RSAT 现已支持 Arm 架构 Windows 11

        RSAT - Remote Server Administration Tools（远程服务器管理工具）是一系列实用工具，以帮助 IT 管理员能够从 Windows 客户端设备上远程管理 Windows Server 系统上的角色和功能。RSAT 对 Arm 架构 Windows 11 的支持是一个重要的里程碑，满足了 IT 人员对企业管理的首要需求之一，意味着更多 IT 基础架构管理员能够使用 Arm 架构的 Windows 11 设备。

        在2026年2月的 Windows 非安全预览版更新中，微软向 Arm 架构的 Windows 11 提供了 RAST 工具支持，目前包含了多个最为广泛使用的 RSAT 组件：

• RSAT：Active Directory 域服务和轻型目录服务工具
• RSAT：Active Directory 证书服务工具
• RSAT：DHCP 服务器工具
• RSAT：DNS 服务器工具
• RSAT：Group Policy Management Tools
• RSAT：IP 地址管理（IPAM）客户端
• RSAT：Windows PowerShell 的存储副本模块
• RSAT：服务器管理器

        这些工具现已原生支持 Arm64，IT 管理员借助这些工具即可在 Arm 架构的 Windows 11 上完成日常系统管理任务，在过去系统管理员可能不得不切换到 x64 或使用其他远程管理方案。

        企业广泛采用 Arm 架构 Windows 设备的进程又能前进一步！！！

        Arm64 版的 RSAT 与 x64 版的启用方式目前有一些差异，在 25H2 和 24H2 上已经部署了 2026年2月 非安全预览版更新的设备作为可选组件通过“设置 - 系统 - 可选功能 - 更多 Windows 功能”来安装，即过去的控制面板里的程序来开启或关闭 RSAT 功能（optionalfeatures.exe）。

        对于已经采用 Windows 11 26H1 的 Arm 架构设备，RSAT 的安装与 x64 架构设备保持一致，可直接通过 FOD 进行安装（ms-settings:optionalfeatures）。

推荐官方文档：

Install and manage Remote Server Administration Tools in Windows | Microsoft Learn

2026年2月24日 - KB5077241（26200.7922 和 26100.7922）| Microsoft Support

ITPro 应该了解的 Windows 11 26H1 信息

        微软本周发布了 Windows 11 26H1，但意外的是它并不是一个被广泛部署的版本，根据微软发布的信息此版本是为2026年第一季度即将推出的新设备的专属系统，并不是传统意义上的年度功能更新，只是一个面向下一代硬件的新系统基线，为了能够更好的支持高通骁龙 X2 系列处理器的设备。微软建议组织应继续部署和管理运行广泛发布的 Windows 11 24H2 或 25H2 版本。

        作为仅在2026年初为新设备提供的特有系统版本，26H1 在功能上与 25H2 一致，只是 Windows Core 存在区别，这意味着 26H1 在 2026年下半年更新会与 24H2 或 25H2 不同的升级渠道，并且 26H1 不支持热补丁更新，但仍会获得每月的安全、质量与新功能更新，并且更新节奏也与现有版本保持一致。

        对于计划采购新型高通骁龙X2的组织用户也无需担心，26H1 可通过 Windows Autopatch、Microsoft Intune 以及 Microsoft Configuration Manager 等常规工具管理。

        从目前种种迹象看，微软正加大 Windows 在 Arm 平台上运行的投资，X2 系列的早期资讯也证明其性能带来了非常大的飞跃，需要一个新的系统基线来适配这些新硬件。由于采用了不同的 Windows Core，是否也暗示着下一代 Windows 可能正在向更模块化、更灵活的架构演进，并为下一代 AI 硬件设备准备新的基座！让我们拭目以待，同时也期待一下高通骁龙 X2 所带来的惊喜！

        针对 Windows 11 26H1 微软官方也发布了相关的 KB，具体可参考：

https://support.microsoft.com/en-us/topic/windows-11-version-26h1-6a0533a9-71a8-43b8-a32c-8fa7db97543d

        Windows 信息中心公布的说明可参考：

https://learn.microsoft.com/zh-cn/windows/whats-new/windows-11-version-26h1

        在本月补丁日，微软为 26H1 发布了 KB5077179 - 28000.1575

https://support.microsoft.com/en-us/topic/february-10-2026-kb5077179-os-build-28000-1575-74e81d2f-48db-4322-8bd7-8633f8d4d079

Windows 11 时间点还原功能概览

        微软 11月21日发布的 Windows 11 Insider Preview Build 26220.7271 (Dev & Beta Channels) 公告中提到了一个新的功能“Point-in-time restore” - 时间点还原！这是在“快速计算机恢复” - QMR 之后又一个 Windows 恢复功能。时间点还原旨在使用户能够快速将设备恢复到之前备份的完整状态之下，帮助减少停机的时间，并有效简化故障排查所耗费的人力和时间成本。

        该功能逻辑是通过 VSS 技术定期备份整个系统的状态，实现当需要对设备系统进行完整状态恢复时可通过 WinRE 加载并进行恢复。如果你已经安装了 26220.7271 便可以在 Windows “设置” 应用中定位到 “系统 - 恢复” 页面中找到“时间点还原”。

        目前时间点还原包含以下几个选项：

• 功能开/关，如果为启用状态，还原点会自动被创建。如果当前硬盘容量大于200GB，则该功能默认启用，否则需要手动开启。
• 还原点频率，即控制备份的频率，可配置为每4，12，16，24小时备份一次。默认为每24小时备份一次。
• 还原点保留期，定义了还原点在系统上保存的时间长度，直到它们被自动删除。可配置为6，12，16，24，72小时。默认为72小时。
• 最大用量限制，定义了 VSS 在设备上捕获还原点所占的总容量的上限。最低为2G，默认为2%。我们可以分配更大的容量空间，未使用的剩余空间仍旧可以被系统使用，所以它不是一个固定的保留空间。

        由于时间点还原在启用后是在后台自动执行捕获备份的，所以我们当前还无法确认它的实际进度。当我们要对系统进行完整的恢复时，只需要进入 Windows 高级启动模式即可在"疑难解答"页面中看到“时间点恢复”选项，如下图所示：

        需要注意，如果设备之前启用了 BitLocker，必须获取恢复密钥才能使用时间点还原对设备进行恢复。

        说到这里，gOxiA 肯定大家也会有一些疑惑，时间点还原看起来很像 Windows 的另一个功能 - “系统保护”/“系统还原”。

        它们都基于 VSS 技术对硬盘数据进行快照，但却有很大的不同，具体可参考下表。

        此外，我们还需要关注时间点还原功能的以下方面：

• 恢复只能在 WinRE 本地发起。
• 如果硬盘已 Bitlocker 加密，Bitlocker 恢复密钥是必须的。
• 设备关机、睡眠或现代待机模式，重启或硬盘满载等情况下，将无法保证还原点能在配置的准确频率下被捕获。
• 使用 EFS 加密文件时可能会影响时间点恢复的可靠性。
• 对于拥有多个卷的设备，只有 MainOS 卷会被恢复。
• 不支持导出或挂载还原点作为独立映像。

        本文最后的知识点，时间点还原是一种全面的恢复解决方案，意味着整个系统状态，包含用户文件、应用程序、设置、密码、证书等数据都会被恢复到所选的还原点状态，所以还原点之后的任何本地数据都会丢失。但存储在云服务（OneDrive）中的数据不会受到影响。由于时间点还原功能还处在测试预览状态，gOxiA 会密切关注这一功能的改进，并提交使用反馈！如果你有任何想法也可以一起交流探讨。

推荐官方文档：

• Volume Shadow Copy Service (VSS) | Microsoft Learn

• System Restore - Win32 apps | Microsoft Learn

• Windows Recovery Environment (Windows RE) | Microsoft Learn

HOWTO: 解决 Windows Insider 0x800BFA0E 错误

        好久没有分享关于排错的日志，今天简单分享一个最近遇到的 Windows Insider 0x800BFA0E 错误，该错误代码是 Windows Insider Program 专有的，而且官方没有披露相关代码的含义，在 Windows Insider Troubleshooting 中也没有找到任何线索，那我们该如何着手去排错呢？！

        回顾该设备的历史情况，已加入到 Intune，使用 M365 账号的登录，先前可见 Windows 预览体验计划是被预先配置的，因为用户无法更改。转到 Intune 管理中心排查设备策略，初步怀疑与更新策略有关。

        检查默认的更新策略，发现“启用预发布的内部版本”为未配置，查询 Intune 审核日志可见该策略之前有被重新修改，经确认该配置之前未启用状态，且发布频道设定为“Windows 预览体验计划 - 发布预览”，之后因某些设备要更改发布频道，则在 Intune 上变更了该策略以允许用户自行配置，之后该策略设置在设备端被取消，用户可自主控制 Windows Insider 频道，在加入过程中便于到了前面截图中的 0x800BFA0E 错误。

       综上所述，问题应该发生在策略设置取消后，之前的配置信息残留在了某个位置。Windows 上重要的配置存储就是注册表了，当然也可能保存在某些文件中，比较繁琐的排查方法是检索那些关键词，例如先从微软官方文档中了解到发布频道的信息 - Deeper look at flighting，然后逐步去排查可疑信息的位置。

        如果你也能够非常熟练使用 Sysinternals，那将变得非常容易。哦！说到这里我需要特别致敬一下我非常敬重的一个技术超群的殿堂级大佬 - Mark Russionovich，有幸在 2011 年亚特兰大见过一面，还拿到了亲笔签名的 Zero Day: A Novel！

        炫完回归正题，经排查确认 Windows Insider 相关信息仅保存在注册表中，项值“WindowsSelfHost”，位于“HKLM\SOFTWARE\Microsoft”，如果你有兴趣可以逐一查阅其中的信息，那么下来要解决我们当前遇到的问题只需要删除 WindowsSelfHost 项即可，可以使用命令行，或者使用注册表编辑器，随你的喜好！

reg delete "HKLM\SOFTWARE\Microsoft\WindowsSelfHost" /f

        最后重新启动设备便可手动重新注册并选择发布频道！

HOWTO: 升级 Secure Boot 证书解决2026年到期问题

        在开始我们今天的话题前应该先了解一下 Secure Boot（安全启动），它是基于 UEFI 提供的一项安全功能，确保设备加电启动后仅能够从受信任的程序执行启动。这是保护操作系统的第一步，它的工作原理十分容易理解，在设备 UEFI 中预置了受信证书，当我们的设备要执行启动的程序包含匹配的受信证书，则设备会继续执行启动，否则失败！

        安全启动在 Windows 上通过其内核的受信任启动序列从 UEFI 创建安全可信的启动路径，其示意如下，这一过程首先验证固件是否已进行数字签名，从而降低固件 rootkit 的风险。然后，安全启动会检查操作系统之前运行的代码，并检查启动加载程序的数字签名。

        Secure Boot 最初是在 Windows 8 总引入的，直至今日的 Windows 11。早前微软已公布相关的启动证书将于2026年过期，参考如下：

Microsoft Corporation KEK CA 2011，2026年6月到期，KEK，对 DB 和 DBX 进行签名更新，更新后：Microsoft Corporation KEK 2K CA 2023。

Microsoft Windows Production PCA 2011，2026年10月到期，DB，用于对 Windows 引导加载程序进行签名，更新后：Windows UEFI CA 2023。

Microsoft UEFI CA 2011，2026年6月到期，DB，对第三方引导加载程序和 EFI 应用程序进行签名，更新后：Microsoft UEFI CA 2023。

Microsoft UEFI CA 2011，2026年6月到期，DB，签署第三方选项 ROM，更新后：Microsoft Option ROM UEFI CA 2023。

        如果你或你所管理的组织设备已启用 Secure Boot，则需要重点进行设备信息的调查汇总并指定响应的更新计划并着手开始实施。因为当这些 CA 过期后，系统将停止接收 Windows 启动管理器和安全启动组件的安全修补程序，并影响 Windows 设备的整体安全性。

        首先，我们需要确认设备是否启用了 Secure Boot，可以通过 msinfo32 查看，或使用 PowerShell 命令：Confirm-SecureBootUEFI。

        然后，联系或检查设备 OEM 供应商是否提供了对应的 UEFI 更新固件，根据说明进行操作。

        更新固件后，可以通过检查以下注册表键值来进行确认是否应用了 Windows UEFI CA 2023 签名启动管理器。

“HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing”，UEFICA2023Status 值为 Updated 时表示已完成并应用更新。否则我们需要借助 OEM 的 UEFI 更新程序或微软提供的方案执行。

        我们也可以在 PowerShell 中执行以下命令，进行 Windows UEFI CA 2023 的检查。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’

        当然，启动设备进入 UEFI 界面也是一个非常直接的方法。

        是的，你没有看错前面的描述，微软也提供了更新 UEFI 固件证书的方法，但如果不适用当前设备，则需要由 OEM 提供支持。我们可以参考以下几种方案：

1. 安装 Windows Update，这是最简单有效的办法！注意：根据微软 KB5036210 的说明，从 2024年 2月 13日及之后发布的 Windows 更新包含了 Windows UEFI CA 2023 证书应用于 UEFI 安全启动允许签名数据库（DB）。

2. 对于组织用户，同理在满足基本系统版本需求的前提下，可以通过注册表、GPO 和 WinCS 的方式立刻开始更新。对于注册表，运行以下命令行。

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

第一条命令将启动证书和启动管理器部署，第二条会立刻运行 AvailableUpdates 所对应的计划任务，否则需等待每 12小时运行一次。当重启设备后其键值变为 0x4100 后，可在执行上面的任务计划，触发启动管理器更新。整个过程 IT 人员都可以通过检查 UEFICA2023Status 和 UEFICA2023Error 注册表键值或 DB 和 DBX 事件（ID 1801，1808）进行跟踪。

3. 如果计划使用 GPO，可配置 计算机配置 - 管理模板 - Windows 组件 - Secure Boot，如下图所示。

4. 我们也可以使用 WinCS API 进行更新操作，执行下面的命令行可先进行查询。

WinCsFlags.exe /query --key F33E0C8E002，如下图所示如当前配置为 F33E0C8E001，则未应用新的证书。

执行下面的命令行以应用新证书。

WinCsFlags.exe /apply –-key “F33E0C8E002

注意：通过运行 WinCS 响应的命令并不意味着安全启动证书安装过程已启动或已完成，它仅指示对应的计划任务准备运行，我们也可以手动触发该计划任务，之后重启设备两次以确认正在使用更新的证书。

        目前主要的设备 OEM 厂商（Lenovo、HP、Dell 等）都已经提供了更新支持。如果你所在的组织正面临该问题，可与 gOxiA 联系。 ]]> https://goxia.maytide.net/read.php/2169.htm gOxiA <sufan_cn@msn.com> Mon, 20 Oct 2025 04:43:21 +0000 https://goxia.maytide.net/read.php/2169.htm

HOWTO: 设置 Windows IoT 设备以实现 Soft Real-Time

        今天 gOxiA 要分享是如何设置 Windows IoT 设备以实现 Soft Real-Time，在开始前我们需要先了解一下什么是 Real-Time！这里的 Real-Time 通常是指实时操作系统，运行在其中的程序执行结果和获得这些结果所花费的时间是确定的，而我们平常使用的操作系统在运行程序时只会给出确定性的结果，但允许有不确定的时间来完成任务。实时操作系统有硬实时和软实时两种，前者是可以确定到确切时刻的系统，如汽车发动机或飞机内的微型控制器、打印机、激光切割机等。而后者如其名会有一些操作系统的抖动，虽然程序完成的时间窗口很小但仍不是精确的时刻，其精度较低，但可以在多核上运行并对应用程序施加较少的限制。此外，实时性能不代表更快的性能，只是可预测的性能，如果我们的应用场景有实际的限制，例如必须在机器人环境改变之前执行的计算或必须在传送带移动之前激活的电机，那么软实时可能就是我们所需要的。

        从 Windows 10 IoT Enterprise 21H2 开始支持 Soft Real-Time，通过以下四个关键设置引入：

1. CPU 隔离：将系统级干扰从隔离的 CPU 迁移出去，减少对用户实时应用程序的潜在抖动
2. 自定义 ISR (Interrupt Service Routine - 硬件中断发生时立即执行)/DPC (Deferred Procedure Call - ISR 结束后由系统调度执行)在独立实时 CPU 上高度绑定执行：所有硬件中断都路由到系统和非实时内核，但通过编写自定义 ISR/DPC 驱动程序，可将设备特定的中断路由到实时内核。
3. 互斥体的优先级继承：通过启用优先级继承，系统在检测到高优先级线程等待低优先级线程持有的互斥体时，会自动调整线程优先级，从而保持任务调度的实时性与确定性。
4. 最多16个RT线程优先级别：通过提供16个可配置的实时线程优先级级别，系统允许开发者根据任务的重要性分配资源，以实现对执行顺序的精确控制。

        接下来 gOxiA 将在 Windows 11 IoT Enterprise 24H2 上配置以实现 Soft Real-Time：

1. 禁用空闲状态
• powercfg.exe /setacvalueindex SCHEME_CURRENT SUB_PROCESSOR IdleDisable 1
• powercfg.exe /setactive SCHEME_CURRENT
2. 禁用服务
• sc config dps start=disabled
• sc config audiosrv start=disabled
• sc config sysmain start=disabled
3. 禁用 Windows 更新
• sc config wuauserv start=disabled
4. 禁用线程 DPC
• reg add "HKLM\System\CurrentControlSet\Control\Session Manager\kernel" /v ThreadDpcEnable /t REG_DWORD /f /d 0
5. 设置 Windows IoT CSP 以实现实时性能
• 以 SYSTEM 权限执行以下脚本：

$nameSpaceName="root\cimv2\mdm\dmmap"
$className="MDM_WindowsIoT_SoftRealTimeProperties01"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
Add-Type -AssemblyName System.Web
Set-CimInstance -CimInstance $obj
$obj.SetRTCores = 3
Set-CimInstance -CimInstance $obj

        在这个配置中，我们将在一个 4 核 CPU 上保留 3 个内核（3、2、1）用于实时任务，并将内核 0 留给系统和非实时任务。注意：系统会从编号最高的核心开始分配实时用途，然后依次向下，但是无法保证实时核心始终位于最高编号，其不会自动调整。

视频Demo：https://weibo.com/tv/show/1034:5223802787790893?from=old_pc_videoshow

微软 Foundry Local - 设备 AI 推理解决方案

        微软在其 2025 Build 大会上发布了 Foundry Local，能够在本地设备上执行 AI 推理，意味着可以利用本地的 AI 算力，如：CPU/GPU/NPU；也让用户在隐私方面得到了充足的保障，还能有改善成本效益！Foundry Local 默认除了支持 CLI外，还支持 SDK、REST API 和 Catalog API，用户可以自行基于 Foundry Local 进行开发。在未来 Foundry Local 还将内置对 Agent/MCP 的支持。

