- PVSM.RU - https://www.pvsm.ru -
Наверняка вы уже слышали, что сегодня официально выходит Windows 10 Creators Update. В этой статье мы решили быть на шаг впереди и рассказать вам про новые фичи для сисадминов в следующем обновлении Windows 10 (1703).

Ранее этот компонент назывался Windows Imaging and Configuration Designer, ICD и использовался для создания пакетов подготовки. В этой версии он получил новое название Windows Configuration Designer [1]. В предыдущих версиях Windows, его можно установить [2] в составе комплекта средств для развертывания и оценки Windows ADK.
Для упрощённого создания пакетов подготовки в конструкторе Windows Configuration Designer в Windows 10 версии 1703 есть ряд новых мастеров.

В обеих версиях мастера — для настольных компьютеров и киосков — есть возможность удалить предустановленное ПО с использованием поставщика службы конфигураций CleanPC [3].

Новые мастера из состава Windows Configuration Designer позволяют создавать пакеты подготовки для присоединения [4] устройств к Azure Active Directory. Массовое подключение к Azure Active Directory доступно в мастерах для настольных компьютеров, мобильных устройств, киосков и устройств Surface Hub.

Добавились новые групповые политики и параметры управления мобильными устройствами (MDM):
Подробнее о Windows Spotlight [5].
Наверняка вы знаете, что предприятия могут менять вид меню Пуск, начального экрана и панели задач на компьютерах под управлением Windows 10 редакций Enterprise и Education. В версии 1703 эти модификации можно применить также к редакции Pro.
Ранее нестандартную панель задач можно было развёртывать только с помощью групповых политик или пакетов подготовки. В новой версии поддержка нестандартных панелей появилась в средстве управления мобильными устройствами (MDM) [6].
Появились новые параметры [7] политик MDM для управления меню Пуск и структурой начального экрана и панели задач. Параметры политик MDM:
MBR2GPT.EXE [24] — новый инструмент командной строки. Он преобразует MBR-диск (Master Boot Record) в раздел GPT (GUID Partition Table), не меняя и не удаляя данные на диске. Эта утилита предназначена для использования в командной строке среды предустановки Windows (Windows PE), но её можно использовать и в полнофункциональной операционной системе Windows 10.
Формат разделов GPT более новый и позволяет создавать больше разделов большего размера. Он также обеспечивает повышенную надежность данных, поддерживает дополнительные типы разделов и повышает скорость загрузки и выключения. После преобразования системного диска из MBR в GPT следует перенастроить компьютер для загрузки в режиме UEFI, поэтому перед преобразованием системного диска надо убедиться, что ваше устройство поддерживает UEFI.
После загрузки в режиме UEFI в Windows 10 становятся доступными следующие функции безопасности: безопасная загрузка, ранний запуск антивредоносного драйвера ELAM (Early Launch Anti-malware), надежная загрузка Windows, измеряемая загрузка, Охранник устройств, Охранник учетных данных и сетевая разблокировка BitLocker.
Новые возможности Windows Defender Advanced Threat Protection (ATP) для Windows 10 версии 1703. Кстати, напоминаем, что недавно делились описанием функционала ATP на Хабре [25].
Обнаружение атак
К основным улучшениям в области обнаружения атак относятся:
Расследование атак
Корпоративные клиенты теперь могут воспользоваться полным набором функций безопасности Windows благодаря тому, что информация об обнаружении атак средствами Windows Defender Antivirus и блоки Охранника устройств отображаются в портале Windows Defender ATP.
Добавлены другие возможности, позволяющие получить целостную картину расследований. К другим улучшениям расследования атак относятся:
Реагирование на атаки
При обнаружении атаки группы реагирования могут предпринимать неотложные меры по изоляции бреши в системе безопасности:
Другие возможности
Проверка состояния работоспособности сенсоров [32] — проверка способности конечной точки предоставлять данные сенсора и взаимодействовать со службой Windows Defender ATP, а также устранять известные неполадки.
Защитник Windows получил новое название — Windows Defender Antivirus. Его новые возможности:
Также расширились возможности по защите от программ-шантажистов за счёт обновленного мониторинга поведения и постоянной защиты в реальном времени.
Параметр безопасности Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован [36] (Interactive logon: Display user information when the session is locked) был обновлён и теперь работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа.
