Windows 11 24H2 正式发布
Windows 11 24H2 正式发布
国庆10.1假期开始,微软也在这一天正式发布到了 Windows 11 24H2,其中还包含了 Windows 11 24H2 LTSC 版本。24H2 继续遵循 Windows 11 服务时间线,其中专业版自发布日期起服务24个月(2年),企业版为36个月(3年),而LTSC 版则长达60个月,即 2024年10月1日 至 2029年10月9日(5年)。
Windows 11 Windows 11 24H2 的起始版本号为 26100.1742,在 10.8 发布的月度累计更新已升级到 26100.2033。作为 Windows 11 的一次重要功能更新,以及 Copilot+ PC(Windows 11 AI+ PC)的 AI 基石,24H2 为 IT 和 最终用户带来了一系列的全新功能和体验。
24H2 中 Copilot+ PC(Windows 11 AI+ PC)独有的功能:
- 实时字幕,允许将音频和视频内容实时翻译为英文字幕,目前支持44中语言。
- Windows Studio Effects,AI支持的视频通话和音频效果的统称,我们可以在实时会议中实现电脑摄像头的人物自动跟踪,背景虚化,人物聚焦,眼神交流,视频特效等,在音频方面还支持消除噪音。
- 画图中的 Cocreator,可以根据我们绘制的草图结合文字描述生成令人惊叹的插图。
- Auto Super Resolution(Auto SR - 自动超级分辨率),Windows 原生的由 AI 驱动的超级分辨率解决方案,使游戏播放更流畅,并具有更高分辨率的细节。
- Microsoft 照片应用中的图像创建器和 Restyle 图像,现在 Microsoft 照片应用已经不仅仅是我们的照片查看器,它集成了 AI 功能,可以帮助用户重新映像照片或创建新的图像。
对于所有 Windows 11 24H2 的电脑将默认启用如下新特定和功能:
- 改进的 Windows LAPS,完善策略和新的自动账户管理。例如:
- 自动创建托管本地账户
- 配置账户名称
- 启用或禁用账户
- 随机化账户名称
- 个人数据加密(PDE),基于用户身份验证的加密来保护已知的 Windows 文件夹。对 Windows SKU 及 Windows Hello 有一些前置条件。
- 适用于企业的 App Control(过去称为 Windows Defender Application Control),可更好保护用户的数字资产免受恶意代码的侵害。
- Windows 保护打印模式,无需依赖 Morpia 认证打印机的第三方软件安装程序。
- 本地安全机构(LSA)保护,帮助防止用于登录的机密和凭据被盗。
- 支持 Wi-Fi 7(IEEE 802.11be)。
- 辅助设备的蓝牙 LE 音频支持。
- Windows 位置改进,添加了新控件可帮助管理哪些应用程序可以访问用户周围的 Wi-Fi 网络列表。
- Windows 内核中的 Rust,提供了 GDI 区域 win32kbase_rs.sys的新实现。众所周知 Rust 在可靠性和安全性方面要优于 C/C++,未来 Windows 内核将更多的使用 Rust。
- 支持 SHA-3
- Sudo for Windows,通过命令行方式来执行管理员身份提升,gOxiA 在之前的日志有做过分享“体验 Sudo for Windows”。
在 Windows 11 24H2 中还引入了服务器消息块(SMB)协议更改;远程桌面连接的改进;支持创建7-zip和TAR存档文件;节能器可配置为自动运行或通过快速设置手动打开和关闭;还为自适应亮度增加了根据内容更改亮度的选项;扩展了 Voice Clarity 的可用性,可实时消除回声、抑制背景噪音并减少混响;还有个值得一提的改进是在 OOBE 阶段当需要联网但没有 Wi-Fi 驱动时,系统会提供安装驱动的选项来安装已经下载的驱动程序。
Windows 11 24H2 已经可以从多个官方渠道获取:Microsoft 365 管理中心;Software Download Service;Visual Studio 订阅。对于备受关注的 Arm 版 Windows 11 24H2 ISO,相信也将会在近期上线,拭目以待!
对于需要进行系统评估和验证的组织,微软目前也提供了 Windows 11 企业版评估,提供90天免费试用期限。已经着手在生产环境部署的 IT,可以下载 适用于 Windows 11 24H2 的管理模板。
最后友情提示,Windows 11 IoT 企业版 LTSC 2024 除了可通过 OEM 获得,现在也支持通过批量许可直接从微软获得。
体验 Sudo for Windows
体验 Sudo for Windows
有一段时间没有更新日志了!昨天,微软向 Windows Insider Release Preview Channel 推送了 Windows 11 24H2 - 26100.712,包含了不少新的特性和功能,其中的 sudo 是 gOxiA 特别感兴趣的。是的,你没看错!在 Windows 上我们可以使用 sudo 了,其实早在 26052 时就开始内置 sudo 的支持。
Sudo for Windows 与 xNIX 中 sudo 的用途类似,都是用来实现用户提权执行命令的,对于 sudo for Windows 主要是基于 UAC 的提权,并且它不支持普通账户,这些基本概念要注意!
