كيف يمكنني الحصول على Windows 10 Enterprise؟

يتوفر Windows 10 Enterprise فقط من خلال برامج الترخيص المجمع: Microsoft 365 E3/E5 (اشتراك لكل مستخدم)، أو من خلال ضمان البرنامج (لكل جهاز). لا يباع في التجزئة. إذا كنت فردًا، فلا يمكنك قانونيًا شراء ترخيص واحد. توفر بعض المؤسسات صورًا خاصة بالمؤسسات للموظفين عبر بوابة الشركة الخاصة بهم.

ما الفرق بين Windows 10 Enterprise وWindows 10 Pro؟

يتضمن Pro الإدارة الأساسية (Group Policy، وBitLocker، وRDP Host، وHyper‑V). تضيف Enterprise أمانًا متقدمًا: Credential Guard، وApplication Guard، وDirectAccess، وBranchCache، وWDAC، وDefender for Endpoint التكامل، وUniversal Print، وDesktop Analytics، وLTSC. تم تصميم Enterprise للمؤسسات التي لديها فرق مخصصة لأمن تكنولوجيا المعلومات ومتطلبات الامتثال.

هل Windows 10 Education هو نفسه Enterprise؟

نعم، متطابقة وظيفيا. تم تصميم Windows 10 Education باستخدام نفس التعليمات البرمجية الخاصة بـ Enterprise ويتضمن نفس ميزات الأمان والإدارة. تتمثل الاختلافات الوحيدة في اسم الإصدار المعروض والخلفيات الافتراضية والترخيص (التعليم مجاني للمؤسسات الأكاديمية). بالنسبة للمؤسسات غير الأكاديمية، تحتاج إلى Enterprise.

ما هي قناة الخدمة طويلة المدى (LTSC)؟

LTSC هو إصدار خاص من Windows 10 Enterprise لا يتلقى تحديثات الميزات - فقط تحديثات الأمان والجودة لمدة تصل إلى 10 سنوات. إنه مخصص للأجهزة المتخصصة التي يجب ألا تتغير أبدًا: أجهزة الصراف الآلي والمعدات الطبية وأجهزة التحكم الصناعية والأكشاك. توصي Microsoft بعدم استخدام LTSC لأجهزة سطح المكتب ذات الأغراض العامة أو إنتاجية Office.

هل يتضمن Windows 10 Enterprise تطبيقات Microsoft 365 (Office)؟

لا. Windows 10 Enterprise هو نظام التشغيل فقط. يعد Microsoft 365 Apps (المعروف سابقًا باسم Office 365 ProPlus) اشتراكًا منفصلاً. ومع ذلك، يجمع Microsoft 365 E3/E5 كلاً من Windows 10 Enterprise وMicrosoft 365 Apps معًا.

هل يمكنني الترقية من Windows 10 Pro إلى Enterprise دون إعادة التثبيت؟

نعم. إذا كان لديك مفتاح ترخيص مجمع صالح للمؤسسة (MAK أو KMS)، فانتقل إلى **الإعدادات → التحديث والأمان → التنشيط → تغيير مفتاح المنتج** وأدخل مفتاح المؤسسة. سيتم متابعة الترقية والاحتفاظ بجميع الملفات والتطبيقات. لا يمكنك الرجوع إلى الإصدار Pro بدون تثبيت نظيف.

هل يعمل Windows 10 Enterprise مع Windows Autopilot؟

نعم. يدعم الطيار الآلي جميع إصدارات Windows 10 (باستثناء Home). يمكن توفير المؤسسة عبر Autopilot مع انضمام Azure AD وسياسات Intune - النشر بدون لمس للأجهزة الجديدة.

ما هي دورة حياة الدعم لنظام التشغيل Windows 10 Enterprise؟

يتم دعم إصدارات القناة نصف السنوية (SAC) لمدة 18 شهرًا بعد كل إصدار (على سبيل المثال، 21H2 مدعومة حتى يونيو 2023). يتم دعم إصدارات LTSC لمدة 10 سنوات (5 إصدارات رئيسية + 5 إصدارات ممتدة). ينتهي الدعم الأساسي لجميع إصدارات Windows 10 **14 أكتوبر 2025**، وبعد ذلك يجب أن يكون لديك تحديثات أمان موسعة (ESU) - متاحة فقط من خلال الترخيص المجمع لمدة تصل إلى 3 سنوات.

