gOxiA=苏繁=SuFan Blog

Windows 11 24H2 正式发布

        国庆10.1假期开始，微软也在这一天正式发布到了 Windows 11 24H2，其中还包含了 Windows 11 24H2 LTSC 版本。24H2 继续遵循 Windows 11 服务时间线，其中专业版自发布日期起服务24个月（2年），企业版为36个月（3年），而LTSC 版则长达60个月，即 2024年10月1日 至 2029年10月9日（5年）。

        Windows 11 Windows 11 24H2 的起始版本号为 26100.1742，在 10.8 发布的月度累计更新已升级到 26100.2033。作为 Windows 11 的一次重要功能更新，以及 Copilot+ PC（Windows 11 AI+ PC）的 AI 基石，24H2 为 IT 和 最终用户带来了一系列的全新功能和体验。

        24H2 中 Copilot+ PC（Windows 11 AI+ PC）独有的功能：

• 实时字幕，允许将音频和视频内容实时翻译为英文字幕，目前支持44中语言。
• Windows Studio Effects，AI支持的视频通话和音频效果的统称，我们可以在实时会议中实现电脑摄像头的人物自动跟踪，背景虚化，人物聚焦，眼神交流，视频特效等，在音频方面还支持消除噪音。
• 画图中的 Cocreator，可以根据我们绘制的草图结合文字描述生成令人惊叹的插图。
• Auto Super Resolution（Auto SR - 自动超级分辨率），Windows 原生的由 AI 驱动的超级分辨率解决方案，使游戏播放更流畅，并具有更高分辨率的细节。
• Microsoft 照片应用中的图像创建器和 Restyle 图像，现在 Microsoft 照片应用已经不仅仅是我们的照片查看器，它集成了 AI 功能，可以帮助用户重新映像照片或创建新的图像。

        对于所有 Windows 11 24H2 的电脑将默认启用如下新特定和功能：

• 改进的 Windows LAPS，完善策略和新的自动账户管理。例如：
• 自动创建托管本地账户
• 配置账户名称
• 启用或禁用账户
• 随机化账户名称
• 个人数据加密（PDE），基于用户身份验证的加密来保护已知的 Windows 文件夹。对 Windows SKU 及 Windows Hello 有一些前置条件。
• 适用于企业的 App Control（过去称为 Windows Defender Application Control），可更好保护用户的数字资产免受恶意代码的侵害。
• Windows 保护打印模式，无需依赖 Morpia 认证打印机的第三方软件安装程序。
• 本地安全机构（LSA）保护，帮助防止用于登录的机密和凭据被盗。
• 支持 Wi-Fi 7（IEEE 802.11be）。
• 辅助设备的蓝牙 LE 音频支持。
• Windows 位置改进，添加了新控件可帮助管理哪些应用程序可以访问用户周围的 Wi-Fi 网络列表。
• Windows 内核中的 Rust，提供了 GDI 区域 win32kbase_rs.sys的新实现。众所周知 Rust 在可靠性和安全性方面要优于 C/C++，未来 Windows 内核将更多的使用 Rust。
• 支持 SHA-3
• Sudo for Windows，通过命令行方式来执行管理员身份提升，gOxiA 在之前的日志有做过分享“体验 Sudo for Windows”。

        在 Windows 11 24H2 中还引入了服务器消息块（SMB）协议更改；远程桌面连接的改进；支持创建7-zip和TAR存档文件；节能器可配置为自动运行或通过快速设置手动打开和关闭；还为自适应亮度增加了根据内容更改亮度的选项；扩展了 Voice Clarity 的可用性，可实时消除回声、抑制背景噪音并减少混响；还有个值得一提的改进是在 OOBE 阶段当需要联网但没有 Wi-Fi 驱动时，系统会提供安装驱动的选项来安装已经下载的驱动程序。

        Windows 11 24H2 已经可以从多个官方渠道获取：Microsoft 365 管理中心；Software Download Service；Visual Studio 订阅。对于备受关注的 Arm 版 Windows 11 24H2 ISO，相信也将会在近期上线，拭目以待！

        对于需要进行系统评估和验证的组织，微软目前也提供了 Windows 11 企业版评估，提供90天免费试用期限。已经着手在生产环境部署的 IT，可以下载 适用于 Windows 11 24H2 的管理模板。

        最后友情提示，Windows 11 IoT 企业版 LTSC 2024 除了可通过 OEM 获得，现在也支持通过批量许可直接从微软获得。

  

是时候开始向云更新工具过渡 – WSUS 不再主动开发

  

        搜索了一下，写的第一篇关于 WSUS 的 Blog 还是在 2007年 - “一步一步体验 WSUS 3.0”，一晃10多年过去了。最近的一篇也是在2019年底写的“HOWTO: 通过 WSUS 推送 Surface 驱动程序”。感觉都是很遥远的事情！就在今年9月下旬微软在“Windows Server 2025 已删除或不再开发的功能”文档中提及了 WSUS，文中描述其不再主动开发，但所有现有功能和内容仍可用于部署。

  

        这一信息意味着微软不再为 WSUS 投资新功能，也不再接受 WSUS 的新功能请求。但企业 IT 暂时无需担忧，因为微软仍将继续确保现有的 WSUS 功能正常工作，并继续通过 WSUS 渠道发布更新。从现有的信息看，这一支持计划起码维持到 Windows Server 2025 结束。（PS：目前 Windows Server 2025 仍处于预览阶段）

  

        是时候开始向云更新工具过度了！

  

        微软基于云的更新工具很成熟，方案也很完整，提供以下选择：

  

1. Microsoft Intune

  

