Download Windows 10 Enterprise LTSC 2021 32bit + 64bit
Có gì mới trong Windows 10 Enterprise LTSC 2021
Các tính năng trong Windows 10 Enterprise LTSC 2021 tương đương với Windows 10 phiên bản 21H2.

Bảo mật phần cứng
Bảo vệ hệ thống
System Guard đã cải thiện một tính năng trong phiên bản Windows này có tên là SMM Firmware Protection . Tính năng này được tích hợp trên System Guard Secure Launch để giảm nguy cơ tấn công phần sụn và đảm bảo rằng phần sụn Chế độ quản lý hệ thống (SMM) trên thiết bị đang hoạt động một cách lành mạnh – cụ thể là mã SMM không thể truy cập vào bộ nhớ và bí mật của hệ điều hành.
Trong bản phát hành này, Bộ bảo vệ Hệ thống của Bộ bảo vệ Windows cho phép Cấp độ cao hơn của Bảo vệ Phần mềm Hệ thống Quản lý Hệ thống (SMM), vượt ra ngoài việc kiểm tra bộ nhớ hệ điều hành và bí mật đối với các tài nguyên khác như sổ đăng ký và IO.
Với sự cải tiến này, hệ điều hành có thể phát hiện mức độ tuân thủ SMM cao hơn, cho phép các thiết bị thậm chí còn cứng hơn chống lại việc khai thác và lỗ hổng SMM. Dựa trên nền tảng, phần cứng và phần sụn cơ bản, có ba phiên bản Bảo vệ phần sụn SMM (một, hai và ba), với mỗi phiên bản tiếp theo cung cấp các biện pháp bảo vệ mạnh mẽ hơn các phiên bản trước.
Hiện nay trên thị trường đã có các thiết bị cung cấp phiên bản bảo vệ phần mềm cơ sở SMM một và hai. SMM Firmware Protection phiên bản ba Tính năng này hiện đang được cải tiến và yêu cầu phần cứng mới sẽ sớm được cung cấp.
Bảo mật hệ điều hành
Bảo mật hệ thống
Các cải tiến của ứng dụng Bảo mật Windows hiện bao gồm Lịch sử bảo vệ, bao gồm thông tin chi tiết và dễ hiểu hơn về các mối đe dọa và các hành động có sẵn, các khối Truy cập Thư mục được Kiểm soát hiện có trong Lịch sử Bảo vệ, các hành động của Công cụ Quét Ngoại tuyến của Bộ bảo vệ Windows và mọi đề xuất đang chờ xử lý.
Mã hóa và bảo vệ dữ liệu
BitLocker và Quản lý thiết bị di động (MDM) với Azure Active Directory làm việc cùng nhau để bảo vệ thiết bị của bạn khỏi việc vô tình tiết lộ mật khẩu. Giờ đây, một tính năng lăn khóa mới xoay vòng mật khẩu khôi phục một cách an toàn trên các thiết bị được MDM quản lý. Tính năng này được kích hoạt bất cứ khi nào các công cụ Microsoft Intune / MDM hoặc mật khẩu khôi phục được sử dụng để mở khóa ổ đĩa được bảo vệ bằng BitLocker. Do đó, mật khẩu khôi phục sẽ được bảo vệ tốt hơn khi người dùng mở khóa ổ BitLocker theo cách thủ công.
An ninh mạng
Tường lửa của Bộ bảo vệ Windows
Tường lửa của Bộ bảo vệ Windows hiện cung cấp các lợi ích sau:
Giảm rủi ro : Tường lửa của Bộ bảo vệ Windows làm giảm bề mặt tấn công của thiết bị với các quy tắc hạn chế hoặc cho phép lưu lượng truy cập theo nhiều thuộc tính, chẳng hạn như địa chỉ IP, cổng hoặc đường dẫn chương trình. Giảm bề mặt tấn công của thiết bị giúp tăng khả năng quản lý và giảm khả năng tấn công thành công.
Bảo vệ dữ liệu : Với Bảo mật Giao thức Internet (IPsec) tích hợp, Tường lửa của Bộ bảo vệ Windows cung cấp một cách đơn giản để thực thi các giao tiếp mạng đầu cuối, đã được xác thực. Nó cung cấp quyền truy cập theo cấp, có thể mở rộng vào các tài nguyên mạng đáng tin cậy, giúp thực thi tính toàn vẹn của dữ liệu và giúp bảo vệ tính bí mật của dữ liệu theo tùy chọn.