        Foundry Local 还支持跨平台，除了能够运行在Windows 11 上，还能够运行在 macOS。由于需要本地存储和运行模型，请确保有足够的算力和存储，Foundry Local 支持硬件加速：NVIDIA GPU（2000系列或更高版本）、AMD GPU（6000系列或更高）、Intel iGPU、Intel NPU（32GB或更多内存）、高通 Snapdragon X Elite（8GB或更多内存）、高通 NPU，以及 Apple 系列。

        要在本地以 Foundry Local 运行 AI 模型，首先需要安装 Foundry Local。

• Windows：
• winget install Microsoft.FoundryLocal
• macOS：
• brew tap microsoft/foundrylocal
• brew install foundrylocal

        运行模型只需要执行：

foundry model run <model>

        在 Foundry Local 上可运行的模型有很多，可使用以下命令查看：

foundry model list

        还可以加载 --filter 参数对显示列表进行筛选。

        其他有用的参数还有：

foundry model info <model> 显示有关特定模型的详细信息

foundry model download <model> 在不运行模型的情况下只下载模型到本地缓存

foundry model load <model> 将模型加载到服务中

foundry model unload <model> 从服务中卸载模

        要查看本地已经下载缓存的模型，可执行：

foundry cache list

        要检查 Foundry Local 服务状态，可执行：

foundry service status

        Foundry Local CLI 详细使用可参考：Foundry Local CLI reference | Microsoft Learn

        Foundry Local SDK 目前支持 JavaScript、Python、C# 和 Rust，也可以使用 REST API 去调用 Foundry Local Service。gOxiA 这几天就用官方的样例代码改了一个支持 Windows 和 macOS 跨平台运行的 AI 推理程序，可在启动后自动检测 Foundry Local 运行状态获取服务地址和端口，并列出可用 AI 模型，如果未在运行，则执行 Foundry Local 启动。也可以手动指定 Foundry Local 地址，或配置 Azure AI 接口使用基于云的模型。

        项目地址：FoundryLocalChat | Github

        FoundryLocalChat 视频演示：http://t.cn/AXw2NWB1

Windows 10 服务终止

        2025年10月14日 Windows 10 已终止服务，这意味着运行以下版本的 Windows 10 设备将不会再收到每月安全和质量更新，不论是个人还是组织用户是时候升级到最新版本的 Windows 11。

• Windows 10 版本 1507 （RTM）

• Windows 10 2015 LTSB

• Windows 10 版本 1511

• Windows 10 版本 1607

• Windows 10 2016 LTSB

• Windows 10 版本 1703

• Windows 10 版本 1709

• Windows 10 版本 1803

• Windows 10 版本 1809

• Windows 10 企业版 LTSC 2019

• Windows 10 版本 1903

• Windows 10 版本 1909

• Windows 10 版本 2004

• Windows 10 版本 20H2

• Windows 10 版本 21H1

• Windows 10 IoT 企业版 LTSC 2021

• Windows 10 版本 22H2

        如果你或你所在的组织需要继续保留 Windows 10 运行，则可以考虑采用 Windows 10 ESU，它是 Windows 10 扩展安全更新程序计划，确保 Windows 10 用户在 2025年10月14日之后能够继续获得 Windows 10 更新。但需要注意这并不是一个长期解决方案，它不包括新功能、非安全更新、设计更改请求或技术支持。ESU 注册仅提供至 2026年10月13日。

        对于个人：可以在通过通知或设置程序跟随向导轻松注册 ESU，有三个选项可供选择。

1. 使用 Windows 备份将设置同步到云的，无需额外费用。
2. 使用 1000个 Microsoft Rewards 积分兑换，无需额外费用。
3. 支付30美元（当地价格会有所不同）

        对于组织用户：可以以每台设备61美元的价格订阅 ESU，以接收为期一年的每月关键和重要安全更新。订阅可以每年续订，最长三年，且费用每年都会增加。要注册 ESU 可通过 Microsoft 批量许可计划。需要注意，消费者 ESU 计划不可用于商用设备，例如处于展台模式的设备；加入 AD 或 Entra 的设备；已注册 MDM 的设备以及已拥有 ESU 许可证的设备。

        对于云和虚拟环境：通过 Windows 365 或虚拟机访问 Windows 11 云电脑的 Windows 10 设备有权免费使用 ESU，并且将自动接收安全更新，无需额外步骤。

        在组织环境下要确认是否已激活 ESU，可使用 slmgr.vbs /dlv，ESU 计划的激活 ID 是固定的，具体如下：

Win10 ESU Year1
f520e45e-7413-4a34-a497-d2765967d094

Win10 ESU Year2
1043add5-23b1-4afb-9a0f-64343c8f3f8d

Win10 ESU Year3
83d49986-add3-41d7-ba33-87c7bfb5c0fb

推荐官方文档：

Enable Extended Security Updates (ESU)| Microsoft Learn

        如果计划升级到 Windows 11，可参考 gOxiA 几天前发布的日志“Windows 11 25H2 IT 专业人员指南”。 ]]> https://goxia.maytide.net/read.php/2162.htm gOxiA <sufan_cn@msn.com> Thu, 09 Oct 2025 06:42:29 +0000 https://goxia.maytide.net/read.php/2162.htm

项目发布: WinPlusH-dotNet6

        就在 9月下旬 gOxiA 发布了一个项目，名为：WinPlusH，当时是基于 PowerShell 开发的，并打包成了 exe 可执行文件，在大家的建议下又基于 dotNet6 用 C# 手搓了一版，该程序使用 Windows API 的 user32.dll 中的 keybd_event 函数来模拟键盘输入，达到按下 Win+H 的作用。并且支持 x64 和 Arm 64，可编译为自包含单文件版本，便于分发或免安装使用。

        程序非常简单，代码截图如下，倒是在编译工程中又学到了不少新的知识。

项目地址：https://github.com/goxia/Tools/tree/main/WinPlusH-dotNet6

Windows 11 25H2 IT 专业人员指南

        本地时间2025年10月1日微软正式发布了 Windows 11 的最新版本 25H2，如果你已阅读了之前的日志“Windows 11 25H2 进入 Release Preview 通道”会了解到 25H2将作为 eKB 方式提供，它基于 Windows 24H2，不会对 IT 组织造成太高的工作量，一切都是那么轻松，它就像一次月度累积更新！

        尽管如此，作为 IT 专业人员还是需要首先对 Windows 功能更新进行学习和了解，今早着手测试和评估，并根据组织要求推送给最终用户设备。下面这些信息将有助于 IT 专业人员掌握相关的要点！

• Windows 11 25H2 主要的功能和特性
• https://support.microsoft.com/en-us/windows/inside-this-update-93c5c27c-f96e-43c2-a08e-5812d92f220d#windowsupdate=26100
• 除以上外还将支持：
• 基于策略删除预安装 Microsoft 应用商店应用，gOxiA 之前也有分享日志“Windows 11 25H2 将会支持移除内置应用”。
• 支持 Wi-Fi 7，如果企业已经部署了具有 Wi-Fi 7 的最新硬件设备，要想发挥其网络性能，则需要 Windows 25H2。官方参考：Introducing Wi-Fi 7 for enterprise connectivity
• 适用于组织的 Windows 备份，这是一个相当重要的功能，将使我们从 Windows 10 升级到 Windows 11，或用户自助重装系统获得更好的体验。gOxiA 之前有做过详细的介绍“微软推出适用于组织的 Windows 备份”并分享了上手“HOWTO: 为组织启用 Windows Backup”。
• 快速计算机恢复，具体可参考“Windows 11 24H2 快速计算机恢复”。
• 任务栏固定策略的改进，现在分发固定策略后不必再重启 explorer.exe 进程。
• 节电设置，IT 管理员现在可使用 Intune 通过 GPO 或 MDM 配置来管理 Windows 11 上的节电设置。
• 此外，还请关注 Windows 已删除功能 和 Windows 已弃用功能 列表，确保满足当前组织设备管理策略。
• 更多信息可参考微软官方文档：What's new Windows 11 25H2
• Windows 11 25H2 遵循 Windows 11 服务时间线：
• Windows 11 专业版：自发布日期起服务24个月
• Windows 11 企业版：自发布日期起服务36个月
• 要确保设备能够获得 Windows 11 25H2，必须运行 Windows 11 24H2，并已安装 KB5064081 或更高版本。
• 除了通过 Windows Update 获得 Windows 11 25H2 外，组织用户如果在使用 WSUS，包括 Configuration Manager，则在 10月 14日可为组织用户推送 Windows 11 25H2。
• 对于已经在使用 Microsoft Intune 现代管理的组织，已经可以创建 25H2 的功能更新部署策略。
  
• 如果你希望尽快开始进行 Windows 11 25H2 的测试评估工作，可从微软官方站点获取 Windows 11 90 天评估版，提供了不同语言版本的 Windows 11 25H2 企业版和 LTSC 版，当前版本号是 26200.6584。
• Windows 11 25H2 的 Windows ADK 当前最新版本仍是 ADK 10.1.26100.2454
• Windows 11 25H2 安全基线可参考 Windows 11 25H2 security baseline
• 对于仍在使用传统 GPO 管理 Windows 11 的组织，现在可以下载 Windows 11 25H2 的 admx，下载地址：Administrative Templates for Windows 11 25H2。微软还为此提供了一个 Excel 表格供参考 Group Policy Settings Reference Spreadsheet for Windows 11 25H2
• 目前 Windows 11 25H2 更新历史已经开始提供，组织 IT 专业人员可定期查阅 “Windows 11 25H2 update history”
• Windows 11 25H2 存在一些已知问题，可参考“Windows 11 25H2 know issues and notifications”

项目发布：WinPlusH

        前段时间开发了一个小工具 - WinPlusH，一个轻量级的 Windows 语音输入快捷工具，专为手写笔用户设计。当在 笔和 Windows Ink 设置中为其按钮配置单击打开 WinPlusH 工具后，只要我们按一下笔帽按钮，即可快速激活 Windows 语音输入，该工具原理很简单，主要是为了方便大家的应用场景，当我们使用带有手写笔的 Windows 平板时，除了通过触控 Windows 上提供的按钮外，手写笔此时成为 Windows 平板的主要控制工具，借助其特性就可以很方便的实现我们在 Windows 平板模式下的使用场景需求，按下笔帽激活语音输入，轻松在手写和语音录入间切换。

功能特点

• 一键启动语音输入：精确模拟 Win+H 快捷键，快速启动 Windows 语音输入功能
• 手写笔友好：专为 Windows Ink 环境和手写笔按键绑定而设计
• 轻量无依赖：编译后的exe文件可独立运行，无需额外安装
• 稳定可靠：优化的按键时序，避免乱码和兼容性问题

系统要求

• Windows 11
• 已启用 Windows 语音输入功能
• PowerShell 5.1+ (用于编译)

️ 快速开始

1. 使用程序

• 直接使用：双击 WinPlusH.exe 立即启动语音输入
• 手写笔配置：在 Windows Ink 设置中将程序绑定到笔按键

手写笔配置步骤

1. 打开 设置 → 设备 → 笔和 Windows Ink
2. 在 笔快捷方式 部分选择要配置的按钮（如顶部按钮单击）
3. 选择 启动程序，浏览并选择 WinPlusH.exe
4. 保存设置

使用场景

• 在使用手写笔做笔记时快速切换到语音输入
• 触屏设备上的便捷语音输入访问
• 无键盘环境下的语音输入启动
• 演示或会议中的快速语音记录

WinPlusH 项目地址：

https://github.com/goxia/Tools/tree/main/WinPlusH

Microsoft Store 面向个人开发人员免费注册

        微软于9月10日公布重要消息，个人开发人员现在可以将应用发布到 Microsoft Store 上，并且无需支付任何费用。这意味着个人开发人员无需支付任何费用，也不必提前准备信用卡，即可免费注册为微软应用商店开发者，可以将自己开发的应用发布到到全球240个左右的市场中，有机会让超过2.5亿月活跃用户触及发布的应用，这是一个巨大的全球市场！它为在 AI 浪潮中“不幸”冲上岸的 IT 们提供了重生的机遇！

        如果你正打算开发或发布 Windows 应用，立刻行动起来，访问 https://storedeveloper.microsoft.com/home 注册。

        在账户选择页面，务必选择“Individual developer”，之后准备好一部手机，自己的身份证，顺便把自己拾捯的精神些，因为需要用手机拍摄系统生成的二维码进行身份证和自己的拍照才能完成。

        一旦注册成功便可通过微软合作伙伴中心进入应用和游戏发布页面，发布的产品可分为三类：MSIX 或 PWA 应用；EXE 或 MSI 应用；游戏。其中 MSIX 格式也可打包游戏，用于游戏的发布。MSIX 也可以打包发布桌面桥应用以及 PWA。但是 EXE 和 MSI 则仅限发布应用。

        发布的应用程序可以面向所有240个左右的市场发布和定价，也可以创建市场组进行单独定价，如果设定为收费模式，还可以配置免费试用，例如时间限制，提供了1天、7天、15天、30天；也可以配置为无限制，即永不会到期，但需要将限制功能的代码添加到产品中。建议前期免费发布！此外，我们还可以设定计划发布日期，这样就可以按照约定的时间投放到市场中。

        应用提交后审核的时间还是比较快的，15分钟 ~ 3天，通常提交后在第二天就能发布。

推荐官方文档：

Get started: Publish your first app in the Microsoft Store | Microsoft Learn

Free developer registration for individual developers | Microsoft Learn

微软推出适用于组织的 Windows 备份

        微软在前几日宣布 Windows Backup for Organizations 正式发布，意味着那些加入到 Microsoft Entra 的设备可以轻松地备份和恢复自己组织设备上的 Windows 设置和应用，不论组织还是用户本身都可以借助 Windows Backup for Organizations 实现无缝的备份和恢复，就像使用 OneDrive 一样轻松！

        Windows Backup for Organizations（以下简称：WBfO）当前除了可以备份 Windows 的主要设置（辅助功能、个性化、语言首选项和字典、其他 Windows 设置）外，还可以备份从 Microsoft Store 安装的应用列表，用户在重置设备时不再有无后顾之忧，借助备份还可以将设备从 Windows 10 平滑过渡到 Windows 11。

        要使用 WBfO 需要确保设备已经联接到 Microsoft Entra，且系统版本应该是 Windows 10 22H2 或 Windows 11 22H2 及更高版本，此外还应安装了 2025年的8月累计更新，因为此更新包括了用于备份 Windows 设置和应用程序列表的工具。

        由于 WBfO 是一项基于云的可选功能，默认它在组织环境下是被禁用的，除了客户端满足上面的条件外，IT 管理员还需要配置 Intune 为租户启用 Windows Backup for Organizations，并且为客户端推送备份和还原策略。

        一旦所有配置完成，组织用户便可以通过本机上的 Windows 备份工具执行备份，该备份基于用户账户登录过的设备，如果用户在组织内有多台设备并且在每个设备上都使用 Windows 备份工具做过备份，那么就会在云端保存这些备份的实例。

        当用户重置设备，或使用新设备时，在 OOBE 阶段一旦登录成功自己的组织用户账号，机会在下一步骤看到恢复选项，在该页面点击更多选项就能看到该账号所有的备份，选中其中的一个继续便可恢复之前备份的 Windows 设置及应用列表。

        需要注意的是恢复时只支持 Autopilot 的用户驱动模式，在确认恢复的备份后，如果设备配置有 Autopilot，即会执行相关的任务序列，一旦进入桌面就能看到诸如主题背景已经恢复到之前的备份状态，并且可以在程序所有列表中看到之前安装过的应用，这些应用来自 Microsoft Store，如果是 UWP 类型的应用，当用户点击时会自动开始下载安装，否则会转到 Microsoft Store 对应的程序页面让用户手动确认安装。

        注意：Windows Backup for Organizations 当前仅面向有限的区域提供该功能，请确保在受支持的区域内。

Windows 11 25H2 进入 Release Preview 通道

        本地时间 8月30日，微软向 Windows 11 Insider 的 Release Preview Channel 用户发布了 Windows 11 25H2，其实版本 26200.5074。25H2 将作为 eKB 方式提供，这意味 25H2 与 24H2 使用同一组系统文件的通用核心作系统，像之前 Windows 11 23H2 与 22H2 一样的关系。新的版本功能包含在每一个月的月度质量更新中，但处于非活动和休眠状态，直至启用包安装并激活它们。

        Windows 25H2 除了包含了 24H2 的所有功能特性，也包含了一些对陈旧功能的删除，例如：PowerShell 2.0 和 WMIC，当然也包含了一些新的特性，例如删除选定的预安装的 Windows Store 应用。如果你已经在使用 Windows 11 24H2 版本，并加入到了 Windows 11 Insider Release Preview Channel，当天即可在可选更新中看到 Windows 11 25H2 可选更新。如果已经安装了 KB5064081（26100.5074），则在 Windows 更新中会直接看到 25H2 更新推荐。

        Windows 11 25H2 因为是 eKB 模式，所以它的下载和安装非常快，仅 2-3 分钟即可完整。对于正在执行本年度最大的升级工作 —— Windows 10 upgrade to Windows 11 的 IT 们来说，25H2 将变得极为轻松，当前也无需变更升级计划，照旧 Windows 11 24H2 即可。

Windows 11 24H2 快速计算机恢复

        快速计算机恢复 - Quick Machine Recovery（QMR）功能现已随 KB5063878（26100.4946）正式推送给 Windows 11 24H2，今天 Windows 补丁日（中国当地时间8月13日）我们便可获取到这个八月累计更新，早前它随 KB5062660（26100.4770）预览版更新在7月23日推送。

        QMR 旨在帮助 Windows 设备遇到关键错误时可以从云中自动搜索修复方案，并从广泛发生的故障中恢复正常，从而显著减轻 ITPro 的负担，并减少大规模宕机瘫痪事件的发生。

        QMR 显著的一个特性是在启动修复的基础上，加入了对网络的支持，也就是说可以通过有线或无线连接在 Windows 恢复环境中查找位于云端微软的更新解决方案，这样一台设备即使无人值守，没有键鼠，甚至是一台无头机也能快速地从故障中恢复正常。

        既然有了网络连接就意味着可以连接网络，所以 QMR 提供了两个主要设置：

• 云修复：
• 启用后，设备会连接到网络并查找相关的 Windows 更新方案
• 禁用后，Windows 使用启动修复作为本地恢复选项
• 自动修复：
• 启用后，设备会自动连接到 Windows 更新并尝试查找解决方案。如果第一次尝试时找不到解决方案，则设备会重试，而无需手动干预
• 禁用或未配置时，设备需要手动干预才能继续恢复过程

        下面我们来了解一下它的过程，参见下图。

1. 当设备重复发生崩溃后，系统会自动检测并启动恢复过程
2. 设备进入到恢复环境以启动 QMR
3. 一旦允许建立网络连接，设备将查找 Windows 更新进行修复
4. 在修复的过程中，如果未找到解决方案，则会根据预先的配置重试；如果找到解决方案，则会下载并实施。
5. 解决方案一旦实施成功，设备将重新启动到 Windows；如果失败，设备会再次重启进入到恢复环境中，并重试。

