Windows 11版本 24H2 中的新增功能

Windows 11，版本 24H2 是适用于 Windows 11 的功能更新。 它包括以前对 Windows 11 版本 23H2 的累积更新中的所有功能和修补程序。 本文列出了 IT 专业人员应了解的新增功能和更新功能。

查找使用者信息？ 请参阅 Windows 11 2024 更新。

Windows 11，版本 24H2 遵循Windows 11服务时间线：

• Windows 11 专业版：自发布日期起服务 24 个月。
• Windows 11 企业版：自发布日期起服务 36 个月。

设备必须运行Windows 11版本 23H2 或 22H2，其中安装了 2024 年 5 月非安全预览版更新或更高版本，才能更新到版本 24H2。 Windows 11，版本 24H2 是完整的 OS 交换，因此它不能作为启用包提供。 Windows 10设备可以升级到Windows 11版本 24H2，使用最初用于部署Windows 10的熟悉流程、策略和管理解决方案。

Windows 11，版本 24H2 通过Windows Server Update Services (提供，包括 Configuration Manager) 、Windows 更新 for Business 和批量许可服务中心 (VLSC) 。 有关详细信息，请参阅如何获取Windows 11版本 24H2 更新。 查看Windows 11版本 24H2 Windows IT 专业人员博客文章，了解有关可用部署资源的信息，例如 Windows 评估和部署工具包 (Windows ADK) 。

若要详细了解更新推出状态、已知问题和新信息，请参阅 Windows 版本运行状况。

功能不再受临时企业控制

临时企业功能控制会暂时关闭托管Windows 11设备的每月累积更新期间引入的某些功能。 出于临时企业控制的目的，如果将系统配置为从 Windows 更新 for Business 或 Windows Server Update Services (WSUS) 获取更新，则系统被视为托管。 从Microsoft Configuration Manager和Microsoft Intune获取更新的客户端被视为托管，因为它们的更新最终来自 WSUS 或 Windows 汇报 for Business。

Windows 11版本 23H2 和 Windows 11 版本 24H2 之间的临时企业控制下没有任何功能。 有关在 Windows 11 版本 22H2 和 Windows 11 版本 23H2 之间受临时企业控制的功能列表，请参阅临时企业功能控制背后的Windows 11功能。

检查点累积更新

Microsoft引入了检查点累积更新，这是一种新的服务模型，使运行 Windows 11 版本 24H2 或更高版本的设备能够在通过最新累积更新获取功能和安全增强功能时节省时间、带宽和硬盘空间。 以前，累积更新包含自上次生产版本 (RTM) 版本以来对二进制文件所做的所有更改。 累积更新的大小可能会随着时间的推移而增大，因为 RTM 用作每个更新的基线。

使用检查点累积更新时，更新文件级别差异基于以前的累积更新而不是 RTM 版本。 将定期发布充当检查点的累积更新。 使用检查点而不是 RTM 意味着后续更新包更小，因此下载和安装速度更快。 使用检查点还意味着，若要使设备安装最新的累积更新，可能需要安装必备的累积更新。 有关检查点累积更新的详细信息，请参阅 https://aka.ms/CheckpointCumulativeUpdates。

24H2 中 Copilot+ 电脑独有的功能

Copilot+ 电脑是一种新型Windows 11 AI 电脑，由神经处理单元 (NPU) 提供支持，每秒可执行超过 40 万亿次操作 (TOPS) 。 以下功能是 Windows 11 版本 24H2 中 Copilot+ 电脑独有的功能：

• 实时字幕允许你将音频和视频内容翻译成 44 种语言的英语字幕。 有关详细信息，请参阅 使用实时字幕更好地了解音频。
• Windows Studio 效果是 AI 支持的视频通话和音频效果的统称，这些视频通话和音频效果在 Copilot+ 电脑上可用，并选择具有兼容 NPU 的Windows 11设备。 Windows Studio 效果在视频通话期间自动改善照明效果并消除噪音。 有关详细信息，请参阅 Windows Studio 效果。
• 画图中的 Cocreator 允许你借助 AI 创建令人惊叹的插图。 输入文本提示，开始在“画图”中绘图，Cocreator 将根据你正在绘制的内容生成插图。 有关详细信息，请参阅 Paint 中的 Cocreator
• Auto Super Resolution (Auto SR) 是操作系统中内置的第一个 AI 驱动的超级分辨率解决方案，使游戏自动播放更流畅，并具有更高分辨率的细节。 有关详细信息，请参阅 自动超级分辨率。
• Microsoft 照片 应用中的 图像创建器 和 Restyle 图像允许在 AI 的帮助下重新映像照片或创建新图像。 有关详细信息，请参阅 Microsoft 照片 Restyle 映像和图像创建器。