هل تم تضمين Windows Defender for Endpoint في Windows 10 Enterprise؟

لا. يتضمن Windows 10 Enterprise **برنامج مكافحة الفيروسات Microsoft Defender** والبرنامج المجاني **Microsoft Defender for Endpoint – الخطة 1** (برنامج مكافحة الفيروسات الأساسي). تتطلب إمكانات EDR الكاملة (Defender for Endpoint Plan 2) ترخيصًا منفصلاً، يتم تضمينه عادةً في Microsoft 365 E5 أو يتم بيعه كوظيفة إضافية لـ E3.

هل يمكنني استخدام Hyper‑V وCredential Guard في نفس الوقت؟

نعم. كلاهما يستخدم نفس النظام الأساسي لبرنامج Hypervisor. ومع ذلك، يؤدي تمكين VBS (بما في ذلك Credential Guard) إلى الاحتفاظ ببعض الذاكرة وقد يحد من توفر Hyper‑V لميزات معينة (مثل المحاكاة الافتراضية المتداخلة) اعتمادًا على الأجهزة. في الأنظمة الحديثة، يتعايشون بشكل جيد.

ما الفرق بين Windows Defender Application Guard وWindows Sandbox؟

يعد Windows Sandbox جهازًا افتراضيًا خفيف الوزن ومؤقتًا لاختبار أي تطبيق - حيث تقوم بفتح Sandbox وتشغيل مثبت غير موثوق به وإغلاقه - تختفي جميع التغييرات. تم تصميم Application Guard خصيصًا لتصفح الويب Microsoft Edge، وهو مدمج في المتصفح، ويمكن إدارته بالسياسة. حارس التطبيق متاح في Enterprise؛ Windows Sandbox موجود في Pro/Enterprise (لكن ليس في LTSC).

Windows 10 Enterprise

The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments

Overview

Windows 10 Enterprise هو نظام تشغيل من Microsoft مصمم للمؤسسات المتوسطة والكبيرة التي تتطلب أعلى مستويات الأمان والتحكم والإدارة. تم تصميم Enterprise على نفس أساس Windows 10 Pro، وهو يضيف مجموعة شاملة من تقنيات الأمان المتقدمة: Windows Defender Credential Guard (عزل بيانات الاعتماد على أساس المحاكاة الافتراضية)، Windows Defender Application Guard (التصفح المعزول للأجهزة)، Microsoft Defender for Endpoint (EDR للمؤسسة)، DirectAccess (VPN سلس)، BranchCache (تحسين WAN)، AppLocker (القائمة البيضاء للتطبيق)، وBitLocker (تشفير القرص بالكامل). ويتضمن أيضًا Windows Update for Business مع خيارات تأجيل ممتدة، وتحليلات سطح المكتب للاستعداد للتحديث، وخيار قناة الخدمة طويلة الأمد (LTSC) للأجهزة التي لا تتغير وظائفها مطلقًا (أجهزة الصراف الآلي، والمعدات الطبية، والتحكم الصناعي). يمكن إدارة Windows 10 Enterprise عبر Microsoft Intune (MDM) أو Configuration Manager (SCCM) الداخلي. يوفر الترخيص المستند إلى الاشتراك من خلال Microsoft 365 E3/E5 تحديثات منتظمة للميزات، بينما يوفر إصدار LTSC (المتوفر فقط مع ضمان البرنامج النشط) 10 سنوات من التحديثات الأمنية دون تغييرات في الميزات. بفضل دعم البنى الحديثة ذات الثقة المعدومة، وWindows Hello for Business، والأمان القائم على المحاكاة الافتراضية، يحمي Windows 10 Enterprise البيانات الحساسة حتى عند الوصول إليها من شبكات غير موثوقة. ينتهي الدعم الأساسي 14 أكتوبر 2025، مع توفر تحديثات الأمان الموسعة (ESU) من خلال الترخيص المجمع لمدة تصل إلى ثلاث سنوات إضافية.

How It Works

تتضمن عملية تمهيد Windows 10 Enterprise طبقات أمان إضافية تعتمد على المحاكاة الافتراضية وخطافات شبكات المؤسسة. إليك التسلسل الكامل على جهاز Enterprise مُدار:

1. UEFI, Secure Boot & BitLocker

تتحقق البرامج الثابتة UEFI مع Secure Boot من توقيع أداة تحميل التشغيل. في حالة تمكين BitLocker، يقوم TPM بتحرير مفتاح فك التشفير فقط بعد أن يتحقق التمهيد المقاس من عدم التلاعب. على الأجهزة المزودة بـ حماية DMA (حماية Kernel DMA)، يتم حظر منافذ Thunderbolt حتى يتم تحميل نظام التشغيل.

