速览 Windows 11 Enterprise LTSC 2024 Setup 和 OOBE 体验
速览 Windows 11 Enterprise LTSC 2024 Setup 和 OOBE 体验
早些时候 gOxiA 分享了“Windows 11 24H2 正式发布”的日志,提及Windows 11 Enterprise LTSC 2024(以下简称 W11LTSC2024),如果你所在的组织正打算为新的 ATM 或其他专用设备部署这一全新的长期服务版本,那么可以继续浏览下面的内容。今天我们主要关注的内容是 Windows 11 Enterprise LTSC 2024 的 Setup 和 OOBE 阶段的变化。自 Windows 11 Insider Preview 26040 开始 Windows Setup 发生了变化,提供了全新的 UI 体验。从安装过程来看本质上并没有变化也不会对先前的自动化部署配置产生影响,我们可以先从以下一组截图了解最新的 Windows Setup 阶段(Windows PE settings / Windows Setup settings / offlineServicing)。
1. 仍旧提供了选择安装语言和格式的向导步骤,在此选项中我们可以选择要安装的 OSImage 语言版本,并为其指定时间和货币格式。
2. 在安装过程中我们可以为系统指定键盘和输入方法,对于简体中文系统默认为“微软拼音”。
3. 安装选项中提供了两个选择:“安装 Windows 11”或“修复个人电脑”,如果全新安装可选择前者,并复选“I agree everything will be deleted including files, apps, and settings”;如果选择后者则进入 PE 并提供“疑难解答”工具对系统进行修复。注意左下角“以前版本的安装程序”,我们可以切换到过去的 Windows Setup UI 体验。
4. 一如既往的声明和许可条款。
5. 硬盘分区的创建。如果直接“Create Partition”向导会为选中的硬盘默认创建三个分区:EFI:100MB,MSR:16MB,剩余空间给到 OS。
6. 如果符合安装就绪检查向导页面会给出提示,并做最后的安装确认。点击“安装”,向导下一步就会将 OSImage 释放到硬盘上。
7. 通过安装进度页面我们可以查看 OSImage 的释放进度,以 USB 3.2 规格的 U盘为例,安装速度大概是3-4分钟。
以上七个步骤完成后,即告 Windows Setup 结束,也就是我们说的 Windows 安装完毕。之后设备会自动重启并执行初始化阶段(Specialize),由于是在 Hyper-V 虚拟机上,使用默认配置,所以此阶段完成速度很快,等待时间缩短很多。
之后,我们就迎来了 OOBE 阶段,W11LTSC2024 与过去的版本并没有太大的区别,往下看具体步骤。
1. 选择“国家(地区)”,简体中文默认为“中国”。
2. 键盘布局和输入法,这里是默认的“微软拼音”。
3. 下一步之后会提供额外的键盘布局选项,通常我们都会跳过。
4. 仅提供 Microsoft 365 登录选项,W11LTSC2024去除了个人登录的选项。如果希望在进行 Microsoft 365 账号身份验证时使用其他验证方式,可以选择“登录选项”。(PS:本地域登录选项也包含在其中!!!)
5. 在登录选项界面中,提供了两个选择“人脸、指纹、PIN 或安全密钥”;而“改为域加入”可以允许我们使用本地的域账号进行登录配置或创建本地账号。本例我们选择后者以继续。
6. 填写一个本机账户名称,它将作为该系统的默认登录账户,并拥有管理员权限。
7. 为该账户配置一个密码。
8. 进行设备的隐私设置,当点击下一页后会继续显示下拉框底部的选项强制用户查看配置,之后方可点击“接受”完成配置。
9. OOBE 阶段会检查 Windows 更新,如果使用本机账号配置登录,则会从 Windows Update 获取最新的月度累计更新。下载和安装所消耗的时间取决于当前网络质量和设备性能。
10. Windows Update 完成之后将进入最后的准备阶段。
11. 在进入桌面前,会显示“同意个人数据跨境传输”,需要点击“下一步”才能继续。
OK,完成以上十一个步骤之后我们即可进入 Windows 桌面。(注意:在前面的步骤中 W11LTSC2024 并未提供计算机命名的向导。)
从下图可见 W11LTSC2024 非常精简,未包含额外的应用(仅包含了 Microsoft Edge、画图、截图工具和远程桌面连接)以及 OneDrive,但默认提供了 Windows Defender,确保系统安全。系统性能方面,初始状态对CPU、内存和硬盘的占用量也都极低。(PS:题外话,这恐怕是很多用户希望选择此 SKU 的主要原因吧,但请注意 W11LTSC2024 仅适用于那些 ATM 或医疗等专用设备,并且有严格的限制,对于用户体验要想获得 Windows 11 最佳的使用体验,还是应当选择常规版本。)
