1511.

Сведения о датах выпусков и типах обслуживания каждой версии см. в статье Информация о выпуске Windows 10. For release dates and servicing options for each version, see Windows 10 release information.

Развертывание Deployment

Подготовка устройств с помощью конструктора образов и конфигураций Windows (ICD) Provisioning devices using Windows Imaging and Configuration Designer (ICD)

В Windows 10 можно создавать пакеты подготовки, позволяющие быстро и эффективно настраивать устройство без установки нового образа. With Windows 10, you can create provisioning packages that let you quickly and efficiently configure a device without having to install a new image. Подготовка Windows помогает ИТ-администраторам настраивать устройства конечных пользователей без создания образов. Windows provisioning makes it easy for IT administrators to configure end-user devices without imaging. Используя подготовку Windows, ИТ-администратор может легко указать желаемую конфигурацию и параметры, необходимые для регистрации устройства в системе управления (через пользовательский интерфейс при помощи мастера), а затем применить эту конфигурацию для целевых устройств за считанные минуты. Using Windows Provisioning, an IT administrator can easily specify desired configuration and settings required to enroll the devices into management (through a wizard-driven user interface) and then apply that configuration to target devices in a matter of minutes. Этот вариант лучше всего подходит для компаний малого и среднего бизнеса, развертывающих от нескольких десятков до нескольких сотен компьютеров. It is best suited for small- to medium-sized businesses with deployments that range from tens to a few hundred computers.

Безопасность Security

AppLocker AppLocker

Новые функции AppLocker в Windows 10 версии 1507 New AppLocker features in Windows 10, version 1507

  • В командлет Windows PowerShell New-AppLockerPolicy был добавлен новый параметр, позволяющий выбирать, применяются ли коллекции правил для исполняемых файлов и библиотек DLL к неинтерактивным процессам. A new parameter was added to the New-AppLockerPolicy Windows PowerShell cmdlet that lets you choose whether executable and DLL rule collections apply to non-interactive processes. Для включения этой функции задайте для параметра ServiceEnforcement значение Enabled. To enable this, set the ServiceEnforcement to Enabled.
  • Добавлен новый поставщик служб конфигурации AppLocker , что позволяет включать правила AppLocker, используя сервер MDM. A new AppLocker configuration service provider was add to allow you to enable AppLocker rules by using an MDM server.
  • Для управления устройствами с Windows 10 Mobile можно использовать новый AppLocker CSP. You can manage Windows 10 Mobile devices by using the new AppLocker CSP.

BitLocker BitLocker

Новые возможности BitLocker в Windows 10 (версия 1511) New BitLocker features in Windows 10, version 1511

  • Алгоритм шифрования XTS-AES. XTS-AES encryption algorithm. BitLocker теперь поддерживает алгоритм шифрования XTS-AES. BitLocker now supports the XTS-AES encryption algorithm. XTS-AES обеспечивает дополнительный уровень защиты от атак на систему шифрования, которые заключаются в манипулировании текстом шифра так, что это вызывает предсказуемые изменения в обычном тексте. XTS-AES provides additional protection from a class of attacks on encryption that rely on manipulating cipher text to cause predictable changes in plain text. BitLocker поддерживает и 128-разрядные, и 256-разрядные ключи XTS-AES. BitLocker supports both 128-bit and 256-bit XTS-AES keys. Это обеспечивает следующие преимущества: It provides the following benefits:
    • Соответствие требованиям FIPS. The algorithm is FIPS-compliant.
    • Простота администрирования. Easy to administer. Возможность использования мастера BitLocker, команды manage-bde, групповой политики, политики MDM, Windows PowerShell или WMI для управления алгоритмом на устройствах организации. You can use the BitLocker Wizard, manage-bde, Group Policy, MDM policy, Windows PowerShell, or WMI to manage it on devices in your organization.

Зашифрованные с помощью алгоритма XTS-AES диски недоступны в предыдущих версиях Windows. Drives encrypted with XTS-AES will not be accessible on older version of Windows. Этот алгоритм рекомендуется использовать только для фиксированных дисков и дисков с ОС. This is only recommended for fixed and operating system drives. Со съемными носителями требуется и впредь использовать 128-разрядные или 256-разрядные алгоритмы AES-CBC. Removable drives should continue to use the AES-CBC 128-bit or AES-CBC 256-bit algorithms.