Появился новый параметр политики безопасности — Interactive logon: Don't display username at sign-i [37]n. Этот параметр определяет, нужно ли отображать имя пользователя во время входа в систему, и работает в связке с параметром Конфиденциальность в разделе Параметры > Учетные записи > Параметры входа. Этот параметр влияет только на плитку Other user.
Теперь забытый PIN-код можно сбросить, не удаляя корпоративные данные или приложения, управляемые средствами Microsoft Intune [38]. Администратор может инициировать удаленный сброс PIN-кода устройств под управлением PIN через портал Intune.
На настольных ПК пользователи могут сбросить забытый PIN-код в разделе Параметры > Учетные записи > Параметры входа.
Функция приостановки обновления изменилась: теперь в ней требуется указывать дату начала установки. Если не сконфигурирована соответствующая политика, у пользователей теперь есть возможность отложить обновление в параметрах Windows Settings → Update & security → Windows Update → Advanced options. Также увеличилось время, на которое можно откладывать исправления, — до 35 дней.
Обновление устройств, управляемых с помощью Windows Update for Business, теперь можно откладывать на срок до 365 дней (ранее обновление можно было отложить только на 180 дней). Пользователи могут задавать в параметрах уровень готовности своей ветви и время, на которое следует отложить обновления.
Добавилась возможность загружать сборки предварительной версии Windows 10 Insider Preview, используя корпоративные учетные данные Azure Active Directory (AAD).
Изменения в новой версии позволили обеспечить полную поддержку экспресс-обновлений [39] в System Center Configuration Manager, начиная с версии 1702 этого продукта, а также обновлений и управления продуктами сторонних производителей, в которых реализована [40] эта функциональность. Она дополнила существующую поддержку экспресс-обновлений в Центре обновлений Windows, Центре обновлений Windows для бизнеса и WSUS.
Примечание. Указанные изменения доступны в Windows 10 версии 1607 после установки апрельского обновления 2017 года.
Политики оптимизации доставки обновлений теперь позволяют задавать дополнительные ограничения, что дает возможность лучше управлять различными сценариями обновления.
К новым политикам относятся:
При обновлении до Windows 10 версии 1703 поставляемые в составе Windows приложения, которые пользователь ранее удалил, не будут автоматически устанавливаться в рамках процесса обновления.
В новой версии появилось множество новых поставщиков услуг конфигурации (CSP) для управления Windows 10 с применением средств управления мобильными устройствами (MDM) или пакетов подготовки. Помимо прочего эти CSP-поставщики позволяют управлять несколькими сотнями самых полезных групповых политик посредством MDM.
Новые CSP-поставщики:
Для определения групповых политик, которые были сконфигурированы для пользователя или компьютера, и для перекрестного связывания этих параметров со встроенным списком поддерживаемых политик MDM, используется MDM Migration Analysis Tool [47] (MMAT). Инструмент позволяет получать отчеты в форматах XML и HTML, в которых указывается уровень поддержки всех параметров групповых политик и их эквивалентов в MDM.
Версия управления мобильными приложениями (mobile application management, MAM) для Windows — это облегченное решение для управления доступом к корпоративным данным и безопасностью на личных устройствах. Начиная с Windows 10 версии 1703, поддержка MAM встроена в Windows поверх WIP (Windows Information Protection).
Продолжилась работа над совершенствованием средств диагностики, соответствующих требованиям современного управления. Появление автоматического ведения журнала для мобильных устройств позволило Windows автоматически фиксировать в журнале ошибки в MDM, избавляя от необходимости постоянно вести журнал на устройствах с небольшим объёмом памяти. Кроме того, появился Microsoft Message Analyzer — дополнительный инструмент, помогающий сотрудникам службы поддержки быстро обнаружить причины неполадок и, таким образом, обеспечить экономию времени и денег.
Приложение Lockdown Designer помогает сконфигурировать и создать XML-файл блокировки, который должен применяться к устройствам под управлением Windows 10, а также содержит функциональность удалённого моделирования, позволяющую определять конфигурацию плиток в меню Пуск и на начальном экране. Использовать Lockdown Designer проще, чем вручную создавать XML-файл блокировки [48].

