gOxiA=苏繁=SuFan Blog

Windows 10 1903 面向 IT 专业人员的新功能

        Windows 10 1903 （Windows 10 May 2019 Update）于2019年5月21日正式发布，用户可通过 Windows Update 获取到更新，对于商业用户可通过 WSUS 推送该版本。

        如果你正打算全新安装该版本的系统，可从以下三个途径获取安装源：

• MSDN订阅用户，可从 Visual Studio 订阅中心下载 ISO。
• 普通消费者，可从Windows 软件下载中心，下载媒体创作工具。
• 企业用户，可从批量许可服务中心 下载 ISO。

        截至发稿的当前内部版本号为：18362.116，其生命周期将于2020年12月08日结束。微软建议企业可以开始在整个组织中分阶段部署 Windows 10 1903，以确保在广泛部署前够能验证应用程序、设备和基础架构是否与新版本配合良好。

        对于企业中的 IT 专业人员，有必要了解 Windows 10 1903 如下的更新信息，使之能够从智能安全性，简化更新，灵活管理和提升生产力中受益。

智能安全

Microsoft Defender Advanced Threat Protection (ATP) - Defender 高级威胁防护：

• 减少攻击层面 - IT 管理员可以配置具有高级 Web 保护的设备，使其能够为特定 URL 和 IP 地址定义允许和拒绝列表。
• 下一代保护 - 控制已扩展到防止勒索软件，凭证滥用，以及通过移动存储传输的攻击。
• 完整性强制执行功能 - 启用 Windows 10 平台得以u安城运行时证明。
• 防篡改功能 - 使用基于虚拟化的安全性将关键的 ATP 安全功能与操作系统和攻击者进行隔离。
• 平台支持 - 端点检测（EDR）和端点保护平台（EPP）功能现已支持 Windows 7 和 8.1 环境。
• 先进的机器学习 - 通过先进的机器学习和 AI 模型进行改进，使其能够防御使用新的漏洞利用技术、工具和恶意软件的攻击者。
• 紧急疫情保护 - 当发现新疫情时，将自动向设备更新情报。
• 符合 ISO 27001 标准 - 确保云服务能够分析威胁、漏洞和影响，并确保风险管理和安全控制措施到位。
• 地理定位支持 - 支持样本数据的地理定位和主权，以及可配置的保留策略。

Threat Protection - 威胁防护：

• Windows Sandbox - 隔离的桌面环境，您可以在其中运行不受信任的软件，而不必担心会对设备造成持久影响。
• 麦克风隐私设置 - 通知区域中会出现麦克风图标，让您可以看到哪些应用正在使用麦克风。
• Windows Defender Application Guard 功能增强 - 独立用户可以安装和配置其 Windows Defender Application Guard 设置，而无需更改注册表。企业用户可以检查其设置，以查看其管理员为计算机配置的内容，以便更好地了解其行为。

Identity Protection - 身份保护：

• Windows Hello FIDO2 认证 - Windows Hello 现在是 FIDO2 认证的身份验证器，可为支持 FIDO2 身份验证的网站（如：Microsoft Account 和 Azure Active Directory）启用无密码登录。
• 简化的 Windows Hello PIN 重置体验 - Microsoft Account 用户将获得改进的 Windows Hello PIN 重置体验，其外观与 Web 上登录相同。
• 使用无密码的 Microsoft Account 登录 -支持使用电话号码登录 Windows 10，然后使用 Windows Hello 获得更轻松的登录体验。
• 具有生物识别功能的远程桌面 - 使用 Windows Hello for Business 的 Azure Active Directory 和 Active Directory 用户可以使用生物识别技术对远程桌面会话进行身份验证。

Security management - 安全管理：

• 适用于 WSL 的 Windows Defender Firewall，它允许用户为 WSL 过程添加规则，就像 Windows 一样。
• Windows 安全应用程序 - 包含保护历史记录，包括有关威胁和可用操作的详细且易于理解的信息，受控文件夹访问现在位于保护历史记录，Windows Defender 脱机扫描工具操作，以及任何待处理的建议。
• 防篡改 - 可以防止他人篡改重要的安全功能。