Новые функции BitLocker в Windows 10 версии 1507 New BitLocker features in Windows 10, version 1507

  • Шифрование и восстановление устройства с помощью Azure Active Directory. Encrypt and recover your device with Azure Active Directory. Помимо использования учетной записи Майкрософт, автоматическое Шифрование устройства теперь может шифровать устройства, которые присоединены к домену Azure Active Directory. In addition to using a Microsoft Account, automatic Device Encryption can now encrypt your devices that are joined to an Azure Active Directory domain. Если устройство зашифровано, ключ восстановления BitLocker автоматически передается на хранение в Azure Active Directory. When the device is encrypted, the BitLocker recovery key is automatically escrowed to Azure Active Directory. Это упрощает восстановление ключа BitLocker в Интернете. This will make it easier to recover your BitLocker key online.
  • Защита портов прямого доступа к памяти (DMA). DMA port protection. Политику MDM DataProtection/AllowDirectMemoryAccess можно использовать для блокировки портов DMA при запуске устройства. You can use the DataProtection/AllowDirectMemoryAccess MDM policy to block DMA ports when the device is starting up. Кроме того, когда устройство заблокировано, неиспользуемые порты DMA выключены, но все устройства, которые уже подключены к портам DMA, продолжают работать. Also, when a device is locked, all unused DMA ports are turned off, but any devices that are already plugged into a DMA port will continue to work. После разблокировки устройства все порты DMA снова включаются. When the device is unlocked, all DMA ports are turned back on.
  • Новая групповая политика по настройке предзагрузочного восстановления. New Group Policy for configuring pre-boot recovery. Теперь вы можете настроить предзагрузочное сообщение восстановления и URL-адрес восстановления, которые отображаются на предзагрузочном экране восстановления. You can now configure the pre-boot recovery message and recover URL that is shown on the pre-boot recovery screen. Дополнительные сведения см. в разделе Настройка предзагрузочного сообщения и URL-адреса восстановления в статье «Параметры групповой политики BitLocker». For more info, see the Configure pre-boot recovery message and URL section in «BitLocker Group Policy settings.»

Credential Guard Credential Guard

Новые возможности Credential Guard в Windows 10 (версия 1511) New Credential Guard features in Windows 10, version 1511

  • Поддержка диспетчера учетных данных. Credential Manager support. Учетные данные, хранимые в диспетчере учетных данных, включая учетные данные домена, защищаются с помощью Credential Guard на следующих условиях: Credentials that are stored with Credential Manager, including domain credentials, are protected with Credential Guard with the following considerations:
    • Учетные данные, сохраненные протоколом удаленного рабочего стола, использовать невозможно. Credentials that are saved by the Remote Desktop Protocol cannot be used. Сотрудники организации могут вручную сохранять учетные данные в диспетчере учетных данных в качестве универсальных учетных данных. Employees in your organization can manually store credentials in Credential Manager as generic credentials.
    • Приложения, извлекающие учетные данные домена из диспетчера учетных данных с помощью недокументированных API, больше не смогут использовать эти сохраненные и извлеченные учетные данные. Applications that extract derived domain credentials using undocumented APIs from Credential Manager will no longer be able to use those saved derived credentials.
    • Невозможно восстановить учетные данные с помощью панели управления диспетчера учетных данных, если резервная копия учетных данных создана с ПК с включенным Credential Guard. You cannot restore credentials using the Credential Manager control panel if the credentials were backed up from a PC that has Credential Guard turned on. Если необходимо создать резервную копию учетных данных, это нужно сделать до включения Credential Guard. If you need to back up your credentials, you must do this before you enable Credential Guard. В противном случае восстановить эти учетные данные будет невозможно. Otherwise, you won’t be able to restore those credentials.
  • Включение Credential Guard без блокировки UEFI. Enable Credential Guard without UEFI lock. Включить Credential Guard можно с помощью реестра. You can enable Credential Guard by using the registry. Это позволяет отключать Credential Guard удаленно. This allows you to disable Credential Guard remotely. Однако рекомендуется включать Credential Guard с блокировкой UEFI. However, we recommend that Credential Guard is enabled with UEFI lock. Это можно настроить с помощью групповой политики. You can configure this by using Group Policy.
  • Делегирование учетных данных CredSSP/TsPkg. CredSSP/TsPkg credential delegation. Если Credential Guard включен, пакет CredSSP/TsPkg не может делегировать учетные данные по умолчанию. CredSSP/TsPkg cannot delegate default credentials when Credential Guard is enabled.

Более простое управление сертификатами Easier certificate management

Для устройств на основе Windows 10 можно использовать сервер MDM, чтобы напрямую развертывать сертификаты проверки подлинности клиента с помощью PFX, а также выполнять регистрацию с помощью протокола SCEP, в т. ч. сертификаты по включению Windows Hello для бизнеса в вашей организации. For Windows 10-based devices, you can use your MDM server to directly deploy client authentication certificates using Personal Information Exchange (PFX), in addition to enrolling using Simple Certificate Enrollment Protocol (SCEP), including certificates to enable Windows Hello for Business in your enterprise. Вы сможете использовать MDM для регистрации, обновления и удаления сертификатов. You’ll be able to use MDM to enroll, renew, and delete certificates. Как и в Windows Phone 8.1, вы можете использовать приложение Сертификаты для просмотра сведений о сертификатах на своем устройстве. As in Windows Phone 8.1, you can use the Certificates app to review the details of certificates on your device. Узнайте, как установить цифровые сертификаты в Windows 10 Mobile. Learn how to install digital certificates on Windows 10 Mobile.