        QMR 当前可以通过 Intune、CSP、命令行和设置应用进行配置，我们可以控制云修正和自动修正是否启用，以及配置后者的重试间隔时间，当然也包含最为重要的网络信息，这里主要指的是 WiFi，需要注意：目前仅支持 WPA/WPA2 加密的 WiFi 网络。

        对于 Intune，可以参考设置目录策略：https://learn.microsoft.com/zh-cn/mem/intune/configuration/settings-catalog

        对于 CSP，可以参考：https://learn.microsoft.com/zh-cn/windows/client-management/mdm/remoteremediation-csp

        如果是通过 Windows Settings App，可以参考下图，但看起来貌似并未提供 WiFi 的配置项。

        最后就是通过命令行，也是 gOxiA 测试过的，还记得 Reagentc 这个命令吗，现在包含了 QMR 的配置选项，具体参考下图。

        我们可以执行 reagentc /getrecoverysettings 获取当前配置信息

        其中 <WifiCredential></WifiCredential> 包含要连接到的 WiFi 网络信息，如：<Wifi ssid="SUFAN-HOME" password="XXXXXXXX" />。

        而 <CloudRemediation state="0"> 表示是否启用云修复，有效值为 0 或 1，前者表示禁用。

        <AutoRemediation state="0" totalwaittime=“180” waitinterval=“30”> 表示是否启用自动修复，有效值参前，totalwaittime 表示每隔多久重启一次，waitinterval 表示每多长时间查找解决方案。

        了解了格式我们便可以创建 XML 格式的配置文件，并通过 /setrecoverysettings 参数加载配置。如果之后我们要清除这些配置可以使用 /clearrecoverysettings 参数即可。

        现在我们想测试一下 QMR，看看网络等配置是否正确有效，但我们并不能等待故障发生，那我们可以使用 /setrecoverytestmode 参数启用 QMR 测试模式，并使用 /boottore 配置当前设备下载启动时进入恢复环境以执行 QMR。当测试结束我们还可以使用 /getrecoverytestmode 获取 QMR 恢复测试状态和上次执行的结果。

推荐官方参考：

Quick Machine Recovery | Microsoft Learn ]]> https://goxia.maytide.net/read.php/2149.htm gOxiA <sufan_cn@msn.com> Mon, 11 Aug 2025 11:33:05 +0000 https://goxia.maytide.net/read.php/2149.htm

微软将为 Windows Setup 媒体中的 Inbox Apps 提供最新版本

        上个月中旬微软通过 Windows IT Pro 博客发布了一则消息，使用2025年6月或之后的 Windows Setup 媒体安装 Windows 11 24H2 或 Windows Server 2025 时，系统内置的那些 Inbox 应用也会更新到相对最新版本，这意味着一些企业 IT 从 VLSC 下载的含每月累计更新的 Windows Setup ISO 也会包含新的 Inbox，一旦交付给最终用户即可直接开始使用，这样不仅更安全、更可靠、也提升了用户的体验。要知道在过去当我们首次打开内置应用时都会提示必须联网更新才能继续使用。

        目前这一举措覆盖了前面将的更新的 ISO，也同时包含虚拟硬盘（VHD）和 Azure 市场映像。对于 RTM 目前尚未在队列中！如果你对此信息感兴趣，可参考如下手更新的内置应用列表：

• 时钟
• 应用安装程序（App Installer）
• AV1 视频扩展
• AVC 编码器扩展
• 必应搜索
• 计算器
• 照相机
• Clipchamp
• 跨设备体验主机
• 获取帮助
• HEIF 图像扩展
• HEVC 视频扩展
• 媒体播放器
• Microsoft Store
• Microsoft To Do
• 记事本
• Office Hub
• 画图
• 手机连接
• 照片
• Power Autmate
• 快速助手
• Raw 图像扩展
• 截图工具
• 纸牌系列游戏
• 录音机
• 便签
• 商店购买应用程序
• VP9 视频扩展
• 天气
• Web 媒体扩展
• WebP 图像扩展
• Windows 安全
• Windows Web 体验包
• Xbox 游戏栏
• Xbox 语音转文本叠加

        对于 Windows Server 2025 媒体

• 应用安装程序
• Windows 安全

Windows 11 25H2 将会支持移除内置应用

        在企业环境下部署 Windows 时，IT 人员可能会希望移除系统内置的应用，比如 Xbox，纸牌游戏等。在过去通常会通过脚本方式执行该项操作，gOxiA 也曾写过几篇相关的日志“HOWTO: 使用 Windows 10 预配包为用户卸载内置应用”和“HOWTO: 卸载 Windows 10 内置应用”。但微软将会在未来的 Windows 版本中原生支持移除内置应用，如果你正在使用开发通道的 Windows 11 预览版，已经可以在组策略中看到该选项，它位于“计算机配置 - 管理模板 - Windows 组件 - 应用程序包部署”下，名为“Remove Default Microsoft Store packages from the system.”，如下图所示：

        当我们启用这条策略后，将会在选项中看到可以被移除的内置应用列表，只需要勾选需要移除的内置应用即可，这一举措为企业 IT 提供了极大的便利性，简化了部署流程，提升了稳定性和安全性。

        接下来我们进一步探索这个策略，当它启用后将会在注册表生成一些信息：

1. 创建 HKLM\SOFTWARE\Policies\Microsoft\Windows\Appx\RemoveDefaultMicrosoftStorePackages 注册表项

2. 其下会创建一个键值，Enabled REG_DWORD 0x00000001 (1)

3. 然后会为每个可以移除的内置应用创建对应的以 AUMID 命名的项

4. 如果我们勾选了某个要移除的应用，那么在注册表对应的项下会将 RemovePackage 键值改为 0x00000001 (1)

        目前从列表及注册表中可看到的能够被移除的内置应用包含以下：

• Clipchamp.Clipchamp_yxz26nhyzhsrt
• Microsoft.BingNews_8wekyb3d8bbwe
• Microsoft.BingWeather_8wekyb3d8bbwe
• Microsoft.GamingApp_8wekyb3d8bbwe
• Microsoft.MediaPlayer_8wekyb3d8bbwe
• Microsoft.MicrosoftOfficeHub_8wekyb3d8bbwe
• Microsoft.MicrosoftSolitaireCollection_8wekyb3d8bbwe
• Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe
• Microsoft.OutlookForWindows_8wekyb3d8bbwe
• Microsoft.Paint_8wekyb3d8bbwe
• Microsoft.ScreenSketch_8wekyb3d8bbwe
• Microsoft.Todos_8wekyb3d8bbwe
  
• Microsoft.Windows.Photos_8wekyb3d8bbwe
• Microsoft.WindowsCalculator_8wekyb3d8bbwe
• Microsoft.WindowsCamera_8wekyb3d8bbwe
• Microsoft.WindowsFeedbackHub_8wekyb3d8bbwe
• Microsoft.WindowsNotepad_8wekyb3d8bbwe
• Microsoft.WindowsSoundRecorder_8wekyb3d8bbwe
• Microsoft.WindowsTerminal_8wekyb3d8bbwe
• Microsoft.Xbox.TCUI_8wekyb3d8bbwe
• Microsoft.XboxGamingOverlay_8wekyb3d8bbwe
• Microsoft.XboxIdentityProvider_8wekyb3d8bbwe
• Microsoft.XboxSpeechToTextOverlay_8wekyb3d8bbwe
• MicrosoftCorporationII.QuickAssist_8wekyb3d8bbwe
• MSTeams_8wekyb3d8bbwe
  

        对于现代管理 - Intune，目前 CSP 虽然还没有提供对应的配置策略，但理论上应该会启用以下路径配置，期待后续官方更新。https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-applicationmanagement#disablestoreoriginatedapps

./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/RemoveDefaultMicrosoftStorePackages

        Windows 10 生命周期即将结束，企业将迎来大规模的 Windows 11 升迁，Windows 11 25H2 的全新更新特性也许是 IT 的一次契机，持续关注后续分享！！！

带有翻译的 Windows 实时字幕功能

        很久没有分享日志，也不是没有内容可写，倒还真的积攒了不少，就是想短暂的停笔一段时间。但今天一定要分享的内容来自一个今天中午刚刚发生且真实的故事，特别奇妙的经历很有意思就想分享出来。

        Windows 11 24H2 正式发布已经有半年多的时间，发布之际有不少 AI 功能吸引着大家，尤其是带有翻译的实时字幕功能，当时虽然仅支持40+种语言翻译为英文，但已经是非常令人惊叹的！！！如果你是一名 ITPro 并关注 Windows 11 的更新，应该会留意到 2025年3月27日发布的 KB5053656，这个月度累计更新是一个 Preview 类型更新，但即使你不在 Preview Channel 也会看到它作为可选更新供用户选择安装，类似如下：

        KB5053656 将系统版本带到了 26100.3624，对于中文用户它绝对是一个里程碑！因为其中包含了一个重要的功能 - 实时字幕开始支持20+种语言到简体中文的翻译！！！如果你关注能够翻译的成简体中文的语言列表，那以下信息不要错误。

        在 Snapdragon 的 Copilot+ PC 上，支持将：阿拉伯语、保加利亚语、捷克语、丹麦语、德语、希腊语、英语、爱沙尼亚语、芬兰语、法语、印地语、匈牙利语、意大利语、日语、韩语、立陶宛语、挪威语、荷兰语、葡萄牙语、罗马尼亚语、俄语、斯洛伐克语、斯洛文尼亚语、西班牙语和瑞典语，翻译为简体中文。

        是的你没有看错，以上这些语言可以被实时的翻译为简体中文，并且不需要依赖网络，它会利用 Windows 11 24H2 内置的 AI 引擎，调控针对 Snapdragon 优化的内置 AI 模型，通过本地 NPU 惊人的神经网络计算能力实现实时翻译！

        那带有翻译的 Windows 实时字幕功能又与要分享的真实故事有什么关系呢？！

       故事是这样的，今天中午 gOxiA 激活了一个某厂产品组的采访调研链接，随后是一段英文语音，可以听出来它来自一个 AI 虚拟主持人发出的声音，不生硬的语气语调显得非常自然，发音清晰标准！gOxiA 也是一惊，塑料级英语水平怎能应对这一套对话，回过神来凭着肌肉记忆赶紧按下了 Ctrl + Win + L 热键，立刻激活了 Windows 实时字幕，随即又使用中文请 AI 主持人重复一下刚才的话，自此便开始了一段奇妙的语言对话旅程！

        AI 主持人使用英语，我使用汉语，全程近20分钟！丝毫没有卡顿，没有云天雾地的感觉，很自然的对话，她能听懂我的每一次回答或疑问，并能根据我的回答做下一段的调研，我这边通过 Windows 实时字幕翻译也能理解她所调研的内容，当看不明白或不理解时我也使用汉语去再次寻求确认，而对方也都能理解并重新提问。在这近20分钟显得那么自然流畅，期间我情不自禁的夸耀了 AI 和微软所带来的生活和工作改变，感谢赋能每一个人，拉近了彼此的距离，并讲了本次对话就是一次飞跃！

        这段突如其来的 AI 奇妙经历，不尴尬不冷场不中断，好像一切都近乎一次愉悦的自然的人人采访，虽然彼此使用不同的语言……

        如果你有机会，请一定要试一试体验一次类似的对话场景！我相信会感受到 AI 所带来的切切实实的震撼和帮助！

        文末，特别推荐一下 Windows Roadmap，除了时不时看看 Windows 11 的更新记录，这个 Windows Roadmap 会记录每个功能的进展！此外，Windows 11 24H2 最新的月度累积更新已经在5月13日发布，KB5058411，版本为 26100.4061 它是一个正式更新，并包含了之前的月度累计更新所包含的功能。

https://www.microsoft.com/en-us/windows/business/roadmap

再谈 CompactOS

        距离上一次谈及 CompactOS 已经过去十年了，那还是在2015年的12月与大家分享了“HOWTO: 利用 CompactOS 减少 Windows 10 磁盘占用量”。感叹时间过得可真快，很多东西都已经变了……Windows 10 都已经发布10年之久了，说到这里提醒各位距离 Windows 10 生命周期结束还剩10个月左右（Windows 10 2025年10月14日终止服务），要抓紧向新的操作系统版本迁移！！！话题回到 CompactOS，再聊起它是因为最近在测试 Windows 11 IoT Enterprise LTSC 2024（以下简称W11IoTEntLTSC2024），先看下面两幅图。

        第一张图，是未启用 CompactOS 时空间占用情况，达到了 10.5GB，后者是启用了 CompactOS 的结果，仅占用了不到7GB的空间。对于结合了云端服务的现代计算设备而言，存储空间显得并不那么重要，先不说那些动辄 8~18TB 甚至更大海量存储的机械式硬盘，单固态硬盘 256GB ~ 1TB 也是常见，再高的还有 2TB ~ 4TB。既然不缺存储空间为什么还要谈 CompactOS 呢？对于 IoT 场景，通常设备存储不会太大，32GB ~ 64GB更为常见，按照 gOxiA 这个极端测试，仅配置了一个 16GB 的存储，此时操作系统的占用空间就显得尤为重要，越少的占用意味着可以留出更多空间给业务应用使用。所以，我们仍会用到 CompactOS，利用这个功能我们可以仅压缩运行操作系统所使用的文件，这些文件在运行读取操作时并不会在硬盘上进行解压缩，仅当需要进行写操作时才会从内存释放到硬盘。对于现代计算设备 CompactOS 所带来的影响是微乎其微的，甚至我们根本不会察觉到有什么变化，尤其是使用固态硬盘时！此外，根据微软官方的解释，由于压缩意味着减少读取，这将消除存储设备的负载，并提高 I/O 性能；但也意味着增加解压缩，此时 CPU 的负载将增加从而降低性能。这个特性也使 CompactOS 在具有快速 CPU 和 慢速存储 I/O 的系统上表现出可能更好的性能，当然这并不是绝对的！！！ 下面是对启动过程做的评估，两台设备都是执行的全新安装，左列的设备在安装时使用应答文件启用的 CompactOS，为了确保数据的准确性，各做了三次启动数据的收集。左列设备的数据展示了在启用 CompactOS 后确实会对设备性能造成一些小的影响，启动速度慢了2秒左右，感官上确实没什么感觉！

        之后对收集的 ETL 数据继续了对比，确实如官方文档所述，挺有意思！

        综上，如果我们要启用 CompactOS，建议使用更快的 CPU 和更大容量更快的内存，为了确保整体的运行性能，建议首选固态硬盘！对于启用 CompactOS，到目前 Windows 11 的 24H2 版本，Windows Setup 提供的 CompactOS 参数仍只支持升级模式，全新安装模式仍不受支持！要想在全新安装时启用 CompactOS 建议通过应答文件实现，参考如下：

        结束本次分享前，快速聊一下 CompactOS 所使用的压缩算法 - XPRESS4K，压缩率低但速度最快，与它一起提供的算法还有 XPRESS8K，XPRESS16K 以及 LZX。当我们要单独压缩某个程序时就可以根据实际需求执行，例如：compact /c /exe:lzx c:\program files\lobapp\lobapp.exe，对于 OEM 也可以对预装的那些只读程序文件进行压缩。

最后推荐两篇微软的官方文档供大家参考：

Compact OS, single-instancing, and image optimization | Microsoft Learn

Using Compact OS with Windows IoT Enterprise | Microsoft Learn

HOWTO: 修复 Windows 系统文件和组件存储

        Windows 运行一段时间可能因为意外关机、系统崩溃，或不兼容的软件或驱动更新，又或者是第三方优化工具的误操作，导致 Windows 系统文件和组件存储出现错误，那我们的系统环境就会出现一些莫名其妙的异常故障现象，或发生性能缓慢的问题，所以定期检查修复是非常有必要的运维措施，那么我们该如何检查修复 Windows 系统文件和组件存储呢？！

        gOxiA 今天要分享的话题相对轻松，也更容易理解和掌握！首先我们先了解一下什么是系统文件和组件存储。系统文件即 Windows 操作系统自身的一些关键文件，它们包含了动态链接库文件（DLL）；可执行文件（EXE）；驱动文件（SYS）；还有一些配置文件，如：注册表和启动相关文件；其他的还会有字体和主题文件这样的 Windows 应用资源文件，以及安全策略和网络组件文件。

        组件存储即 WinSxS 文件夹中的内容，它是系统文件的基石（备份库），包含了 Windows 所有核心组件的多个版本，用于支持系统文件的兼容性和回滚功能。每个组件都有对应的清单文件，记录了它们之间依赖关系和文件属性。文件中还包含文件的哈希值和数字签名，用于验证文件的完整性。

        系统文件和组件存储的关系是当进行系统文件扫描和修复时，都会从组件存储中进行提取。所以当我们执行系统文件修复失败时，就要先去执行和完整组件存储的修复。两者都会生成日志，并存储在“C:\Windows\Logs\DISM\dism.log”文件中，当需要进行相关排错时我们可以利用上这个日志文件。

        接下来，我们来了解如何修复系统文件和组件存储。对于系统文件，我们可以使用 SFC 命令，它内置于我们的系统中，需要管理员权限才能正常实行，具体的命令为：

        SFC 通过调用 Windows Resource Protection（WRP）技术来识别是否有核心文件被删除、损坏或修改。这个技术其实可以追溯到 Windows 98 时代的系统文件保护（System File Protection, SFP），再此之前 Windows 系统极易受到篡改……那会也是众多杀毒软件和专杀工具盛行的时期，再此之后 Windows 2000 和 XP 引入了 Windows 文件保护（Windows File Protection, WFP），到 Windows Vista 开始诞生了 WRP 并一路完善增强至今，使 Windows 越来越安全越来越稳定。

        OK，回归正题！如果执行后提示无法修复，那么我们就要使用 DISM 命令修复组件存储，首先我们可以先执行一次组件存储扫描，为此执行如下命令：

        扫描组件存储后一旦发现有异常，我们就要执行修复，为此我们可以使用 /restorehealth 参数，即：

        在执行 restorehealth 进行修复时会自动连接网络从微软官方 Update 及相关文件的资源网站下载正确的文件，如果出现网络问题则会影响修复，并提示失败。此时我们就需要手动指定稳定可靠的源，这个源可以是一个 Windows 实例，或者直接 Mount 一个 WIM 到目录进行引用，如果觉得麻烦，也可以直接引用一个 WIM。但需要确保引用的源与当前 Windows 实例的版本一致。