简化更新

• 交付优化 - 提高具有复杂网络的企业和教育机构的同行效率（通过一系列新政策）。现在支持 Office 365 ProPlus 更新和 Microsoft Intune 内容; System Center Configuration Manager 内容即将推出
• 预留存储 - 预留存储留出了更新，应用程序，临时文件和系统缓存使用的磁盘空间，通过确保关键操作系统功能始终可以访问磁盘空间来改善 PC 的日常功能。此功能将在预安装​​了Windows 10 1903 以及全新安装的新 PC 上自动启用。（从以前版本的Windows 10更新时不会启用此功能。）
• 自动重新启动登录（ARSO） - 对于 Azure Active Directory 加入的设备，Windows 将自动以用户身份登录并锁定设备以完成更新，从而确保当用户返回并解锁设备时更新已完成。
• Windows Update for Business - 现在将有一个统一的分阶段部署开始日期（不再有SAC-T指定）。此外，还将为最终用户提供新的通知和重新启动计划体验，实施更新安装和重新启动截止日期的能力，以及在特定时间段内为重新启动提供最终用户控制的能力。
• 更新回滚改进 - 如果在安装驱动程序或每月质量更新后设备无法正常启动，Windows 将自动卸载更新以将设备恢复到正常运行状态。
• 暂停更新 - 所有版本的 Windows 10（包括Windows 10 Home）用户都可以暂停功能更新和每月更新。
• 智能活动时间 - 用户现在可以选择让 Windows Update 根据设备特定的使用模式智能地调整活动时间。
• 改进的更新编排 --Windows 10 1903 通过智能地协调 Windows 更新和 Microsoft Store 更新来提高系统性能，以便在用户远离其设备时才开始运作，从而最大限度地减少中断。
• 改进的更新通知 - 当需要重新启动设备的更新时，用户将在“开始”菜单中的“电源”按钮和任务栏中的Windows图标上看到彩色圆点。
• SetupDiag - 使用此命令行工具对失败的功能更新进行故障排除。

灵活管理

• Windows Autopilot - 注册状态页面（ESP）增强功能提供企业就绪设备，其中包括跟踪通过 Intune Management Extensions 提供的 Win32 应用程序。您现在还可以选择在注册期间通过 Intune 阻止哪些应用。此外，Windows Autopilot 功能和关键更新将在开箱即用体验（OOBE）期间自动开始下载。现在，对于 Windows 10 Pro 以及 OOBE 中的 SKU，默认情况下禁用 Cortana 配音。而且，通过 Windows Autopilot 白手套部署，合作伙伴或 IT 人员可以预先配置 Windows 10 PC，以便在交付给 新的Microsoft Mechanics视频 之前进行完全配置和业务就绪。
• 移动设备管理策略 - Windows 10 1903 提供了用于管理 Microsoft Edge 的新组策略和移动设备管理（MDM）策略。您可以为标准 Azure Active Directory 加入的用户静默启用 BitLocker。您还可以使用 Microsoft 365 管理中心更轻松地为用户管理整个 Microsoft 365 体验。
• Intune安全基准（预览） - 现在包括 Intune 支持的许多设置，您可以使用这些设置来帮助保护和保护您的用户和设备。您可以自动将这些设置设置为安全团队建议的值。

提高生产力

• 更智能地工作 - Windows Shell 现在允许您搜索 WSL 发行版中包含的Linux文件。此外，当您在搜索栏中单击时，将显示热门应用程序和最近的文件。我们还将 搜索和 Cortana 分开，允许 Cortana 充当数字助理，同时使用 Windows 搜索文件，图片，文档等。新的Chrome扩展程序将Google Chrome 活动添加到时间轴视图中。
• 增强工作方式 - 新的辅助功能包括讲述者改进，更多声音和阅读控制，以及易于访问改进，如11个新的鼠标指针大小。Windows 10 1903 还包括 Narrator QuickStart，这是一个新用户的简短教程。此外，您可以点击WINDOWS + .或 ；号，访问新的 kaomojis 和 emojis 表情符号。
• Windows Virtual Desktop - 作为公共预览版提供，Windows Virtual Desktop 允许您提供多会话 Windows 10 体验，Office 365 ProPlus 优化以及对 Windows Server 远程桌面服务（RDS）桌面和应用程序的支持。