Microsoft Passport Microsoft Passport

В Windows 10 служба Microsoft Passport заменяет пароли на строгую двухфакторную проверку подлинности, включающую зарегистрированное устройство и Windows Hello (биометрия) или PIN-код. In Windows 10, Microsoft Passport replaces passwords with strong two-factor authentication that consists of an enrolled device and a Windows Hello (biometric) or PIN.

Microsoft Passport позволяет пользователю проводить проверку подлинности своей учетной записи Майкрософт, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory (AD) или сторонней службы (не Майкрософт), которая поддерживает проверку подлинности Fast ID Online (FIDO) . Microsoft Passport lets users authenticate to a Microsoft account, an Active Directory account, a Microsoft Azure Active Directory (AD) account, or non-Microsoft service that supports Fast ID Online (FIDO) authentication. После начальной двухэтапной проверки при регистрации в Microsoft Passport на устройстве пользователя настраивается служба Microsoft Passport и пользователь определяет жест, который может быть Windows Hello или PIN-кодом. After an initial two-step verification during Microsoft Passport enrollment, a Microsoft Passport is set up on the user’s device and the user sets a gesture, which can be Windows Hello or a PIN. Пользователь делает жест для проверки своего удостоверения, после чего Windows использует Microsoft Passport для проверки подлинности пользователя и предоставления доступа к защищенным ресурсам и службам. The user provides the gesture to verify identity; Windows then uses Microsoft Passport to authenticate users and help them to access protected resources and services.

Аудит безопасности Security auditing

Новые функции аудита безопасности в Windows 10 (версия 1511) New Security auditing features in Windows 10, version 1511

  • Поставщики служб конфигурации WindowsSecurityAuditing и Reporting позволяют добавлять политики аудита безопасности на мобильные устройства. The WindowsSecurityAuditing and Reporting configuration service providers allow you to add security audit policies to mobile devices.

Новые возможности в Windows 10 версии 1507 New features in Windows 10, version 1507

В Windows 10 реализован ряд улучшений аудита безопасности: In Windows 10, security auditing has added some improvements:

новые подкатегории аудита; New audit subcategories

В Windows 10 в конфигурацию расширенной политики аудита добавлены две новые подкатегории аудита для большей детализации событий аудита. In Windows 10, two new audit subcategories were added to the Advanced Audit Policy Configuration to provide greater granularity in audit events:

  • Подкатегория Членство в группе аудита, расположенная в категории «Вход/выход», позволяет отслеживать изменения членства в группах в маркере входа пользователя. Audit Group Membership Found in the Logon/Logoff audit category, the Audit Group Membership subcategory allows you to audit the group membership information in a user’s logon token. События в этой подкатегории создаются при перечислении или запросе членства в группах на компьютере, на котором был создан сеанс входа в систему. Events in this subcategory are generated when group memberships are enumerated or queried on the PC where the logon session was created. Для интерактивного входа в систему событие аудита безопасности создается на компьютере, на котором пользователь вошел в систему. For an interactive logon, the security audit event is generated on the PC that the user logged on to. Для сетевого входа, например при доступе к общей папке в сети, событие аудита безопасности создается на компьютере, на котором размещен ресурс. For a network logon, such as accessing a shared folder on the network, the security audit event is generated on the PC hosting the resource. Если этот параметр настроен, одно или несколько событий аудита безопасности формируются для каждого успешного входа. When this setting is configured, one or more security audit events are generated for each successful logon. Также необходимо включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/выход. You must also enable the Audit Logon setting under Advanced Audit Policy Configuration\System Audit Policies\Logon/Logoff. Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий. Multiple events are generated if the group membership information cannot fit in a single security audit event.
  • Подкатегория Аудит активности PNP, расположенная в категории «Подробное отслеживание», позволяет отслеживать обнаружение внешнего устройства Plug and Play. Audit PNP Activity Found in the Detailed Tracking category, the Audit PNP Activity subcategory allows you to audit when plug and play detects an external device. Для этой категории записываются только успешные операции аудита. Only Success audits are recorded for this category. Если не настраивать этот параметр политики, событие аудита не создается при обнаружении внешнего устройства Plug and Play. If you do not configure this policy setting, no audit event is generated when an external device is detected by plug and play. Событие аудита PnP можно использовать для отслеживания изменений в системном оборудовании. Оно регистрируется на компьютере, где произошло изменение. A PnP audit event can be used to track down changes in system hardware and will be logged on the PC where the change took place. Список идентификаторов поставщиков оборудования включается в событие. A list of hardware vendor IDs are included in the event.
дополнительные сведения для имеющихся событий аудита. More info added to existing audit events

В Windows 10 (версия 1507) мы добавили больше информации в имеющиеся события аудита, чтобы упростить получение полного журнала аудита и поиск сведений, необходимых для защиты вашей организации. With Windows 10, version 1507, we’ve added more info to existing audit events to make it easier for you to put together a full audit trail and come away with the information you need to protect your enterprise. Дополнены следующие события аудита: Improvements were made to the following audit events:

изменена политика аудита ядра по умолчанию; Changed the kernel default audit policy

В предыдущих выпусках ядро использовало подсистему LSA для получения сведений из некоторых событий. In previous releases, the kernel depended on the Local Security Authority (LSA) to retrieve info in some of its events. В Windows 10 политика аудита событий создания процесса по умолчанию включена, пока фактическая политика аудита не будет получена от LSA. In Windows 10, the process creation events audit policy is automatically enabled until an actual audit policy is received from LSA. Это улучшает аудит служб, которые могут запускаться до активации подсистемы LSA. This results in better auditing of services that may start before LSA starts.

