Sin categoría

Qué es Windows 10 Enterprise LTSC?

Posted on by Marco
15
Sep

Windows 10 Enterprise LTSC 2021 Long-term Servicing Channel se basa en Windows 10 Enterprise LTSC 2019, agregando características premium, como la protección avanzada contra amenazas de seguridad modernas y la administración completa de dispositivos, la administración de aplicaciones y las funcionalidades de control.

La versión Windows 10 Enterprise LTSC 2021 incluye las mejoras acumulativas proporcionadas en Windows 10 versiones 1903, 1909, 2004, 21H1 y 21H2. A continuación se proporcionan detalles sobre estas mejoras.

Puede comprar WINDOWS 10 ENTERPRISE 2021 a través de este link:

Añadir a la lista de deseos
Vista Rápida

Microsoft

Windows 10 Enterprise 2021 LTSC (obtiene las actualizaciones en periodos de tiempo muy largos)

21,99
Añadir al carrito

Seguridad de hardware

Protección del sistema

System Guard ha mejorado una característica en esta versión de Windows denominada Protección de firmware SMM. Esta característica se basa en el inicio seguro de System Guard para reducir la superficie de ataque del firmware y asegurarse de que el firmware del modo de administración del sistema (SMM) del dispositivo funciona de forma correcta; en concreto, el código SMM no puede acceder a la memoria y los secretos del sistema operativo.

En esta versión, Protección del sistema de Windows Defender habilita un nivel aún mayor de protección de firmware del modo de administración del sistema (SMM) que va más allá de comprobar la memoria del sistema operativo y los secretos de otros recursos, como registros e E/S.

Con esta mejora, el SO puede detectar un nivel más alto de cumplimiento normativo del SMM, lo que permite que los dispositivos sean más protegidos frente a los puntos vulnerables y los ataques de SMM. En función de la plataforma, el hardware y el firmware subyacentes, hay tres versiones de SMM Firmware Protection (una, dos y tres), y cada una de las versiones posteriores ofrece protecciones más seguras que las anteriores.

Actualmente ya hay dispositivos en el mercado que ofrecen versiones de protección de firmware de SMM una y dos. SMM Firmware Protection versión tres Esta característica es actualmente de futuro y requiere nuevo hardware que estará disponible pronto.

Seguridad del sistema operativo

Seguridad del sistema

Las mejoras de la aplicación de Seguridad de Windows incluyen ahora el historial de protección, que contiene información detallada y más sencilla para comprender acerca de las amenazas y las acciones disponibles. Los bloques de acceso controlado a carpetas ahora están en el historial de protección, acciones de la herramienta de análisis de Windows Defender sin Conexión y cualquier recomendación pendiente.

Protección y cifrado de datos

BitLocker y la administración de dispositivos móviles (MDM) con Azure Active Directory funcionan de manera conjunta para proteger sus dispositivos frente a la revelación accidental de contraseñas. Ahora, una nueva característica de rotación de claves gira de forma segura las contraseñas de recuperación en dispositivos administrados por MDM. La característica se activa siempre que se usan herramientas Microsoft Intune/MDM o una contraseña de recuperación para desbloquear una unidad protegida con BitLocker. Como resultado, la contraseña de recuperación estará mejor protegida cuando los usuarios desbloqueen manualmente una unidad de BitLocker.

Seguridad de red

Firewall de Windows Defender

Firewall de Windows Defender ahora ofrece las siguientes ventajas:

Reducir el riesgo: Firewall de Windows Defender reduce la superficie expuesta a ataques de un dispositivo con reglas para restringir o permitir el tráfico por muchas propiedades, como direcciones IP, puertos o rutas de acceso del programa. La reducción de la superficie expuesta a ataques de un dispositivo aumenta la capacidad de administración y reduce la probabilidad de un ataque exitoso.

Proteger datos: con la seguridad de protocolo de Internet (IPsec) integrada, Firewall de Windows Defender proporciona una manera sencilla de aplicar las comunicaciones de red autenticadas de un extremo a otro. Proporciona acceso escalable y en niveles a los recursos de red de confianza, lo que ayuda a aplicar la integridad de los datos y, opcionalmente, ayuda a proteger la confidencialidad de los datos.

Valor de extensión: Firewall de Windows Defender es un firewall basado en host que se incluye con el sistema operativo, por lo que no se requiere ningún otro hardware o software. Firewall de Windows Defender también está diseñado para complementar las soluciones de seguridad de red existentes que no son de Microsoft a través de una interfaz de programación de aplicaciones (API) documentada.