Также появились следующие улучшения:
Автор: Microsoft
Источник [55]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/microsoft/252432
Ссылки в тексте:
[1] Windows Configuration Designer: https://www.microsoft.com/store/apps/9nblggh4tx22
[2] установить: https://developer.microsoft.com/windows/hardware/windows-assessment-deployment-kit
[3] CleanPC: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/cleanpc-csp/
[4] присоединения: https://technet.microsoft.com/ru-ru/itpro/windows/configure/provisioning-packages - configuration-designer-wizards
[5] Windows Spotlight: https://technet.microsoft.com/ru-ru/itpro/windows/configure/windows-spotlight
[6] средстве управления мобильными устройствами (MDM): https://technet.microsoft.com/ru-ru/itpro/windows/configure/customize-windows-10-start-screens-by-using-mobile-device-management
[7] новые параметры: https://technet.microsoft.com/ru-ru/itpro/windows/configure/windows-10-start-layout-options-and-policies
[8] Start/HideUserTile: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hideusertile
[9] Start/HideSwitchAccount: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hideswitchaccount
[10] Start/HideSignOut: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hidesignout
[11] Start/HideLock: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hidelock
[12] Start/HideChangeAccountSettings: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hidechangeaccountsettings
[13] Start/HidePowerButton: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hidepowerbutton
[14] Start/HideHibernate: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hidehibernate
[15] Start/HideRestart: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hiderestart
[16] Start/HideShutDown: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hideshutdown
[17] Start/HideSleep: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hidesleep
[18] Start/HideFrequentlyUsedApps: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hidefrequentlyusedapps
[19] Start/HideRecentlyAddedApps: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hiderecentlyaddedapps
[20] Start/HideRecentJumplists: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hiderecentjumplists
[21] Start/NoPinningToTaskbar: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-nopinningtotaskbar
[22] Settings/PageVisibilityList: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#settings-pagevisibilitylist
[23] Start/HideAppsList: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/policy-configuration-service-provider#start-hideapplist
[24] MBR2GPT.EXE: http://D:CacheINetCacheContent.OutlookU51ZQRCZMBR2GPT.EXE
[25] описанием функционала ATP на Хабре: https://habrahabr.ru/company/microsoft/blog/321698/
[26] использовать: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/use-custom-ti-windows-defender-advanced-threat-protection
[27] исследование пользовательской учётной записи: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/investigate-user-windows-defender-advanced-threat-protection
[28] дерево процессов оповещений: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/investigate-alerts-windows-defender-advanced-threat-protection - alert-process-tree
[29] получение оповещений с применением api rest: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/pull-alerts-using-rest-api-windows-defender-advanced-threat-protection
[30] принимать ответные меры на хосте: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/respond-machine-alerts-windows-defender-advanced-threat-protection
[31] принимать ответные меры к файлу: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/respond-file-alerts-windows-defender-advanced-threat-protection
[32] Проверка состояния работоспособности сенсоров: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/check-sensor-status-windows-defender-advanced-threat-protection
[33] обновление информации: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/configure-block-at-first-sight-windows-defender-antivirus
[34] уровень защиты облака: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/specify-cloud-protection-level-windows-defender-antivirus
[35] Windows Defender Security Center: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/windows-defender-security-center-antivirus
[36] Интерактивный вход в систему: отображать сведения о пользователе, если сеанс заблокирован: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/interactive-logon-display-user-information-when-the-session-is-locked
[37] Interactive logon: Don't display username at sign-i: https://technet.microsoft.com/ru-ru/itpro/windows/keep-secure/interactive-logon-dont-display-username-at-sign-in
[38] Microsoft Intune: https://www.microsoft.com/cloud-platform/microsoft-intune
[39] экспресс-обновлений: https://technet.microsoft.com/ru-ru/itpro/windows/update/waas-optimize-windows-10-updates - express-update-delivery
[40] реализована: https://technet.microsoft.com/windows-server-docs/management/windows-server-update-services/deploy/express-update-delivery-isv-support
[41] DynamicManagement CSP: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/dynamicmanagement-csp
[42] CleanPC CSP: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/cleanpc-csp
[43] BitLocker CSP: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/bitlocker-csp
[44] NetworkProxy CSP: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/networkproxy-csp
[45] Office CSP: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/office-csp
[46] EnterpriseAppVManagement CSP: https://msdn.microsoft.com/windows/hardware/commercialize/customize/mdm/enterpriseappvmanagement-csp
[47] MDM Migration Analysis Tool: http://aka.ms/mmat
[48] XML-файл блокировки: https://technet.microsoft.com/ru-ru/itpro/windows/configure/lockdown-xml
[49] Сбор и анализ логов для новичков: https://habrahabr.ru/company/microsoft/blog/325910/
[50] Windows Server 2016 и службы интеграции Hyper-V: https://habrahabr.ru/company/microsoft/blog/323298/
[51] Azure понятным языком [Шпаргалка] : https://habrahabr.ru/company/microsoft/blog/320544/
[52] Гибридная инфраструктура: https://info.microsoft.com/CE-OMS-WBNR-FY17-04Apr-12-4._312836_01Registration-ForminBody.html
[53] DevCon School: Современная архитектура: https://events.techdays.ru/Modern-Architecture/2017-04/apply
[54] Технический обзор Azure Stack TP3: https://info.microsoft.com/CE-Azure-WBNR-FY17-04Apr-27-AzureStackTP3TechnicalOverview315610_01Registration-ForminBody.html
[55] Источник: https://habrahabr.ru/post/326234/
Нажмите здесь для печати.