#77

Дата выхода: 05.10.2021
Актуальная версия: 23H2 (22621.6345) / 24H2 (26100.7462) / 25H2 (26200.7462)

КРАТКОЕ ВВЕДЕНИЕ | ЗАГРУЗКА ОБРАЗОВ | ТРЕБОВАНИЯ К СИСТЕМЕ

Windows 11 — операционная система следующего поколения для персональных компьютеров и рабочих станций, разработанная корпорацией Microsoft в рамках семейства Windows NT, является наследницей Windows 10.

А если брать? Как понять какие неактуальные и будут страдать теряя 15%? Тесты трудно найти. Например меня интересует железо на и7 7700/1070/16гиг . На десятке оно вполне бодро тянет даже некоторые новые игры типа батлфилд6 на низких настройках можно пол 60+ кадров выжимать. Ну и старые игры идут все относительно хорошо. Насколько в такой конфе может начать страдать производительность? Как в играх так и в самой системе вся работа, ее старт, запуск приложений, браузеров, видео и т.п.?

Есть какие-то там понятные технические требования к конкретным спецификациям которых не имеет этот цп и платформа которые будет понятно сразу по теории что будет замедлять работу?

Судя по моим личным наблюдениям, 11-я - это своего рода "сервис пак" для 10-ки, её логическое продолжение. Не увидел я в 11-й ни фатального падения производительности, ни жёстких глюков, из-за которых надо срочно возвращаться на 10-ку, да вообще ничего не заметил такого, что должно держать на старой ОС. Даже на дохлом процессоре 1155-го сокета после обновления с 10-ки на 11-ю ощущения, что система стала чуть резвее.
Короче, хватит бояться - создай резервную копию нынешней ОС и обновись до 11-ой Винды, желательно сразу до 25Н2. Получишь новые впечатления и опыт. Будет не скучно и довольно интересно.

Есть в документации MS, цпу которые имеют аппаратные фичи по виртуализации, и для работы с CET/ Hardware Shadow Stack, получат минимальный штраф, начиная с железа Intel 11(Tiger Lake)/Zen3 , у них набор всех современных фич аппаратный. Для дескотпа я так понимаю это 12 -ый Интел/Zen3 в идеале, или новее.

Уровень замедления будет зависеть от железа вашего, и что включено, просто VBS+hcvi, изоляция памяти, или ещё защита стека ядра. Будет ли включена защита Dma ядра.

Само собой все фичи включенные, дают штраф, да же на топ цпу современных, и что бы нивелировать, можно на десктопе всё не включать, а часть какую то разумно вырубить.

Обычно стандартный включенный набор, если система свежая по железу, 99% пользователям можно не трогать. Защита стека ядра и DMA ядра, большинству не нужна,. т.к помимо штрафа, несут риски несовместимости с некоторыми драйверами, По.

Дроп ещё зависит, от того, обновляете ли вы По на Пк, это прошивку, баги в SVM и IOMMU есть конечно же, драйвер чипсета с поддержкой Cet(АМд), ну и Ос само собой. На Интел, обновление Uefi+me frimware, то же не будет лишним.

на core 7700k, штраф конечно будет весомым, и надо просто отключить device guard/vbs c защитами для скорости, т.к цпу этого поколения имеет ещё уязвимости, да же с обновленным микрокодом цпу, ос может прилично нагружать его при обходе его дыр безопасности.

Т.е. после установки 11 , нужно отключить эти функции. А какие последствия отключения? Сильно более уязвимая становится система? Например по сравнению с текущей десяткой по умолчанию.

Такая же уязвимая становится, как и 10-ка - с этими отключенными функциями., пароли на локальной учетке можно хэш выцепить, они не изолированы в Trust less процессах, когда ос работает в Secure режиме. Любой инжект в процессы или атака легко осушествима malware, они любят неизолированные среды, без виртуализации.

Для компенсации можно использовать Касперский, у него свой гипервизор с которым он работает, защищает буфер обмена и куча всего в ОС. Прикрывает нормально, но нужно ли это вам. Это другой вопрос.

А так работать в такой ос, надо аккуратно, и всё будет Ок.

Странным образом на свежих установках 11 дг отключен по умолчанию, даже параметра в реестре нет, а вот на моей винде 2н23 -> 2н24 он мешался.

Виртуализация в биос отключена.

Agiliter она и с 23н2 была выкл.

политика не задана, но это не означает что часть её функционала не работает, по умолчанию при не заданной политике, некоторые значения в режиме аудита или определяется пользователем через панель безопасность, при включении каких то значений в явнолм ввиде, в панели безопасности, будет пометка об "управлении параметром администратором"/организацией.

в 11-ой сразу работает VBS, а крутится он на Гипервизоре. Не работать из коробки после чистой установки, он может только в одном случае, если в биосе оффнута виртуализация. При обновлении с ос на ос, могут быть другие проблемы.

