Windows 11 версия 24H2 — это важное обновление для операционной системы, включающее все функции и исправления, представленные в предыдущих накопительных обновлениях для версий 23H2 и 22H2. Ниже приведены ключевые моменты, о которых следует знать ИТ-специалистам.

Общие сведения

  • Необходимое условие: Для обновления до версии 24H2 устройства должны работать под управлением Windows 11 версии 23H2 или 22H2 с установленным предварительным обновлением за май 2024 года или более поздней версией.
  • Тип обновления: Версия 24H2 представляет собой полное переключение ОС, поэтому она недоступна в виде пакета включения.
  • Доступность: Обновление доступно через различные каналы, включая Windows Server Update Services (WSUS), клиентский компонент Центра обновления Windows для бизнеса и Центр обслуживания корпоративного лицензирования (VLSC).
 

Новые и обновленные компоненты

  1. Поддержка новых устройств ввода-вывода:
    • Улучшена совместимость с новейшими периферийными устройствами, такими как графические планшеты, игровые контроллеры и гарнитуры виртуальной реальности (VR).
    • Обновленные драйверы для видеокарт NVIDIA и AMD обеспечивают лучшую производительность в играх и требовательных к графике приложениях.
  2. Усовершенствованная безопасность:
    • Расширенные функции шифрования данных обеспечивают дополнительную защиту конфиденциальной информации.
    • Антивирусная защита Windows Defender получила улучшения, повышающие эффективность обнаружения и устранения угроз.
  3. Повышенная производительность:
    • Оптимизированное ядро операционной системы и алгоритмы работы с памятью и процессором улучшают общую производительность и стабильность работы.
    • Ускоренное открытие приложений благодаря новым технологиям запуска, что уменьшает потребление ресурсов и сокращает задержки.
  4. Интеграция с облачными сервисами:
    • Упрощённая синхронизация файлов и доступ к ним с различных устройств через OneDrive и другие облачные сервисы.
  5. Интерфейс и удобство использования:
    • Новые иконки и темы оформления придают системе современный и стильный вид.
    • Удобство работы с панелью задач, включая возможность закрепления часто используемых приложений и быстрого переключения между ними.

Процесс обновления

Для обновления до Windows 11 версии 24H2 можно использовать стандартные процессы, политики и решения управления, применяемые для обновления Windows 10. Это включает использование WSUS, Configuration Manager и других инструментов управления обновлениями.

Эксклюзивные функции для компьютеров Copilot+ в Windows 11 версии 24H2

Компьютеры Copilot+ с Windows 11 предлагают уникальные возможности, основанные на мощностях нейронной вычислительной машины (NPU), способной обрабатывать более 40 триллионов операций в секунду (TOPS). Вот обзор некоторых эксклюзивных функций, доступных на этих устройствах в версии 24H2:

Субтитры в реальном времени

Эта функция позволяет автоматически преобразовывать аудиоконтент в субтитры на английском языке с поддержкой перевода с 44 языков. Это особенно полезно для людей с нарушениями слуха или тех, кто хочет улучшить понимание иностранного контента.

Эффекты Windows Studio

Этот набор видео- и аудиофункций на базе искусственного интеллекта доступен исключительно на устройствах Copilot+ и на компьютерах с Windows 11, оснащённых совместимой NPU. Эффекты Windows Studio автоматически улучшают качество освещения и подавляют фоновые шумы во время видеозвонков, делая общение более комфортным и профессиональным.

Совместное творчество в Paint

С функцией совместного создания в Paint вы можете создавать потрясающие художественные работы вместе с искусственным интеллектом. Просто введите текстовый запрос, начните рисовать, и Cocreator завершит вашу иллюстрацию, основываясь на ваших штрихах.

Auto Super Resolution (ASR)

Auto Super Resolution — это первая встроенная в операционную систему технология суперразрешения на базе ИИ, обеспечивающая плавное воспроизведение игр с более высоким разрешением. Это даёт геймерам преимущество в виде более чёткого и детального изображения.

Создание изображений и стилизация фотографий в приложении «Фотографии»

Используйте искусственный интеллект для создания уникальных изображений или стилизации существующих фотографий в приложении «Фотографии» (Microsoft). Это идеальный инструмент для творчества и экспериментов с визуальным контентом.

Эти функции делают компьютеры Copilot+ уникальными инструментами для работы, обучения и развлечений, предоставляя пользователям мощные возможности для взаимодействия с технологиями на новом уровне.