El Firewall de Windows Defender también ahora es más fácil de analizar y depurar. El comportamiento de IPsec se ha integrado con Supervisión de paquetes (pktmon), una herramienta de diagnóstico de red entre componentes integrada para Windows.

Además, se han mejorado los registros de eventos Firewall de Windows Defender para garantizar que una auditoría pueda identificar el filtro específico responsable de cualquier evento determinado. Esta mejora permite el análisis del comportamiento del firewall y la captura de paquetes enriquecida sin depender de otras herramientas.

Firewall de Windows Defender ahora también admite Subsistema de Windows para Linux (WSL); Puede agregar reglas para el proceso WSL, al igual que para los procesos de Windows. Para obtener más información, consulte Firewall de Windows Defender ahora admite Subsistema de Windows para Linux (WSL).

Protección contra virus y amenazas

Reducción del área expuesta a ataques : los administradores de TI pueden configurar dispositivos con protección web avanzada que les permite definir listas de permitidos y listas de bloqueo para direcciones IP y direcciones URL específicas. Protección de próxima generación: se han ampliado controles para la protección frente a ransomware, el uso indebido de credenciales y los ataques que se transmiten a través del almacenamiento extraíble.

  • Capacidades de aplicación de integridad: habilita la atestación de tiempo de ejecución remota de la plataforma de Windows 10.
  • Capacidades de corrección de alteraciones: usa la seguridad basada en virtualización para aislar las funcionalidades críticas de seguridad Microsoft Defender para punto de conexión lejos del sistema operativo y los atacantes. Compatibilidad con plataformas: además de Windows10, la funcionalidad de MicrosoftDefender para punto de conexión se ha ampliado para admitir clientes Windows7 y Windows8,1, así como macOS, Linux y WindowsServer con sus capacidades de EndpointDetection (EDR) y EndpointProtectionPlatform (EPP).

Aprendizaje de última generación avanzado: se ha mejorado con los modelos de aprendizaje automático y los modelos AI que le permiten protegerse frente atacantes Apex que usen técnicas innovadoras de vulnerabilidades de seguridad, herramientas y malware.

Protección contra brotes de emergencia: proporciona protección contra brotes de emergencia que actualizará automáticamente los dispositivos con nueva inteligencia cuando se detecte un nuevo brote.

Cumplimiento de la certificación de la norma ISO 27001: garantiza que el servicio en la nube ha analizado las amenazas, vulnerabilidades e impactos, y que hay controles de seguridad y administración de riesgos implementados.

Compatibilidad con geolocalización: admite la geolocalización y la soberanía de los datos de ejemplo y las directivas de retención configurables.

Se ha mejorado la compatibilidad con las rutas de acceso de archivo que no son ASCII para la respuesta automática a incidentes (IR) de Protección contra amenazas avanzada (ATP) de Microsoft Defender.

Seguridad de la aplicación

Aislamiento de la aplicación

Espacio aislado de Windows: entorno de escritorio aislado en el que puede ejecutar software que no es de confianza sin temor a un impacto duradero en su dispositivo.

Protección de aplicaciones de Microsoft Defender

Protección de aplicaciones de Microsoft Defender mejoras incluyen:

  • Los usuarios independientes pueden instalar y configurar sus opciones de Protección de aplicaciones de Windows Defender sin necesidad de cambiar la configuración de la clave del Registro. Los usuarios empresariales pueden comprobar su configuración para ver lo que los administradores han configurado para sus máquinas con el fin de comprender mejor el comportamiento.

  • Protección de aplicaciones es ahora una extensión en Google Chrome y Mozilla Firefox. Muchos usuarios se encuentran en un entorno de explorador híbrido y desean ampliar la tecnología de aislamiento de explorador de Application Guard más allá de Microsoft Edge. En la versión más reciente, los usuarios pueden instalar la extensión Application Guard en sus exploradores Chrome o Firefox. Esta extensión redirigirá la navegación que no es de confianza al explorador Application Guard Edge. También hay una aplicación complementaria para habilitar esta característica en Microsoft Store. Los usuarios pueden iniciar rápidamente Application Guard desde su escritorio mediante esta aplicación. Esta característica también está disponible en Windows 10, versión 1803 o posterior, con las actualizaciones más recientes.