ИМХО Включать вручную DG, и переопределять политики, надо очень аккуратно, и лучше это делать в ENG версии, там есть параметры, которые прописывают значения сразу в UEFI/NVRAM - жёстко лочат политику, и потом это никак не изменить, да же после переустановки Ос)), только низкоуровневая прошивка, где надо затереть в прошивальщике все области. Либо через flashbutton .Rom при котором чистятся эти области.

Сделано это для создания энтерпрайз уровней безопасности, включая те конфигурации, где удаленно нельзя повлиять на параметры безопасности.

Заходишь в настройки Secure Boot и там сбрасываешь до дефолтных значений все "kek"и. У меня там третий параметр стал "Custom" после шалостей Винды. И не нужно ничего перепрошивать.
Могу ошибаться, ибо так далеко не копался в режимах работы современного железа с актуальной ОС - просто личные наблюдения.

А если на пк несколько ос виндоуз, включая линукс, то каждая ос пишет туда свой мусор?
Чтот мало вериться в это....

Нашел причину почему от Outlook не поступает уведомления о новых письмах.

Вся проблема в функции "Нежелательная почта".

Видимо из за того что эта функция не доработана со стороны Microsoft, большая часть писем (если не все), приходит в папку "Нежелательная почта", вместо папки "Входящие".

Да, в настройках можно прописать домены типа мейл ру, яндекс ру, и тогда все входящие от этих доменов будут поступать в папку "Входящие", и уведомления о новых письмах будут выскакивать.

Но это не панацея... Доменов тысячи (а то и миллионы), все не пропишешь...

Видимо пока Microsoft не починит эту функцию, Outlook не будет нормально функционировать...

Не каждая, а только 11-я. И то версия 24Н2. Также будет писать 25Н2. Интересно, что так усердно требовали Secure Boot во время теста шестой Батлы? Совместная античитерская система с аппаратными защитами? Это похвально.

AKBA
Поставь себе офисный Outlook и не мучайся. Встроенный в Винду изначально ущербный.

Ключи SC находятся в Nvram,да, но речь не об их очистке и сбросе в дефолт, помимо этих ключей, при прописывании политик DG с лочкой в Uefi в Ос, в эту область, пишутся значения, которые переопределяют политики безопасности, на практике "ты" можешь выставить уровень защиты, целостности кода и защиты ядра/стека, политику проверки целостности загрузки, и тупо это всё аппаратно залочить на своих параметрах. А после переустановки это всё уже будет включено и работать - сразу.

В данном случае, очистка NVRAM - сбрасывает этот хардлок, равно как и очищает ключи SC..., есть способы это через командную строку попробовать исправить, сбросить, но не всегда это хорошо работает, по многим причинам.

Custom ничего страшного, целостность загрузки не нарушена, просто WU, прописывает при своих апдейтах uefi revocation list, конкретно пишет скомпрометированные/отозванные ключи в базу .dbx

Была переписка по удалению раздела с рекомендациями из меню пуск. На Windows 11 SE - выпуск Windows, предназначенный для образовательных учреждений, имеется возможность отключить раздел с рекомендациями через редактор локальной групповой политики.
Ниже инструкция как отключить вышеуказанный раздел на Windows 11 Pro. Инструкцию можно добавить в шапку "полезные твики".

1.Создание файла реестра со следующим кодом (расширение .reg для файла):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\Education]
"IsEducationEnvironment"=dword:00000001

Создав указанный файл, «запустите» его и согласитесь с добавлением данных в реестр.

Что делает эта запись в реестре?
Включает образовательные функции: Если установлено значение 1, он сигнализирует операционной системе Windows, что устройство является частью образовательного учреждения.
Применяется политика: Этот параметр позволяет применять к устройству образовательные политики, которые могут повлиять на такие вещи, как рекомендуемый раздел меню «Пуск» или другие функции, управляемые организацией.


2.Нужно зайти в «Редактор локальной групповой политики». Выполнить gpedit.msc
Далее перейти Конфигурация компьютера/Административные шаблоны/Меню «Пуск» и панель задач/Удалить раздел «Рекомендуем» из меню пуск: изменить "не задано" на "включено". После этого перезагрузить компьютер.

Линукс тут никаким боком, потому что у Майкрософт свои Guid-ы для EFI переменных, используемые для идентификации пространства имен в UEFI (Microsoft EFI variables например), некоторые из них, отвечают за настройки безопасности, так же есть Efi протоколы специфичные и нужные именно для работы Windows.

А где его брать?
Лицензия к нему нужна?

официальный релизный от MS,c превью патчем .6725 - последними исправлениями на данный момент, на конец месяца.

p.s По патчам и билдам, тут всё подробно.

Windows 11 #18581661
Windows 11 #18581733
Windows 11 #18581747

Сегодня обнова прилетела, вчера ещё не было, так что чекайте

номер то у обновы есть ?