процесс SACL по умолчанию добавлен в LSASS.exe; Added a default process SACL to LSASS.exe

В Windows 10 процесс SACL по умолчанию был добавлен в LSASS.exe для регистрации процессов, пытающихся получить доступ к LSASS.exe. In Windows 10, a default process SACL was added to LSASS.exe to log processes attempting to access LSASS.exe. Этот SACL — L»S:(AU;SAFA;0x0010;;;WD)». The SACL is L»S:(AU;SAFA;0x0010;;;WD)». Этот параметр можно включить в разделе Конфигурация расширенной политики аудита\Доступ к объектам\Аудит объектов ядра. You can enable this under Advanced Audit Policy Configuration\Object Access\Audit Kernel Object. Это помогает определить атаки, которые крадут учетные данные из памяти процесса. This can help identify attacks that steal credentials from the memory of a process.

Новые поля в событии входа New fields in the logon event

Событие входа 4624 теперь содержит более подробные сведения, что упрощает его анализ. The logon event ID 4624 has been updated to include more verbose information to make them easier to analyze. В событие 4624 добавлены следующие поля. The following fields have been added to event 4624:

  1. Строка MachineLogon: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись компьютера, в поле будет указано «да». MachineLogon String: yes or no If the account that logged into the PC is a computer account, this field will be yes. В противном случае — «нет». Otherwise, the field is no.
  2. Строка ElevatedToken: да или нет. Если учетная запись, использованная для входа на компьютер, — это учетная запись администратора, в поле будет указано «да». ElevatedToken String: yes or no If the account that logged into the PC is an administrative logon, this field will be yes. В противном случае — «нет». Otherwise, the field is no. Кроме того, если данная учетная запись представляет собой часть разделенного маркера, также будет отображаться связанный идентификатор входа (LSAP_LOGON_SESSION). Additionally, if this is part of a split token, the linked login ID (LSAP_LOGON_SESSION) will also be shown.
  3. Строка TargetOutboundUserName, строка TargetOutboundUserDomain. Имя пользователя и домен удостоверения, созданного методом LogonUser для исходящего трафика. TargetOutboundUserName String TargetOutboundUserDomain String The username and domain of the identity that was created by the LogonUser method for outbound traffic.
  4. Строка VirtualAccount: да или нет. Если учетная запись, использованная для входа на компьютер, — это виртуальная учетная запись, в поле будет указано «да». VirtualAccount String: yes or no If the account that logged into the PC is a virtual account, this field will be yes. В противном случае — «нет». Otherwise, the field is no.
  5. Строка GroupMembership. Список всех групп в маркере пользователя. GroupMembership String A list of all of the groups in the user’s token.
  6. Строка RestrictedAdminMode: да или нет. Если пользователь входит на компьютер в ограниченном режиме администратора с помощью удаленного рабочего стола, в поле будет указано «да». RestrictedAdminMode String: yes or no If the user logs into the PC in restricted admin mode with Remote Desktop, this field will be yes. Дополнительные сведения об ограниченном режиме администратора см. в разделе Ограниченный режим администратора для протокола удаленного рабочего стола. For more information about restricted admin mode, see Restricted Admin mode for RDP.
Новые поля в событии создания процесса New fields in the process creation event

Событие входа 4688 теперь содержит более подробные сведения, что упрощает его анализ. The logon event ID 4688 has been updated to include more verbose information to make them easier to analyze. В событие 4688 добавлены следующие поля. The following fields have been added to event 4688:

  1. Строка TargetUserSid. Идентификатор безопасности целевого субъекта. TargetUserSid String The SID of the target principal.
  2. Строка TargetUserName. Имя учетной записи целевого пользователя. TargetUserName String The account name of the target user.
  3. Строка TargetDomainName. Домен целевого пользователя. TargetDomainName String The domain of the target user..
  4. Строка TargetLogonId. Идентификатор входа целевого пользователя. TargetLogonId String The logon ID of the target user.
  5. Строка ParentProcessName. Имя процесса-автора. ParentProcessName String The name of the creator process.
  6. Строка ParentProcessId. Указатель на фактический родительский процесс, если он отличается от процесса-автора. ParentProcessId String A pointer to the actual parent process if it’s different from the creator process.
Новые события диспетчера учетных записей безопасности New Security Account Manager events