    Microsoft Intune 相信大家再熟悉不过，非常强大的 MDM。其中所提供的 Windows Update for Business （以下简称 WUfB）可方便的管理 Windows 客户端的多个类型的更新。

  

  
• 功能更新，即我们以前说的升级，不仅包含安全和质量补丁，还包含重要的功能添加和更改。例如：Windows 11 24H2 便是一个功能更新。
    
• 质量更新，即我们所说的传统的操作系统补丁更新，通常每月的第二个星期二发布，这些更新包含了安全更新、关键更新和驱动程序更新。
    
• 驱动程序更新，即非微软驱动程序，可通过 Windows Update 获取 Windows OEM 设备的组件驱动更新。
    
• Microsoft 产品更新，即那些基于 MSI 安装的 Office。

  

        WUfB 基于 WaaS 服务模型，还支持三个预发布频道：Release Preview，Beta，Dev。

  

  

  

PS：本文发布时已经留意到 WUfB将作为单个解决方案集成到 Windows Autopatch 以实现统一管理。

  

2. Windows Autopatch

  

    Windows Autopatch 隶属于 Intune，是一项云服务，使组织无需规划和操作更新过程。可自动执行 Windows，Microsoft 365 Apps for enterprise，Microsoft Edge 和 Microsoft Teams 更新。旨在解决以下挑战：

  

  
• 缩小安全差距，Windows Autopatch使软件保持最新状态，减少设备的漏洞和威胁。
    
• 缩小工作效率差距，Windows Autopath 确保最终用户可以获得最新的工具和功能，以增强他们的协作能力。
    
• 优化 IT 管理员资源，Windows Autopatch可自动执行例行客户端更新，为 IT 管理员节省了时间用于其他更有价值的工作。
    
• 本地基础结构，基于 SaaS 环境，最大程度减少对本地硬件的投资。
    
• 载入新服务，Windows Autopatch可轻松注册，最大程度减少 IT 管理员入门所需的时间。
    
• 最大程度减少最终用户中断，Windows Autopatch在顺序部署中发布更新，并响应可靠性和兼容性信号，最大程度减少因更新而导致的用户中断。

  

  

  

  

Windows Autopatch 必备条件

  

3. Azure Update Manager

  

        对于需要管理的云中还是本地的 Windows Server，微软提供了名为 Azure Update Manager 的云服务，它可用于跨 Azure，本地和多云环境管理和治理 Windows 和 Linux 计算机的软件更新。

  

  
• 立即检查更新或部署安全或关键更新以帮助保护计算机。
    
• 支持定期评估，每24小时检查一次更新。
    
• 支持灵活的修补选项。如：客户定义的维护计划；Azure VM的自动VM来宾修补和热修补。
    
• 构建用于报告更新状态的自定义报告仪表板并根据某些条件配置提醒。
    
• 通过单一窗格监视 Azure 和本地/其他云环境中由 Azure Arc 连接的整个计算机舰队的更新合规性。可以管理Azure Arc 计算机、VMWare 计算机、SCVMM 计算机，Azure Stack HCI VM。

  

Azure Update Manager 的工作原理：

  

HOWTO: 使用 WinGet 从 Microsoft Store Apps 下载 Windows App 进行脱机分发

        WinGet 即 Windows Package Manager（Windows程序包管理器），一款微软原生的以命令行方式运行的应用程序包管理，它还提供了 open source client，可用于应用程序的云安装。WinGet 发布于 2020 年的 Microsoft Build 大会上，当时 gOxiA 还写了一篇介绍的日志“体验新的 Windows 程序包管理器”。过去 WinGet 由于处于预览阶段，其 WinGet-cli 当时未内置于系统中，所以还曾写过一篇日志来讲解如何通过 Intune 分发 WinGet-cli “HOWTO: 通过 Intune 分发 WinGet 测试版”。在经过了几年的演进后，WinGet-cli 已经内置于系统，且不断在更新完善！就在前不久发布的 v1.8 版本开始还提供了对下载 Microsoft Store apps 的支持。这是一个令人兴奋的消息，它将提高企业 IT 在动态和现代部署方面的灵活性。此外，专注于 Intune 和 MSStore Apps 部署的朋友也许已经注意到 Microsoft Store for Business 已经退役下线，WinGet v1.8 就像及时雨一般，解决了当前下载 MSStore Apps 的问题。

        今天 gOxiA 将与大家分享的是如何使用 WinGet 下载微软应用商店中的应用安装包。以 “Windows App”为例，首先我们可以使用 WinGet Search 进行应用的搜索。从下图我们获得了一个搜索结果列表，位于第一行的便是要下载的“Windows App”，包含了它的 ID 信息，可能包含的版本信息，以及源于 MSStore。

        然后，我们可以使用 WinGet Show 显示应用的详细信息，其中我们可以检索该应用是否支持脱机分发，如下图所示 “Windows App” 的 “支持脱机分发” 状态为 “true”。

        接下来，我们可以使用 WinGet Download 进行下载。注意，虽然 WinGet 支持从 MSStore 下载应用安装包，但需要进行身份验证。

        只有完成身份验证后才能进行应用安装包的下载。在下载的过程除了会下载应用安装包，还会下载其依赖包以及应用许可证。注意，应用许可证会再进行一次身份验证。

        成功下载所有文件后，我们可以在“下载”目录看到它，WinGet 会以应用 ID 新生成一个目录，其中包含了所有相关的文件。

        最后，企业 IT 便可以通过 PPKG 或 Intune 的 Windows 业务线应用进行部署。

PPKG -

Intune -

推荐官方文档：

Use the WinGet Tool to install and manage applications | Microsoft Learn