Mở rộng giá trị : Tường lửa của Bộ bảo vệ Windows là tường lửa dựa trên máy chủ được bao gồm trong hệ điều hành, vì vậy không yêu cầu phần cứng hoặc phần mềm bổ sung. Tường lửa của Bộ bảo vệ Windows cũng được thiết kế để bổ sung cho các giải pháp bảo mật mạng không phải của Microsoft hiện có thông qua giao diện lập trình ứng dụng được tài liệu hóa (API).
Tường lửa của Bộ bảo vệ Windows giờ đây cũng dễ dàng phân tích và gỡ lỗi hơn. Hành vi IPsec đã được tích hợp với Packet Monitor (pktmon), một công cụ chẩn đoán mạng nhiều thành phần trong hộp dành cho Windows.
Ngoài ra, nhật ký sự kiện Tường lửa của Bộ bảo vệ Windows đã được cải tiến để đảm bảo việc kiểm tra có thể xác định bộ lọc cụ thể chịu trách nhiệm cho bất kỳ sự kiện nhất định nào. Điều này cho phép phân tích hành vi tường lửa và chụp gói tin phong phú mà không cần dựa vào các công cụ khác.
Tường lửa của Bộ bảo vệ Windows hiện cũng hỗ trợ Hệ thống con Windows dành cho Linux (WSL) ; Bạn có thể thêm quy tắc cho quy trình WSL, giống như quy trình của Windows. Để biết thêm thông tin, hãy xem Tường lửa của Bộ bảo vệ Windows hiện hỗ trợ Hệ thống con của Windows dành cho Linux (WSL) .
Chống vi-rút và các mối đe dọa
Giảm diện tích bề mặt tấn công – Quản trị viên CNTT có thể định cấu hình thiết bị với tính năng bảo vệ web nâng cao cho phép họ xác định danh sách cho phép và từ chối cho địa chỉ IP và URL cụ thể. Bảo vệ thế hệ tiếp theo – Các biện pháp kiểm soát đã được mở rộng để bảo vệ khỏi phần mềm tống tiền, lạm dụng thông tin xác thực và các cuộc tấn công được truyền qua bộ nhớ di động.
- Khả năng thực thi tính toàn vẹn – Bật chứng thực thời gian chạy từ xa của nền tảng Windows 10.
- Khả năng chống giả mạo – Sử dụng bảo mật dựa trên ảo hóa để cô lập các khả năng bảo mật quan trọng của Microsoft Defender cho Điểm cuối khỏi Hệ điều hành và những kẻ tấn công. Hỗ trợ nền tảng – Ngoài Windows 10, chức năng của Microsoft Defender for Endpoint đã được mở rộng để hỗ trợ các máy khách Windows 7 và Windows 8.1, cũng như macOS, Linux và Windows Server với cả Hệ thống phát hiện điểm cuối (EDR) và Nền tảng bảo vệ điểm cuối (EPP ) các khả năng.
Học máy nâng cao : Được cải tiến với các mô hình AI và học máy nâng cao cho phép nó bảo vệ chống lại những kẻ tấn công apxe bằng cách sử dụng các kỹ thuật, công cụ và phần mềm độc hại khai thác lỗ hổng sáng tạo.
Bảo vệ chống bùng phát khẩn cấp : Cung cấp tính năng bảo vệ chống bùng phát khẩn cấp sẽ tự động cập nhật các thiết bị với trí thông minh mới khi phát hiện một ổ dịch mới.
Tuân thủ ISO 27001 được chứng nhận : Đảm bảo rằng dịch vụ đám mây đã phân tích các mối đe dọa, lỗ hổng và tác động cũng như quản lý rủi ro và các biện pháp kiểm soát bảo mật được áp dụng.
Hỗ trợ định vị địa lý : Hỗ trợ định vị địa lý và chủ quyền của dữ liệu mẫu cũng như các chính sách duy trì cấu hình.
Cải thiện hỗ trợ cho các đường dẫn tệp không phải ASCII cho Ứng phó sự cố tự động (IR) của Microsoft Defender Advanced Threat Protection (ATP).
Bảo mật ứng dụng
Cô lập ứng dụng
Windows Sandbox : Môi trường máy tính để bàn biệt lập, nơi bạn có thể chạy phần mềm không đáng tin cậy mà không sợ ảnh hưởng lâu dài đến thiết bị của mình.