В Windows 10 появились новые события SAM для отслеживания интерфейсов API SAM, которые выполняют операции чтения и запроса. In Windows 10, new SAM events were added to cover SAM APIs that perform read/query operations. В предыдущих версиях Windows отслеживались только операции записи. In previous versions of Windows, only write operations were audited. Новые события — 4798 и 4799. The new events are event ID 4798 and event ID 4799. Теперь отслеживаются следующие интерфейсы API: The following APIs are now audited:

  • SamrEnumerateGroupsInDomain SamrEnumerateGroupsInDomain
  • SamrEnumerateUsersInDomain SamrEnumerateUsersInDomain
  • SamrEnumerateAliasesInDomain SamrEnumerateAliasesInDomain
  • SamrGetAliasMembership SamrGetAliasMembership
  • SamrLookupNamesInDomain SamrLookupNamesInDomain
  • SamrLookupIdsInDomain SamrLookupIdsInDomain
  • SamrQueryInformationUser SamrQueryInformationUser
  • SamrQueryInformationGroup SamrQueryInformationGroup
  • SamrQueryInformationUserAlias SamrQueryInformationUserAlias
  • SamrGetMembersInGroup SamrGetMembersInGroup
  • SamrGetMembersInAlias SamrGetMembersInAlias
  • SamrGetUserDomainPasswordInformation SamrGetUserDomainPasswordInformation
Новые события BCD New BCD events

Событие 4826 добавлено для отслеживания следующих изменений в базе данных конфигурации загрузки (BCD): Event ID 4826 has been added to track the following changes to the Boot Configuration Database (BCD):

  • Параметры DEP/NEX DEP/NEX settings
  • Тестовая подпись Test signing
  • Эмуляция PCAT SB PCAT SB simulation
  • Отладка Debug
  • Отладка загрузки Boot debug
  • Integrity Services Integrity Services
  • Отключение меню отладки Winload Disable Winload debugging menu
Новые события PNP New PNP events

Событие 6416 добавлено, чтобы отслеживать обнаружение внешнего устройства с помощью Plug and Play. Event ID 6416 has been added to track when an external device is detected through Plug and Play. Один из важных сценариев можно представить следующим образом: внешнее устройство, содержащее вредоносные программы, вставляется в важный для компании компьютер, который не ожидает такого действия, например в контроллер домена. One important scenario is if an external device that contains malware is inserted into a high-value machine that doesn’t expect this type of action, such as a domain controller.

Доверенный платформенный модуль Trusted Platform Module

Новые возможности TPM в Windows 10 (версия 1511) New TPM features in Windows 10, version 1511

  • Поставщики хранилища ключей (KSP) и srvcrypt поддерживают шифрование на основе эллиптических кривых (ECC). Key Storage Providers (KSPs) and srvcrypt support elliptical curve cryptography (ECC).

Новые возможности TPM в Windows 10 (версия 1507) New TPM features in Windows 10, version 1507

В следующих разделах описаны новые и измененные функции доверенного платформенного модуля для Windows 10. The following sections describe the new and changed functionality in the TPM for Windows 10:

Аттестация работоспособности устройства Device health attestation

Аттестация работоспособности устройства позволяет предприятиям установить отношение доверия на основе аппаратных и программных компонентов управляемого устройства. Device health attestation enables enterprises to establish trust based on hardware and software components of a managed device. С помощью аттестации работоспособности устройства можно настроить MDM-сервер для запроса службы подтверждения работоспособности, что позволит или запретит доступ к безопасному ресурсу со стороны управляемого устройства. With device health attestation, you can configure an MDM server to query a health attestation service that will allow or deny a managed device access to a secure resource. На устройстве можно проверить следующее. Some things that you can check on the device are:

  • Предотвращение выполнения данных поддерживается и включено? Is Data Execution Prevention supported and enabled?
  • Шифрование диска BitLocker поддерживается и включено? Is BitLocker Drive Encryption supported and enabled?
  • Безопасная загрузка поддерживается и включена? Is SecureBoot supported and enabled?

Устройство должно работать под управлением Windows10 и должно поддерживать хотя бы TPM 2.0. The device must be running Windows 10 and it must support at least TPM 2.0.

Контроль учетных записей User Account Control

Контроль учетных записей (UAC) позволяет предотвратить повреждение компьютера вредоносным ПО и помогает развернуть в организации более управляемую настольную среду. User Account Control (UAC) helps prevent malware from damaging a computer and helps organizations deploy a better-managed desktop environment.

Не следует выключать контроль учетных записей, так как такой сценарий не поддерживается для устройств под управлением Windows 10. You should not turn off UAC because this is not a supported scenario for devices running Windows 10. Если выключить контроль учетных записей, все приложения универсальной платформы Windows перестанут работать. If you do turn off UAC, all Universal Windows Platform apps stop working. Реестр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA всегда должен иметь значение 1. You must always set the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA registry value to 1. Если необходимо обеспечить автоматическое повышение прав для программного доступа или установки, вы можете установить для реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin значение 0, что равнозначно установке ползунка контроля учетных записей в положение «Никогда не уведомлять». If you need to provide auto elevation for programmatic access or installation, you could set the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin registry value to 0, which is the same as setting the UAC slider Never Notify. Подобное действие не рекомендуется выполнять для устройств под управлением Windows 10. This is not recommended for devices running Windows 10.