自版本 23H2 以来添加到Windows 11的功能

Windows 11版本 23H2 定期引入新功能和增强功能，为Windows 11提供持续创新。 这些功能和增强功能使用你已经熟悉的常规更新服务通道。 首先，会通过可选的非安全预览版引入新功能，并逐渐向客户端推出。 这些新功能稍后将作为每月安全更新版本的一部分发布。 有关持续创新的详细信息，请参阅 Windows 客户端的更新发布周期。

一些功能在过去一年的不断创新更新中发布，并延续到 24H2 年度功能更新，包括：

服务器消息块 (SMB) 协议更改

SMB 签名和加密

对 SMB 签名和加密进行了以下更改：

• SMB 签名要求更改：在 Windows 11 家庭版、专业版、教育版和企业版版本 24H2 中，所有连接现在都默认需要 SMB 签名。 SMB 签名可确保每条消息都包含使用会话密钥和密码套件生成的签名。 客户端将整个消息的哈希放入 SMB 标头的签名字段中。 如果有人稍后在网络上更改消息本身，哈希将不匹配，并且 SMB 知道有人篡改了数据。 它还向发送方和接收方确认，他们就是他们所说的，打破中继攻击。 有关默认情况下需要 SMB 签名的详细信息，请参阅 https://aka.ms/SMBSigningOBD。

• SMB 客户端加密：SMB 现在支持 要求 对所有出站 SMB 客户端连接进行加密。 加密所有出站 SMB 客户端连接会强制实施最高级别的网络安全，并为 SMB 签名带来管理奇偶校验，从而满足客户端和服务器要求。 使用此新选项，管理员可以强制所有目标服务器使用 SMB 3 和加密，如果缺少这些功能，客户端将无法连接。 有关此更改的详细信息，请参阅 https://aka.ms/SmbClientEncrypt。

• SMB 签名和加密审核：管理员现在可以启用对 SMB 服务器和客户端的 审核 ，以支持 SMB 签名和加密。 这会显示第三方客户端或服务器是否不支持 SMB 加密或签名。 SMB 签名和加密审核设置可以在 组策略 中或通过 PowerShell 进行修改。

SMB 备用客户端和服务器端口

SMB 客户端现在支持使用硬编码默认值的 替代网络端口 通过 TCP、QUIC 或 RDMA 连接到 SMB 服务器。 但是，如果 SMB 服务器配置为支持侦听该端口，则只能连接到备用端口。 从 Windows Server 预览体验成员内部版本 26040 开始，SMB 服务器现在支持通过 QUIC 侦听 SMB 的备用网络端口。 Windows Server 不支持配置备用 SMB 服务器 TCP 端口，但某些第三方支持。 有关此更改的详细信息，请参阅 https://aka.ms/SMBAlternativePorts。

SMB NTLM 阻止异常列表

SMB 客户端现在支持阻止远程出站连接的 NTLM 。 使用此新选项，管理员可以有意阻止 Windows 通过 SMB 提供 NTLM，并指定 NTLM 用法的例外。 欺骗用户或应用程序向恶意服务器发送 NTLM 质询响应的攻击者将不再接收任何 NTLM 数据，并且无法暴力破解、破解或传递哈希。 此更改为无需在 OS 中完全禁用 NTLM 使用的企业添加了一个新的保护级别。

有关此更改的详细信息，请参阅 https://aka.ms/SmbNtlmBlock。

SMB 方言管理

SMB 服务器现在支持控制它协商的 SMB 2 和 3 方言 。 使用此新选项，管理员可以删除特定 SMB 协议，从组织中使用，阻止较旧、安全性较差、功能较差的 Windows 设备和第三方进行连接。 例如，管理员可以指定仅使用 SMB 3.1.1，这是协议中最安全的方言。