Trình bảo vệ ứng dụng của Microsoft Defender
Các cải tiến của Microsoft Defender Application Guard bao gồm:
- Người dùng độc lập có thể cài đặt và định cấu hình cài đặt Bộ bảo vệ ứng dụng Windows Defender của họ mà không cần thay đổi cài đặt khóa đăng ký. Người dùng doanh nghiệp có thể kiểm tra cài đặt của họ để xem quản trị viên của họ đã định cấu hình những gì cho máy của họ để hiểu rõ hơn về hành vi.
- Ứng dụng Guard hiện là một tiện ích mở rộng trong Google Chrome và Mozilla Firefox. Nhiều người dùng đang ở trong môi trường trình duyệt kết hợp và muốn mở rộng công nghệ cách ly trình duyệt của Application Guard ngoài Microsoft Edge. Trong bản phát hành mới nhất, người dùng có thể cài đặt tiện ích Bảo vệ ứng dụng trong trình duyệt Chrome hoặc Firefox của họ. Tiện ích mở rộng này sẽ chuyển hướng điều hướng không đáng tin cậy đến trình duyệt Application Guard Edge. Ngoài ra còn có một ứng dụng đồng hành để kích hoạt tính năng này trong Microsoft Store. Người dùng có thể nhanh chóng khởi chạy Trình bảo vệ ứng dụng từ máy tính để bàn của họ bằng ứng dụng này. Tính năng này cũng có sẵn trong Windows 10, phiên bản 1803 trở lên với các bản cập nhật mới nhất.Để thử tiện ích mở rộng này:
- Định cấu hình các chính sách Bảo vệ ứng dụng trên thiết bị của bạn.
- Truy cập Cửa hàng Chrome trực tuyến hoặc Tiện ích bổ sung của Firefox và tìm kiếm Trình bảo vệ ứng dụng. Cài đặt tiện ích mở rộng.
- Thực hiện theo bất kỳ bước cấu hình bổ sung nào trên trang thiết lập tiện ích mở rộng.
- Khởi động lại thiết bị.
- Điều hướng đến một trang web không đáng tin cậy trong Chrome và Firefox.
Điều hướng động : Ứng dụng Bảo vệ hiện cho phép người dùng điều hướng trở lại trình duyệt máy chủ mặc định của họ từ Trình bảo vệ ứng dụng Microsoft Edge. Trước đây, người dùng duyệt trong Application Guard Edge sẽ thấy trang lỗi khi họ cố truy cập trang web đáng tin cậy trong trình duyệt vùng chứa. Với tính năng mới này, người dùng sẽ tự động được chuyển hướng đến trình duyệt mặc định trên máy chủ của họ khi họ truy cập hoặc nhấp vào trang web đáng tin cậy trong Application Guard Edge. Tính năng này cũng có sẵn trong Windows 10, phiên bản 1803 trở lên với các bản cập nhật mới nhất.
Hiệu suất của Application Guard được cải thiện với thời gian mở tài liệu được tối ưu hóa:
- Đã khắc phục sự cố có thể gây ra sự chậm trễ một phút hoặc hơn khi bạn mở tài liệu Office của Bộ bảo vệ Ứng dụng Microsoft (Application Guard). Điều này có thể xảy ra khi bạn cố gắng mở tệp bằng đường dẫn Quy ước đặt tên chung (UNC) hoặc liên kết chia sẻ Khối thông báo máy chủ (SMB).
- Đã khắc phục sự cố bộ nhớ có thể khiến vùng chứa Bảo vệ ứng dụng sử dụng gần 1 GB bộ nhớ bộ đang hoạt động khi vùng chứa không hoạt động.
- Hiệu suất của Robocopy được cải thiện khi sao chép các tệp có kích thước trên 400 MB.
Hỗ trợ Edge cho Microsoft Defender Application Guard đã có sẵn cho Edge dựa trên Chromium kể từ đầu năm 2020.
Application Guard hiện hỗ trợ Office : Với Microsoft Defender Application Guard for Office , bạn có thể khởi chạy các tài liệu Office không đáng tin cậy (từ bên ngoài Doanh nghiệp) trong một vùng chứa riêng biệt để ngăn nội dung độc hại có thể xâm phạm thiết bị của bạn.
Điều khiển ứng dụng
Kiểm soát ứng dụng dành cho Windows : Trong Windows 10, phiên bản 1903 WDAC đã thêm một số tính năng mới giúp làm sáng các kịch bản chính và cung cấp tính năng ngang bằng với AppLocker.