       下面 gOxiA 将引用一个 WIM 文件进行组件的修复，命令行如下：

        如果版本一致，并且源无损坏等异常，则能够修复成功，这样一来我们就不必通过重新安装操作系统来解决问题。

        最后，友情提示切勿使用第三方优化工具去执行清理 WinSxS 目录实现所谓的存储优化，它只会带来隐患！！！

基于 Autounattend 应答文件的 Windows 11 24H2 Arm 自动化安装

        已至 2024 年末，回顾 gOxiA 在7月中旬分享的日志“为企业部署 Arm Client 做准备”，现在一切都已经就绪！Windows 11 24H2 已经开始面向更多的用户推送，并且我们可以如愿以偿地从微软官方获取 Windows 11 24H2 ISO for Arm。接下来就可以完整地进行一次 Windows Arm 的定制化部署实践了。而今天要分享的是基于 Autounattend.xml 应答文件的 Windows 11 24H2 Arm 自动化安装。通过了解这一过程我们可以了解和掌握如何利用应答文件来实现 Windows Setup 的自动化。

        Windows Setup 就是 Windows 安装源所运行的过程，通常 Windows 安装源是一个 ISO 文件，也就是我们常说的光盘镜像，ISO 可以直接加载到虚拟机的光驱中使用，也可以将其释放到 UFlash Disk 上，连接物理计算机的 USB-C/A 引导安装。这是一种最常见，最为简单，面向广大用户的安装方法。如果你阅读了“速览 Windows 11 Enterprise LTSC 2024 Setup 和 OOBE 体验”这篇日志，就可以了解到 Windows Setup 的安装过程。一旦成功启动 Windows Setup（Windows 安装程序）我们需要按照向导的指示完成一步步的安装动作，最终才能完成 Windows 从安装源到硬盘的安装过程。在前文中我们可以看到几个需要用户干预的步骤：

1. 选择语言设置

2. 选择键盘设置

3. 选择安装选项

4. 产品密钥

5. 选择映像

6. 接受适用的声明和许可条款

7. 选择安装 Windows 11 的位置

8. 确认准备就绪，可以安装

9. 安装 Windows 11

        对于专业 IT，以上的步骤十分简单，可谓轻车熟路。对于普通用户通过友好易懂的向导也能轻松完成 Windows 全新安装。但如果希望将这一过程自动化，以应对自动化安装需求呢？！最常见的恐怕就是基于 WDS PXE 的传统安装场景了，或者位于设备应用现场的工程师需要就地执行全新安装时的场景，这些场景都会依赖 Windows 安装应答文件 - Unattend。（PS：当然我们也可以不使用基于 Windows Setup 的自动化安装方案，而是通过 PE 基于脚本来实现更复杂的适用于大规模批量自动化部署的方案，而这是我们以后的日子再聊的！！！）

        Unattend.xml - Windows 安装应答文件，我们可以手动执行 Setup 程序来加载，或者将其加载到部署平台供系统映像使用，也可以直接加载到系统映像中。因为 Unattend 包含 Windows 安装的多个阶段的应答配置，可以实现 Windows 系统的自动安装、自动配置以及按需定制。（PS：这是一个并不轻松的工程，回顾过去标准化桌面的工作岁月，那些一遍又一遍耗时、耗力、耗费大量存储空间和硬件资源的测试验证过程！苦累心酸但又令人激动亢奋！在今天的高性能个人计算平台上，强劲的 CPU，充足的内存，海量的 SSD 存储，使得桌面标准化交付工程如鱼得水！现在真是幸福！！！）

        Windows 11 24H2 Arm ISO 的发布实现了我们，尤其是企业对按需定制和标准化自动部署的期望，并且微软官方支持基于映像定制的传统部署方法，所以 Unattend 在 Windows 11 24H2 Arm 上是可行的。接下来就让我们体验以下这激动人心的时候！Windows Setup 自动化位于 Unattend 的 windowsPE 阶段，我们将逐一实现上述步骤的自动化。准备环境：

• 一台 Windows 工作站，建议 Windows 11 Pro/Ent 操作系统
• 安装 Windows ADK
• 一份 Windows 11 24H2 Arm ISO
• 为要安装的 Windows SKU 生成编录文件
• 使用 Windows 系统映像管理器创建应答文件，将其命名为 Autounattend.xml，在之后实际应用中只需要将 Autounattend.xml 拷贝到 Windows Setup 源的 UFlash Disk 根目录下，在从 USB 引导后就会自动加载这个应答文件来执行自动化安装。

1. 以简体中文 Windows 11 24H2 Arm 为例，要跳过“选择语言设置”和“选择键盘设置”。

        为 windowsPE 阶段添加 Arm64 架构的 Microsoft-Windows-International-Core-WinPE 组件。中文输入法的代码为 0804:00000804，其他都为 zh-cn，可以根据需要配置 UILanguageFallBack 和 SetupUI 的语言，在本例中我们忽略，因为未集成其他语言。

2. “选择安装 Windows 11 的位置”，这一步主要是配置硬盘和分区。

        通常设备上只有一块硬盘，ID 为 0。现代 PC 都采用 UEFI 方式，所以硬盘分区需要一个 FAT32 格式的 EFI 分区用作引导，大小建议 260MB（完美4K对齐）；一个 128MB 的 MSR（Microsoft Reserved Partition）分区，MSR 分区是 Windows 操作系统中用于管理磁盘的一种保留分区类型，主要功能是为系统管理操作保留空间；最后一个是操作系统分区，使用所有剩余容量 - Extend 设置为 true，NTFS 格式的 Primary 分区。对于 Windows RE 分区我们无需创建，系统在完成安装后的初始化阶段会自动准备。

        大家会注意到配置中包含的两个设置：

• DisableEncrypteDiskProvisioning，设置为 true 表示不激活空白硬盘上的加密，即使这些硬盘支持基于硬件的加密。
• WillWipeDisk，设置为 true 表示擦除硬盘数据和分区，对于全新安装，建议擦除硬盘现有内容。

3. “选择安装选项”、“接受适用的声明和许可条款”、确认“准备就绪，可以安装”，这几个步骤其实只需要一个组件即可实现自动化。

        我们只需要添加 UserData 组件下的 AcceptEula 即可实现自动化。此外，如果当前安装源包含多个 Windows SKU，我们还需要配置 Windows 安装密钥，以及选择 Windows SKU。这块其实只需要添加 UserData 组件下的 Product Key 即可。

        UserData 的配置内容如下：

        注意：对于 SKU 的部分，也可以通过 InstallFrom 下的 MetaData 为含多 SKU 的安装源进行配置；此外，还适用于那些内置 OA3 的 OEM 设备。MetaData 的 Key 支持多种方式：

1. /IMAGE/INDEX

2. /IMAGE/NAME

3. /IMAGE/DESCRIPTION

        其中，INDEX 是 SKU 在 Image 中的索引号；NAME 是名称，简体中文安装源中的如 Windows 11 专业版；DESCRIPTION 即描述。可根据实际的部署场景来选择使用。

        OK，到这里即将大功告成！最后我们添加最后一个组件的配置，即 Image Install 下 OSImage 的 InstallToAvailablePartition，将其设置为 true。如果不配置系统要安装的目标位置，将会在“选择安装 Windows 11 的位置”这个步骤暂停，要求用户确认。当然我们也可以通过 InstallTo 进行配置，但二者只能选一种方式。

        现在所有的应答自动化配置均已完成，你没有看错就是这么精简。把这个 Autounattend.xml 拷贝到 U盘或集成到 ISO 中即可在物理机或虚拟机上实现自动化安装。

        对于 Windows 11 24H2 Arm 的定制化部署我们才刚刚开始……

HOWTO: 解决 Windows 11 24H2 Hyper-V VM 中 Windows DHCP Server 无法分发 IP 的问题

        gOxiA 今天要分享的是近期遇到的一个 DHCP Server 和 Hyper-V VM 相关的棘手问题，环境其实很简单！宿主机系统为 Windows 11 24H2，安装了 Hyper-V 并创建了 Private Switch 用于 VM 之间通信，VM 分别是一个 Windows Server 2025（以下简称 WS2025）和一个 Windows 11 24H2（以下简称 Client），其中 WS2025 基于工作组环境，并安装了 DHCP 和 WDS Role，在 DHCP 上配置了一个作用域，WDS 主要提供 PXE Boot。检查各项服务和日志都没有异常，但是很奇怪！通过另一个 VM 执行 PXE Boot 时失败，没有任何服务器响应。之后进入这个 VM 的 Windows 11 24H2 系统，发现无法获取 IP，但是如果手动配置 IP，Client 即可以 Ping 通 WS2025。为了排除 WS2025 DHCP 问题，又导入了以前能够正常使用的 VM 模板，其 DHCP Server 基于 Windows Server 2016，但仍旧无法正常分发 IP，只能手动配置 IP 进行通信。为了进一步的测试验证，又安装了一个 Ubuntu Server 24.04.1，并配置了 DHCP 和 PXE，却能够正常工作。

        到底是哪里出了问题呢？！

        怀疑过 Hyper-V 自身配置，Hyper-V Virtual Switch 是基于软件的第二层以太网网络交换机，包括了以编程方式管理且可扩展的功能，还提供了安全、隔离和服务级别的策略。对应的 Virtual Network Adapter 也提供了丰富的功能选项，在检查并测试了它们的相关功能选项后，均没能解决。

        也怀疑过是 Hyper-V 宿主 Windows 11 24H2 自身的问题，但苦于重装系统麻烦，所以最终选择用抓包的方式排查，抓包的方案是直接在 WS2025 中安装 Wireshark 并执行抓包。非常神奇！在进行抓包时 WS2025 竟然能够正常分发 IP 了，从截图可见 DHCP Offer 和 DHCP ACK，其中 DHCP Offer 表示 DHCP Server 正确接收到请求并发出响应，DHCP ACK 表示 DHCP Server 确认 IP 租用成功。

        为什么 Wireshark 抓包时 DHCP 就能工作正常呢？！

1. Promiscuous Mode，抓包时 Wireshark 将网卡置于混杂模式，让它可以接收所有流经网卡的流量，包括目标不是本设备的数据包（如广播包）。

2. 绕过硬件的 Offload 功能，暂时禁用如 UDP/TCP Checksum Offload，可以让我们捕获到未处理过的原始数据包。

3. 调整网络堆栈行为，以强制网卡处理所有数据包。

        如何做进一步的排错呢？！

        前面提到开启 Wireshark 抓包时 DHCP 可正常分发 IP，说明当前 WS2025 的 DHCP Role 配置正确，且工作正常；Ubuntu Server 默认可正常执行 DHCP 分发，可排除 Hyper-V Virtual Switch 配置；那剩下的就是为 VM 配置的 Virtual Network Adapter 了，前面在 Hyper-V 控制台对 VM 的虚拟网卡进行过调整测试，均未能解决。剩下最后的就是 VM 系统环境中的 Microsoft Hyper-V Network Adapter 驱动部分的高级选项了。经检查包含以下可以的选项。

1. IPSec Offload

2. IPv4 checksum offload

3. Jumbo Packet

4. Large Send Offload Version 2 (IPv4)

5. Large Send offload version 2 (IPv6)

6. Network Direct (RDMA)

7. Packet Direct

8. Receive Side Scaling

9. Recv Segment Coalescing (IPv4)

10. Recv Segment Coalescing (IPv6)

11. RSS Profile

12. TCP Checksum offload (IPv4)

13. TCP Checksum offload (IPv6)

14. UDP Checksum offload (IPv4)

15. UDP Checksum offload (IPv6)

        结合前面 Wireshark 抓包时的情况，重点锁定在以下三个方面：

1. Large Send Offload Version 2，将大数据包的分段操作卸载到网卡硬件上，提高性能。对于 DHCP 这类的广播流量，分段操作可能不适用，如果网卡在广播包处理上有问题，可能导致 DHCP Discover 丢失。

2. Recv Segment Coalescing，将接收的小数据包合并成更大的包以减少处理次数。广播包可能在合并过程中丢失或被延迟处理。

3. UDP Checksum Offload，将 UDP 数据包的校验和计算卸载到网卡硬件上。DHCP 使用 UDP 协议，如果校验和计算错误，可能导致 DHCP Discover 被识别为无效包。

        在研读 Hyper-V Switch 技术文档时留意到不同操作系统版本中，其 NDIS 版本也有所不同，果然在“Introduction to NDIS 6.89”一文中了解到 Windows 11 24H2 使用的便是 NDIS 6.89，而在功能更新中提到了“UDP Receive Segment Coalescing Offload (URO)”，从 Windows 11 24H2 开始，UDP接收段合并卸载使网卡能够合并 UDP 接收段，即将来自同一流中匹配一组规则的 UDP 数据报组合到一个逻辑上连续的缓冲区中。然后，这些组合的数据报将作为单个大数据包指示给 Windows 网络栈。合并 UDP 数据报可降低在高带宽流中处理数据包的 CPU 成本，从而提高吞吐量并减少每个字节的周期数。看来非常适合游戏服务器、实时视频流传输和PXE Boot。

        此外，在文中 Checksum validation and indication 部分的阐述，也给出了进一步的排错方向。OK！至此顿悟，一番折腾后问题也终于解决。

HOWTO: 统一配置管理 Copilot Hardware Key

        最近 Intune 新增功能公告中提到 Windows 设备目录提供了新的设置支持 - 即 Set Copilot Hardware Key，我们可以在 Windows 设置目录中找到。如果希望使用 CSP 直接进行配置，可以在 WindowsAI 部分找到 SetCopilotHardwareKey，当然也同样支持 GPO。之前 gOxiA 也有分享一篇相关的日志“HOWTO: 管理 Windows 上的 Copilot”，而今天 gOxiA 要分享的是如何自定义这个按键。

        为什么要定义此按键的故事是这样的！

        首先 Copilot Hardware key 是什么？如果最近了解过微软新发布的 Copilot+ PC（PS：在国内叫 Windows 11 AI+ PC），一定不会对它感到陌生，即键盘上的 Copilot 按键，就像我们一直在使用的 Win 按键一样，Copilot 按键也是一个功能键。目前大家已经能在很多设备的键盘上看到这个按键。

        在允许使用的区域，当我们可以按下 Copilot 键便可快速启动 Microsoft Copilot 应用，如下图所示。否则（PS：例如在国内）此按键当前只能快速启动搜索功能。

        如果我们已经安装了其他 AI 应用，或在组织内部署了自研的 AI 应用，则可以利用上这个按键来实现快速的程序调用，这样就能充分利用起这个按键。微软在最新发布的 Windows 11 版本中提供了这一支持，对于普通用户，可以打开 Windows 设置，点击左侧导航栏中的“个性化”，在右侧窗格中找到“文本输入”选项，进入即可看到“在键盘上自定义 Copilot 键”，在列表中我们可以通过自定义选择已经安装的应用，但目前我们仅能看到有效的应用程序允许在这里被使用。

        对于那些需要标准化配置的组织，可以通过 Intune 或 GPO 进行集中配置。首先我们看一下 Intune 的配置方法，这也是前面 gOxiA 提到的 Intune 在 11月新增的功能之一。为设备创建配置文件，平台选择“Windows 10 and later”，配置文件类型选择“设置目录”。

        之后，为该配置文件创建一个便于设别的名字。

        下一步后，我们便可以在设置目录中搜索“Copilot”，在“Windows AI”类别下即可找到“Set Copilot Hardware Key”选项。在配置数据框中我们输入应用的 AUMID 即可，它允许我们添加所有设备上安装的应用。本例中 gOxiA 添加的是一个 PWA 类型的应用。要获取 AUMID 可参考“查找已安装应用的 AUMID”。最后跟随向导完成后续的配置文件创建步骤即可，至此 Intune 的配置过程也就完成了。

        如果你使用的是其他 MDM 平台，可以参考 CSP - SetCopilotHardwareKey 进行配置。具体配置如下：

./User/Vendor/MSFT/Policy/Config/WindowsAI/SetCopilotHardwareKey

format: string

        对于还在使用传统管理模式的组织，可以利用 GPO 进行配置，参考如下：

用户配置 - 管理模板 - Windows Copilot - 设置 Copilot 硬件键

        最后也分享给大家注册表的位置：SOFTWARE\Policies\Microsoft\Windows\CopilotKey

        通过自定义 Copilot 按键我们可以很轻易的利用起它，尤其是针对国内的用户。

HOWTO: 获取 Windows 11 24H2 ISO for Arm

        相信大家一直都很期待 Arm 版的 ISO 安装映像，尤其是那些计划或已经在使用 Windows 11 AI+ PC 的组织，需要借助系统映像文件进行标准化的定制。现在微软已经向公众提供了 Windows 11 24H2 ISO for Arm。是的，Arm 版的 Windows Setup ISO 仅从 24H2 开始提供，也只有 24H2 开始才正式支持 Windows 11 AI+ PC。

        回顾一下之前的情况，在没有 ISO for Arm 的情况下，我们只能借助 ADK 生成 Arm PE 然后引导那些 Arm 架构的计算机在离线模式下将系统捕获为 WIM 映像文件，当然我们也可以事先做 Sysprep。

        要获取 Windows 11 24H2 ISO for Arm 十分方便，只需要访问微软官方的 Windows Software Download 网站即可从 Windows 11 for Arm 中下载到最新版的 ISO 文件，无需再单独安装 Media Creator Tool。

        但是需要注意从此处获取到 ISO，其映像只包含三个 Windows SKU，但已经能够满足大部分最终用户。

索引: 1
名称: Windows 11 家庭版
描述: Windows 11 家庭版
大小: 20,657,399,120 个字节

索引: 2
名称: Windows 11 家庭单语言版
描述: Windows 11 家庭单语言版
大小: 20,638,704,410 个字节

索引: 3
名称: Windows 11 专业版
描述: Windows 11 专业版
大小: 20,950,106,703 个字节

        还有一个途径是通过 Visual Studio Subscriptions 网站（就是我们过去说的 MSDN 订阅），可以下载到包含更多 Windows SKU 的 Business editions 或 Consumer editions。此外该途径还有一个优点是可以下载到包含不同 LCU 的安装源，便于那些必须使用特定版本的组织。

        第三个途径是可以从 Windows Insider 网站下载，但只能获取到 Canary（27749）和 Dev（26100.1150）通道的 VHDX，如果你打算在虚拟机里测试倒是不错的选择。

        gOxiA 通过公众可免费下载的渠道 - Microsoft Software Download 网站下载到了一个名为 Win11_24H2_Chinese_Simplified_Arm64.iso 的映像文件，然后使用 Windows ADK 进行了应答文件的定制并进行了自动化安装测试，非常完美！Demo 视频可从以下位置观看。

https://youtu.be/a1PkMw_s594

http://t.cn/A6neXqxj

速览 Windows 11 Enterprise LTSC 2024 Setup 和 OOBE 体验

        早些时候 gOxiA 分享了“Windows 11 24H2 正式发布”的日志，提及Windows 11 Enterprise LTSC 2024（以下简称 W11LTSC2024），如果你所在的组织正打算为新的 ATM 或其他专用设备部署这一全新的长期服务版本，那么可以继续浏览下面的内容。今天我们主要关注的内容是 Windows 11 Enterprise LTSC 2024 的 Setup 和 OOBE 阶段的变化。自 Windows 11 Insider Preview 26040 开始 Windows Setup 发生了变化，提供了全新的 UI 体验。从安装过程来看本质上并没有变化也不会对先前的自动化部署配置产生影响，我们可以先从以下一组截图了解最新的 Windows Setup 阶段（Windows PE settings / Windows Setup settings / offlineServicing）。