通过以上过程我们了解了 Windows 11 Enterprise LTSC 2024 的 Setup 和 OOBE 过程,它们依旧支持传统的部署方法,可以继续使用应答文件对 Windows Setup 和 OOBE 实现自动化,这样大大降低安装的复杂性,节省时间和人力,同时也为 IT 提供了更灵活的部署选择。后面 gOxiA 将于大家分享自动应答文件相关的资讯,以便有需要的 IT 人员 参考。文末提示:gOxiA 已使用 W11LTSC2024 做了基于 21v 的 Intune Windows Autopilot device preparation 的测试验证。
Windows 11 24H2 正式发布
Windows 11 24H2 正式发布
国庆10.1假期开始,微软也在这一天正式发布到了 Windows 11 24H2,其中还包含了 Windows 11 24H2 LTSC 版本。24H2 继续遵循 Windows 11 服务时间线,其中专业版自发布日期起服务24个月(2年),企业版为36个月(3年),而LTSC 版则长达60个月,即 2024年10月1日 至 2029年10月9日(5年)。
Windows 11 Windows 11 24H2 的起始版本号为 26100.1742,在 10.8 发布的月度累计更新已升级到 26100.2033。作为 Windows 11 的一次重要功能更新,以及 Copilot+ PC(Windows 11 AI+ PC)的 AI 基石,24H2 为 IT 和 最终用户带来了一系列的全新功能和体验。
24H2 中 Copilot+ PC(Windows 11 AI+ PC)独有的功能:
- 实时字幕,允许将音频和视频内容实时翻译为英文字幕,目前支持44中语言。
- Windows Studio Effects,AI支持的视频通话和音频效果的统称,我们可以在实时会议中实现电脑摄像头的人物自动跟踪,背景虚化,人物聚焦,眼神交流,视频特效等,在音频方面还支持消除噪音。
- 画图中的 Cocreator,可以根据我们绘制的草图结合文字描述生成令人惊叹的插图。
- Auto Super Resolution(Auto SR - 自动超级分辨率),Windows 原生的由 AI 驱动的超级分辨率解决方案,使游戏播放更流畅,并具有更高分辨率的细节。
- Microsoft 照片应用中的图像创建器和 Restyle 图像,现在 Microsoft 照片应用已经不仅仅是我们的照片查看器,它集成了 AI 功能,可以帮助用户重新映像照片或创建新的图像。
对于所有 Windows 11 24H2 的电脑将默认启用如下新特定和功能:
- 改进的 Windows LAPS,完善策略和新的自动账户管理。例如:
- 自动创建托管本地账户
- 配置账户名称
- 启用或禁用账户
- 随机化账户名称
- 个人数据加密(PDE),基于用户身份验证的加密来保护已知的 Windows 文件夹。对 Windows SKU 及 Windows Hello 有一些前置条件。
- 适用于企业的 App Control(过去称为 Windows Defender Application Control),可更好保护用户的数字资产免受恶意代码的侵害。
- Windows 保护打印模式,无需依赖 Morpia 认证打印机的第三方软件安装程序。
- 本地安全机构(LSA)保护,帮助防止用于登录的机密和凭据被盗。
- 支持 Wi-Fi 7(IEEE 802.11be)。
- 辅助设备的蓝牙 LE 音频支持。
- Windows 位置改进,添加了新控件可帮助管理哪些应用程序可以访问用户周围的 Wi-Fi 网络列表。
- Windows 内核中的 Rust,提供了 GDI 区域 win32kbase_rs.sys的新实现。众所周知 Rust 在可靠性和安全性方面要优于 C/C++,未来 Windows 内核将更多的使用 Rust。
- 支持 SHA-3
- Sudo for Windows,通过命令行方式来执行管理员身份提升,gOxiA 在之前的日志有做过分享“体验 Sudo for Windows”。
在 Windows 11 24H2 中还引入了服务器消息块(SMB)协议更改;远程桌面连接的改进;支持创建7-zip和TAR存档文件;节能器可配置为自动运行或通过快速设置手动打开和关闭;还为自适应亮度增加了根据内容更改亮度的选项;扩展了 Voice Clarity 的可用性,可实时消除回声、抑制背景噪音并减少混响;还有个值得一提的改进是在 OOBE 阶段当需要联网但没有 Wi-Fi 驱动时,系统会提供安装驱动的选项来安装已经下载的驱动程序。
Windows 11 24H2 已经可以从多个官方渠道获取:Microsoft 365 管理中心;Software Download Service;Visual Studio 订阅。对于备受关注的 Arm 版 Windows 11 24H2 ISO,相信也将会在近期上线,拭目以待!