- Nhiều chính sách : WDAC hiện hỗ trợ nhiều chính sách toàn vẹn mã đồng thời cho một thiết bị để cho phép các tình huống sau: 1) thực thi và kiểm tra song song, 2) nhắm mục tiêu đơn giản hơn cho các chính sách có phạm vi / mục đích khác nhau, 3) mở rộng chính sách bằng cách sử dụng chính sách ‘bổ sung’ mới.
- Quy tắc dựa trên đường dẫn: Điều kiện đường dẫn xác định ứng dụng theo vị trí của ứng dụng đó trong hệ thống tệp của máy tính hoặc trên mạng thay vì mã nhận dạng ký hiệu hoặc mã băm. Ngoài ra, WDAC có một tùy chọn cho phép quản trị viên thực thi trong thời gian chạy mà chỉ mã từ các đường dẫn mà người dùng không thể ghi được mới được thực thi. Khi mã cố gắng thực thi trong thời gian chạy, thư mục sẽ được quét và các tệp sẽ được kiểm tra quyền ghi đối với các quản trị viên không xác định. Nếu một tệp được phát hiện là người dùng có thể ghi, tệp thực thi sẽ bị chặn chạy trừ khi nó được ủy quyền bởi thứ gì đó khác với quy tắc đường dẫn như trình ký hoặc quy tắc băm.
Điều này đưa WDAC ngang bằng về chức năng với AppLocker về hỗ trợ các quy tắc đường dẫn tệp. WDAC cải thiện tính bảo mật của các chính sách dựa trên quy tắc đường dẫn tệp với tính khả dụng của kiểm tra quyền ghi người dùng tại thời gian chạy, đây là khả năng không có sẵn với AppLocker. - Cho phép đăng ký đối tượng COM : Trước đây, WDAC đã thực thi một danh sách cho phép cài sẵn để đăng ký đối tượng COM. Mặc dù cơ chế này hoạt động đối với hầu hết các tình huống sử dụng ứng dụng phổ biến, nhưng khách hàng đã cung cấp phản hồi rằng có những trường hợp cần cho phép các đối tượng COM bổ sung. Bản cập nhật 1903 cho Windows 10 giới thiệu khả năng chỉ định các đối tượng COM được phép thông qua GUID của chúng trong chính sách WDAC.
Danh tính và quyền riêng tư
Danh tính được bảo mật
Các cải tiến của Windows Hello bao gồm:
- Windows Hello hiện được hỗ trợ dưới dạng trình xác thực Fast Identity Online 2 (FIDO2) trên tất cả các trình duyệt chính bao gồm Chrome và Firefox.
- Giờ đây, bạn có thể bật đăng nhập không cần mật khẩu cho tài khoản Microsoft trên thiết bị Windows 10 của mình bằng cách đi tới Cài đặt> Tài khoản> Tùy chọn đăng nhập và chọn Bật trong Đặt thiết bị của bạn không có mật khẩu . Bật đăng nhập không cần mật khẩu sẽ chuyển tất cả tài khoản Microsoft trên thiết bị Windows 10 của bạn sang xác thực hiện đại bằng Windows Hello Face, Vân tay hoặc PIN.
- Hỗ trợ đăng nhập bằng mã PIN của Windows Hello được thêm vào Chế độ an toàn .
- Windows Hello for Business hiện có hỗ trợ Hybrid Azure Active Directory và đăng nhập bằng số điện thoại (MSA). Hỗ trợ khóa bảo mật FIDO2 được mở rộng sang các môi trường lai Azure Active Directory, cho phép các doanh nghiệp có môi trường kết hợp tận dụng xác thực không cần mật khẩu . Để biết thêm thông tin, hãy xem Mở rộng hỗ trợ Azure Active Directory cho bản xem trước FIDO2 sang môi trường kết hợp .
- Với các thành phần phần cứng và phần mềm chuyên dụng có sẵn trên các thiết bị chạy Windows 10, phiên bản 20H2 được định cấu hình khi xuất xưởng, Windows Hello hiện cung cấp hỗ trợ thêm cho bảo mật dựa trên ảo hóa với việc hỗ trợ cảm biến vân tay và khuôn mặt. Tính năng này cô lập và bảo mật dữ liệu xác thực sinh trắc học của người dùng.