1. 仍旧提供了选择安装语言和格式的向导步骤，在此选项中我们可以选择要安装的 OSImage 语言版本，并为其指定时间和货币格式。

2. 在安装过程中我们可以为系统指定键盘和输入方法，对于简体中文系统默认为“微软拼音”。

3. 安装选项中提供了两个选择：“安装 Windows 11”或“修复个人电脑”，如果全新安装可选择前者，并复选“I agree everything will be deleted including files, apps, and settings”；如果选择后者则进入 PE 并提供“疑难解答”工具对系统进行修复。注意左下角“以前版本的安装程序”，我们可以切换到过去的 Windows Setup UI 体验。

4. 一如既往的声明和许可条款。

5. 硬盘分区的创建。如果直接“Create Partition”向导会为选中的硬盘默认创建三个分区：EFI：100MB，MSR：16MB，剩余空间给到 OS。

6. 如果符合安装就绪检查向导页面会给出提示，并做最后的安装确认。点击“安装”，向导下一步就会将 OSImage 释放到硬盘上。

7. 通过安装进度页面我们可以查看 OSImage 的释放进度，以 USB 3.2 规格的 U盘为例，安装速度大概是3-4分钟。

        以上七个步骤完成后，即告 Windows Setup 结束，也就是我们说的 Windows 安装完毕。之后设备会自动重启并执行初始化阶段（Specialize）,由于是在 Hyper-V 虚拟机上，使用默认配置，所以此阶段完成速度很快，等待时间缩短很多。

        之后，我们就迎来了 OOBE 阶段，W11LTSC2024 与过去的版本并没有太大的区别，往下看具体步骤。

1. 选择“国家（地区）”，简体中文默认为“中国”。

2. 键盘布局和输入法，这里是默认的“微软拼音”。

3. 下一步之后会提供额外的键盘布局选项，通常我们都会跳过。

4. 仅提供 Microsoft 365 登录选项，W11LTSC2024去除了个人登录的选项。如果希望在进行 Microsoft 365 账号身份验证时使用其他验证方式，可以选择“登录选项”。（PS：本地域登录选项也包含在其中！！！）

5. 在登录选项界面中，提供了两个选择“人脸、指纹、PIN 或安全密钥”；而“改为域加入”可以允许我们使用本地的域账号进行登录配置或创建本地账号。本例我们选择后者以继续。

6. 填写一个本机账户名称，它将作为该系统的默认登录账户，并拥有管理员权限。

7. 为该账户配置一个密码。

8. 进行设备的隐私设置，当点击下一页后会继续显示下拉框底部的选项强制用户查看配置，之后方可点击“接受”完成配置。

9. OOBE 阶段会检查 Windows 更新，如果使用本机账号配置登录，则会从 Windows Update 获取最新的月度累计更新。下载和安装所消耗的时间取决于当前网络质量和设备性能。

10. Windows Update 完成之后将进入最后的准备阶段。

11. 在进入桌面前，会显示“同意个人数据跨境传输”，需要点击“下一步”才能继续。

        OK，完成以上十一个步骤之后我们即可进入 Windows 桌面。（注意：在前面的步骤中 W11LTSC2024 并未提供计算机命名的向导。）

        从下图可见 W11LTSC2024 非常精简，未包含额外的应用（仅包含了 Microsoft Edge、画图、截图工具和远程桌面连接）以及 OneDrive，但默认提供了 Windows Defender，确保系统安全。系统性能方面，初始状态对CPU、内存和硬盘的占用量也都极低。（PS：题外话，这恐怕是很多用户希望选择此 SKU 的主要原因吧，但请注意 W11LTSC2024 仅适用于那些 ATM 或医疗等专用设备，并且有严格的限制，对于用户体验要想获得 Windows 11 最佳的使用体验，还是应当选择常规版本。）

        通过以上过程我们了解了 Windows 11 Enterprise LTSC 2024 的 Setup 和 OOBE 过程，它们依旧支持传统的部署方法，可以继续使用应答文件对 Windows Setup 和 OOBE 实现自动化，这样大大降低安装的复杂性，节省时间和人力，同时也为 IT 提供了更灵活的部署选择。后面 gOxiA 将于大家分享自动应答文件相关的资讯，以便有需要的 IT 人员 参考。文末提示：gOxiA 已使用 W11LTSC2024 做了基于 21v 的 Intune Windows Autopilot device preparation 的测试验证。

Windows 11 24H2 正式发布

        国庆10.1假期开始，微软也在这一天正式发布到了 Windows 11 24H2，其中还包含了 Windows 11 24H2 LTSC 版本。24H2 继续遵循 Windows 11 服务时间线，其中专业版自发布日期起服务24个月（2年），企业版为36个月（3年），而LTSC 版则长达60个月，即 2024年10月1日 至 2029年10月9日（5年）。

        Windows 11 Windows 11 24H2 的起始版本号为 26100.1742，在 10.8 发布的月度累计更新已升级到 26100.2033。作为 Windows 11 的一次重要功能更新，以及 Copilot+ PC（Windows 11 AI+ PC）的 AI 基石，24H2 为 IT 和 最终用户带来了一系列的全新功能和体验。

        24H2 中 Copilot+ PC（Windows 11 AI+ PC）独有的功能：

• 实时字幕，允许将音频和视频内容实时翻译为英文字幕，目前支持44中语言。
• Windows Studio Effects，AI支持的视频通话和音频效果的统称，我们可以在实时会议中实现电脑摄像头的人物自动跟踪，背景虚化，人物聚焦，眼神交流，视频特效等，在音频方面还支持消除噪音。
• 画图中的 Cocreator，可以根据我们绘制的草图结合文字描述生成令人惊叹的插图。
• Auto Super Resolution（Auto SR - 自动超级分辨率），Windows 原生的由 AI 驱动的超级分辨率解决方案，使游戏播放更流畅，并具有更高分辨率的细节。
• Microsoft 照片应用中的图像创建器和 Restyle 图像，现在 Microsoft 照片应用已经不仅仅是我们的照片查看器，它集成了 AI 功能，可以帮助用户重新映像照片或创建新的图像。

        对于所有 Windows 11 24H2 的电脑将默认启用如下新特定和功能：

• 改进的 Windows LAPS，完善策略和新的自动账户管理。例如：
• 自动创建托管本地账户
• 配置账户名称
• 启用或禁用账户
• 随机化账户名称
• 个人数据加密（PDE），基于用户身份验证的加密来保护已知的 Windows 文件夹。对 Windows SKU 及 Windows Hello 有一些前置条件。
• 适用于企业的 App Control（过去称为 Windows Defender Application Control），可更好保护用户的数字资产免受恶意代码的侵害。
• Windows 保护打印模式，无需依赖 Morpia 认证打印机的第三方软件安装程序。
• 本地安全机构（LSA）保护，帮助防止用于登录的机密和凭据被盗。
• 支持 Wi-Fi 7（IEEE 802.11be）。
• 辅助设备的蓝牙 LE 音频支持。
• Windows 位置改进，添加了新控件可帮助管理哪些应用程序可以访问用户周围的 Wi-Fi 网络列表。
• Windows 内核中的 Rust，提供了 GDI 区域 win32kbase_rs.sys的新实现。众所周知 Rust 在可靠性和安全性方面要优于 C/C++，未来 Windows 内核将更多的使用 Rust。
• 支持 SHA-3
• Sudo for Windows，通过命令行方式来执行管理员身份提升，gOxiA 在之前的日志有做过分享“体验 Sudo for Windows”。

        在 Windows 11 24H2 中还引入了服务器消息块（SMB）协议更改；远程桌面连接的改进；支持创建7-zip和TAR存档文件；节能器可配置为自动运行或通过快速设置手动打开和关闭；还为自适应亮度增加了根据内容更改亮度的选项；扩展了 Voice Clarity 的可用性，可实时消除回声、抑制背景噪音并减少混响；还有个值得一提的改进是在 OOBE 阶段当需要联网但没有 Wi-Fi 驱动时，系统会提供安装驱动的选项来安装已经下载的驱动程序。

        Windows 11 24H2 已经可以从多个官方渠道获取：Microsoft 365 管理中心；Software Download Service；Visual Studio 订阅。对于备受关注的 Arm 版 Windows 11 24H2 ISO，相信也将会在近期上线，拭目以待！

        对于需要进行系统评估和验证的组织，微软目前也提供了 Windows 11 企业版评估，提供90天免费试用期限。已经着手在生产环境部署的 IT，可以下载 适用于 Windows 11 24H2 的管理模板。

        最后友情提示，Windows 11 IoT 企业版 LTSC 2024 除了可通过 OEM 获得，现在也支持通过批量许可直接从微软获得。

体验 Sudo for Windows

        有一段时间没有更新日志了！昨天，微软向 Windows Insider Release Preview Channel 推送了 Windows 11 24H2 - 26100.712，包含了不少新的特性和功能，其中的 sudo 是 gOxiA 特别感兴趣的。是的，你没看错！在 Windows 上我们可以使用 sudo 了，其实早在 26052 时就开始内置 sudo 的支持。

        Sudo for Windows 与 xNIX 中 sudo 的用途类似，都是用来实现用户提权执行命令的，对于 sudo for Windows 主要是基于 UAC 的提权，并且它不支持普通账户，这些基本概念要注意！

        命令提示符下，不像 UI 界面可以通过选项或热键去激活 UAC 提权，当我们打开 CMD 或 PowerShell 执行一段命令，发现它需要进行 UAC 提权时，通常会重新以 UAC 提权（管理员身份运行）方式打开 CMD 或 PowerShell 再重新执行命令行，这将会经历一系列的键盘或鼠标的切换操作流程！毕竟我们不是每一次都记得先去做 UAC 提权。

        现在有了 sudo 一切都变得方便了许多，gOxiA 现在已经把“终端”应用中的“以管理员身份运行此配置文件”的选项关闭了，不用每次涉及到命令行的都要去确认一次 UAC 提权，并且打开终端的速度也快了许多！

        sudo for Windows（以下简称 sudo）出于安全性考虑，默认是禁用的，并且它被归类在“开发者选项”中。我们需要进入 Windows 设置，转到“系统”下的“开发者选项”才能找到 sudo 配置，如果你想快速找到它，可以在 Windows 设置的搜索框中键入 sudo 来查找。

        如上图所示，当我们打开 sudo 后，可以看到三个 sudo 运行选项：“在新窗口中、禁用输入、内联”。三者中第一个是最为安全的，也是系默认配置，之后依次排列。三个选项根据说明还是很容易理解的，但配合参数后 gOxiA 认为一些安全使用逻辑还有待改进完善！下面让我们分步了解一下这三个选项。

        1. “在新窗口中”，其对应 -N 或 --new-window 参数。当我们通过 sudo 执行命令后，将会启动带有提权的 sudo 会话进程，在经过用户确认后即可提权运行后续的指令，并以新窗口形式运行。

        2. “禁用输入”，其对应 --disable-input 参数。即执行的命令将基于当前窗口运行 UAC 提权的进程，但其输入句柄将会被关闭，避免已经提升的进程从当前窗口接收指令。

        3. “内联”，其对应 --inline 参数。意思就是直接将当前窗口进程进行提权，与 2 类似但将已提权模式继续处理后续的输入。

        三个选项的逻辑很清晰，但我们在实际运用中会发现，必须先将 sudo 配置为“内联”或“禁用输入”后，才能使用对应的参数选择性的去执行（运行模式由安全级别低向高排序）。否则，将会提示 无法在计算机上以高于XXXX模式的模式运行 ！（PS：那么到底是要临时安全还是始终安全呢？！）

        sudo 更多的参数可执行运行命令获取，不再复述。此外，我们还需要注意的是 sudo 不具有 runas 命令的功能，要运行 sudo 必须是管理员级别的账号，普通账号在执行 sudo 后将提示“不允许你运行 sudo”。

        sudo 目前已经支持通过 GPO 配置，路径是“计算机配置 - 管理模板 - 系统 - 配置 sudo 命令的行为”。

官方文档： Sudo for Windows

HOWTO: 管理 Windows 上的 Copilot

        24年被誉为 AI 元年，AI 大迸发使我们每天每刻都能源源不断地看到相关的信息。在 Windows 上引人注目的恐怕是其 Copilot 功能，我们在任务栏上轻轻点击 Copilot 图标即可开始一段奇妙惊艳的 AI 体验之旅。微软作为负责任的AI的主导者，遵循 AI 原则，为我们提供了安全可靠的 AI 服务，并且在 AI 隐私和安全方面不断完善，这一点毋庸置疑！即便如此，一些组织可能还是比较畏惧 AI，并且希望立刻在 Windows 上禁用 Copilot 这一功能，着实有些百思不得其解。在本文正式内容开始前，很有必要先了解一下什么是 Windows 中的 Copilot。

        从官方介绍解读，Windows Copilot可以帮助我们从整个 Web 获取答案和灵感，支持创造力和写作，并帮助我们专注于手头的任务。如果使用 Windows Copilot 可以按下 Win+C 热键，如果你已经拥有了 AI PC，可以按下键盘右下侧的 Copilot 键，以激活 Windows Copilot 侧栏。从下面两张图可以看到两个不同的使用界面/场景，第一个是基于 Web 的，也是大家最常见常用的，可以与 Copilot 对话，获取到有用的帮助，除此之外它还能执行一些基本的 Windows 设置、任务，甚至是进行 Windows 疑难解答；如果当前设备使用 M365 账号登录 将会看到适用于 工作 的第二个界面，它将链接 M365 中的相关服务和内容提升我们的工作效率。

        回到正文，如果当前组织 IT 确实需要暂时禁用 Windows Copilot，可以借助 GPO 或 CSP。

  
• GPO
    
    
• 用户配置 - 管理模板 – Windows 组件 – Windows Copilot，关闭 Windows Copilot
  

  
• CSP（设置目录 or 自定义 CSP）
    
    
• ./User/Vendor/MSFT/Policy/Config/WindowsAI/TurnOffWindowsCopilot
  

  
• Registry
    
    
• SOFTWARE\Policies\Microsoft\Windows\WindowsCopilot\TrunOffWindowsCopilot
  

        策略参考：WindowsAI Policy CSP | Microsoft Learn

        Manage Copilot in Windows：在 Windows 中管理 Copilot | Microsoft Learn

HOWTO: 使用 Windows Update 修复问题

        今天这篇日志并不是介绍如何排错，仅仅是一个 Windows 功能介绍。该功能已经发布了一段时间，只是 gOxiA 昨天才实际试用到。在23年的7月 Insider 渠道发布的 25905 中包含了这一新的 Windows 功能 - “使用 Windows 更新修复问题”，该功能为我们提供了另一种 Windows 恢复的方案，它不同于以往的重置或重装，将依靠 Windows Update 下载并安装操作系统的修复版本。这一操作会重新安装我们设备的 Windows 操作系统，但不会删除任何文件、设置或应用程序。一旦执行“使用 Windows 更新修复问题”，将会触发 Windows Update 下载，我们可以在 Windows 更新 页面中看到下载的内容和进度。

        作为一个 Windows 恢复功能，它支持保留我们的所有应用、文档和设置。在执行过程中要确保设备始终连接到电源和互联网。在实际使用中感觉还是比较耗时的，因为首先要从 Windows Update 获取几个 GB 的数据，之后的更新过程也需要耗费一些时间，对于那些希望保留个人数据，且希望修复过程简单的用户可以在遇到一些系统问题时尝试使用该功能。

        如果你希望获得一个完整全新的 Windows 安装，可以选择“重置此电脑”，它可以清楚所有非 Windows 的数据，但会保留设备驱动和已安装的更新，类似初始化电脑来让我们重新配置和安装自己的应用。

        要使用该功能需满足 Windows 11 版本为 22H2，且已安装了 2024年2月的可选更新。

参考资料：

https://support.microsoft.com/en-us/windows/fix-problems-with-your-pc-by-using-windows-update-497ac6da-7cac-4641-82a5-f50398d879a0

Windows 11 提供 Copilot Pro 订阅通道

        Copilot 在数字世界人尽皆知，早先在手机上安装了 Copilot，当希望订阅Copilot Pro时总会遇到失败。但今天在 Windows 11 上（22631.3227）可以在“设置”应用中的“主页”看到 Microsoft Copilot Pro 订阅提示。点击“获取 Copilot Pro”即可转向至订阅流程，首先确认所在地区，才可进行下一步订阅的执行。

        此外，在“账户”中也会看到 Copilot Pro 的订阅提示。同理会先让用户确认当前所在的位置，才能进行后续的操作。我们也可以直接访问 Corpilot Pro 站点获取更详尽的信息。

        如果尚未订阅 Copilot Pro，也是可以使用免费版本的，如下图所示，我们可以基于生成式对话模式进行 AI 交流寻求帮助。但是……

        但是……如果我们一旦订阅 Copilot Pro，那可就不得了了！首先允许我们在高峰时段优先访问 GPT-4 和 GPT-4 Turbo。如果我们已经订阅了 Microsoft 365 家庭版或个人版，那么可以在 Word、Excel、Outlook、PowerPoint 和 OneNote 中使用 Copilot 为我们更快的创建、编辑内容，例如：起草文档、总结电子邮件、创建演示文稿等。此外，我们还可以使用 Microsoft Designer（以前称之为 Bing Image Creator）每天进行 100 次提升的 AI 图像创作。

        心动不如行动，每月 20美金！即可添加一个副驾助手帮我们提升个人效率！

解读 Updating Microsoft Secure Boot keys

        微软官方最近发布了一篇文章 - “Updating Microsoft Secure Boot keys”引起了 gOxiA 的关注。内容主要涉及 UEFI 设备用于安全启动的密钥更新，对于那些在组织中执行桌面标准化和安全的 IT 人员需要特别关注。今天本文将与大家分享文中涉及到的一些技术知识！

        首先，我们需要对 UEFI 有个大致的认识，UEFI 即 统一可扩展固件接口，基于标准的 UEFI 规范的启动加载程序通用框架，参与 UEFI 规范的技术公司目前已经超过了140家，其中就包括大家熟知的多个硬件大厂。在过去我们的计算机加电开机时由 BIOS 启动进行初始化，但现在 UEFI 接管了这一切，它将控制 PC 的启动过程，然后将控制传递给 Windows 或其他操作系统。可以说 UEFI 环境是启动 Windows 设备并运行 OS 的最小启动 OS。对于现代64位计算机基本上都已经默认使用 UEFI，大众所了解的可能更多的是 UEFI 提供了更加友好的图形化配置界面，甚至还提供额外的一些功能，对于启动计算机速度更快，更适用于 SSD。但 UEFI 优点远不止这些，在 UEFI 2.3.1 规范的固件还具有以下优点：