Дополнительные сведения о том, как управлять контролем учетных записей, см. в разделе Параметры групповой политики контроля учетных записей и параметры раздела реестра. For more info about how manage UAC, see UAC Group Policy Settings and Registry Key Settings.

В Windows 10 в контроль учетных записей внесены некоторые улучшения. In Windows 10, User Account Control has added some improvements.

Новые возможности контроля учетных записей в Windows 10 (версия 1507) New User Account Control features in Windows 10, version 1507

  • Интеграция с интерфейсом Antimalware Scan Interface (AMSI). Integration with the Antimalware Scan Interface (AMSI). AMSI проверяет все запросы повышения привилегий контроля учетных записей на вредоносность. The AMSI scans all UAC elevation requests for malware. Если обнаружена вредоносная программа, привилегии администратора блокируются. If malware is detected, the admin privilege is blocked.

Параметры профиля VPN VPN profile options

Windows 10 предоставляет набор функций VPN, которые повышают безопасность предприятия и обеспечивают улучшенное взаимодействие с пользователем, в том числе: Windows 10 provides a set of VPN features that both increase enterprise security and provide an improved user experience, including:

  • автоматическое подключение для обеспечения режима «Постоянное подключение»; Always-on auto connection behavior
  • VPN-подключение, инициируемое приложением; App=triggered VPN
  • фильтры трафика VPN; VPN traffic filters
  • блокировка VPN; Lock down VPN
  • интеграция с Microsoft Passport for Work. Integration with Microsoft Passport for Work

Управление Management

Windows 10 располагает функциями управления мобильными устройствами (MDM) для компьютеров, ноутбуков, планшетов и телефонов, обеспечивающих управление личными и корпоративными устройствами на уровне предприятия. Windows 10 provides mobile device management (MDM) capabilities for PCs, laptops, tablets, and phones that enable enterprise-level management of corporate-owned and personal devices.

Поддержка MDM MDM support

Политики MDM для Windows 10 соответствуют политикам, поддерживаемым Windows 8.1. Они расширены для поддержки большего числа корпоративных сценариев, таких как управление несколькими пользователями с учетными записями Microsoft Azure Active Directory (Azure AD), полный контроль над Microsoft Store, конфигурация VPN и др. MDM policies for Windows 10 align with the policies supported in Windows 8.1 and are expanded to address even more enterprise scenarios, such as managing multiple users who have Microsoft Azure Active Directory (Azure AD) accounts, full control over the Microsoft Store, VPN configuration, and more.

Поддержка MDM в Windows 10 основана на протоколе управления устройствами (DM) версии 1.2.1 Открытого сообщества производителей мобильной связи (OMA). MDM support in Windows 10 is based on Open Mobile Alliance (OMA) Device Management (DM) protocol 1.2.1 specification.

Корпоративные устройства могут регистрироваться автоматически, если организации используют Azure AD. Corporate-owned devices can be enrolled automatically for enterprises using Azure AD. Справочник по управлению мобильными устройствами для Windows 10 Reference for Mobile device management for Windows 10

Отмена регистрации Unenrollment

Если пользователь покидает вашу организацию и необходимо отменить регистрацию учетной записи пользователя или устройства для прекращения управления, то конфигурации и приложения, управляемые на корпоративном уровне, удаляются с соответствующего устройства. When a person leaves your organization and you unenroll the user account or device from management, the enterprise-controlled configurations and apps are removed from the device. Вы можете отменить регистрацию устройства удаленно, или пользователь может сделать это, вручную удалив учетную запись с устройства. You can unenroll the device remotely or the person can unenroll by manually removing the account from the device.

Если отменяется регистрация личного устройства, данные и приложения пользователя остаются без изменений, тогда как корпоративные данные, такие как сертификаты, профили VPN и корпоративные приложения, удаляются. When a personal device is unenrolled, the user’s data and apps are untouched, while enterprise information such as certificates, VPN profiles, and enterprise apps are removed.

Инфраструктура Infrastructure

Организации могут выбирать следующие возможности, связанные с удостоверениями и управлением. Enterprises have the following identity and management choices.

Область Area Варианты Choices
Удостоверение Identity Active Directory; Azure AD Active Directory; Azure AD
Группирование Grouping Присоединение к домену, рабочей группе, Azure AD Domain join; Workgroup; Azure AD join
Управление устройствами Device management Групповая политика; Microsoft Endpoint Configuration Manager; Microsoft Intune; другие решения MDM; Exchange ActiveSync; Windows PowerShell; инструментарий управления Windows (WMI) Group Policy; Microsoft Endpoint Configuration Manager; Microsoft Intune; other MDM solutions; Exchange ActiveSync; Windows PowerShell; Windows Management Instrumentation (WMI)

Примечание. С момента выпуска Windows Server 2012 R2 защита доступа к сети (NAP) является устаревшей технологией и была удалена из Windows 10. Note: With the release of Windows Server 2012 R2, Network Access Protection (NAP) was deprecated and the NAP client has now been removed in Windows 10. Дополнительные сведения о жизненных циклах поддержки см. в разделе Жизненный цикл технической поддержки Microsoft. For more information about support lifecycles, see Microsoft Support Lifecycle.