以上内容引用自：

What’s new for IT pros in Windows 10, version 1903

HOWTO: 使用 USMT 捕获指定的用户注册表数据

        USMT (User State Migration Tool)，即用户状态迁移工具，其历史悠久且一直免费，可帮助企业 IT 人员在大型的 Windows 部署场景下简化用户数据的迁移过程。USMT 能够从现有系统环境下捕获用户账户、用户文件、操作系统设置和应用程序设置，然后将其迁移到新的 Windows 系统中。

        如果您是第一次听说 USMT，是不是很心动？！希望尽快了解并上手操作，但可惜的是可能会令看官失望了，因为今天的分享恐怕仅适用于已经入门的 USMT 用户。

        是这样，前段时间有位网友向 gOxiA 咨询了 USMT 相关的使用问题，说在手工创建自定义的捕获配置文件后，无法正常迁移数据，遇到 0x0803wa 警告，具体内容是：Registry location HKCU\Software\Microsoft\Internet Explorer\Main [Search Page] is considered invalid in the current context. 如下图所示：

        大致的意思就是注册表位置在当前的上下文是无效的，排除了注册表路径问题，那问题应当就出在自定义的捕获配置文件（.xml）上。下面 gOxiA 提供了正确的文件内容截图。

        在 component 字段，由于没有强制指定上下文，所以其默认为 UserandSystem，所以我们需要在 rules 中强制为 Uesr 上下文，这样才能捕获到我们当前指定的注册表数据。

        另外一个不能忽视的问题，由于当前捕获的数据是隶属 Internet Explorer，其默认属于系统设置，所以我们需要先使用 genconfig 参数生成可选的 config.xml 文件，然后将默认要迁移的系统设置都改为 “no”，这样在捕获的时候即可不迁移系统设置，且仅按照指定的捕获配置文件进行迁移。

scanstate /vsc /o /config:config.xml /i:ie_searchpage.xml /ue:*\* /ui:domain\sufan /v:13 /l:scanstate.log w:\usmtdata

        这样就仅迁移出来了指定用户的指定数据，捕获出来的数据包将会非常小。当需要迁移到用户的新环境下，则可以参考如下命令行。

loadstate /i:ie_searchpage.xml /ue:*\* /ui:domainsufan /l:loadstate.log w:\usmtdata

Bing 搜索的惊喜

        从 Bing 内测到现在已有七年之久，不可否认在这之前我只使用 Google 搜索，也因为众所周知的原因，gOxiA 的首选变成了 Bing。

        Bing 搜索现在已经做的足够出色，满足 gOxiA 的日常使用需求，且已经习惯了将其设置为我电脑、平板、智能手机的默认搜索引擎和浏览器的主页。而且 gOxiA 非常喜欢 Bing 搜索提供的每日一图，并已经使用第三方的 UWP 将其设置为 Windows 背景。

        在今年生日这天，gOxiA 一如既往打开浏览器访问 Bing 搜索，没想到出现了惊喜！正如下面动画图片所演示的那样，Bing 根据登录账号，识别到了生日日期，并给出了特有的祝福界面。

        第二天使用孩子的 Microsoft Account（以前叫LiveID）登录也出现了生日祝福！所以如果您还没有开始使用 Bing 搜索，请即刻行动起来感受它的便利；如果您已经开始使用，别忘记点击 Bing 主页右上角的图标登录自己的账号。

        Bing 搜索仍在不断的改进，gOxiA 也加入到了 Bing Insider，同时也欢迎您的加入！