• 能够支持 Windows 10 安全功能，例如：Secure Boot、Defender Credential Guard 和 Defender Exploit Guard
• 启动和恢复的速度更快
• 能够更轻松地支持大硬盘驱动器（＞ 2TB）或超过4个分区的驱动器
• 支持多播部署
• 支持 UEFI 固件驱动程序、应用程序和选项 ROM

        从下图我们可以了解到适用于 Windows 的 UEFI 组件，涉及到 Windows 的 UEFI 协议还可以参考 https://learn.microsoft.com/zh-cn/windows-hardware/drivers/bringup/uefi-protocols-for-windows 进行学习和了解。

        此外，我们还需要了解一个名词 - SoC，即：系统级芯片，也称为片上系统。比较抽象化，它将集成电路的设计、系统集成、芯片设计、生产、封装、测试等等集成在了一起，现代电脑目前都已经采用 SoC 技术，而用于运行在 SoC 上的 Windows 则对 UEFI 也有着最低的要求，从 Windows 10 1703 开始，微软要求遵守 UEFI 2.3.1c 规范。

        现在我们再来了解 Secure Boot - 安全启动，它也是一个行业安全标准，旨在确保使用受设备制造商信任的软件进行设备启动。当电脑启动时，固件会检查每个启动软件的签名，也包括 UEFI 固件驱动程序、EFI应用程序和操作系统。如果签名有效，则电脑继续启动，并最终将控制权移交至操作系统，其保护过程可参考下图所示。

        对于具有安全启动的电脑，其启动顺序如下：

1. 打开电脑，将会根据平台密钥检查签名
2. 如果固件不受信任，则 UEFI 必须启动 ROM 特定的恢复过程，以还原受信任的固件
3. 如果 Windows 启动管理器出现问题，固件将尝试启动 Windows 启动管理器的备份副本，如果此措施仍然失败，则固件必须启动 OEM 特定的补救过程
4. 在 Windows 启动管理器开始运行后，如果驱动程序或 NTOS 内核出现问题，则会加载 Windows RE（恢复环境）
5. Windows 加载反恶意软件
6. Windows 加载其他内核驱动程序并初始化用户态进程

        综上，安全启动这一过程将极大降低 Boot rootkit 带来的风险。此外，利用 Intune 的设备管理策略还可以设定阻止那些未启用安全启动的设备访问工作或学校资源。

        正如前面介绍的，安全启动是一个行业标准，所以不止 Windows 在使用，其他诸如 Linux 发行版也都有提供支持。在 Windows 平台上要支持安全启动需要满足以下各项要求：

• UEFI 2.3.1 勘误表 C 变量，必须将变量设置为 SecureBoot=1，且 SetupMode=0，并使用所需的签名数据库（EFI_IMAGE_SECURITY_DATABASE），包括有效的 KEK 数据库中设置的 PK 来启动安全预配的电脑。
• UEFI 2.3.1 第27部分，平台必须公开一个符合 UEFI 2.3.1 第 27 部分所述配置文件的接口。
• UEFI 签名数据库，平台必须在 UEFI 签名数据库（db）中预配正确的密钥，使 Windows 能够启动。平台还必须支持在经过身份验证的情况下对数据库进行安全更新。安全变量的存储必须与正在运行的操作系统相互隔离，以防在不经受检测的情况下修改这些变量。
• 固件签名，必须至少使用 RSA-2048 和 SHA-256 加密算法为所有固件组件签名。
• 启动管理器，打开电源时，系统必须开始执行固件中的代码，并根据算法策略使用公钥加密法来验证启动顺序中所有映像的签名，直到验证了 Windows 启动管理器为止。
• 回滚保护，系统必须防止固件回滚到旧版本。
• EFI_HASH_PROTOCOL，平台提供 UEFI_HASH_PROTOCOL 用于卸载加密哈希运算负载，并提供 EFI_RNG_PROTOCOL（由 Microsoft 定义）用于访问平台熵。

        对于涉及到的签名证书相关的数据文件，如：签名数据库（db）、吊销的签名数据库（dbx）和密钥注册密钥数据库（KEK）会事先由设备 OEM 厂商写入到固件的非易失性RAM中（NV-RAM）。

        签名数据库 (db) 和吊销的签名数据库 (dbx) 将列出 UEFI 应用程序、操作系统加载程序（例如 Microsoft 操作系统加载程序或启动管理器）以及可在设备上加载的 UEFI 驱动程序的签名者或映像哈希。

        吊销的列表包含不再受信任且不可加载的项。 如果映像哈希位于这两个数据库中，则吊销的签名数据库 (dbx) 优先。

        密钥注册密钥数据库 (KEK) 是单独的签名密钥数据库，可用于更新签名数据库和吊销的签名数据库。 Microsoft 要求在 KEK 数据库中包含指定的密钥，以便 Microsoft 将来可向签名数据库添加新的操作系统，或者向吊销的签名数据库添加已知错误的映像。

        添加这些数据库并完成最终的固件验证和测试后，OEM 将锁定固件以避免对其进行编辑（但使用正确密钥进行签名的更新，或者由使用固件菜单的实际用户所做的更新除外），然后生成平台密钥 (PK)。 PK 可用于对 KEK 的更新进行签名或关闭安全启动。

        OK，现在回看微软官方文章就可以更清晰的了解其意图！微软与其生态系统合作伙伴将准备替换掉用于安全启动的旧证书，自2024年2月13日起，新数据库更新将作为所有启用安全启动的设备的可选服务更新提供，因为到2026年之前用于安全启动的相关证书将过期。微软也特别强调了为本次更新微软和OEM合作伙伴所作出的努力。

        如果准备着手计划更新，建议如下：

1. 在大规模更新前，应在具有相同固件和规格的单个设备上测试验证。
2. 从 OEM 获取最新版本的固件更新。
3. 确保每台设备都执行 Bitlocker 密钥备份。

        手动更新的步骤很简单：

• 系统已经安装了2024年2月的累计更新。
• 修改注册表键值，将“HKLM\\SYSTEM\\CurrentControlSetControl\\SecureBoot”下“AvailableUpdates”的值改为“0x40”
• 重启系统两次已确保更新执行并使用更新的数据库启动。

        对于计划批量执行的企业环境，可以参考以下命令制作脚本或任务序列。

• Set-ItemProperty -Path “HKLM:\\SYSTEM\\CurrentControlSetControl\\SecureBoot” -Name “AvailableUpdates” -Value 0x40
• Start-ScheduledTask -TaskName “Microsoft\\Windows\\PI\\Secure-Boot-Update”

        验证安全启动数据库更新是否成功，可以执行以下 PowerShell 命令，如果结果为 False 则表示失败或未更新。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’

        通过事件查看器可以关注相关的事件 ID 进行审计。

事件日志：系统

事件源：TPM-WMI

事件ID：1032、1033、1034、1035、1036、1795、1796

        要查看安全启动状态，非常简单，只需要打开运行对话框，输入 msinfo32 并运行，在打开的系统信息窗格中选择系统摘要，在右侧即可看到安全启动状态。

官方参考：

Secure Boot | Microsoft Learn

HOWTO: 在 Windows 10/11 上实现网卡聚合

        Windows 平台提供了强大的网络支持，如果我们在一台 Windows 设备上安装了多块网卡并且希望能够将其绑定在一起聚合使用，例如提升带宽！那么要实现它将会是非常容易的一件事情。今天 gOxiA 将快速分享这一功能的实现方法。本例是基于 Hyper-V VM 环境，为 VM 配置了两块网卡，其桥接在一块物理无线网卡上。所以我们暂不考虑网卡对于聚合的兼容性问题。

        首先，以管理员权限启动 PowerShell，我们可以先使用 Get-NetAdapter 命令获取当前网卡信息。

        然后使用 New-NetSwitchTeam 命令创建网卡聚合，如：new-switchteam -name nicteam -teammembers "以太网","以太网 2"

         之后，重启计算机我们可以通过 Get-NetAdapter, Get-NetSwitchTeam, IPConfig 来确认相关信息。

参考链接：

New-NetSwitchTeam | Microsoft Learn

        此外，还有一个 PowerShell 指令也可以实现，但默认会提示不适用当前 Windows SKU，但不妨大家可以了解。它是 New-NetLbfoTeam，该命令用于创建基于“负载平衡/故障转移”的网卡聚合，这种聚合模式除了提高网络带宽，也增强了容错能力，因为支持多种负载平衡算法，以及故障转移和容错功能。

Windows 11 Insider Preview 26040 发布全新 Windows Setup 体验

        近日微软向 Windows Insider Canary Channel 发布了最新的 Preview 版本 - 26040，在众多增强和改进中 gOxiA 特别感兴趣的就是全新的 Windows Setup 体验，因为这关乎在企业环境下批量自动化部署的各项流程和配置。

        利用周末时间 gOxiA 做了快速的测试，并收集了 Windows Setup 新体验的过程截图，供有需要的 ITPro 参考，也为日后实现自动化部署奠定实践基础。从以下截图可以看到，首先 Windows Setup 启动后仍是直接从语言设置开始，只是“键盘和输入方法”从语言设置剥离成为单独的一页。（PS：不太清楚这样设计的意义！！！）

添加了安装选项，分别三个：安装 Windows 11、修复个人电脑、启动旧体验。在使用“安装 Windows 11”时需要复选“我同意将删除所有内容，包括文件、应用和设置”才能下一步继续安装。“启动旧体验”则是我们熟悉的 Windows Setup 界面。（PS：不知道最终版的 Windows Setup 新体验会什么样，起码目前看起来感觉只是在做一种尝试，因为一些界面感觉是比较多余的。同时也没有看到从云端安装源文件的选项。）

        如果选择“修复个人电脑”，则会转到如下键盘布局选择界面，然后再显示选项界面，对于硬盘上没有操作系统的，则仅提供“疑难解答”和“关闭电脑”的选项。如果硬盘上存在系统，则会提示“继续”、“使用设备”、“疑难解答”和“关闭电脑”的选项。这与旧安装体验的“修复计算机”是保持一致的。（PS：目前还没有看到 Online 方式修复的功能）

        在“疑难解答”中提供了以下选项：“启动修复、命令提示符、卸载更新、UEFI 固件设置、系统还原、系统映像恢复”。看起来与之前的版本也保持了一致。

        使用全新的体验 - “安装 Windows 11”，会来到产品密钥的向导界面，如果不输入密钥则无法点击下一步，但可以点击位于左下方的“I don't have a product key”以跳过（PS：它是一个文本形式的选项，虽然它不是一个醒目的按钮）。

        映像选择，以及之后的声明和许可条款，和不满足硬件需求的向导界面倒是延续了以往的设计。

        硬盘和分区向导界面倒是有了挺大的改动，对于新硬盘并且不打算额外创建分区，可以直接点击下一步，Windows Setup 会自动分区格式化。

        我们也可以手动创建分区，在指定了系统卷的大小后，向导会自动创建 EFI 引导分区和 MSR 分区，从截图可见 EFI 引导分区默认为 100MB。（PS：gOxiA 在部署实践时更青睐 260MB 大小的 EFI 分区）

        Windows Setup 应答部分完成旧可以开始安装，向导会再提示确认是否要进行全新安装。之后的安装进度界面大改，变成了纯文本方式。此外在全新 Windows Setup 体验下，一样可以通过热键调出 CMD 窗口。Windows Setup 结束后重启会进入 Specialized 阶段，说明 Windows Setup 安装逻辑并没有改变，那以往的映像定制流程不会受到影响。

        Windows Setup 新体验到这里就算告一段落，不知道各位看官是否有不同的建议和意见，不妨留言讨论！此外，26040 对应的 ADK 也有发布，可供大家下载安装使用。

相关链接：

下载 Windows 预览体验成员 ISO | Microsoft Learn

Windows Setup 错误 Module_Init_HWRequirements

        在执行 Windows Setup 后系统实例首次启动时，在 Specialize 阶段发生错误，具体如下图所示。这是一个极为罕见的问题，常规情况下几乎不可能发生。

从报错信息看 “

panthr initializemodule - failed to find entry point module_init_hwrequirements[gle=0x0000007f]

” 应该是系统在初始化模块时未能找到名为“module_init_hwrequirements”的入口点，通常可能存在以下几个原因：

1. 缺少依赖项：模块可能需要依赖于其他组件或库，而这些依赖项可能缺失或损坏。
2. 不兼容的系统架构：模块可能是针对特定的系统架构编辑的。
3. 模块本身损坏：模块文件可能损坏或不完整，导致无法正确加载和初始化。
4. 版本不匹配：模块可能需要特定版本的系统。

        这份 Windows Setup 是 gOxiA 一直在用的，难道是加载的安装源太新或下载的数据有问题？新的安装源是 W10 22H2 LCU12，于是换成 LCU10再试，依旧报之前的错误。分析当前的 Windows Setup 可见版本基于 19041，PE 下可见版本为 19041.1288，Bing 搜索了一下并未发现有效的线索，关于 Module_init_hwrequirements 的介绍也未能找到。

        不懈努力，再次尝试 W10 22H2 LCU8 这次成功安装，怀疑与最近 Windows 恢复环境的更新有一定关系，果断替换手里的 PE 将其改为最新的 Windows Setup PE，再次安装测试问题消失。

微软公布 Windows App 预览

        微软最近公布了一款新的应用 - Windows App，从官方介绍看 Windows App 是通往 Azure Virtual Desktop、Windows 365、Microsoft Dev Box、Remote Desktop Service、Remote Desktop 的网关，旨在安全地连接到 Windows 设备和应用。

        简单理解，gOxiA 认为 Windows App 是一款 RDP 应用的大统一版本，在未来我们仅需要这一款应用便可以在不同的平台（Windows、macOS、iOS、iPadOS、Android、Web 浏览器）和设备（台式机、笔记本、平板、手机）上访问 Windows 或 Windows 应用。 也类似网上其他媒体讲的 Windows 像一个应用一样允许被访问和使用。Windows 运行在云端了，RDP 客户端支持所有主流平台，可不 "any where, any way access Windows."!!!

        由于当前还处于公共预览阶段，并非所有版本和功能都可用，下表为当前的支持情况。

        现在 Windows App 可以通过 Web 方式访问，或者从 MSStore 安装 Windows App，但 iOS 等平台版本还是需要申请测试名额，只能再等等！

• Windows 10/11
• https://apps.microsoft.com/detail/windows-app/9N1F85V9T8BN?hl=zh-cn&gl=US
• macOS
• https://aka.ms/macOSWindowsAppBeta
• iOS/iPadOS
• https://aka.ms/iOSWindowsAppBeta
• Web 浏览器
• https://windows.cloud.microsoft

        打开 Windows App 并成功登录，可以看到在界面下主要分为两种资源类型：设备 和 应用。其中设备主要包含了“W365、AVD、DevBox”这里的资源，而应用主要包含的是“Remote App”。

        因 gOxiA 的测试账号仅分配了 AVD 和 Remote App 资源，如下图所示。在连接应用时可以看到运用了 RemoteApp 技术。

        对于 Windows App 还是有很多期待的，除了支持主流平台，尽可能的提供最优的连接体验外，也希望能支持更多的企业需求。

HOWTO: 为单网卡 Windows 10/11 配置多路由网关

        网络环境还是比较简单的，常见的组网方式，要求无线路由（192.168.2.1）下的网络增加一个网络设备（192.168.2.254），且所有客户端都需要经由该网络设备。

        实际安装调试时发现，由于是定制版无线路由，DHCP 不支持高级配置功能，无法指定网关。如果通过关闭路由自带的 DHCP 服务，则 PPPOE 将自动切换为桥接模式，导致无法正常上网，后续配置也就无法再继续下去，考虑多方因素，决定改为客户端手动添加路由的方式。

        因为是 Windows 10/11 系统，手动添加路由比较简单，通过网卡的“高级 TCP/IP 设置”即可。注意：这里有两个跃点数：手动添加的网关跃点数和自动跃点。

        使用命令对于 IT 人员来说是最为便利的，这里推荐使用 PowerShell，可以先 Get-NetAdapter 获取当前系统的网卡基本信息，确认网卡索引号便于后续操作。

        然后使用 New-NetRoute 来手动添加路由，将 192.168.2.254 添加到额外的网关中，参考如下命令行：

 New-NetRoute -DestinationPrefix 0.0.0.0/0 -NextHop 192.168.2.254 -InterfaceIndex 19

        但在添加后使用 Route Print 或 Get-NetRoute 查看会发现两个网关的跃点要么相同，要么额外添加的网关跃点无法优先于默认网关。此时如果我们去修改前面“高级 TCP/IP”设置中的跃点数和自动跃点数会发现也无济于事。

        而且当修改额外网关跃点数为0时还是报错，只能设置为1-9999间的跃点数；如果修改了自动跃点还会发现网关的实际跃点数会被累加。

        那该如何解决的？其实可以用 Set-NetRoute 对现有路由表进行修改，参考如下命令：

Set-NetRoute -DestinationPrefix 0.0.0.0/0 -InterfaceIndex 19 -NextHop 192.168.2.254 -RouteMetric 0

        执行后结果如下所示。

        接下来，再调整默认网关的跃点数，将其优先级调后即可。那么什么时候需要修改自动跃点呢？当 Windows 系统有多块网卡，需要对网卡优先级进行调整时才需要使用自动跃点。经 gOxiA 学习梳理，在“高级 TCP/IP 设置”中的网关跃点数其实对应的就是 routemetric，而自动跃点数则对应的 interfacemetric。两者数值会进行累加，形成最终的跃点总数，进行优先级的排列，在 Route Print 中会得以体现。两个跃点的说明参考如下。

        两者都是用于网络路由和网络接口的度量值，用于确定数据包的传输优先级和路径选择。虽然它们都是用于网络通信的度量标准，但他们的应用对象和作用范围有所不同。

• RouteMetric，应用于路由的度量值，用于确定通过特定路由传输数据包的优先级。当存在多个路由可供选择时，操作系统将使用具有最低路由度量值的路由来传输数据包。如果路由度量值相同，操作系统会使用其他策略（如最长前缀匹配 - PrefixLength / DestinationPrefix）进行决策。
• InterfaceMetric，应用于网络接口的度量值，用于确定通过特点接口传输数据包的优先级。如果有多个网络接口可供选择，操作系统将使用具有最低接口度量值的接口来传输数据包。如果接口度量值相同，操作系统会使用其他策略（如接口绑定顺序）进行决策。

Multi-app Kiosk for Windows 11 - 入门

        一些 Windows 设备可能会被用在单一用途的特殊场景中，例如门店中用于查看商品目录的电脑，或点菜系统；也可能是医疗或工厂中的一线手持终端；又或是学校的图书馆查询电脑或在线考试用途的电脑。它们都需要设备系统被限制在某个应用或多个应用模式下，而不允许访问电脑上的其他程序、设置、目录。

        早期，IT人员需要手动进行颗粒化的配置，或借助第三方的解决方案。而后 Windows 逐步推出展台/数字标牌和共享电脑的功能模式，可以轻松的实现我们的需求。要了解 Windows Kiosk Mode 不妨先移步官方文档了解学习 - “在 Windows 桌面版中配置站台和数字签名”。