    Para probar esta extensión:

    1. Configure las directivas de Application Guard en el dispositivo.
    2. Ve a la Chrome Web Store o a los complementos de Firefox y busca Protección de aplicaciones. Instala la extensión.
    3. Siga cualquiera de los demás pasos de configuración en la página de configuración de la extensión.
    4. Reinicia el dispositivo.
    5. Navega hasta un sitio que no sea de confianza en Chrome y Firefox.

Navegación dinámica: Application Guard ahora permite a los usuarios volver a su explorador host predeterminado desde Microsoft Edge de Application Guard. Anteriormente, los usuarios que exploraban Application Guard Edge verían una página de error al intentar ir a un sitio de confianza dentro del explorador de contenedores. Con esta nueva característica, los usuarios se redirigirán automáticamente a su explorador predeterminado de host cuando entren o haga clic en un sitio de confianza en Application Guard Edge. Esta característica también está disponible en Windows 10, versión 1803 o posterior, con las actualizaciones más recientes.

El rendimiento de Application Guard se ha mejorado con tiempos de apertura de documentos optimizados:

  • Se ha corregido un problema que podía provocar un retraso de un minuto o más al abrir un documento de Office de Protección de aplicaciones de Microsoft Defender (Protección de aplicaciones). Este problema puede producirse al intentar abrir un archivo mediante una ruta de acceso de convención de nomenclatura universal (UNC) o un vínculo de recurso compartido de Bloque de mensajes del servidor (SMB).
  • Se ha corregido un problema de memoria que podía hacer que un contenedor de Application Guard usara casi 1 GB de memoria del conjunto de trabajo cuando el contenedor está inactivo.
  • Se ha mejorado el rendimiento de Robocopy al copiar archivos de más de 400 MB de tamaño.

La compatibilidad de Edge con Protección de aplicaciones de Microsoft Defender está disponible para Edge basado en Chromium desde principios de 2020.

Protección de aplicaciones ahora admite Office: con Protección de aplicaciones de Microsoft Defender para Office, puede iniciar documentos de Office que no son de confianza (desde fuera de la empresa) en un contenedor aislado para evitar que el contenido potencialmente malintencionado ponga en peligro el dispositivo.

Control de la aplicación

Control de aplicaciones para Windows: en Windows 10, versión 1903, Windows Defender Control de aplicaciones (WDAC) agregó muchas características nuevas que iluminan escenarios clave y proporcionan paridad de características con AppLocker.

  • Varias directivas: Windows Defender Application Control ahora admite varias directivas de integridad de código simultáneas para un dispositivo con el fin de habilitar los siguientes escenarios: 1) aplicar y auditar en paralelo, 2) segmentación más sencilla para directivas con ámbito o intención diferentes, 3) expandir una directiva mediante una nueva directiva «complementaria».
  • Reglas basadas en rutas: la condición de ruta de acceso identifica una aplicación según su ubicación en el sistema de archivos del equipo o en la red en lugar de en identificador hash o firmante. Además, WDAC tiene una opción que permite a los administradores aplicar en tiempo de ejecución que solo se ejecuta código de rutas de acceso que no se pueden escribir por el usuario. Cuando el código intenta ejecutarse en tiempo de ejecución, se examina el directorio y se comprobarán los permisos de escritura de los archivos para administradores desconocidos. Si se detecta que un archivo es escriturable por el usuario, se bloquea la ejecución del ejecutable a menos que esté autorizado por algo distinto de una regla de ruta de acceso, como un firmante o una regla hash.
    Esta funcionalidad hace que WDAC sea paridad con AppLocker en términos de compatibilidad con las reglas de ruta de acceso de archivo. WDAC mejora la seguridad de las directivas en función de las reglas de ruta de acceso de archivo con la disponibilidad de las comprobaciones de permisos de escritura del usuario en tiempo de ejecución, que es una funcionalidad que no está disponible con AppLocker.
  • Permitir registro de objetos COM: anteriormente, Windows Defender Control de aplicaciones (WDAC) aplicaba una lista de permitidos integrada para el registro de objetos COM. Aunque este mecanismo funciona para los escenarios de uso de aplicaciones más comunes, los clientes han proporcionado comentarios de que hay casos en los que es necesario permitir más objetos COM. La actualización de 1903 a Windows 10 introduce la posibilidad de especificar objetos COM permitidos a través de su GUID en la directiva de WDAC.