对于需要进行系统评估和验证的组织,微软目前也提供了 Windows 11 企业版评估,提供90天免费试用期限。已经着手在生产环境部署的 IT,可以下载 适用于 Windows 11 24H2 的管理模板。
最后友情提示,Windows 11 IoT 企业版 LTSC 2024 除了可通过 OEM 获得,现在也支持通过批量许可直接从微软获得。
体验 Sudo for Windows
体验 Sudo for Windows
有一段时间没有更新日志了!昨天,微软向 Windows Insider Release Preview Channel 推送了 Windows 11 24H2 - 26100.712,包含了不少新的特性和功能,其中的 sudo 是 gOxiA 特别感兴趣的。是的,你没看错!在 Windows 上我们可以使用 sudo 了,其实早在 26052 时就开始内置 sudo 的支持。
Sudo for Windows 与 xNIX 中 sudo 的用途类似,都是用来实现用户提权执行命令的,对于 sudo for Windows 主要是基于 UAC 的提权,并且它不支持普通账户,这些基本概念要注意!
命令提示符下,不像 UI 界面可以通过选项或热键去激活 UAC 提权,当我们打开 CMD 或 PowerShell 执行一段命令,发现它需要进行 UAC 提权时,通常会重新以 UAC 提权(管理员身份运行)方式打开 CMD 或 PowerShell 再重新执行命令行,这将会经历一系列的键盘或鼠标的切换操作流程!毕竟我们不是每一次都记得先去做 UAC 提权。
现在有了 sudo 一切都变得方便了许多,gOxiA 现在已经把“终端”应用中的“以管理员身份运行此配置文件”的选项关闭了,不用每次涉及到命令行的都要去确认一次 UAC 提权,并且打开终端的速度也快了许多!
sudo for Windows(以下简称 sudo)出于安全性考虑,默认是禁用的,并且它被归类在“开发者选项”中。我们需要进入 Windows 设置,转到“系统”下的“开发者选项”才能找到 sudo 配置,如果你想快速找到它,可以在 Windows 设置的搜索框中键入 sudo 来查找。
如上图所示,当我们打开 sudo 后,可以看到三个 sudo 运行选项:“在新窗口中、禁用输入、内联”。三者中第一个是最为安全的,也是系默认配置,之后依次排列。三个选项根据说明还是很容易理解的,但配合参数后 gOxiA 认为一些安全使用逻辑还有待改进完善!下面让我们分步了解一下这三个选项。
1. “在新窗口中”,其对应 -N 或 --new-window 参数。当我们通过 sudo 执行命令后,将会启动带有提权的 sudo 会话进程,在经过用户确认后即可提权运行后续的指令,并以新窗口形式运行。
2. “禁用输入”,其对应 --disable-input 参数。即执行的命令将基于当前窗口运行 UAC 提权的进程,但其输入句柄将会被关闭,避免已经提升的进程从当前窗口接收指令。
3. “内联”,其对应 --inline 参数。意思就是直接将当前窗口进程进行提权,与 2 类似但将已提权模式继续处理后续的输入。
三个选项的逻辑很清晰,但我们在实际运用中会发现,必须先将 sudo 配置为“内联”或“禁用输入”后,才能使用对应的参数选择性的去执行(运行模式由安全级别低向高排序)。否则,将会提示 无法在计算机上以高于XXXX模式的模式运行 !(PS:那么到底是要临时安全还是始终安全呢?!)
sudo 更多的参数可执行运行命令获取,不再复述。此外,我们还需要注意的是 sudo 不具有 runas 命令的功能,要运行 sudo 必须是管理员级别的账号,普通账号在执行 sudo 后将提示“不允许你运行 sudo”。
sudo 目前已经支持通过 GPO 配置,路径是“计算机配置 - 管理模板 - 系统 - 配置 sudo 命令的行为”。
官方文档: Sudo for Windows