        在 Windows 10 的 Kiosk Mode 中，除了支持单应用模式外还支持多应用模式，这样我们可以定制开始菜单显示可以被运行的程序。此外，这些应用还被分为 UWP 和 Win32 应用，它受 Windows SKU 的限制，具体可了解 - “设置单应用站台”。

        在 Windows 11 的早期版本中仅支持单应用的 Kiosk Mode，自 2023年5月24日发布的 Windows configuration updates 提供了对 Multi-app Kiosk mode 的支持。下图是 gOxiA 实践的结果，将被允许的应用（UWP和Win32）固定在了 Windows 11 的开始菜单中，并且会自动运行一个应用（实时字幕）。

        可现在我们暂时还无法使用 MDM 或 PPKG 进行配置，而只能使用 MDM Bridge WMI Provider 来实现。这个过程对于刚刚上手的朋友来说可能是一场“噩梦”！因为当发生错误的时候，我们没有更多的参考文档可用于排错，完全依靠不断的尝试来摸索。当然官方文档也提供了“展台模式问题疑难解答”，其中最为有价值的当属事件日志了，gOxiA 在目前的排错中主要依赖 “Microsoft\Windows\AssignedAccess\Operational” 事件日志。例如我们导入了一个 XML 配置，他发生了错误，在 PowerShell 中其实根本看不出报错的主要内容，此时就需要通过事件日志来排查，每一个报错会生成两条事件，请重点查阅两条中的前一个，因为会记录相对详细的提示。如下所示：

        OK，通过以上的了解如果你打算开始上手，那么就跟随 gOxiA 一起往下走。首先请准备一台 Windows 11 虚拟机，并安装好相应的 LCU，在 Kiosk mode 中建议分配一个普通权限的账号，创建好检查点以便在不断发生错误的时候能迅速返回上一个正常状态。

        要通过 MDM Bridge WMI Provider 配置 Windows 11 的 Multi-app Kiosk 还需要准备一个工具 – PSExec ，因为我们需要利用它启用 PowerShell 才能正常的执行后面的命令行，否则将会出现如下的报错提示。要通过 PSExec 启动 PowerShell 请执行 “psexec64.exe -accepteula -i -d -s cmd”，然后在打开的 CMD 中启动 PowerShell。

        此外，在配置 XML 时我们会涉及到 UWP 应用的 AUMID，可以执行 PowerShell 的 “get-startapps” 获取，当然也可以参考官方文档 - “查找已安装应用的 AUMID”中的其他几个方法。

        准备就绪，执行以下脚本加载 XML 配置，便可实现 Windows 11 的 Multi-app Mode。

        接下来输入官方文档给出的 XML 配置，最后以“"@)”结束输入，再执行 “set-ciminstance -ciminstance $obj” 完成。

<?xml version="1.0" encoding="utf-8" ?>        
< AssignedAccessConfiguration 
  xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config" xmlns:win11="http://schemas.microsoft.com/AssignedAccess/2022/config">        
  <Profiles>        
    <Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">      
      <AllAppsList>        
        <AllowedApps>        
          <App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />        
          <App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />        
           <App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />        
          <App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />        
          <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />        
          <App DesktopAppPath="%windir%system32mspaint.exe" />        
          <App DesktopAppPath="C:WindowsSystem32notepad.exe" />        
        </AllowedApps>        
      </AllAppsList>        
      <win11:StartPins>        
         <![CDATA[ 
          { "pinnedList":[        
            {"packagedAppId":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"},        
             {"packagedAppId":"Microsoft.Windows.Photos_8wekyb3d8bbwe!App"},        
            {"packagedAppId":"Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic"},        
            {"packagedAppId":"Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo"},        
             {"packagedAppId":"Microsoft.BingWeather_8wekyb3d8bbwe!App"},        
            {"desktopAppLink":"%ALLUSERSPROFILE%\Microsoft\Windows\StartMenu\Programs\Accessories\Paint.lnk"},        
             {"desktopAppLink":"%APPDATA%\Microsoft\Windows\StartMenu\Programs\Accessories\Notepad.lnk"}        
          ] }        
        ]]>        
      </win11:StartPins>        
      <Taskbar ShowTaskbar="true"/>        
    </Profile>        
  </Profiles>        
  <Configs>        
    <Config>        
      < Account>MultiAppKioskUser</Account>        
      <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>        
    </Config>        
  </Configs>        
</AssignedAccessConfiguration>

        上述详细的过程可参考 “为 Windows 11 设置多应用展台”。gOxiA 也会继续分享 Multi-app Kiosk 在 Windows 11 上的一些经验心得！

HOWTO: 解决Windows搜索索引性能和容量问题

        当 Windows 搜索性能较差或发现磁盘空间正被索引数据库吞噬时就需要进行相关的优化。通常索引性能受其项目数量和总体大小因素影响。当索引超过40万个项目时，我们便可能觉察到性能问题，它将直接体现在CPU、内存或磁盘利用率上。此外，Windows 搜索还会为 Outlook 邮箱生成索引，如果邮箱包含了超过6万个项目时，索引的性能也可能会降低。

        在容量方面，随着索引数量的增长，不管这些项目的大小如何，索引数据库都会大幅增长。当然项目本身的大小也会影响数据库的大小。索引数据库的文件名为“Windows.edb”，该文件位于“%programdata%\Microsoft\Search\Data\Applications\Windows”下，若要检查该数据库的容量不能仅从文件大小来看，而是要进入其文件属性查看“占用空间”来检查其实际占用的磁盘空间。

        如我们所见，当索引数量和容量这两个因素加在一起时，会使索引问题复杂化。优化的方式有一些，下来我们来看看如何对 Windows 索引进行调优。

        首先，最简单直（Cu）接（Bao）的方法是重建索引。相当于复位了索引数据库，能解决不少问题，但带来的不利因素是重建时所消耗的时间和资源，并且随着时间的推荐，我们的索引依旧会重现数量和容量问题。

        第二种方法，为搜索索引排除文件夹，可以打开 Windows 11 的设置应用，定位至“隐私和安全性”，使用“添加要排除的文件夹”按钮来添加。对于 Windows 10 系统可以在设置的搜索框中键入“搜索”或“排除”查找。

        第三种方法，更改索引处理特定文件类型的方式。我们可以打开“索引选项”，在“高级选项”下的“文件类型”选项卡内进行配置。

        第四种方法，在讲之前我们先了解一个特性！自 Windows 8 开始至 Windows 10/11 索引数据库合并了文件属性和持久索引两类数据，并且会索引整个文件，这种设计是为了提高搜索的召回率和索引以及查询的性能，即全面/综合索引法，这种方法虽然提高了搜索和查询的效率和准确性，但问题也很显而易见，尤其是在小容量固态硬盘普及时期，或小容量系统卷时，大家总会发现硬盘可用容量在不断被吞噬。

        而在 Windows 7 时代，索引数据库只包含了文件属性，而持久索引则单独存储在一个扩展名为 .ci 的文件中，并且对于大型文件也只会对前部分进行索引，所以 Windows 7 的索引数据库要小很多，但其缺点也显而易见。由于文件属性和持久性索引数据存储在不同的文件中，因此可能会导致索引数据的不一致性和丢失（这就是为什么 Windows 7 时代搜索故障/问题在 IT HelpDesk 居高不下的原因）；对于大型文件，由于只索引了文件的前部分，这极大增加了搜索结果的不完整和不准确性；如果需要进行全文搜索的文件类型（TXT），其索引速度会慢很多，因为它需要访问 .ci 文件中的持久性索引数据。

        全面/综合索引和分离式索引的数据存储方式各自都有一些弊端，但考虑到实际效率，且计算性能的提升以及固态存储成本的降低，前者更适应我们现实需求。

        另外，还有一个问题不容忽视，Outlook 的邮箱数据文件！通常我们仅会缓存一年或者半年的邮件，此时并不会遇到很严重的容量问题。但是如果客户端将 Outlook 配置为使用 PST 文件，并且下载了所有数据，那么在 Windows 10/11 平台上，由于前面所描述的特性因素，会发现 Windows.edb 的文件容量非常之大。此时 IT 人员就需要考虑为客户端减少索引范围，然后重新生成索引来缓解。或者使用第四种方法 - 对索引数据库进行碎片整理，为此执行如下命令行。

sc config wsearch start=disabled

net stop wsearch

esentutl.exe /d %programdata%\Microsoft\Search\Data\Applications\windows.edb

sc config wsearch start=delayed-auto

net start wsearch

        OK，今天的分享就到这里！如果您在应用和部署 Windows 时遇到什么问题欢迎与我联系交流。

TPM 和 Windows 功能

        Windows 11 的发布快速推动了 TPM 的普及率，从早期的 TPM 1.x 到 现在的 TPM 2.0 经历了很长的一段时间，在过去只有特殊应用场景的电脑设备才会被管理员启用 TPM 实施某些安全保护，但现在 TPM 已经作为一个必须启用的安全组件，包含在我们的 Modern Device 中。对于设备的最终用户，TPM 貌似并不直接与用户交互，但它却至关重要，例如 BitLocker 硬盘加密，Windows Hello 生物验证都需要用到 TPM，并且很多关键的安全功能也都会使用到 TPM，不论是 Windows 家庭版、专业版还是企业版也都可应用 TPM，下面让我们具体了解一下 Windows 哪些功能需要 TPM 支持。

• 度量启动，需要 TPM，支持1.2和2.0，并依赖 UEFI 安全启动，微软建议使用 TPM 2.0，因为支持较新的加密算法。
• BitLocker，非必须 TPM，支持1.2和2.0，虽然 TPM 不是必须的，但微软建议基于 TPM 2.0 实施 BitLocker，因为性能更好，更安全可靠。
• 设备自动加密，需要 TPM，支持2.0，OEM 或 组织 IT 可以借助自动加密技术，预先配置 BitLocker，当条件满足时就会立刻启用 BitLokcer，无需等待或单独配置。
• Windows Defender System Guard（DRTM），需要 TPM，支持2.0。
• Credential Guard，非必须 TPM，支持1.2和2.0，与 DRTM 集成，利用 TPM 2.0 可为 Credential Guard 提供增强的安全性。
• 设备运行状况证明（Device Health Attestation），必须 TPM，支持1.2和2.0，微软建议使用 TPM 2.0，因为支持较新的加密算法。TPM 1.2 仅支持正在启用的 SHA-1。
• Windows Hello/Hello Business，非必须 TPM，支持1.2和2.0，AAD虽然加入了两个版本的支持，但需要带有键控哈希消息身份验证代码（Keyed-hash message authentication code - HMAC）和认可密钥（Endorsement Key - EK）证书来支持密钥证明。微软建议使用 TPM 2.0 获得更高性能和安全性。Windows Hello 作为 FIDO 平台验证器时将利用 TPM 2.0 进行密钥存储。
• TPM 平台加密提供程序密钥存储提供程序，需要 TPM，支持1.2和2.0。
• 虚拟智能卡，需要 TPM，支持1.2和2.0。
• 证书存储，非必须 TPM，支持1.2和2.0，仅当证书存储在 TPM 中时才需要 TPM。
• Windows Autopilot，非必须 TPM，支持2.0，当使用自部署模式和预配部署模式（过去称之为 白手套模式）需要 TPM。
• SecureBIO，需要 TPM，支持2.0。

        注意：TPM 2.0 在 BIOS 的旧版和 CSM 模式中不受支持，具有 TPM 2.0 的设备必须将其 BIOS 模式配置为 UEFI，并且必须禁用旧版和兼容性支持模块（CSM）选项。为了增强安全性，还应启用安全启动（Secure Boot）。

HOWTO: 解决 Windows 11 下 Edge 提示“你的连接不是专用连接”问题

        前几天遇到一个问题，一台 Windows 11 笔记本电脑连接其家中的路由器，上网访问网站一直报“你的连接不是专用连接”，看起来像是网站证书的问题，如果继续访问大概率会提示“未检测到入户网线”。重启路由器无效，重置 Microsoft Edge 浏览器依旧无法解决。

        排查家庭网络，发现入户光缆与GPON连接，然后室内网线连接至客厅电视旁的移动路由器，走的PPPoE拨号方式入网。为了解决室内Wi-Fi信号覆盖，移动路由下又连接了一个小米的AX6000路由器，通过DHCP方式从移动路由获取地址进行网络访问，其他手机和笔记本都与小米AX6000连接上网。

        看起来这个网络结构也没有问题，并且手机访问网络并未出现前面的提示故障。只有 Windows 11 的电脑会发生。逐一排查 Edge 浏览器配置，一个功能引起了注意 - “使用安全的DNS指定如何查找网络的网络地址”，该选项被打开，并且配置为“使用当前服务提供商”。

        随即将其禁用，并且打开小米AX6000管理界面，手动指定了DNS后，故障消失。初步怀疑是因为使用了安全DNS后发生了查询异常，或者被“拦截”。

微软推动 Windows 自动启动的功能更新

        相信细心的 IT 朋友在微软最近发布的一篇文档中或网上的新闻中已经留意到微软正在 Windows 11 上继续推动一项举措，即：自动启动的功能更新。自 WaaS 以来，Windows 10 和 Windows 11除了每年一次的功能更新以外（Win10 1809 OSBuild 17763，1909 OSBuild 18363，20H1 OSBuild 19041，20H2 OSBuild 19042，21H1 OSBuild 19043，21H2 OSBuild 19044，22H2 OSBuild  19045；Win11 21H1 OSBuild 22000.1516，22H2 OSBuild 22621），Windows 系统还会在每月收到质量更新（如 gOxiA 当前系统是Windows 11 的 22H2，内部版本号是22621.1194，其中1194即每月质量更新后便会更新的数字版本），其中包括功能改进、最新的安全威胁防护以及重要问题解决。

        运行 winver 可获取当前系统的版本信息。

        要持续接收每月更新，必须确保在使用的 Windows 版本是受支持的，也就是我们常说的在生命周期支持内的 Windows，每一个功能更新版本都有一个生命周期，如果生命周期结束，该版本则无法接收每月更新，除非更新到受支持的功能更新版本上。为了帮助设备保持在受支持的 Windows 版本上，Windows 更新会在服务结束之前或即将结束服务时自动为设备启动功能更新。在过去用户可以自行跳过或忽略功能更新。

        注意，自动功能更新仅提供给消费者类型的用户设备以及非托管的商业类型设备。所以，并非向网上某些媒体宣传的那样“可怕”。

        最后，提供一些有价值的参考资料：

Windows 10 和 Windows 11 的发布信息可参考：

• Windows 10 release information
• Windows 11 release information

Windows 质量更新和功能更新介绍：

• Windows 质量更新
• Windows 功能更新

HOWTO: 使用 Intune CSP 控制 Windows 电源节流功能

        在 Windows 10 的某一版开始，微软向其添加了一个改善能耗的重要功能 - Power Throttling（电源/功率节流）。这项技术可以大大降低应用程序耗费掉的电量，据悉单 CPU 功耗这一项就能节省出来 11% 电量。

        那么它是什么原因如何实现的呢？！

        当我们在使用 Windows 时借助其多任务的特性，通常会同时运行很多应用程序，但不是每个应用程序都需要同时操作或使用，那些处于后台运行的内容就会不断消耗我们的电量，对于笔记本设备来说，意味着我们打开了很多并未真正使用的应用程序后而耗尽我们有限的电池电量。

        为此，微软为了能够大幅提升电池寿命，结合英特尔酷睿处理器的速度转换技术（≥ Gen6 Intel Core），为 Windows 10/11 操作系统开发了 Power Throttling 功能，它可以通过操作系统标识来识别出前台应用、播放音视频的应用，以及我们从运行应用的需求和用户与之交互的应用推断出的其他类别的重要工作，然后对那些不需要后台使用的应用程序进行电源限制，确保当程序切换至后台时能够暂停工作，从而降低对 CPU 的需求，实现电量节省的目标。例如 Edge 浏览器，默认它就支持电源节流，在最新的版本上还能实现对每一个标签页实现电源节流。

        但并不是每一个应用程序都能很好的适应这项技术，特别是过去一些传统的 Win32 应用程序，如果我们发现某些应用程序出现了异常，可以使用任务管理器进行排查，是否启用了电源节流，在 Windows 10 上用户可以通过拖动电源滑块来解决，当电源滑块位于“节电模式”或“推荐模式”时，Windows 将尽最大努力将处理器保持在有效范围内；如果滑块位于“更好性能模式”将会降低后台任务的 CPU 限制，如果是“最佳性能模式”，将会禁用电源节流。

        当然，我们也可以通过组策略来强制禁用或启用这项功能，对于提倡绿色环保节能的今天，我们还是应该更多的改进资源的使用，降低能耗。要通过组策略配置电源节流，可定位至“计算机配置 - 管理模板 - 系统 - 电源管理 - 电源节流设置”，禁用“关闭电源节流”。

        如果要通过注册表配置，则路径和键值信息如下：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power\PowerThrottling

PowerThrottlingOff DWORD

0 = Enable

1 = Disable

        对于使用现代管理的企业 IT，可以通过 Intune 下发 CSP 策略，具体信息如下：

Scope：设备

SKU：Pro、Enterprise

Version：Windows 10 1904x.1202及更高版本，或 Windows 11 22000及更高版本

Device：./Device/Vendor/MSFT/Policy/Config/ADMX_Power/PowerThrottlingTurnOff

Format：chr

参考链接：https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-admx-power#powerthrottlingturnoff

        如果希望单独对某个应用禁用电源节流，则可以使用 powercfg 的 powerthrottling 选项。 ]]> https://goxia.maytide.net/read.php/2058.htm gOxiA <sufan_cn@msn.com> Mon, 10 Oct 2022 05:34:00 +0000 https://goxia.maytide.net/read.php/2058.htm

HOWTO: 解决 Windows 运行态下 Capture OSImage 过慢问题

        当我们在 Windows 运行态下挂载一个 VHDX 文件，并希望将其捕获为一个 WIM 映像文件时可能会发生进度停滞的问题，此时如果打开任务管理器查看磁盘状态会看到磁盘处于读状态，大概每秒几十兆左右，而写入速度几乎为零，或只有几百字节或几兆字节，最高也就几十兆。

        查看保存 WIM 的目录发现该文件已经生成，但容量仍为零字节。使用资源监视器筛选 DISM 进程，可见正在处理任务，切换至磁盘活动选项卡，并未有实际的读写操作，如果此时按照读写频率进行排列时会发现进程 MsMpEng.exe 正在运行并产生了大量的读操作。说明 Windows Defender 正在后台扫描文件。

        据此，原因找到！如果要捕获的卷数据是可信赖的，尤其对于桌面标准化编制人员来说，挂载操作 WIM 文件是常见的工作，通常会将 WIM 文件做例外，但挂载 WIM 到目录后将遵循 Windows Defender 的扫描策略，此时可以考虑在合规安全按的前提下暂时关闭 Defender。