有关此更改的详细信息，请参阅 https://aka.ms/SmbDialectManage。

SMB over QUIC

SMB over QUIC 引入了 TCP 和 RDMA 的替代方案，它通过 Internet 等不受信任的网络与边缘文件服务器提供安全连接。 QUIC 具有显著优势，最大的优势是基于证书的强制加密，而不是依赖于密码。 SMB over QUIC 客户端访问控制 改进了现有的 SMB over QUIC 功能。

管理员现在拥有更多针对 SMB 的 QUIC 选项，例如：

• 指定哪些客户端 可以通过 QUIC 服务器访问 SMB。 这为组织提供了更多的保护，但不会更改用于建立 SMB 连接或最终用户体验的Windows 身份验证。
• 使用 组策略 和 PowerShell 为客户端禁用 SMB over QUIC
• 审核 SMB over QUIC 的客户端连接事件

有关这些更改的详细信息，请参阅 https://aka.ms/SmbOverQUICCAC。

SMB 防火墙规则更改

Windows 防火墙 默认行为已更改。 以前，创建 SMB 共享会自动配置防火墙，以启用给定防火墙配置文件 的“文件和打印机共享” 组中的规则。 现在，Windows 自动配置新的 文件和打印机共享 (限制性) 组，该组不再包含入站 NetBIOS 端口 137-139。

此更改强制实施更高级别的网络安全默认值，并使 SMB 防火墙规则更接近 Windows Server 文件服务器 角色行为，后者仅打开连接和管理共享所需的最小端口。 管理员仍可根据需要配置 文件和打印机共享 组，并修改此新防火墙组，这些只是默认行为。

有关此更改的详细信息，请参阅 https://aka.ms/SMBfirewall。 有关 SMB 网络安全的详细信息，请参阅 在 Windows Server 中保护 SMB 流量。

升级时本地安全机构 (LSA) 保护启用

LSA 保护 通过防止未经授权的代码在 LSA 进程中运行以及防止转储进程内存，帮助防止用于登录的机密和凭据被盗。 从此升级开始，将审核一段时间内与 LSA 保护不兼容的情况。 如果未检测到不兼容，则会自动启用 LSA 保护。 可以在“设备安全性>核心隔离”页下的 Windows 安全中心 应用程序中检查和更改 LSA 保护的启用状态。 在事件日志中，LSA 保护记录是否阻止程序加载到 LSA 中。 如果要检查某些内容被阻止，请查看日志记录。

默认情况下禁用远程 Mailslot 协议

远程 Mailslot 协议已于 2023 年 11 月弃用，现在从 Windows 11 版本 24H2 开始默认禁用。 有关远程 Mailslot 的详细信息，请参阅 关于 Mailslots。

本地管理员密码解决方案 (LAPS) 改进

LAPS 具有新的自动帐户管理功能。 IT 管理员可以将 Windows LAPS 配置为：

• 自动创建托管本地帐户
• 配置帐户名称
• 启用或禁用帐户
• 随机化帐户名称

LAPS 具有以下策略改进：

• 为 PasswordComplexity 策略添加了通行短语设置
  • 使用 通行短语Length 控制新通行短语中的单词数
• 为 PasswordComplexity 策略添加了改进的可读性设置，该策略无需使用容易与另一个字符混淆的字符即可生成密码。 例如，密码中不使用零和字母 O，因为字符可能会混淆。
• 向 Reset the password, logoff the managed account, and terminate any remaining processesPostAuthenticationActions 策略添加了 设置。 身份验证后操作执行期间发出的事件日志记录消息也进行了扩展，以便准确了解操作期间执行的操作。

为 LAPS 引入了图像回滚检测。 LAPS 可以检测设备何时回滚到上一个映像。 回滚设备时，Active Directory 中的密码可能与回滚的设备上的密码不匹配。 这项新功能将 Active Directory 属性 msLAPS-CurrentPasswordVersion添加到 Windows LAPS 架构。 此属性包含一个随机 GUID，每次在 Active Directory 中保留新密码时，Windows LAPS 都会写入该 GUID，然后保存本地副本。 在每个处理周期中，都会查询存储在 中的 msLAPS-CurrentPasswordVersion GUID，并将其与本地持久化副本进行比较。 如果 GUID 不同，则立即轮换密码。 若要启用此功能，需要运行最新版本的 Update-LapsADSchema PowerShell cmdlet。