Identidad y privacidad

Identidad protegida

Windows Hello mejoras incluyen:

  • Windows Hello ahora es compatible con el autenticador de Fast Identity Online 2 (FIDO2) en los principales navegadores, como Chrome y Firefox.
  • Ahora puede habilitar el inicio de sesión sin contraseña para cuentas de Microsoft en su dispositivo con Windows 10 al ir a Configuración > Cuentas > Opciones de inicio de sesión y seleccionar Activado en Haga que su dispositivo se inicie sin contraseña. La habilitación del inicio de sesión sin contraseña cambiará todas las cuentas de Microsoft del dispositivo Windows 10 a la autenticación moderna con Windows Hello Face, Fingerprint o PIN.
  • La compatibilidad con el inicio de sesión de PIN de Windows Hello se ha añadido al modo seguro.
  • Windows Hello para empresas ahora tiene soporte híbrido de Azure Active Directory e inicio de sesión de número de teléfono (cuenta Microsoft). El soporte de clave se soporte de FIDO2 se amplía a entornos híbridos de Azure Active Directory, lo que permite a las empresas con entornos híbridos aprovechar la autenticación sin contraseña. Para obtener más información, consulte Expandir la vista previa del soporte de Azure Active Directory para FIDO2 a entornos híbridos.
  • Windows Hello ahora incluye soporte para los elementos de seguridad basados en virtualización compatibles con huella dactilar y sensor facial, gracias a los componentes especializados de hardware y software disponibles en los dispositivos que se distribuyen con Windows 10, versión 20H2, configurados fuera de fábrica. Esta característica aísla y protege los datos de autenticación biométrica de cada usuario.
  • Se ha agregado la compatibilidad con varias cámaras para Windows Hello, lo que permite a los usuarios elegir una prioridad de cámara externa cuando hay cámaras externas e internas compatibles con Windows Hello.
  • Windows Hello certificación FIDO2: Windows Hello es ahora un autenticador certificado FIDO2 y habilita el inicio de sesión sin contraseña para sitios web que admiten la autenticación FIDO2, como la cuenta Microsoft y Azure AD.
  • Experiencia de restablecimiento de PIN de Windows Hello optimizada: los usuarios de la cuenta de Microsoft tienen una experiencia de restablecimiento de PIN de Windows Hello renovada con el mismo aspecto que si se iniciara sesión en la Web.
  • Escritorio remoto con biometría: los usuarios de Azure Active Directory y Active Directory que usen Windows Hello para empresas pueden usar la biometría para autenticarse en una sesión de escritorio remoto.

Protección de credenciales

Credential Guard de Windows Defender

Credential Guard de Windows Defender ahora está disponible para dispositivos ARM64, para una protección adicional contra el robo de credenciales para las empresas que implementan dispositivos ARM64 en sus organizaciones, como Surface Pro X.

Controles de privacidad

Configuración de privacidad del micrófono: aparece un icono de micrófono en el área de notificación que te permite ver qué aplicaciones usan el micrófono.

Cloud Services

Administrador de puntos de conexión de Microsoft

El Administrador de configuración, Intune, el Análisis de escritorio, la Administración conjunta y la Consola de administrador del administrador de dispositivos ahora forman parte del Administrador de puntos de conexión de Microsoft. Consulta el anuncio del 4 de noviembre de 2019. Consulta también Principios de administración y seguridad modernos que impulsan nuestra visión del Administrador de puntos de conexión de Microsoft

Configuration Manager

El asistente de actualización local está disponible en el administrador de configuración. Para obtener más información, consulte la sección de simplificar la implementación de Windows 10 con el administrador de configuración.

Microsoft Intune

Microsoft Intune admite Windows 10 Enterprise LTSC 2021, excepto los anillos de Windows Update en los perfiles de dispositivo.

Una nueva acción remota de Intune, Recopilar diagnósticos, permite recopilar los diagnósticos de los dispositivos corporativos sin causar interrupciones ni esperas al usuario final. Para obtener más información, vea Acción remota de recopilación de diagnósticos.

Intune también ha agregado funcionalidades al control de acceso basado en roles (RBAC) que pueden usarse para definir aún más la configuración de perfil de la página de estado de inscripción (ESP). Para obtener más información, consulte Crear perfil de página de estado de inscripción y asignar a un grupo.

Para obtener una lista completa de las novedades de Microsoft Intune, vea Novedades de Microsoft Intune.