Блокировка устройств Device lockdown

Вам нужен компьютер, который предназначен только для решения одной задачи? Do you need a computer that can only do one thing? Например: For example:

Устройство в зале ожидания, которое может использоваться клиентами для просмотра вашего каталога продуктов. A device in the lobby that customers can use to view your product catalog.

Портативное устройство, которое может использоваться водителями для сверки с маршрутом на карте. A portable device that drivers can use to check a route on a map.

Устройство, которое используется стажером для ввода данных. A device that a temporary worker uses to enter data.

Вы можете настроить состояние постоянной блокировки для создания устройства-терминала. You can configure a persistent locked down state to create a kiosk-type device. При выполнении входа под зафиксированной учетной записью на устройстве отображается только выбранное приложение. When the locked-down account is logged on, the device displays only the app that you select.

Можно также настроить состояние блокировки, которое вступает в силу при выполнении входа под определенной учетной записью пользователя. You can also configure a lockdown state that takes effect when a given user account logs on. Блокировка ограничивает пользователя возможностью выполнения только заданных вами приложений. The lockdown restricts the user to only the apps that you specify.

Параметры блокировки также могут быть настроены в соответствии с интерфейсом устройства, например с указанием темы и пользовательской компоновки начального экрана. Lockdown settings can also be configured for device look and feel, such as a theme or a custom layout on the Start screen.

Пользовательский макет начального экрана Customized Start layout

Стандартный пользовательский начальный экран может быть полезен на устройствах, которыми пользуются несколько человек, а также устройствах, заблокированных с определенной целью. A standard, customized Start layout can be useful on devices that are common to multiple users and devices that are locked down for specialized purposes. Начиная с Windows 10 версии 1511, администраторы могут настраивать частичный макет начального экрана, в котором используются указанные группы плиток, а пользователям при этом предоставляется возможность создавать и настраивать собственные группы плиток. Starting in Windows 10, version 1511, administrators can configure a partial Start layout, which applies specified tile groups while allowing users to create and customize their own tile groups. Узнайте, как настраивать и экспортировать макет начального экрана. Learn how to customize and export Start layout.

Администраторы также могут использовать службу управления мобильными устройствами (MDM) или групповую политику для отключения использования функции Windows: интересное на экране блокировки. Administrators can also use mobile device management (MDM) or Group Policy to disable the use of Windows Spotlight on the lock screen.

Microsoft Store для бизнеса Microsoft Store for Business

Новые возможности в Windows 10 (версия 1511) New in Windows 10, version 1511

Microsoft Store для бизнеса позволяет организациям приобретать приложения для Windows с корпоративной лицензией. With the Microsoft Store for Business, organizations can make volume purchases of Windows apps. В Магазине для бизнеса можно приобрести приложения с учетом специфики организации. Предлагаются гибкие варианты распространения и возможность использования освободившихся лицензий и многократного использования лицензий. The Store for Business provides app purchases based on organizational identity, flexible distribution options, and the ability to reclaim or re-use licenses. Организации могут использовать Магазин для бизнеса для создания собственного магазина для своих сотрудников, где будут размещены приложения из Магазина и внутренние бизнес-приложения. Organizations can also use the Store for Business to create a private store for their employees that includes apps from the Store, as well private Line-of-Business (LOB) apps.

Обновления Updates

Центр обновления Windows для бизнеса позволяет ИТ-администраторам поддерживать устройства под управлением Windows 10 в организации в актуальном состоянии (имеются в виду новейшие версии механизмов обеспечения безопасности и компонентов Windows) путем непосредственного подключения этих систем к службе Центра обновления Windows корпорации Microsoft. Windows Update for Business enables information technology administrators to keep the Windows 10-based devices in their organization always up to date with the latest security defenses and Windows features by directly connecting these systems to Microsoft’s Windows Update service.

Благодаря объектам групповой политикиЦентр обновления Windows для бизнеса представляет собой простую в установке и внедрении систему, которая позволяет организациям и администраторам осуществлять контроль над обновлением устройств с Windows 10. By using Group Policy Objects, Windows Update for Business is an easily established and implemented system which enables organizations and administrators to exercise control on how their Windows 10-based devices are updated, by allowing:

Группы развертывания и проверки: здесь администраторы могут указать, какие устройства обновляются первыми, а какие— после (чтобы обеспечить соблюдение требований по качеству). Deployment and validation groups; where administrators can specify which devices go first in an update wave, and which devices will come later (to ensure any quality bars are met).