Улучшения подключения к удаленному рабочому столу

Подключение к удаленному рабочему столу получило несколько значительных улучшений:

  1. Масштабирование текста в настройках подключения:
    Окно настройки подключения к удаленному рабочем месту (mstcs.exe) теперь поддерживает параметры масштабирования текста в разделе ПараметрыСпециальные настройкиРазмер текста:
  • Параметры масштаба:
  • 350%
  • 400%
  • 450%
  • 500%

Эти параметры дают пользователям большую гибкость в выборе размера шрифта в окне подключения.

  1. Поддержка сжатия файлов:
  • Окно подключения поддерживает создание архивов формата ZIP и TAR.
  • Также поддерживается сжатие отдельных файлов с помощью алгоритмов gzip, bzip2, xz и zstd:
  • Gzip: сжатие файлов до минимума размеров.
  • Bzip2: сжатка данных с учетом оптимальной компрессии.
  • XZ: сжатание данных с минимальной потерей качества.
  • Zstd: сжатка с использованием алгоритмов сжатки, близких к gzip, но с лучшей эффективностью.
  1. Увеличение функциональных возможностей проводника:
  • В контекстном меню проводника появились новые опции для работы с файлами, такие как копирование, вставка, удаление и переименование файлов.
  • Эти функции теперь маркируются значками в меню правозачивания, что делает работу с файлов более интуитивной.
  1. Оптимизация режима работы с энергонетом:
  • Добавился новый API для прогнозирования энергопотребления, позволяющий разработчикам минимизировать влияние на окружающую среду путем переноса нагрузок на моменты, когда возобновляемые источники энергии доступны в локальном регионе.
  1. API для управления экономическими параметрами:
  • Появилось новое API для регистрации уведомлений о состоянии экономии энергии. Приложения могут регистрировать своё участие в программах экономии энергии, используя идентификатор GUID обраточного вызова уведомления энергосбережения. Приложение может реагировать на уведомления о состоянии энергосбережствия и вносить изменения в свой режим работы.
  1. Удаление WordPad:
  • WordPad был удален из всех релизований Windows 11 начиная с версии 24H2 и Windows Server 2025.
  1. Изменения в API PowerSettings:
  • Были удалены устаревшие функции, такие как Alljoyn, который использовался для управления конфигурациями устройств в сети. Это привело к изменению архитектуры и методов управления конфигурацией сетевых устройств.

Эти изменения делают работу с удаленными рабочими пространствами более удобной и эффективной, обеспечивая лучшее управление ресурсами и более устойчивый доступ к сеткам.

 

Изменения в протоколе SMB

В Windows 11 версии 24H2 произошли значительные изменения в области подписывания и шифрования протокола SMB (Server Message Block). Эти изменения направлены на усиление безопасности соединений между клиентами и серверами, минимизируя риск компрометации данных и атак типа «атака посредника». Рассмотрим, какие изменения были внесены в требования к подписыванию и шифрованию SMB, а также как администраторы могут управлять этими изменениями.

Подписание и шифрование SMB

Подписание и шифрование трафика SMB стало обязательным требованием для всех подключений в Windows 24H2, что значительно повысило уровень безопасности сети. Эти изменения охватывают следующие аспекты:

Требования к подписанию SMB
  • В Windows 24H2 для домашних, профессиональных, образовательных и корпоративных версий Windows подписывание SMB теперь включено по умолчанию для всех типов соединений. Это значит, что каждая транзакция SMB обязательно должна содержать криптографическую подпись, подтверждающую целостность передаваемых данных. Подпись создается на основе ключа сессии и набора шифров. Клиенты добавляют хэш всего сообщения в поле подписи заголовка SMB. Если кто-то попытается изменить сообщение в процессе передачи, хэш не совпадёт, и SMB сможет обнаружить вмешательство третьей стороны.
Шифрование SMB
  • SMB также поддерживает шифрование для всех клиентских подключений. Это гарантирует высокий уровень безопасности для всех исходящих подключений SMB. Администраторы теперь могут задать обязательность использования шифрования для всех серверов, подключающихся к SMB. Это требование гарантирует использование шифрования как клиентом, так и сервером. Если шифрование невозможно, подключение не будет установлено.
Аудит подписывания и шифрования SMB
  • Администраторы получили возможность проведения аудитов для мониторинга использования подписывания и шифрования на стороне клиентов и серверов. Этот функционал позволяет отслеживать, поддерживают ли клиенты и серверы шифрование и подписывание, и принимать меры в случае нарушений требований безопасности.