命令提示符下,不像 UI 界面可以通过选项或热键去激活 UAC 提权,当我们打开 CMD 或 PowerShell 执行一段命令,发现它需要进行 UAC 提权时,通常会重新以 UAC 提权(管理员身份运行)方式打开 CMD 或 PowerShell 再重新执行命令行,这将会经历一系列的键盘或鼠标的切换操作流程!毕竟我们不是每一次都记得先去做 UAC 提权。
现在有了 sudo 一切都变得方便了许多,gOxiA 现在已经把“终端”应用中的“以管理员身份运行此配置文件”的选项关闭了,不用每次涉及到命令行的都要去确认一次 UAC 提权,并且打开终端的速度也快了许多!
sudo for Windows(以下简称 sudo)出于安全性考虑,默认是禁用的,并且它被归类在“开发者选项”中。我们需要进入 Windows 设置,转到“系统”下的“开发者选项”才能找到 sudo 配置,如果你想快速找到它,可以在 Windows 设置的搜索框中键入 sudo 来查找。
如上图所示,当我们打开 sudo 后,可以看到三个 sudo 运行选项:“在新窗口中、禁用输入、内联”。三者中第一个是最为安全的,也是系默认配置,之后依次排列。三个选项根据说明还是很容易理解的,但配合参数后 gOxiA 认为一些安全使用逻辑还有待改进完善!下面让我们分步了解一下这三个选项。
1. “在新窗口中”,其对应 -N 或 --new-window 参数。当我们通过 sudo 执行命令后,将会启动带有提权的 sudo 会话进程,在经过用户确认后即可提权运行后续的指令,并以新窗口形式运行。
2. “禁用输入”,其对应 --disable-input 参数。即执行的命令将基于当前窗口运行 UAC 提权的进程,但其输入句柄将会被关闭,避免已经提升的进程从当前窗口接收指令。
3. “内联”,其对应 --inline 参数。意思就是直接将当前窗口进程进行提权,与 2 类似但将已提权模式继续处理后续的输入。
三个选项的逻辑很清晰,但我们在实际运用中会发现,必须先将 sudo 配置为“内联”或“禁用输入”后,才能使用对应的参数选择性的去执行(运行模式由安全级别低向高排序)。否则,将会提示 无法在计算机上以高于XXXX模式的模式运行 !(PS:那么到底是要临时安全还是始终安全呢?!)
sudo 更多的参数可执行运行命令获取,不再复述。此外,我们还需要注意的是 sudo 不具有 runas 命令的功能,要运行 sudo 必须是管理员级别的账号,普通账号在执行 sudo 后将提示“不允许你运行 sudo”。
sudo 目前已经支持通过 GPO 配置,路径是“计算机配置 - 管理模板 - 系统 - 配置 sudo 命令的行为”。
官方文档: Sudo for Windows
HOWTO: 管理 Windows 上的 Copilot
HOWTO: 管理 Windows 上的 Copilot
24年被誉为 AI 元年,AI 大迸发使我们每天每刻都能源源不断地看到相关的信息。在 Windows 上引人注目的恐怕是其 Copilot 功能,我们在任务栏上轻轻点击 Copilot 图标即可开始一段奇妙惊艳的 AI 体验之旅。微软作为负责任的AI的主导者,遵循 AI 原则,为我们提供了安全可靠的 AI 服务,并且在 AI 隐私和安全方面不断完善,这一点毋庸置疑!即便如此,一些组织可能还是比较畏惧 AI,并且希望立刻在 Windows 上禁用 Copilot 这一功能,着实有些百思不得其解。在本文正式内容开始前,很有必要先了解一下什么是 Windows 中的 Copilot。
从官方介绍解读,Windows Copilot可以帮助我们从整个 Web 获取答案和灵感,支持创造力和写作,并帮助我们专注于手头的任务。如果使用 Windows Copilot 可以按下 Win+C 热键,如果你已经拥有了 AI PC,可以按下键盘右下侧的 Copilot 键,以激活 Windows Copilot 侧栏。从下面两张图可以看到两个不同的使用界面/场景,第一个是基于 Web 的,也是大家最常见常用的,可以与 Copilot 对话,获取到有用的帮助,除此之外它还能执行一些基本的 Windows 设置、任务,甚至是进行 Windows 疑难解答;如果当前设备使用 M365 账号登录 将会看到适用于 工作 的第二个界面,它将链接 M365 中的相关服务和内容提升我们的工作效率。
回到正文,如果当前组织 IT 确实需要暂时禁用 Windows Copilot,可以借助 GPO 或 CSP。
- GPO
- 用户配置 - 管理模板 – Windows 组件 – Windows Copilot,关闭 Windows Copilot
- CSP(设置目录 or 自定义 CSP)
- ./User/Vendor/MSFT/Policy/Config/WindowsAI/TurnOffWindowsCopilot
- Registry
- SOFTWARE\Policies\Microsoft\Windows\WindowsCopilot\TrunOffWindowsCopilot
策略参考:WindowsAI Policy CSP | Microsoft Learn
Manage Copilot in Windows:在 Windows 中管理 Copilot | Microsoft Learn