        但当准备临时关闭 Defender 时却发现实时保护无法关闭，且正受到“防篡改保护”（Tamper Protection），如下图所示。这通常是因为企业 IT 人员下发了安全策略。

        如果继续等待恐怕捕获映像的效率会大大降低，如果单独再搭建 Hyper-V 虚机环境来操作又太过繁琐，当然这是推荐的方案！但也可以考虑其他临时对策，虽然防篡改保护禁止关闭 Windows Defender 的实时保护功能，但安全策略可能未限制用户使用“排除项”，为此可打开“病毒和威胁防护”，找到“病毒和威胁防护设置”，点击“管理设置”，就可以看到“排除项”下的“添加或删除排除项”，然后添加要捕获的卷的盘符号即可，如："E:\"。当完成映像捕获后，再删除该排除项即可。

Windows 安全启动的最低服务需求

        当我们在对 Windows 故障进行排错时通常会使用系统内置的 msconfig 命令执行诊断启动，也就是我们常说的干净启动。在此启动模式下，仅会加载基本的设备和服务，通常可以确保系统能够正常启动进入桌面执行基本任务，便可针对系统缓慢、系统冻结等问题进行排错。

        如果诊断启动仍未让系统正常运行，我们还会通过高级启动选项，将系统引导启动至安全模式或带有网络连接的安全模式。自 Windows 10 开始要进入安装模式除了通过 shutdown -o，或者shift + 重启，或者通过 Windows 设置中恢复选项下提供的“高级启动”以外，还可以通过在设备加电启动后长按电源键执行两次强制关机来实现高级启动。这样我们便有机会在无法正常操作系统的前提下进入 Windows 安全模式。在某些极端的情况下，我们可能需要借助 Windows PE 加载脱机系统的注册表对服务进行修改，使其满足安全启动的需求，为此提供以下颇有历史的列表供大家参考：

1. 安全模式

•Cryptographic Services

•Event Log

•Help and Support

•Logical Disk Manager Administrative Service

•Net Logon

•Plug and Play

•Remote Procedure Call (RPC)

•Windows Management Instrumentation

2. 带有网络连接的安全模式

•AFD Networking Support Environment

•Computer Browser

•DHCP Client

•DNS Client

•Event Log

•Help and Support

•Logical Disk Manager

•NetBIOS Interface

•NetBios over Tcpip

•Net Logon

•Network Connections

•Plug and Play

•Remote Procedure Call (RPC)

•Server

•TCP/IP NetBIOS Helper

•TCP/IP Protocol Driver

•Terminal Services

•Windows Management Instrumentation

•Workstation

        对于现代操作系统 Windows 11，我们可以进入安全模式检索启动的服务，检索的工具可以是 Services.msc 服务管理器，当然也可以动用一些命令，会更容易生成所需的列表信息，或直接进行排错。

        使用 sc query type=service 便可在 cmd 环境下检索当前正在运行的服务，它们便是 Windows 当前版本在安全模式下所需的服务；如果使用driver类型，则会显示安全模式下活动的驱动。对于排错是不是很妙。

        如果希望将当前在运行的服务列表直观的显示出来并用于保存，恐怕用 PowerShell 是更方便的。如：

Get-Service | Where-object {$_.status -eq "running"}

        末尾感叹一下，自带进入 Windows 10 时代，好像就很少几率在用到安全模式，因为系统已经变得非常稳定、安全！不是吗？！ ]]> https://goxia.maytide.net/read.php/2043.htm gOxiA <sufan_cn@msn.com> Tue, 20 Sep 2022 02:20:55 +0000 https://goxia.maytide.net/read.php/2043.htm
HOWTO: 解决 内核隔离的内存完整性已关闭 问题

        前段时间遇到了一个内核隔离中内存完整性功能被关闭的问题，如下图所示 Windows 安全中心报了一个警告查询后发现内存完整性被关闭，如下图所示：

        可以点击“查看不兼容的驱动程序”来确认是哪个模块导致的内存完整性关闭，本例确认为 ftdibus.sys，发布名称为oem114.inf，找到该文件查询其数字签名发现该文件具有多个签名，其中 SZ DJI 这个让 gOxiA 回想起之前安装的某个软件，看来卸载程序后并没能从系统正确移除相关的驱动。

        为了确保万无一失，检索了当前实例中安装的驱动发现除了ftdibus外还有多个驱动，从文件日期看确实比较久远，应该是未能满足系统的兼容性需求。

        确认了需要移除的驱动后，便可以使用 DISM 的 remove-driver 参数卸载，这里不再复述。比较好奇的是这款陈旧的驱动为什么会有多个数字签名，并且还额外的搭上了 DJI 的，随即在网上搜索了一下了解到 FTDI 是一家从事 USB 技术的苏格兰半导体设备公司，主要开发将 RS-232 转换为 USB 信号的设备和电缆，所以 ftdibus 应该就是用于转换信号的驱动了，如果大家有在用 DJI 产品的不妨试试从官方下载对应系统版本的驱动来试试，网址为：https://ftdichip.com/drivers/

HOWTO: 利用 Windows 提供的触摸手势提升操作体验

        Windows 11 是一款现代操作系统，增强了人机交互的自然操作模式，不论在系统界面外观还是操作逻辑上都进行了优化。我们已经能够很轻松的使用手指通过触摸的方式在提供了触控屏幕或触摸板上快速地执行一些操作，简化了操作步骤，提升了操作体验，尤其是在笔记本上，我们无需在外接鼠标和键盘之间反复切换，可以直接通过触控屏幕或笔记本上内置的触摸板进行操作。

        前面说了这么多，是否已经心动，接下来的介绍需要你的设备拥有多点触控屏幕和多点触摸板。如果还没有接触过此类设备不妨留意微软的 Surface 产品，其触控和触摸功能都受 Windows 原生支持，无需额外安装应用支持。

        首先我们来了解针对触控屏幕提供的手势支持。

1. 选中或点击一个对象时，单指点击屏幕

2. 滚动内容时，两指放在屏幕上，水平或垂直滑动

3. 放大或缩小时，两指放在屏幕上，捏合或伸展

4. 显示更多命令（=鼠标右键），单指在屏幕上长按

5. 显示所有打开的窗口，在屏幕上用三指向上轻扫

6. 显示桌面，在屏幕上用三指向下轻扫

7. 切换到最后一个打开的应用，在屏幕上用三指向左或向右轻扫

8. 打开通知中心，从屏幕右侧边缘用单指向内轻扫

9. 查看小组件，用单指从屏幕左侧边缘向内轻扫

10. 切换虚拟桌面，在屏幕上用四指向左或向右轻扫

        如果多指操作时无效，请检查“开始-设置-蓝牙和其他设备-触控”，打开“三指和四指的触摸手势”。

        对于没有触控屏幕的同学也不要气馁，如果在“开始-设置-蓝牙和其他设备” 中可以看到“触控板”选项，说明以下的操作将被支持，此外需要特别说明的是支持多点触控技术的触摸板虽然提供了物理的左右按键但实际上可以完全忽略，这样实际操作中减少了机械式的物理操作不仅不容易劳累，也增加了触摸板的物理寿命。

1. 选中或点击一个对象时，单指点击触摸板

2. 滚动内容时，两指放在触摸板上，水平或垂直滑动

3. 放大或缩小时，两指放在触摸板上，捏合或伸展

4. 显示更多命令（=鼠标右键），两指点击触摸板

5. 显示所有打开的窗口，在触摸板上用三指向上轻扫

6. 显示桌面，在触摸板上用三指向下轻扫

7. 在打开的应用或窗口之间切换，在触摸板上用三指向左或向右轻扫

8. 切换桌面，在触摸板上用四指向左或向右轻扫

        如果你在使用具有指点杆和触摸板双控的设备，请留意是否在“蓝牙和其他设备-触摸板”中打开了它，此外在该页面中我们还可以自行配置手势。

HOWTO: 禁用自动驱动程序更新

        微软和 OEM 厂商不断在完善和简化系统设备驱动的更新机制，过去我们都要定期检查厂商的驱动网站或专用工具来更新设备的驱动程序，在国内还有很多第三方的驱动安装工具，但在一定程度上都存在很大的问题。在 Windows 10 和 Windows 11 上我们已经能够从 Windows Update 获取设备的稳定版驱动或用来更新到最新版本，相当便利！但是也有一些比较特殊的情况，例如 gOxiA 的 ThinkStation 由于从 Windows Update 获取的 UEFI Firmware 总发生更新后异常启动的问题，或者一些企业 IT 希望自己管理驱动更新，此时就需要禁用自动驱动程序更新。

        下来，我们来看看在 Windows 10/11 上有哪些方案可以实现我们的需求。

1. 通过“系统属性”，它是传统的 Windows 控制面板选项，我们可以通过搜索“Sysdm.cpl”或“高级系统设置”来打开它。打开系统属性后，切换到“硬件”选项卡，点击“设备安装设置”，然后选择“否”并保存更改。

2. 通过注册表，我们可以打开注册表编辑器（regedit），定位至:

“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching”

将“SearchOrderConfig”的 REG_DWORD 值改为 “0”

3. 对于企业 IT，可以通过 GPO 下发策略。其位于“计算机配置-管理模板-Windows组件-Windows更新-管理从Windows更新提供的更新”，启用“Windows更新不包括驱动程序”。

        正如 gOxiA 前面介绍的，利用 Windows Update 我们能够很方便的获取安全可靠的驱动程序，而无需担心第三方源带来的问题，除非遇到特殊的情况，否则我们应当积极充分利用 Windows Update 来实施更新，包括驱动程序更新。

Windows 启动过程的保护技术

        “安全”是这些年最热门的话题之一，Windows 操作系统也在不断完善和增强自己的安全性，我们看到了显著的成果。今天 gOxiA 来分享一些关于 Windows 启动过程的保护技术。

        对于Windows启动过程所面临的威胁恐怕当属Rootkits，作为恶意软件的一部分，它可在内核模式下运行，将拥有与操作系统相同的权限，并且先于操作系统启动，可想而知它的威力、自身隐藏和防御机制有多强大。

        Rootkits可以在启动过程的不同阶段加载不同类型的Rootkit：

1. Firmware rootkits，可覆盖PC的I/O系统或其他硬件固件，从而可先于Windows启动。
2. Bootkits，可取代操作系统的引导加载程序，也可实现在操作系统之前加载。
3. Kernel rootkits，可取代操作系统内核的一部分，因此可随Windows加载时自启动。
4. Driver rootkits，将伪装成Windows用于与硬件通信的受信任驱动程序的一部分。

        Windows 目前支持四项功能，以帮助防止在启动过程中加载 Rootkit 和 Bootkit。

1. Secure Boot，即“安全启动”通过将具有 UEFI 和 TPM 的电脑配置为仅加载受信任的操作系统启动加载程序。我们知道当 PC 启动时会首先寻找操作系统的引导加载程序，也就是我们常说的启动程序，没有安全启动的 PC 将无法判断它是受信任的操作系统还是 Rootkit，将会运行硬盘上的任何可引导加载程序。如果 PC 配备了 UEFI，当它启动时首先验证固件是否已进行数字签名，如果启用了安全启动，固件将检查启动加载程序的数字签名，确保其没有被篡改，如果引导加载程序完好无损，则仅当满足下列条件之一时，固件才会启动引导加载程序。
   a. 引导加载程序是使用受信任的证书签名。对于经过 Windows 认证的电脑，Microsoft 证书是受信任的。
   b. 用户已手动批准了引导加载程序的数字签名。此操作允许加载非 Microsoft 操作系统。
2. Trusted Boot，即“受信任启动”Windows 在加载启动过程的每个组件之前进行完整性检查。在实际过程中，受信任启动将接管安全启动结束的位置。引导加载程序在加载之前验证 Windows 内核的数字签名。反过来，Windows 内核会验证其启动过程的所有其他组件，这包括了驱动程序、启动文件和 ELAM。如果文件被篡改，引导加载程序会检测到问题并拒绝加载损坏的组件。通常，Windows 可以自动修复损坏的组件，恢复 Windows 的完整性并允许 PC 正常启动。
3. Early Launch Anti-Malware (ELAM)，即“提前启动反恶意软件”在加载驱动程序之前进行扫描测试，防止加载未经批准的驱动程序。前面讲到安全启动保护了引导加载程序，而受信任启动保护了 Windows 内核，那下一个被恶意软件盯上的机会便是感染那些非 Microsoft 启动驱动程序。传统的防病毒软件在加载启动驱动程序后才会启动，这为伪装成驱动程序的 Rootkit 提供了机会。而提前启动反恶意软件（ELAM）可在所有非 Microsoft 启动驱动程序和应用程序之前加载微软或非微软的防病毒驱动程序，从而形成安全启动和受信任启动后的信任链。由于操作系统还没有启动，并且 Windows 需要尽快启动，因此 ELAM 有一个简单的任务：检查每个启动驱动程序并确定它是否在受信任的驱动程序列表中。如果它不受信任，Windows 将不会加载。ELAM 驱动程序并不是一个功能齐全的防病毒软件解决方案，我们熟知的 Windows Defender 就支持 ELAM。
4. Measured Boot，即“度量启动”将记录每一次的启动过程，与之前受信任的启动数据进行比对，客观评估电脑运行状况。该项技术旨在防范那些看起来很健康，但其实已经感染了 Rootkit 的 PC 。这些 PC 可能正在运行防病毒软件，但其实已经感染了恶意程序。度量启动技术可以用来验证 Windows 启动过程的完整性，它会使用如下过程：
   1) PC 的 UEFI 固件在 TPM 中存储固件、引导加载程序、启动驱动程序的哈希值，以及将在防病毒软件应用之前加载的所有内容。
   2) 在启动过程结束时，Windows 将启动非 Microsoft 远程证明客户端。受信任的证明服务器向客户端发送唯一密钥。
   3) TPM 使用唯一密钥对 UEFI 记录的日志进行数字签名。
   4) 客户端将日志发送到服务器，其中还会包含其他安全信息。
   根据实际运行数据和配置数据，我们可以确定客户端是否在正常运行。

        综上，Windows 现行提供的启动保护技术创建了一个从根本上抵御 Rootkit 的体系结构。确保了 Windows 安全。参考文档：Secure the Windows boot process | Microsoft Docs

Windows on ARM 在企业中的可行性见解

        Windows ARM 已经面世一段时间，但大家貌似并没有积极的追捧，特请不高，可能除了对性能表现有一些担忧外更多的是考虑系统和软件的兼容性了。但不可否则 Windows ARM 也有其先天的优势特性：

• 始终连接到互联网，通过蜂窝移动数据连接，可以在任何获得蜂窝移动网络信号的地方联网在线，就像用手机一样。（PS：虽然 x86 架构的设备也有 LTE 或者 5G 的支持，但对于调制解调器这块恐怕还是高通的最为强劲和稳定了。）
• 电池续航时间超过一整天，就像手机一样 ARM 架构的硬件貌似具有天然的优势，非常省电。相对于传统 PC 笔记本的 4~6 小时，ARM 显得更具竞争力。
• 立即开启，ARM 的架构使其电源管理相对于 x86 更加有效，可以在电脑上实现像手机那样按电源按钮即可开关屏幕，而无需等待。虽然 Windows 为 x86 设计了快速启动和Modern Standby，但兼容性和稳定性还是无法避免的。

        此外， ARM 的 Windows 设备也更加小巧，成本更低廉。现在 Windows 11 ARM 上还提供了 x64 的支持，这也意味着它可以运行更广泛的应用程序。如果您所在的企业正打算尝试部署 ARM 来取代那些陈旧老式的 Windows PC，那么以下内容可能会有帮助。

        Windows on ARM 存在一些限制：

• 硬件、游戏和应用的驱动程序只有专为基于 Windows ARM 的电脑设计时才有效。这意味着如果您连接了非 Windows PnP 的外设，将无法正常使用他们，这些外设可能是：打印机、摄像头等等。
• 某些游戏将无法运行，虽然大部分企业并不会允许它的员工运行游戏，但我们需要注意如果游戏或应用使用大于3.3的OpenGL版本，则他们将无法正常工作。
• 虽然支持模拟 x86 和 x64，但仍旧会出现应用程序不兼容的情况，他们可能是输入法、云存储应用或某些辅助技术应用。此外不要忽视第三方的防病毒软件，除非他们支持 Windows ARM。

        当前能给出的最佳建议：

• 尽可能的选择基于 ARM 开发的应用程序。（PS：目前已经有很多知名的应用提供了 ARM 版，比如 VLC 一款视频播放器，还有我们熟知的 Edge 浏览器，以及常用 Teams……等等）
• 在操作系统安装方面，由于微软目前仅面向 Insider 发布有 ISO 格式的 Windows Setup，所以如果我们需要部署那些 RTM 版本，则需要从现有的 ARM 设备中将系统备份出来。如果您是一位桌面标准化的 IT，会知道 Windows ADK，它会提供 ARM 版的 PE。
• 在系统部署方面，既然有了 PE，也是可以实现自动化甚至批量部署的，此外更为推荐的是采用动态部署或现代部署方案，例如 PPKG，或使用 Intune。
• 对于 Windows 管理，建议通过 Intune，除了可以下发系统策略，还可以推送软件和脚本。
• 对于 Windows 服务，除了现有的 WSUS 可以确保 ARM 系统状态保持最新，建议使用 Intune 的 Windows Update for Business。
• 排错方面，感谢 Mark Russinovich 提供了 Sysinternals 的 ARM 版本。

Windows 的 USB 选择性挂起

        USB 选择性挂起（USB Selective Suspend）是 Windows 针对硬件设备的一个节电功能，允许系统暂时挂起那些处于空闲状态的 USB 设备以节省电池电量。我们知道外接设备连接到笔记本上的 USB 端口后除了进行数据通讯外，还会获取电源，如果该设备一直连接在端口上就会持续消耗掉笔记本的电池能量，于是微软设计了一个电源功能，可以识别那些不在使用的外接设备，将其挂起或置于一个低功耗状态，Windows 已经能够实现特定 USB 端口的挂起操作，而不会影响设备上的其他在用 USB 端口及对应设备。

        USB Selective Suspend 这一功能对笔记本电脑的电池寿命提供了极高的保护，但是在某些情况下该设置也会导致某些 USB 设备冻结或无响应，特别是当笔记本闲置时间过长时。如果我们的系统出现了类似的问题，可以通过禁用 USB Selective Suspend 来解决，简单的执行办法是通过 Powercfg 命令，具体如下：

        之后我们可以执行 Powercfg /q 来查询配置结果，当值为 1  时表示启用了 USB Selective Suspend。

        有关 USB Selective Suspend 的详细介绍可以参考：https://learn.microsoft.com/zh-cn/windows-hardware/drivers/usbcon/usb-selective-suspend，此文介绍了选择性挂起的机制，此外还可以参考：https://learn.microsoft.com/zh-cn/windows-hardware/drivers/kernel/determining-whether-a-device-can-wake-the-system 来确定设备是否可以唤醒系统，这些资料有助于我们理解和排查相关的问题。 ]]>