Альтернативные порты для SMB

Windows 11 24H2 также добавил поддержку подключения к серверу SMB через различные транспортные протоколы, такие как TCP, QUIC или RDMA, с возможностью использования альтернативных сетевых портов. Тем не менее, подключение к альтернативным портам возможно только тогда, когда сервер SMB настроен на прослушивание этих портов. Сервер SMB в Windows Server теперь поддерживает прослушивание на альтернативных портах для SMB по протоколу QUIC начиная с версии 26040. Однако сервер SMB не поддерживает использование альтернативных TCP-портов, хотя некоторые сторонние производители реализуют эту функциональность.

Список исключений блокировки SMB NTLM

Windows теперь поддерживает блокировку NTLM для всех удалённых подключений. Администратор может заблокировать использование NTLM через SMB и определить исключения для использования NTLM. Это исключает возможность атак на основе перехвата и фальсификации ответов на запросы NTLM, увеличивая общий уровень безопасности предприятия.

Управление диалектами SMB

Администраторы могут ограничить использование конкретных диалектов SMB, блокируя старые и менее безопасные диалекты SMB. Например, администраторы смогут потребовать использования только самого современного и безопасного диалекта SMB (например, SMB 3.1.1), блокируя подключения старых или сторонних устройств, которые используют менее безопасные директы SMB.

Эти изменения значительно усиливают безопасность сетевого обмена данными, предотвращая перехват и подделку данных в сети.

Изменения в правилах брандмауэра SMB

Правила брандмауэра Windows по умолчанию претерпели изменения в отношении протокола SMB. Раньше при создании общих папок SMB брандмауэр автоматически создавал правила для группы «Общий доступ к файлам и принтерам» для определенных профилей брандмауэра. Теперь Windows автоматически создаёт новую группу «Общего доступа к файлам и принтер» (ограничительную), которая не включает входящие порты NetBIOS 137–139.

Эти изменения увеличивают безопасность сетей по умолчанию, поскольку брандмауэр SMB теперь ближе к поведению файлового сервера Windows Server, который открывает только минимальные порты, необходимые для подключения и управления общим доступом. Администраторы могут настроить или изменить эту новую группу брандмауэра по мере необходимости.

Wi-Fi 7

Wi-Fi 7 (IEEE 802.11be) теперь поддерживается для точек доступа потребителей. Wi-Fi 7 (Extreme High Throughput) предоставляет рекордную скорость, надежность и эффективность для беспроводных устройств.

Поддержка звука через Bluetooth Low Energy (BLE) для дополнительных устройств

Пользители, которые используют вспомогательные устройства для аудио, теперь могут напрямую соединять, передавать звук, принимать вызовы и управлять настройками звука через компьютер, поддерживающий Bluetooth Low Energy Audio (LE Audio). Пользователи, у которых есть дополнительные устройства с поддержкой BLE Audio, могут определить, совместимо ли их оборудование с компьютером, настроить устройства и управлять ими через параметры специального раздела для управления звуком.

Улучшения расположения в Windows

Появились новые элементы управления для управления приложениями, которые могут использовать список Wi-Fi сетей для определения вашего местоположения. Вы можете контролировать, какие приложения могут использовать списки Wi-Fi, в разделе ПараметрыКонфиденциальность и безопасностьРасположениеПараметры Wi-Fi.

Когда приложение пытается получить доступ к вашим данным о расположении или Wi-Fi сетях, появляется уведомление, позволяющее вам разрешить или отклонить этот запрос. Если вы дадёжно разрешаете приложения получать доступ к этим данным, они будут отображаться в списке последних действий на странице Параметров размещения и значок расположения будет отображаться на панели задач при использовании приложения.

Если вы хотите скрыть уведомления о запросах доступа к вашим данным по расположению или Wi-FI, отключите параметр Уведомлять, когда приложения запрашивают ваше расположение в настройках страницы Параметры расположения.

Режим выполнения команд с повышенными привилегиями (sudo) в Windows

Sudo для Windows — это новый способ выполнения команд в сеансе администратора прямо из консоли без необходимости перезагрузки компьютера. Вы можете настроить sudo для выполнения в трёх различных режимах:

  1. В новом окне: Команда выполняется в отдельном окне с повышенными правами.
  2. При закрытом входе: Команда выполняет действия с повышенными полномочиями в текущем окне, но ввод данных в окно администратора закрывается.
  3. Интегрированное выполнение: Команда с повышенными правами выполняется в текущем сеансу консоли, позволяя вводить данные и возвращать результаты обратно в текущее окно.

Перед использованием sudo рекомендуется ознакомиться с документацией по безопасности для каждого режима выполнения команд, чтобы минимизировать риски ошибок при работе с повышенной привилегией.