- Hỗ trợ nhiều camera của Windows Hello được bổ sung, cho phép người dùng chọn mức độ ưu tiên của camera bên ngoài khi có cả camera bên ngoài và bên trong hỗ trợ Windows Hello.
- Chứng nhận FIDO2 của Windows Hello : Windows Hello hiện là trình xác thực được Chứng nhận FIDO2 và cho phép đăng nhập không cần mật khẩu đối với các trang web hỗ trợ xác thực FIDO2, chẳng hạn như tài khoản Microsoft và Azure AD.
- Trải nghiệm đặt lại mã PIN Windows Hello được hợp lý hóa : Người dùng tài khoản Microsoft có trải nghiệm đặt lại mã PIN Windows Hello được cải tiến với giao diện giống như khi đăng nhập trên web.
- Máy tính từ xa có sinh trắc học : Người dùng Azure Active Directory và Active Directory sử dụng Windows Hello for Business có thể sử dụng sinh trắc học để xác thực phiên máy tính từ xa.
Bảo vệ thông tin xác thực
Windows Defender Credential Guard
Windows Defender Credential Guard hiện khả dụng cho các thiết bị ARM64, để bảo vệ bổ sung chống lại hành vi trộm cắp thông tin xác thực cho các doanh nghiệp triển khai thiết bị ARM64 trong tổ chức của họ, chẳng hạn như Surface Pro X.
Kiểm soát quyền riêng tư
Cài đặt quyền riêng tư của micrô : Biểu tượng micrô xuất hiện trong khu vực thông báo cho phép bạn biết ứng dụng nào đang sử dụng micrô của bạn.
Dịch vụ điện toán đám mây
Trình quản lý điểm cuối của Microsoft
Trình quản lý cấu hình, Intune, Phân tích máy tính để bàn, Đồng quản lý và Bảng điều khiển dành cho quản trị viên Quản lý thiết bị hiện là Trình quản lý điểm cuối của Microsoft . Xem thông báo ngày 4 tháng 11 năm 2019 . Ngoài ra, hãy xem Các nguyên tắc bảo mật và quản lý hiện đại thúc đẩy tầm nhìn của Microsoft Endpoint Manager của chúng tôi .
Quản lý cấu hình
Trình hướng dẫn nâng cấp tại chỗ có sẵn trong Trình quản lý cấu hình. Để biết thêm thông tin, hãy xem Đơn giản hóa việc triển khai Windows 10 với Trình quản lý cấu hình .
Microsoft Intune
Microsoft Intune hỗ trợ Windows 10 Enterprise LTSC 2021, ngoại trừ Windows Update Rings trong cấu hình thiết bị.
Một hành động từ xa mới của Intune: Thu thập chẩn đoán , cho phép bạn thu thập nhật ký từ các thiết bị của công ty mà không làm gián đoạn hoặc chờ đợi người dùng cuối. Để biết thêm thông tin, hãy xem Thu thập chẩn đoán hành động từ xa .
Intune cũng đã thêm các khả năng vào Kiểm soát truy cập dựa trên vai trò (RBAC) có thể được sử dụng để xác định thêm cài đặt hồ sơ cho Trang trạng thái đăng ký (ESP). Để biết thêm thông tin, hãy xem Tạo hồ sơ Trang Trạng thái Đăng ký và chỉ định cho một nhóm .
Để có danh sách đầy đủ các tính năng mới trong Microsoft Intune, hãy xem Có gì mới trong Microsoft Intune .
Quản lý thiết bị di động
Chính sách Quản lý thiết bị di động (MDM) được mở rộng với các cài đặt Người dùng cục bộ và Nhóm mới phù hợp với các tùy chọn có sẵn cho các thiết bị được quản lý thông qua Chính sách nhóm.
Để biết thêm thông tin về tính năng mới trong MDM, hãy xem Có gì mới trong đăng ký và quản lý thiết bị di động
Dịch vụ Chính sách Nhóm của Công cụ Quản lý Windows (WMI) (GPSVC) có cải tiến hiệu suất để hỗ trợ các tình huống làm việc từ xa:
- Đã khắc phục sự cố khiến các thay đổi của quản trị viên Active Directory (AD) đối với tư cách thành viên nhóm máy tính hoặc người dùng chậm phổ biến. Mặc dù mã thông báo truy cập cuối cùng cũng cập nhật nhưng những thay đổi này có thể không xuất hiện khi quản trị viên sử dụng gpresult /r hoặc gpresult /h để tạo báo cáo.