Одноранговая доставка: администраторы могут воспользоваться этой функцией для эффективной доставки обновлений в офисы филиалов и на удаленные объекты (с ограниченной пропускной способностью). Peer-to-peer delivery, which administrators can enable to make delivery of updates to branch offices and remote sites with limited bandwidth very efficient.

Используйте с существующими средствами, такими как Microsoft Endpoint Manager и Корпоративный набор мобильности. Use with existing tools such as Microsoft Endpoint Manager and the Enterprise Mobility Suite.

Совокупность этих возможностей Центра обновления Windows для бизнеса позволяет снизить затраты на управление устройствами, наладить контроль над развертыванием обновлений, обеспечить более быструю доступность обновлений для системы безопасности и новейших инноваций Майкрософт на постоянной основе. Together, these Windows Update for Business features help reduce device management costs, provide controls over update deployment, offer quicker access to security updates, as well as provide access to the latest innovations from Microsoft on an ongoing basis. Центр обновления Windows для бизнеса — это бесплатная служба для всех выпусков Windows 10 Pro, Корпоративная и Windows 10 для образовательных учреждений. Эту службу можно использовать отдельно или совместно с существующими решениями для управления устройствами, такими как Windows Server Update Services (WSUS) и Microsoft Endpoint Configuration Manager. Windows Update for Business is a free service for all Windows 10 Pro, Enterprise, and Education editions, and can be used independent of, or in conjunction with, existing device management solutions such as Windows Server Update Services (WSUS) and Microsoft Endpoint Configuration Manager.

Дополнительные сведения об обновлении Windows 10 см. в статье Введение в вопросы обслуживания Windows 10. For more information about updating Windows 10, see Windows 10 servicing options for updates and upgrades.

Microsoft Edge Microsoft Edge

Microsoft Edge позволяет не просто просматривать веб-страницы, но и активно взаимодействовать с сетью с помощью таких функций, как веб-заметки, режим чтения и Кортана. Microsoft Edge takes you beyond just browsing to actively engaging with the web through features like Web Note, Reading View, and Cortana.

  • Веб-заметки. Web Note. Microsoft Edge позволяет добавлять примечания и выделять элементы прямо на веб-страницах. Microsoft Edge lets you annotate, highlight, and call things out directly on webpages.
  • Режим чтения. Reading view. В Microsoft Edge можно читать и распечатывать интернет-статьи в представлении, не содержащем отвлекающих элементов и оптимизированном для размера экрана. Microsoft Edge lets you enjoy and print online articles in a distraction-free layout that’s optimized for your screen size. В режиме чтения можно также сохранять веб-страницы или PDF-файлы в списке для чтения, чтобы вернуться к ним позднее. While in reading view, you can also save webpages or PDF files to your reading list, for later viewing.
  • Кортана. Cortana. Кортана автоматически включается в Microsoft Edge. Cortana is automatically enabled on Microsoft Edge. Microsoft Edge позволяет выделять слова для получения дополнительной информации, а также, например, одним нажатием кнопки забронировать столик в ресторане и прочитать отзывы, оставаясь на текущей веб-странице. Microsoft Edge lets you highlight words for more info and gives you one-click access to things like restaurant reservations and reviews, without leaving the webpage.
  • Совместимость и безопасность. Compatibility and security. Microsoft Edge по-прежнему позволяет использовать IE11 для сайтов в корпоративной интрасети или сайтов, входящих в список сайтов режима предприятия. Microsoft Edge lets you continue to use IE11 for sites that are on your corporate intranet or that are included on your Enterprise Mode Site List. IE11 требуется для запуска устаревших, менее безопасных технологий, таких как элементы ActiveX. You must use IE11 to run older, less secure technology, such as ActiveX controls.

Руководство для предприятий Enterprise guidance

Microsoft Edge — браузер по умолчанию для Windows 10 и Windows 10 Mobile. Microsoft Edge is the default browser experience for Windows 10 and Windows 10 Mobile. Однако для веб-приложений, которым требуются элементы ActiveX, рекомендуется по-прежнему использовать Internet Explorer 11. However, if you’re running web apps that need ActiveX controls, we recommend that you continue to use Internet Explorer 11 for them. Если вы удалили браузер Internet Explorer 11, его можно скачать из Microsoft Store или со страницы загрузки Internet Explorer 11. If you don’t have IE11 installed anymore, you can download it from the Microsoft Store or from the Internet Explorer 11 download page.

Также рекомендуется выполнить обновление до IE11, если вы используете более ранние версии Internet Explorer. We also recommend that you upgrade to IE11 if you’re running any earlier versions of Internet Explorer. IE11 поддерживается в Windows 7, Windows 8.1 и Windows 10. IE11 is supported on Windows 7, Windows 8.1, and Windows 10. Поэтому все прежние приложения, работающие с IE11, будут работать и после перехода на Windows 10. So any legacy apps that work with IE11 will continue to work even as you migrate to Windows 10.

Оцените статью
© 2024 Советы по настройке компьютера