Administración de dispositivos móviles

La directiva de Administración de dispositivos móvil (MDM) se amplía con la nueva configuración usuarios y grupos locales que coinciden con las opciones disponibles para los dispositivos administrados a través de directiva de grupo.

Para obtener más información sobre las novedades de MDM, consulte Novedades en la inscripción y administración de dispositivos móviles

El Servicio de directivas de grupo (GPSVC) de Instrumental de administración de Windows (WMI) mejora el rendimiento para admitir escenarios de trabajo remoto:

  • Se ha corregido un problema que provocaba que los cambios realizados por un administrador de Active Directory (AD) en las pertenencias a grupos de usuarios o equipos se propagase lentamente. Aunque el token de acceso acababa actualizándose, los cambios podían no aparecer si el administrador usaba gpresult /r o gpresult /h para crear un informe.

Sucesión de claves y rotación de claves

Esta versión también incluye dos nuevas características denominadas Key-rolling y Key-rotation permite la rotación segura de contraseñas de recuperación en dispositivos azure Active Directory administrados por MDM a petición desde herramientas de Microsoft Intune/MDM o cuando se usa una contraseña de recuperación para desbloquear la unidad protegida de BitLocker. Esta característica ayudará a evitar la revelación accidental de contraseñas de recuperación como parte del desbloqueo de la unidad de BitLocker manual por los usuarios.

Implementación

SetupDiag

SetupDiag es una herramienta de línea de comandos que puede ayudar a diagnosticar por qué se produjo un error en una actualización de Windows 10. SetupDiag funciona mediante la búsqueda de archivos de registro de la instalación de Windows. Cuando se buscan archivos de registro, SetupDiag usa un conjunto de reglas para hacer coincidir los problemas conocidos. En la versión actual de SetupDiag, hay 53 reglas incluidas en el archivo rules.xml, que se extrae al ejecutar SetupDiag. El archivo rules.xml se actualizará a medida que haya disponibles nuevas versiones de SetupDiag.

Almacenamiento reservado

Almacenamiento reservado: el almacenamiento reservado aparta espacio en disco que usarán las actualizaciones, las aplicaciones, los archivos temporales y las memorias caché del sistema. Mejora la función diaria de tu PC al garantizar que las funciones críticas del sistema operativo siempre tienen acceso al espacio en disco. El almacenamiento reservado se habilitará automáticamente en equipos nuevos con Windows 10, versión 1903 preinstalada, y para instalaciones limpias. No se habilitará al actualizar desde una versión anterior de Windows 10.

Windows Assessment and Deployment Toolkit (ADK)

Hay disponible un nuevo ADK de Windows para Windows 11 que también admite Windows 10, versión 21H2.

Microsoft Deployment Toolkit (MDT)

Para obtener la información más reciente sobre MDT, vea las notas de la versión de MDT.

Programa de instalación de Windows

Los archivos de respuesta del programa de instalación de Windows (unattend.xml) han mejorado el control de idioma.

Las mejoras en el programa de instalación de Windows de esta versión también incluyen:

  • Tiempo sin conexión reducido durante las actualizaciones de características
  • Controles mejorados para el almacenamiento reservado
  • Controles y diagnósticos mejorados
  • Opciones de recuperación nuevas

Para obtener más información, vea las mejoras del programa de instalación de Windows en elblog profesional de las tecnologías de la información de Windows.

MicrosoftEdge

La compatibilidad con Microsoft Edge Browser ahora se incluye en el cuadro.

Pantalla completa de Microsoft Edge

El modo de pantalla completa de Microsoft Edge está disponible para las versiones LTSC a partir de Windows 10 Enterprise 2021 LTSC y Windows 10 IoT Enterprise 2021 LTSC.

El modo de pantalla completa de Microsoft Edge ofrece dos experiencias de bloqueo del explorador para que las organizaciones puedan crear, administrar y proporcionar la mejor experiencia para sus clientes. Están disponibles las siguientes experiencias de bloqueo:

  • Experiencia de señalización digital/interactiva: Muestra un sitio específico en modo de pantalla completa.
  • Experiencia de exploración pública: Ejecuta una versión limitada de varias pestañas de Microsoft Edge.
  • En ambas experiencias se ejecuta una sesión de Microsoft Edge InPrivate, que protege los datos de usuario.

Subsistema de Windows para Linux

Subsistema de Windows para Linux (WSL) está disponible en el cuadro.

Redes

Los estándares WPA3 H2E se admiten para mejorar la seguridad Wi-Fi.

Marco