Включение защиты Local Security Authority (LSA) при обновлении

Защита LSA помогает защитить систему от утраты секретов и несанкционированного исполнения кода в рамках LSA. Она предотвращает запуск вредоносного кода в процессе LSA и защищает память процессов от сбоев. Брандмауэр проводит аудит на наличие конфликтов с защитой LSA в течение некоторого времени после обновления. Если не обнаружено несоответствий, защита LSA активируется автоматически. Вы можете проверить и изменить состояние защиты LSA через приложение «Безопасность Windows» на вкладке «Изоляция ядрабезопасности > Устройства». Журнал защиты LSB регистрирует события блокировки программ в LSA.

Отключение протокола Remote Mailslot по умолчанию

Протокол Remote Mailslot был признан нежелательным для использования в ноябре 2023 года и теперь отключён по умолчанию в Windows 11 версии 24H2.

Улучшения в решении для паролей локального администратора (LAPS)

LAPS получил новую функцию автоматического управления учетными записями. ИТ-администраторы могут настроить LAPS для:

  • Автоматического создания управляемых локальных учётных записей
  • Настройки имени учетной записи
  • Включения или отключения учетной записи
  • Рандомизации имени учетной записи

В политике LAPS введены следующие улучшения:

  • В политику сложности паролей добавлен параметр длины парольной фразы (passphraseLength), который управляет длиной парольной фразы.
  • Улучшено правило удобочитости для политики сложности пароля, что устраняет использование символов, которые могут быть перепутаны с другими символами (например, нуль и буква «O»).
  • Добавлено новое правило в политику действий после аутентификации (PostAuthenticationActions), которое позволяет сбросить пароль, выйти из учетной записи и завершить все оставшиеся процессы на устройстве.
  • LAPS теперь отслеживает случаи отката образов, определяя, произошло ли откат устройства. Если это произошло, LAPS может обнаружить несоответствие между паролями в Active Directory и на устройстве, на котором выполнялся откат. В схеме Windows LAPS появился новый атрибут msLAPS-CurrentPasswordVersion, который содержит случайный GUID, который LAPS обновляет каждый раз, когда новый пароль сохраняется в Active Directory. Затем этот GUID сравнивается с локальной копией, и если они различаются, пароль меняется.

Эти изменения повышают безопасность и управляемость паролей в системах Windows, уменьшая вероятность утраты контроля над учетными записями.

Шифрование персональных данных (PDE) для папок

Personal Data Encryption (PDE) для папок — это функция безопасности, которая шифрует содержимое известных папок Windows (документов, рабочего стола и изображений) с использованием механизма шифрования, подтвержденного пользователем через Windows Hello. Администраторы могут включить PDE для папок через политику в Intune, выбрав все папки или их часть для шифрования в организации.

Режим печати, защищённый Windows

Режим печати, защищённый Windows, позволяет устройствам печатать только через сертифицированные принтеры Morpia, предназначенные для высокого уровня безопасности. Для включения режима печати, выполните следующие шаги:

  1. Перейдите в раздел ПараметрыBluetooth и устройстваПринтеры и сканнеры и выберите Настройка в режиме печати, защищённом Windows.
  2. Включите политику «Настройка защищённой печати Windows» в разделе КонфигурацияКомпьютерАдминистративные шаблоныPrinters.

Поддержка SHA-3

Включена поддержка семейства хэш-функций SHA-3 и его производных (SHAKE, cSHAKE и KMAC). SHA-3 является стандартом Национальной безопасности США (NSA) и включён в библиотеку Windows Cryptographic Native Code (CNG). Поддерживаемыми функциями являются:

  • SHA-3-256, SHA-3-384 и SHA-3-512.
  • Алгоритм HMAC-SHA3-256 и другие производные алгоритмы, такие как SHAKE128, cSHAKE256.
  • Расширенные функции вывода (XOF) SHAKE-128, SHAKE-256, а также настраиваемые XOFs cSHAKE-128 и cSHAKE-256, и KMAC.

Управление приложениями для бизнеса

Управление приложениями для бизнеса (ранее называлось Управлением приложениями в Защитнике Windows) теперь включает новые функции для защиты корпоративных приложений от вредоносного ПО. ИТ-команды могут использовать Microsoft Intune или другие MDM-решения для настройки и управления приложениями через консоль администратора.

Заключение

Обновление Windows 11 24H2 представляет собой значительный шаг вперед в развитии операционной системы, предлагая пользователям улучшенный интерфейс, новые функции, повышенную производительность и усиленную безопасность. Эти изменения делают работу с компьютером более комфортной и эффективной, а также открывают новые возможности для творчества и продуктивности.

От root

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *