Novedades de Windows 10 Enterprise LTSC 2015
Se aplica a
- Windows 10 Enterprise LTSC 2015
En este artículo se enumeran las características y el contenido nuevos y actualizados que son de interés para los profesionales de TI para Windows 10 Enterprise LTSC 2015 (LTSB). Para obtener una breve descripción del canal de mantenimiento de LTSC, consulte Windows 10 Enterprise LTSC.
Implementación
Aprovisionamiento de dispositivos con el Diseñador de imágenes y configuraciones (ICD) de Windows
Con Windows 10, puedes crear paquetes de aprovisionamiento que te permiten configurar un dispositivo de manera rápida y eficaz sin tener que instalar una imagen nueva. Un administrador de TI que usa el aprovisionamiento de Windows puede especificar fácilmente la configuración y la configuración necesarias para inscribir dispositivos en la administración mediante una interfaz de usuario controlada por el asistente y, a continuación, aplicar esta configuración a los dispositivos de destino en cuestión de minutos. Es más adecuado para pequeñas y medianas empresas con implementaciones que tienen decenas o incluso cientos de equipos.
Más información sobre el aprovisionamiento en Windows 10
Seguridad
AppLocker
AppLocker estaba disponible para Windows 8.1 y se ha mejorado con Windows 10. Consulta Requisitos para usar AppLocker para obtener una lista de los requisitos del sistema operativo.
Entre las mejoras de AppLocker en Windows 10 se incluyen las siguientes:
- Se ha agregado un nuevo parámetro a la nueva cmdlet AppLockerPolicy de Windows PowerShell que te permite elegir si las colecciones de reglas DLL y ejecutables se aplican a procesos no interactivos. Para habilitar este parámetro, establezca ServiceEnforcement en Habilitado.
- Se agregó un nuevo proveedor de servicios de configuración de AppLocker para permitir habilitar las reglas de AppLocker mediante un servidor MDM.
Aprende a administrar AppLocker en la organización.
BitLocker
Entre las mejoras de AppLocker en Windows 10 se incluyen las siguientes:
- Cifrar y recuperar tu dispositivo con Azure Active Directory. Además de usar una cuenta de Microsoft, el Cifrado de dispositivo automático ahora puede cifrar los dispositivos que están unidos a un dominio de Azure Active Directory. Cuando el dispositivo está cifrado, la clave de recuperación de BitLocker queda automáticamente custodiada para Azure Active Directory. Esta custodia facilitará la recuperación de la clave de BitLocker en línea.
- Protección de puerto DMA. Puedes usar la directiva MDM DataProtection/AllowDirectMemoryAccess para bloquear puertos DMA cuando el dispositivo se está iniciando. Además, cuando un dispositivo está bloqueado, se desactivan todos los puertos DMA que no están en uso, aunque todos los dispositivos que ya están conectados a un puerto DMA seguirán funcionando. Cuando el dispositivo esté desbloqueado, todos los puertos DMA se vuelven a activar.
- Nueva directiva de grupo para configurar la recuperación de prearranque. Ahora puedes configurar el mensaje de recuperación de prearranque y recuperar la dirección URL que se muestra en la pantalla de recuperación de prearranque. Para obtener más información, consulta la sección Configure the pre-boot recovery message and URL (Configurar la dirección URL y el mensaje de recuperación de prearranque) en "BitLocker Group Policy settings" (Configuración de la directiva de grupo de BitLocker).
Aprende a implementar y administrar BitLocker en la organización.
Administración de certificados
Para dispositivos basados en Windows 10, puedes usar el servidor de MDM para implementar directamente certificados de autenticación de cliente mediante el intercambio de información personal (PFX), además de realizar la inscripción con el protocolo de inscripción de certificados simple (SCEP), incluidos los certificados para habilitar Windows Hello en tu empresa. Podrás usar MDM para inscribir, renovar y eliminar certificados.
Microsoft Passport
En Windows 10, Microsoft Passport reemplaza las contraseñas con autenticación segura en dos fases que consta de un dispositivo inscrito y Windows Hello (biométrico) o PIN.
Microsoft Passport permite a los usuarios autenticarse en una cuenta Microsoft, una cuenta de Active Directory, una cuenta de Microsoft Azure Active Directory (AD) o un servicio Microsoft que admita la autenticación mediante Fast ID Online (FIDO) . Después de una comprobación inicial de dos pasos durante la inscripción a Microsoft Passport, Microsoft Passport se configura en el dispositivo del usuario y el usuario establece un gesto, que puede ser Windows Hello o un PIN. El usuario proporciona el gesto para comprobar la identidad y Windows usa Microsoft Passport para autenticar al usuario y permitirle el acceso a recursos y servicios protegidos.
Auditoría de seguridad
En Windows 10, la auditoría de seguridad ha agregado algunas mejoras:
Nuevas subcategorías de auditoría
En Windows 10, se han agregado dos nuevas subcategorías de auditoría a la Configuración de directiva de auditoría avanzada para proporcionar mayor granularidad en eventos de auditoría:
- Auditoría de pertenencia a grupos Englobada en la categoría Auditoría de inicio/cierre de sesión, la subcategoría Auditoría de pertenencia a grupos permite auditar la información de pertenencia a un grupo en el token de inicio de sesión de un usuario. Los eventos de esta subcategoría se generan cuando se enumeran o consultan las pertenencias a grupos en el equipo donde se creó la sesión de inicio de sesión. Para un inicio de sesión interactivo, se genera el evento de auditoría de seguridad en el equipo en el que inició sesión el usuario. Para un inicio de sesión de red, tal como el acceso a una carpeta compartida en la red, el evento de auditoría de seguridad se genera en el equipo que hospeda el recurso. Cuando se configura esta configuración, se generan uno o varios eventos de auditoría de seguridad para cada inicio de sesión correcto. También debe habilitar la configuración Audit Logon en Configuración de directiva de auditoría avanzada\Directivas de auditoría del sistema\Inicio de sesión/Cierre de sesión. Se generan varios eventos si la información de pertenencia a grupos no cabe en un único evento de auditoría de seguridad.
- Auditoría de la actividad PNP Englobada en la categoría Seguimiento detallado, la subcategoría Auditoría de la actividad PNP permite auditar cuando Plug and Play detecta un dispositivo externo. En esta categoría, solo se registran las auditorías de aciertos. Si no configura esta configuración de directiva, no se genera ningún evento de auditoría cuando plug and play detecta un dispositivo externo. Los eventos de auditoría PNP se pueden usar para realizar un seguimiento de los cambios en el hardware del sistema y se registrarán en el equipo donde se realizó el cambio. En el evento se incluye una lista de identificadores de proveedor de hardware.
Más información agregada a los eventos de auditoría existentes
Con Windows 10, versión 1507, hemos agregado más información a los eventos de auditoría existentes para facilitarte la tarea de reunir una pista de auditoría completa y recopilar la información que necesitas para proteger tu empresa. Se realizaron mejoras en los siguientes eventos de auditoría:
- Cambios en la directiva de auditoría de kernel predeterminada
- Inclusión de un proceso predeterminado SACL a LSASS.exe
- Inclusión de nuevos campos en el evento de inicio de sesión
- Inclusión de nuevos campos en el evento de creación de procesos
- Inclusión de nuevos eventos de administrador de cuentas de seguridad
- Inclusión de nuevos eventos de BCD
- Inclusión de nuevos eventos de PNP
Cambios en la directiva de auditoría de kernel predeterminada
En versiones anteriores, el kernel dependía de la autoridad de seguridad local (LSA) para recuperar información en algunos de sus eventos. En Windows 10, la directiva de auditoría de eventos de creación de procesos se habilita automáticamente hasta que se recibe una directiva de auditoría real desde LSA. Esta configuración da como resultado una mejor auditoría de los servicios que pueden iniciarse antes de que se inicie LSA.
Inclusión de un proceso predeterminado SACL a LSASS.exe
En Windows 10, se ha agregado un proceso predeterminado SACL a LSASS.exe para registrar los procesos que intentan acceder a LSASS.exe. SACL es L"S:(AU;SAFA;0x0010;;;WD)"
. Puede habilitar este proceso en Configuración avanzada de directiva de auditoría\Acceso a objetos\Auditar objeto kernel.
Este proceso, cuando está habilitado, puede ayudar a identificar ataques que roban credenciales de la memoria de un proceso.
Nuevos campos en el evento de inicio de sesión
El identificador de evento de inicio de sesión 4624 se ha actualizado para incluir información más detallada para facilitar su análisis. Se han agregado los siguientes campos al evento 4624:
- MachineLogon Cadena: sí o no Si la cuenta que inició sesión en el equipo es una cuenta de equipo, este campo será sí. De lo contrario, el campo es no.
- ElevatedToken Cadena: sí o no Si una cuenta ha iniciado sesión en el equipo mediante el método "inicio de sesión administrativo", este campo será sí. De lo contrario, el campo es no. Además, si este campo forma parte de un token dividido, también se mostrará el identificador de inicio de sesión vinculado (LSAP_LOGON_SESSION).
- Cadena TargetOutboundUserName y cadena TargetOutboundUserDomain: nombre de usuario y dominio de la identidad que creó el método LogonUser para el tráfico saliente.
- Cadena VirtualAccount: sí o no. Si la cuenta que ha iniciado sesión en el equipo es una cuenta virtual, este campo será sí. De lo contrario, el campo es no.
- Cadena GroupMembership: lista de todos los grupos del token del usuario.
- Cadena RestrictedAdminMode: sí o no. Si el usuario inicia sesión en el equipo en modo de administrador restringido con Escritorio remoto, este campo será sí. Para obtener más información sobre el modo de administrador restringido, consulta Modo de administrador restringido para RDP.
Nuevos campos en el evento de creación de procesos
El identificador de evento de inicio de sesión 4688 se ha actualizado para incluir información más detallada para facilitar su análisis. Se han agregado los siguientes campos al evento 4688:
- Cadena TargetUserSid: SID de la entidad de seguridad de destino.
- Cadena TargetUserName: nombre de cuenta del usuario de destino.
- TargetDomainName Cadena Dominio del usuario de destino.
- Cadena TargetLogonId El identificador de inicio de sesión del usuario de destino.
- Cadena ParentProcessName: nombre del proceso creador.
- Cadena ParentProcessId: puntero al proceso primario real si es diferente del proceso creador.
Nuevos eventos de administrador de cuentas de seguridad
En Windows 10, se agregaron nuevos eventos SAM para cubrir API SAM que realizan operaciones de lectura o consulta. En versiones anteriores de Windows, solo se auditaban las operaciones de escritura. Los nuevos eventos son identificación 4798 e identificación 4799 de evento. Ahora se auditan las siguientes API:
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
Nuevos eventos de BCD
Se ha agregado la identificación de evento 4826 para realizar un seguimiento de los siguientes cambios a la base de datos de configuración de arranque (BCD):
- Configuración DEP/NEX
- Firma de prueba
- Simulación SB de PCAT
- Depuración
- Depuración de arranque
- Servicios de integridad
- Deshabilitar el menú de depuración Winload
Nuevos eventos de PNP
Se ha agregado la identificación de evento 6416 para realizar un seguimiento cuando se detecta un dispositivo externo a través de Plug and Play. Un escenario importante es el que se crea si se inserta un dispositivo externo que contiene malware en un equipo de gran valor que no espera este tipo de acción, como un controlador de dominio.
Aprenda a administrar las directivas de auditoría de seguridad dentro de la organización.
Módulo de plataforma segura
Nuevas características de TPM en Windows 10
Las siguientes secciones describen las funcionalidades nuevas y modificadas en el TPM para Windows 10:
- Certificación de estado del dispositivo
- Compatibilidad con Microsoft Passport
- Compatibilidad con Device Guard
- Compatibilidad con Credential Guard
Certificación de estado del dispositivo
La Certificación de estado del dispositivo permite a las empresas establecer la confianza en función de los componentes de hardware y software de un dispositivo administrado. Con la atestación de estado de dispositivo, puedes configurar un servidor MDM para consultar un servicio de atestación de estado que permitirá o denegará un servicio de dispositivo administrado para un recurso seguro. Algunos aspectos que puede comprobar en el dispositivo:
- ¿La prevención de ejecución de datos está admitida y habilitada?
- ¿El cifrado de unidad BitLocker está admitido y habilitado?
- ¿El arranque seguro está admitido y habilitado?
Nota
El dispositivo debe estar ejecutando Windows 10 y debe admitir al menos TPM 2.0.
Aprende a implementar y administrar TPM en la organización.
Control de cuentas de usuario
Control de cuentas de usuario (UAC) ayuda a prevenir que el malware dañe un equipo y colabora con las organizaciones en la implementación de un escritorio mejor administrado.
No debe desactivar UAC porque esta configuración no es compatible con los dispositivos que ejecutan Windows 10. Si se desactiva UAC, todas las aplicaciones de la Plataforma universal de Windows dejarán de funcionar. Siempre debe establecer el valor del Registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA en 1. Si necesita proporcionar elevación automática para el acceso o la instalación mediante programación, puede establecer el valor del registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin en 0, que es lo mismo que establecer el control deslizante de UAC Nunca notificar. Esta configuración no se recomienda para dispositivos que ejecutan Windows 10.
Para obtener más información sobre cómo administrar UAC, consulte Configuración de UAC directiva de grupo y Configuración de clave del Registro.
En Windows 10, Control de cuentas de usuario ha agregado algunas mejoras:
- Integración con Antimalware Scan Interface (AMSI). La AMSI explora todas las solicitudes de elevación de UAC para el malware. Si se detecta malware, se bloquea el privilegio de administrador.
Aprende a administrar el Control de cuentas de usuario en la organización.
Opciones de perfil de VPN
Windows 10 proporciona un conjunto de características VPN que aumentan la seguridad de la empresa y proporcionan una mejor experiencia de usuario, entre lo que se incluye:
- Comportamiento de conexión automática siempre activada
- VPN activada por aplicaciones
- Filtros de tráfico VPN
- VPN de bloqueo
- Integración con Microsoft Passport for Work
Más información sobre las opciones de VPN en Windows 10.
Administración
Windows 10 ofrece funcionalidades de administración de dispositivos móviles (MDM) para equipos, portátiles, tabletas y teléfonos que habilitan la administración empresarial de dispositivos tanto personales como pertenecientes a la empresa.
Soporte técnico de MDM
Las directivas de MDM para Windows 10 son acordes a las directivas compatibles con Windows 8.1 y se amplían para acoger aún más escenarios empresariales, como la administración de múltiples usuarios con cuentas de Microsoft Azure Active Directory (Azure AD), el control total sobre la Microsoft Store, la configuración de VPN y mucho más.
La compatibilidad de MDM en Windows 10 se basa en la especificación 1.2.1 del protocolo de administración de dispositivos (DM) de Open Mobile Alliance (OMA) .
Los dispositivos corporativos se pueden inscribir automáticamente en las empresas que usan Azure AD. Referencia para la administración de dispositivos móviles en Windows 10
Anulación de la inscripción
Cuando una persona deja la organización y anulas la inscripción de la cuenta de usuario o el dispositivo de la administración, se quitan del dispositivo las aplicaciones y las configuraciones controladas por la empresa. Puedes anular la inscripción del dispositivo de forma remota o puede hacerlo el usuario quitando manualmente la cuenta del dispositivo.
Cuando se anula la inscripción de un dispositivo personal, las aplicaciones y los datos del usuario permanecen intactos, mientras que la información de la empresa, como certificados, perfiles de VPN y aplicaciones empresariales, se eliminan.
Infraestructura
Las empresas tienen las siguientes opciones de administración e identidad.
Área | Opciones |
---|---|
Identidad | Active Directory; Azure AD |
Agrupación | Unión a un dominio; grupo de trabajo; unión a Azure AD |
Administración de dispositivos | directiva de grupo; Microsoft Configuration Manager; Microsoft Intune; otras soluciones MDM; Exchange ActiveSync; Windows PowerShell; Instrumental de administración de Windows (WMI) |
Nota
Con el lanzamiento de Windows Server 2012 R2, Protección de acceso a redes (NAP) quedó en desuso y el cliente NAP se ha eliminado en Windows 10. Para obtener más información acerca de los ciclos de vida de soporte técnico, consulta Ciclo de vida de soporte técnico de Microsoft.
Bloqueo de dispositivos
¿Necesitas un equipo que solo pueda hacer una cosa? Por ejemplo:
- Un dispositivo en la sala de espera que los clientes pueden usar para ver el catálogo de productos.
- Un dispositivo portátil que los controladores pueden usar para comprobar una ruta en un mapa.
- Un dispositivo que usa un trabajador temporal para escribir datos.
Puedes configurar un estado de bloqueo persistente para crear un dispositivo de tipo quiosco multimedia. Cuando la cuenta bloqueada inicia sesión, el dispositivo muestra solamente la aplicación que selecciones.
También puedes configurar un estado de bloqueo que surta efecto cuando un usuario concreto inicie sesión. El bloqueo restringe el acceso del usuario solo a las aplicaciones que especifiques.
La configuración de bloqueo también puede configurarse para el aspecto del dispositivo, como un tema o un diseño personalizado en la pantalla Inicio.
Diseño de Inicio
Un diseño de la pantalla Inicio estándar puede ser útil en dispositivos que son comunes a varios usuarios y dispositivos que están bloqueados para propósitos especializados. A partir de Windows 10, versión 1511, los administradores pueden configurar un diseño de Inicio parcial, que se aplica a grupos de iconos especificados al tiempo que permite a los usuarios crear y personalizar sus propios grupos de iconos. Aprende a personalizar y exportar el diseño de Inicio.
Los administradores también pueden usar la administración de dispositivos móviles (MDM) o la directiva de grupo para deshabilitar el uso de Contenido destacado de Windows en la pantalla de bloqueo.
Actualizaciones
Windows Update para empresas permite a los administradores de tecnologías de la información mantener los dispositivos basados en Windows 10 de su organización siempre al día, con los mecanismos de seguridad más recientes y las características de Windows, conectando estos sistemas directamente al servicio Windows Update de Microsoft.
Mediante el uso de objetos directiva de grupo, Windows Update para empresas se convierte en un sistema fácilmente establecido e implementado que permite a las organizaciones y administradores ejercer control sobre cómo se actualizan sus dispositivos basados en Windows 10, al permitir:
Grupos de implementación y validación, donde los administradores pueden especificar qué dispositivos van primero en una oleada de actualización y cuáles van después (para garantizar que se cumplen todas las barras de calidad).
Entrega punto a punto, que los administradores pueden habilitar para que la entrega de actualizaciones en sucursales y sitios remotos con ancho de banda limitado sea eficaz.
Use con herramientas existentes, como Microsoft Intune y Enterprise Mobility Suite.
Juntos, estas características de Windows Update para empresas ayudan a reducir los costos de administración de dispositivos, proporcionan controles sobre la implementación de actualizaciones, ofrecen acceso más rápido a las actualizaciones de seguridad y proporcionan acceso a las últimas innovaciones de Microsoft de forma continuada. Windows Update para empresas es un servicio gratuito para todas las ediciones de Windows 10 Pro, Enterprise y Education, y se puede usar independientemente de las soluciones de administración de dispositivos existentes, como Windows Server Update Services (WSUS) y Microsoft, o junto con ellas. Configuration Manager.
Más información sobre Windows Update para empresas.
Para obtener más información sobre la actualización de Windows 10, consulta Opciones de actualizaciones y mantenimiento de Windows 10.
Microsoft Edge
El nuevo Microsoft Edge basado en cromo no se incluye en la versión LTSC de Windows 10. Sin embargo, puede descargarlo e instalarlo por separado aquí.
Consulta también
Windows 10 Enterprise LTSC: descripción del canal de mantenimiento de LTSC con vínculos a información sobre cada versión.