Windows 内核中的 Rust

中提供了 GDI 区域win32kbase_rs.sys的新实现。 由于 Rust 在可靠性和安全性方面优于用 C/C++ 编写的传统程序，因此在内核中仍会更多地使用它。

文件夹的个人数据加密 (PDE)

文件夹的 PDE 是一项安全功能，其中已知 Windows 文件夹 (文档、桌面和图片) 的内容使用用户身份验证加密机制进行保护。 Windows Hello是用于提供用于加密文件夹中用户数据的密钥的用户身份验证。 可以从 Intune 中的策略启用文件夹的 PDE。 IT 管理员可以选择所有文件夹或子集，然后将策略应用于其组织中的一组用户。 “终结点安全>磁盘加密”下Intune提供了“文件夹的 PDE”设置。

有关 PDE 的详细信息，请参阅 PDE 概述

受 Windows 保护的打印模式

受 Windows 保护的打印模式使设备能够仅使用 Windows 新式打印堆栈进行打印，该堆栈专为 经过 Morpia 认证的打印机而设计。 使用 Morpia 认证的打印机，不再需要依赖第三方软件安装程序。 若要启用受 Windows 保护的打印模式，请执行以下操作：

• 转到“设置>蓝牙 & 设备>打印机 & 扫描仪”，然后选择“在 Windows 保护的打印模式下设置”
• 在“计算机配置管理模板>打印机”下的“组策略中启用配置>Windows 保护打印策略

SHA-3 支持

添加了对 SHA-3 系列哈希函数和 SHA-3 派生函数的支持， (SHAKE、cSHAKE、KMAC) 。 SHA-3 算法系列是美国国家标准与技术研究院 (NIST) 的最新标准化哈希函数。 通过 Windows CNG 库启用对这些函数的支持。

• 支持的 SHA-3 哈希函数：不支持 SHA3-256、SHA3-384、SHA3-512 (SHA3-224)

• 支持的 SHA-3 HMAC 算法：HMAC-SHA3-256、HMAC-SHA3-384、HMAC-SHA3-512

• 支持的 SHA-3 派生算法：扩展输出函数 (XOF) (SHAKE128、SHAKE256) 、可自定义的 XOF (cSHAKE128、cSHAKE256) 和 KMAC (KMAC128、KMAC256、KMACXOF128、KMACXOF256) 。

适用于企业的应用控制

客户现在可以使用适用于企业的 App Control (以前称为 Windows Defender 应用程序控制) 及其下一代功能来保护其数字资产免受恶意代码的侵害。 借助适用于企业的应用控制，IT 团队可以通过管理控制台中的Microsoft Intune或其他 MDM 配置业务环境中运行的内容，包括将Intune设置为托管安装程序。 有关详细信息，请参阅 适用于 Windows 的应用程序控制。

Wi-Fi 7 支持

为使用者接入点添加了对 Wi-Fi 7 的支持。 Wi-Fi 7（也称为 IEEE 802.11be 极高吞吐量 (EHT) ）是最新的 Wi-Fi 技术，为无线设备提供前所未有的速度、可靠性和效率。 有关 Wi-Fi 7 的详细信息，请参阅 Wi-Fi 联盟公告。

对辅助设备的蓝牙 ® LE 音频支持

使用这些辅助助听设备的客户现在能够在使用与 LE 音频兼容的电脑时直接配对、流式传输音频、接听电话和控制音频预设。 拥有支持蓝牙 LE 音频的辅助助听设备的用户可以通过 设置>辅助>听觉设备来确定其电脑是否与 LE 音频兼容、设置和管理其设备。 有关详细信息，请参阅将助听设备与Windows 11电脑配合使用。

