company_banner

Новая версия Windows 10: взгляд сисадмина

    Наверняка вы уже слышали, что сегодня официально выходит Windows 10 Creators Update. В этой статье мы решили быть на шаг впереди и рассказать вам про новые фичи для сисадминов в следующем обновлении Windows 10 (1703).



    Конфигурирование


    Конструктор Windows Configuration Designer


    Ранее этот компонент назывался Windows Imaging and Configuration Designer, ICD и использовался для создания пакетов подготовки. В этой версии он получил новое название Windows Configuration Designer. В предыдущих версиях Windows, его можно установить в составе комплекта средств для развертывания и оценки Windows ADK.

    Для упрощённого создания пакетов подготовки в конструкторе Windows Configuration Designer в Windows 10 версии 1703 есть ряд новых мастеров.



    В обеих версиях мастера — для настольных компьютеров и киосков — есть возможность удалить предустановленное ПО с использованием поставщика службы конфигураций CleanPC.



    Массовое подключение к Azure Active Directory


    Новые мастера из состава Windows Configuration Designer позволяют создавать пакеты подготовки для присоединения устройств к Azure Active Directory. Массовое подключение к Azure Active Directory доступно в мастерах для настольных компьютеров, мобильных устройств, киосков и устройств Surface Hub.



    Windows Spotlight


    Добавились новые групповые политики и параметры управления мобильными устройствами (MDM):

    • Turn off the Windows Spotlight on Action Center;
    • Do not use diagnostic data for tailored experiences;
    • Turn off the Windows Welcome Experience.

    Подробнее о Windows Spotlight.

    Структура меню Пуск, начального экрана и панели задач


    Наверняка вы знаете, что предприятия могут менять вид меню Пуск, начального экрана и панели задач на компьютерах под управлением Windows 10 редакций Enterprise и Education. В версии 1703 эти модификации можно применить также к редакции Pro.

    Ранее нестандартную панель задач можно было развёртывать только с помощью групповых политик или пакетов подготовки. В новой версии поддержка нестандартных панелей появилась в средстве управления мобильными устройствами (MDM).

    Появились новые параметры политик MDM для управления меню Пуск и структурой начального экрана и панели задач. Параметры политик MDM:


    Развёртывание


    Утилита MBR2GPT.EXE


    MBR2GPT.EXE — новый инструмент командной строки. Он преобразует MBR-диск (Master Boot Record) в раздел GPT (GUID Partition Table), не меняя и не удаляя данные на диске. Эта утилита предназначена для использования в командной строке среды предустановки Windows (Windows PE), но её можно использовать и в полнофункциональной операционной системе Windows 10.

    Формат разделов GPT более новый и позволяет создавать больше разделов большего размера. Он также обеспечивает повышенную надежность данных, поддерживает дополнительные типы разделов и повышает скорость загрузки и выключения. После преобразования системного диска из MBR в GPT следует перенастроить компьютер для загрузки в режиме UEFI, поэтому перед преобразованием системного диска надо убедиться, что ваше устройство поддерживает UEFI.

    После загрузки в режиме UEFI в Windows 10 становятся доступными следующие функции безопасности: безопасная загрузка, ранний запуск антивредоносного драйвера ELAM (Early Launch Anti-malware), надежная загрузка Windows, измеряемая загрузка, Охранник устройств, Охранник учетных данных и сетевая разблокировка BitLocker.

    Безопасность


    Windows Defender Advanced Threat Protection


    Новые возможности Windows Defender Advanced Threat Protection (ATP) для Windows 10 версии 1703. Кстати, напоминаем, что недавно делились описанием функционала ATP на Хабре.

    Обнаружение атак

    К основным улучшениям в области обнаружения атак относятся:

    • возможность использовать api-интерфейса аналитики угроз для создания пользовательских оповещений;
    • улучшения сенсоров ОС для памяти и ядра, чтобы обеспечить поддержку обнаружения атак в памяти и на уровне ядра;
    • обновление механизмов обнаружения программ-шантажистов, а также других сложных атак;
    • функциональность ретроспективного обнаружения, которая позволяет применять новые правила обнаружения атак в архивных данных с глубиной до полугода, чтобы обнаруживать атаки, которые ранее остались незамеченными.

    Расследование атак

    Корпоративные клиенты теперь могут воспользоваться полным набором функций безопасности Windows благодаря тому, что информация об обнаружении атак средствами Windows Defender Antivirus и блоки Охранника устройств отображаются в портале Windows Defender ATP.

    Добавлены другие возможности, позволяющие получить целостную картину расследований. К другим улучшениям расследования атак относятся:


    Реагирование на атаки

    При обнаружении атаки группы реагирования могут предпринимать неотложные меры по изоляции бреши в системе безопасности:


    Другие возможности

    Проверка состояния работоспособности сенсоров — проверка способности конечной точки предоставлять данные сенсора и взаимодействовать со службой Windows Defender ATP, а также устранять известные неполадки.

    Windows Defender Antivirus


    Защитник Windows получил новое название — Windows Defender Antivirus. Его новые возможности:


    Также расширились возможности по защите от программ-шантажистов за счёт обновленного мониторинга поведения и постоянной защиты в реальном времени.

    Параметры безопасности групповых политик


    Параметр безопасности Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован (Interactive logon: Display user information when the session is locked) был обновлён и теперь работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа.

    Появился новый параметр политики безопасности — Interactive logon: Don't display username at sign-in. Этот параметр определяет, нужно ли отображать имя пользователя во время входа в систему, и работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа. Этот параметр влияет только на плитку Other user.

    Windows Hello для бизнеса


    Теперь забытый PIN-код можно сбросить, не удаляя корпоративные данные или приложения, управляемые средствами Microsoft Intune. Администратор может инициировать удаленный сброс PIN-кода устройств под управлением PIN через портал Intune.

    На настольных ПК пользователи могут сбросить забытый PIN-код в разделе Параметры > Учетные записи > Параметры входа.

    Обновление


    Windows Update for Business


    Функция приостановки обновления изменилась: теперь в ней требуется указывать дату начала установки. Если не сконфигурирована соответствующая политика, у пользователей теперь есть возможность отложить обновление в параметрах Windows Settings → Update & security → Windows Update → Advanced options. Также увеличилось время, на которое можно откладывать исправления, — до 35 дней.

    Обновление устройств, управляемых с помощью Windows Update for Business, теперь можно откладывать на срок до 365 дней (ранее обновление можно было отложить только на 180 дней). Пользователи могут задавать в параметрах уровень готовности своей ветви и время, на которое следует отложить обновления.

    Windows Insider for Business


    Добавилась возможность загружать сборки предварительной версии Windows 10 Insider Preview, используя корпоративные учетные данные Azure Active Directory (AAD).

    Оптимизация доставки обновлений


    Изменения в новой версии позволили обеспечить полную поддержку экспресс-обновлений в System Center Configuration Manager, начиная с версии 1702 этого продукта, а также обновлений и управления продуктами сторонних производителей, в которых реализована эта функциональность. Она дополнила существующую поддержку экспресс-обновлений в Центре обновлений Windows, Центре обновлений Windows для бизнеса и WSUS.

    Примечание. Указанные изменения доступны в Windows 10 версии 1607 после установки апрельского обновления 2017 года.

    Политики оптимизации доставки обновлений теперь позволяют задавать дополнительные ограничения, что дает возможность лучше управлять различными сценариями обновления.

    К новым политикам относятся:

    • поддержка загрузки при заданном уровне заряда, когда устройство работает от батареи;
    • поддержка однорангового кеширования при подключении устройства через VPN;
    • определение памяти (включительно), которую разрешено использовать для однорангового кеширования;
    • минимальный объём дискового пространства, который разрешено использовать для однорангового кеширования;
    • минимальный размер файла для содержимого однорангового кеширования.

    Установленные ранее приложения больше не обновляются автоматически


    При обновлении до Windows 10 версии 1703 поставляемые в составе Windows приложения, которые пользователь ранее удалил, не будут автоматически устанавливаться в рамках процесса обновления.

    Управление


    Новые возможности MDM


    В новой версии появилось множество новых поставщиков услуг конфигурации (CSP) для управления Windows 10 с применением средств управления мобильными устройствами (MDM) или пакетов подготовки. Помимо прочего эти CSP-поставщики позволяют управлять несколькими сотнями самых полезных групповых политик посредством MDM.

    Новые CSP-поставщики:

    • DynamicManagement CSP позволяет по-разному управлять устройствам в зависимости от их местоположения, подключения к сети и времени. Например, на управляемых устройствах можно отключать камеры, когда они находятся на рабочем месте, поддержку мобильной связи — при выезде из страны для предотвращения больших расходов на роуминг; или беспроводную сеть — когда устройство не находится в здании организации или кампуса. После конфигурирования эти параметры могут применяться даже в отсутствие связи с сервером управления из-за смены местоположения или сети. Dynamic Management CSP позволяет конфигурировать политики, меняющие порядок управления устройством в дополнение к настройке условий, при которых такое изменение происходит.
    • CleanPC CSP позволяет удалять предустановленные и установленные пользователем приложения, сохраняя при этом пользовательские данные.
    • BitLocker CSP используется для управления шифрованием на настольных компьютерах и устройствах. Например, можно обеспечить шифрование данных на картах памяти устройств или дисков с операционной системой.
    • NetworkProxy CSP служит для конфигурирования прокси-сервера для подключения через Ethernet или Wi-Fi.
    • Office CSP позволяет устанавливать на устройство клиент Microsoft Office с помощью средства развертывания Office.
    • EnterpriseAppVManagement CSP служит для управления виртуальными приложениями на настольных компьютерах под управлением Windows 10 (в редакциях Enterprise и Education) и позволяет передавать виртуализованные приложения App-V на компьютеры, даже если те управляются средствами MDM.

    Для определения групповых политик, которые были сконфигурированы для пользователя или компьютера, и для перекрестного связывания этих параметров со встроенным списком поддерживаемых политик MDM, используется MDM Migration Analysis Tool (MMAT). Инструмент позволяет получать отчеты в форматах XML и HTML, в которых указывается уровень поддержки всех параметров групповых политик и их эквивалентов в MDM.

    Управление мобильными приложениями в Windows 10


    Версия управления мобильными приложениями (mobile application management, MAM) для Windows — это облегченное решение для управления доступом к корпоративным данным и безопасностью на личных устройствах. Начиная с Windows 10 версии 1703, поддержка MAM встроена в Windows поверх WIP (Windows Information Protection).

    Диагностика MDM


    Продолжилась работа над совершенствованием средств диагностики, соответствующих требованиям современного управления. Появление автоматического ведения журнала для мобильных устройств позволило Windows автоматически фиксировать в журнале ошибки в MDM, избавляя от необходимости постоянно вести журнал на устройствах с небольшим объёмом памяти. Кроме того, появился Microsoft Message Analyzer — дополнительный инструмент, помогающий сотрудникам службы поддержки быстро обнаружить причины неполадок и, таким образом, обеспечить экономию времени и денег.

    Мобильные устройства в Windows 10


    Lockdown Designer


    Приложение Lockdown Designer помогает сконфигурировать и создать XML-файл блокировки, который должен применяться к устройствам под управлением Windows 10, а также содержит функциональность удалённого моделирования, позволяющую определять конфигурацию плиток в меню Пуск и на начальном экране. Использовать Lockdown Designer проще, чем вручную создавать XML-файл блокировки.



    Другие улучшения


    Также появились следующие улучшения:

    • шифрование карт SD;
    • удаленный сброс PIN-кодов учетных записей Azure Active Directory;
    • архивирование текстовых SMS-сообщений;
    • управление Wi-Fi Direct;
    • управление отображением Continuum;
    • индивидуальное отключение экрана монитора или телефона в отсутствие активности;
    • индивидуальное определение таймаута экрана;
    • решения для стыковки Continuum;
    • определение свойств портов Ethernet;
    • определение свойств прокси для портов Ethernet.

    Полезные материалы из нашего блога и не только




    UPD: Про обновления в Windows 10 Creators Update можно почитать в блоге компании.
    Microsoft
    Microsoft — мировой лидер в области ПО и ИТ-услуг

    Similar posts

    Comments 37

      0
      На w10pro можно как-то отключить запрос пароля и пинкода при входе? Понятно, что безопасность и всё прочее, но тем не менее. Раньше был формальный пинкод 1111, теперь и его запретили, введя требования к сложности. Ставил даже какую-то утилиту от Руссиновича, но не помогло.
        +2
        Разве стандартное control userpasswords2 не работает?
          0
          На home точно не работает, на про попробую еще раз, спасибо.
            0
            В Home вроде бы нет самого визарда, но прописать пароль в реестре:

            Windows Registry Editor Version 5.00

            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
            "AutoAdminLogon"="1"
            "DefaultDomainName"="COMPUTERNAME"
            "DefaultUserName"="USERNAME"
            "DefaultPassword"="PASSWORD"
          0
          Win + R: netplwiz
            0
            да вроде так же как и раньше, win+r→netplwiz→на юзере снять галку «требовать ввод пароля». При применении спрашивает пароль юзера повторно и дальше будет спрашивать только на локскрине
            0
            эм?..
            image
              +1
              Как этому новому Дефендеру объяснить, что меня не надо уведомлять об отключенном брандмауэре?
              Доменными политиками брандмауэр, при нахождении ноута в домене, принудительно отключен.
              На настройки центра безопасности, где можно отключить это уведомление, новый Дефендер не смотрит :( У него свои правила.
              А еще интересно: кому мешал доступ к панели управления по правому клику на меню Windows?
              RSAT при обновлении снеслись :(
                –1
                Всё равно не уговорили перейти
                  +2
                  Вроде и не было цели в уговорах. :)
                  0

                  Так как официальный сайт МS — это просто верх неудобства использования, спрошу здесь: когда "большие обновления" прилетят на LTSB? Имею в виду Anniversary update и Creator update.

                    0
                    Вдогонку вопрос, когда на WSUS прилетит данное обновление?
                      0

                      На WSUS уже прилетело (имеется в виду обновление перехода с 7, 8.1 или с версий 10 на 1703)

                        0
                        Хм… а можно пруф или скрин? На моём WSUS его нет, в случае с 1607 оно тоже не сразу вышло.
                          +1

                          Только немного неожиданно получилось
                          image
                          У меня несколько машин уже было с 1703 с установкой ручками.

                            0
                            Спасибо! Подтолкнул ручками синхронизацию и тоже прилетело.

                        0
                        Да, оно уже доступно. Иногда обновления могут приходить с задержкой 2-3 дня. В ближайшее время появится в Downloads.
                        0
                        На LTSB вообще не уверен, что апгрейд прилетит через обновления. Эта версия предназначена для компьютеров где требуется большая стабильность и апгрейды с обновлениями версий ставятся через образ ручками либо WDS.
                          0
                          Aniversary LTSB стала доступна 01.10.2016. По Creators нужно уточнить.
                          0
                          А полное отключение телеметрии стало возможным? В том числе Security?
                          Если да, можем попробовать, если нет, пока отученным от гугла андройдом попользуемся.
                            0
                            пока отученным от гугла андройдом попользуемся.
                            В качестве десктопа?
                              0
                              Простите, не уточнил — embedded систем.
                              Чистый linux неплох, но так привычнее.
                            0
                            MBR2GPT интересная фича. Предусмотрены ли какие-нибуть средства для обратной операции, в случае если «что-то пошло не так» или только потом из fullbackup систему поднимать?
                              0

                              Скорее всего, придется пользоваться менеджером дисков третьей стороны (Paragon HDM, скажем, или эквивалент). Микрософт давно пытается выпилить MBR-формат дисков из экосистемы, поэтому вряд ли будет поддерживать возврат на MBR.

                                0
                                наличие инструмента конечно хорошо, но вот сценарий его использования мне не понятен. Если система работает на диске с MBR, то какой смысл его конвертировать? Если появился новый диск объемом более 2Тб, то он и так еще не инициализирован. Единственный сценарий, который приходит на ум, это если диск переставили в систему с кастрированным УЕФИ, который не умеет BIOS legacy mode. В остальном не вижу пока и смысла дергаться в сторону UEFI mode. 100500 разделов на диске тоже непонятное «достижение». Раздел 500мб под BCD записи, остальное для пользования. Даже с разделом под восстановление и wimboot хватает ограничений MBR. Зато в BIOS legacy и старые и новые машины могут пользоваться существующими средствами PXE без поддержки двух вариантов загрузки.
                                  0
                                  Вы видимо не прочитали последний абзац раздела посвященного этой фиче.Лично меня заинтересовало включение сетевой разблокировки битлокера. А с расплодом кучи разделов, которые нельзя переместить или удалить штатными средствами, после обновления до это уже другой вопрос. Видимо нужно еще пару обновлений ждать решения этой проблемы.
                                    0
                                    Зато в BIOS legacy и старые и новые машины могут пользоваться существующими средствами PXE без поддержки двух вариантов загрузки.

                                    Это не проблема. Снимал образ в MBR, разворачивал его через PXE на диски в UEFI GPT (только вначале голову сломал где включить режим при загрузке по сети именно UEFI в Lenovo ThinkCentre M93 Tiny Desktop)


                                    Некоторые продукты тоже на словах умеют менять формат без удаления данных.


                                    Лучше бы еще добавили в разметчик дисков при установке возможно отображать и изменять тип диска.

                                    0
                                    Вот подробное описание этой утилиты, в теории должно хватить бекапа таблицы разделов и загрузочного сектора.
                                      0
                                      Проверил:
                                      1. Надо восстановить старую таблицу разделов с новой верхней границей для виндового раздела. Я делал через fdisk в Ubuntu.
                                      2. Загрузиться с дистрибутива Window и выполнить bootrec /RebuildBCD и bootrec /FixMbr. Родной Startup Repair выполняет первую команду, но почему-то не записывает загрузочный сектор.
                                      3. Опционально: растянуть виндовый раздел до конца диска и занулить сектора 2-2047 с остатками GPT.
                                    • UFO just landed and posted this here
                                        0
                                        Московский дворец молодежи?
                                        • UFO just landed and posted this here
                                            0
                                            Мне вот интересно, вы под MDM понимаете музыкальный жанр, или что-то другое?
                                            • UFO just landed and posted this here
                                        +1
                                        Дизайн тем хуже, чем более высокое разрешение делают на мониторах.
                                          0
                                          Не холивара ради, а информации для добавлю перечень «diagnostic data to keep Windows up-to-date, secure, and operating properly».
                                            +3
                                            Windows 10 Creators Update изменил работу DNS и сломал опцию --block-outside-dns OpenVPN.

                                            Windows 10 Creators Update changed the way DNS works. It used to resolve DNS address using all available adapters and IP addresses in parallel, now it still resolves addresses using all available adapters but in sequence, beginning with random adapter.
                                            This interfere with how --block-outside-dns currently work. Sometimes OS chooses VPN TAP adapter and things work as intended, sometimes the other adapter and user have to wait until DNS request times out and DNS resolution goes via VPN.
                                            This behaviour introduces significant lag for web browsing.

                                            Another thing is that Windows always prefers IPv6, just as any other OS. Some home routers give IPv6 Unique local address with DNS server to the computers using DHCPv6, even if there's no IPv6 connectivity from the provider.

                                            More importantly, DisableSmartNameResolution switch, which didn't work in previous Windows 10 versions, now works correctly.

                                            Workaround #1, If VPN infrastructure is IPv6-enabled and pushes IPv6 address and DNS and route to the client:
                                            1. Apply DisableSmartNameResolution registry patch: https://files.catbox.moe/vng9wm.reg


                                            Workaround #2, if VPN infrastructure is not IPv6-enabled:
                                            Apply DisableSmartNameResolution registry patch: https://files.catbox.moe/vng9wm.reg
                                            1. If there's IPv6 DNS from the router, set static IPv6 DNS to ::2 (alternative to 127.0.0.2 in IPv4) or just disable IPv6 completely on internet interface.


                                            Workaround #3, if VPN infrastructure is not IPv6-enabled and client's infrastructure is not IPv6-enabled:
                                            1. Apply DisableSmartNameResolution registry patch: https://files.catbox.moe/vng9wm.reg
                                            2. Push IPv6 Unique local address and DNS server to the client, but do not push any routes. Client would use DNS over IPv6 but would not route anything else.


                                            Note: it would route IPv6 traffic over internet interface (not via VPN) if client's ISP is IPv6-enabled.

                                            Only users with full accounts can post comments. Log in, please.