Windows 位置改进

添加了新控件，以帮助管理哪些应用有权访问你周围的 Wi-Fi 网络列表，这些网络可用于确定你的位置。

• 可以从“设置隐私 & 安全>位置”>查看和修改哪些应用可以访问 Wi-Fi 网络列表。
• 当应用首次尝试访问你的位置或 Wi-Fi 信息时，将显示新的提示。
  • 当应用意外请求访问位置服务时，提示还会发出通知，以便你可以拒绝它。
  • 如果授予权限，则使用位置或 Wi-Fi 信息的应用现在会显示在“位置设置”页上的“最近”活动中，当应用处于使用状态时，位置图标将显示在任务栏中。
  • 若要在关闭位置时隐藏这些提示，请在“位置设置”页上关闭“应用请求位置时通知”。
• 开发人员可以使用 API 行为的更改 Wi-Fi 访问和位置 一文了解受此更改影响的 API 图面。

Sudo for Windows

Sudo for Windows 是用户以管理员身份 (直接从未激活的控制台会话) 运行提升的命令的新方法。 sudo 命令可以配置为在三种不同的模式下运行：

• 在新窗口中：提升的命令在新窗口中运行。 此模式类似于 命令的行为 runas /user:admin 。
• 禁用输入：在当前窗口中运行提升的进程，但关闭输入句柄。 这意味着提升的进程将无法从当前控制台窗口接收输入。
• 内联：在当前窗口中运行提升的进程，并且进程能够接收来自当前控制台会话的输入。 此模式最类似于其他平台上的 sudo 体验。

建议在在计算机上 启用 sudo 命令 之前，先查看此处每种模式的安全注意事项。 有关详细信息，请参阅 Sudo for Windows。

启用可选更新

除了每月累积更新之外，还可以使用可选更新来提供新功能和非安全性更改。 大多数可选更新在每月的第四个星期二发布，称为可选的非安全预览版。 可选更新还可以包括逐步推出的功能，称为受控功能推出 (CFR) 。 默认情况下，不会为使用 Windows 更新 for Business 接收更新的设备启用可选更新安装。 但是，可以使用启用可选更新策略为设备 启用可选更新 。 有关可选内容的详细信息，请参阅 启用可选更新。

远程桌面连接改进

远程桌面连接具有以下改进：

• “远程桌面连接设置”窗口 (mstsc.exe) 遵循 “设置>辅助功能>文本大小”下的文本缩放设置。
• 远程桌面连接支持 350%、400、450 和 500% 的缩放选项
• 对连接条设计的改进

其他功能

• 文件资源管理器：对文件资源管理器上下文菜单进行了以下更改：
  • 支持创建 7-zip 和 TAR 存档
  • 压缩到>其他选项 允许使用 gzip、BZip2、xz 或 Zstandard 压缩单个文件
  • 标签已添加到上下文菜单图标，用于复制、粘贴、删除和重命名等操作
• OOBE 改进：当需要连接到网络且没有 Wi-Fi 驱动程序时，系统会提供 安装驱动程序 选项来安装已下载的驱动程序
• 注册表编辑器：注册表编辑器支持将搜索限制为当前所选项及其后代
• 任务管理器：任务管理器设置页包含 Mica 材料和 重新设计的图标

开发人员 API

添加了或更新了以下开发人员 API：

• 引入了 电网预测 API。 应用开发人员可以将后台工作负载转移到本地电网可以使用可再生能源的时间，从而最大程度地减少环境影响。 预测数据在全球不可用，数据质量可能因区域而异。
• 添加了节能器通知回调设置 GUID 以表示新的节能体验。 应用可以通过将适当的 GUID 传递给 PowerSettingRegisterNotification API 来订阅节能器状态，并且可以实现不同的行为来优化能源或性能，具体取决于当前的节能状态。 有关详细信息，请参阅 电源设置 GUID
• 扩展了 有效电源模式 API ，以在确定返回的有效电源模式时解释新的节能器级别。

Windows 11版本 24H2 中删除的功能

Windows 11版本 24H2 中删除了以下已弃用的功能：

• 写字板：从 Windows 11 版本 24H2 和 Windows Server 2025 开始，所有版本的 Windows 中删除了写字板。
• Alljoyn：Microsoft的 AllJoyn 实现，其中包括 Windows.Devices.AllJoyn API 命名空间、 Win32 API、 管理配置服务提供商 (CSP) ，以及 Alljoyn 路由器服务 已停用。