2. Virtualisation‑Based Security (VBS) Initialisation

يتم تحميل برنامج Hypervisor (Microsoft Hyper‑V) مبكرًا، مما يؤدي إلى إنشاء حاويات افتراضية معزولة. يقوم Credential Guard بتشغيل LSA داخل جهاز افتراضي آمن. يقوم Windows Defender Application Guard (WDAG) بإعداد حاوية خفيفة الوزن خاصة به. يعمل نظام التشغيل الرئيسي كقسم جذر مع امتيازات مخفضة.

3. Kernel & Device Guard / WDAC

يتم تحميل النواة بـ Hypervisor-Protected Code Integrity (HVCI). يتم التحقق من كل وحدة برنامج تشغيل ووحدة kernel وفقًا لسياسة (WDAC) قبل التنفيذ. يمكن فقط تشغيل الثنائيات الموقعة من قبل الناشرين المعتمدين (Microsoft، مؤسستك) - مما يؤدي إلى حظر برامج التشغيل الجذرية وبرامج التشغيل غير الموقعة بشكل فعال.

4. DirectAccess & VPN Client

بمجرد توفر الاتصال بالشبكة، يحاول عميل الوصول المباشر إنشاء نفق IPsec لشبكة الشركة باستخدام شهادات الجهاز. يحدث هذا قبل تسجيل دخول المستخدم، مما يتيح إدارة الجهاز عن بعد (نشر التصحيح، وتحديثات السياسة) حتى في حالة عدم قيام أي مستخدم بتسجيل الدخول.

5. User Logon with Windows Hello for Business

في شاشة تسجيل الدخول، يقوم Windows Hello for Business (المقاييس الحيوية أو PIN) بمصادقة المستخدم إلى Azure AD أو Active Directory الداخلي. Remote Credential Guard يسمح للمستخدم بالوصول إلى الموارد البعيدة دون إرسال بيانات الاعتماد الخاصة به إلى الجهاز المستهدف.

6. Group Policy / MDM Refresh & BranchCache

تعمل خدمات الخلفية على تحديث كائنات نهج المجموعة (GPOs) من وحدات التحكم بالمجال أو سياسات Intune MDM. BranchCache في 'وضع ذاكرة التخزين المؤقت الموزعة' يتحقق من ذاكرة التخزين المؤقت المحلية للنظير بحثًا عن الملفات التي تم تنزيلها مسبقًا، مما يتجنب عمليات نقل WAN المتكررة.

7. Windows Defender Application Guard (Optional)

إذا قام المسؤول بتشغيل Edge في وضع حماية التطبيقات (أو عبر السياسة)، فستبدأ حاوية Hyper‑V الجديدة مع الحد الأدنى من صورة Windows. يعمل المتصفح داخل وضع الحماية هذا، مع التحكم في إعادة توجيه الحافظة والملفات من خلال السياسة. يؤدي إغلاق الحاوية إلى تجاهل كافة التغييرات.

8. Microsoft Defender for Endpoint Sensors

يراقب مستشعر Defender for Endpoint (`MsSense.exe`) عملية إنشاء العمليات واتصالات الشبكة وكتابة الملفات وتغييرات التسجيل. يتم إرسال الإشارات السلوكية إلى السحابة لتحليل المخاطر في الوقت الحقيقي. في حالة اكتشاف تهديد، يمكن تشغيل إجراءات الاستجابة التلقائية (العزل وعزل الملف).

9. Windows Update for Business & Desktop Analytics

يستخدم Windows Update for Business سياسات التأجيل (حتى 365 يومًا لتحديثات الميزات) وحلقات التحديث. تحليلات سطح المكتب تتكامل مع مدير التكوين لتوفير رؤى حول جاهزية الترقية - وتحديد مشكلات توافق التطبيق قبل النشر.

Key Features

Credential Guard

يعمل الأمان القائم على المحاكاة الافتراضية على عزل LSASS - ويمنع هجمات تمرير التجزئة وتمرير التذكرة. يتطلب TPM 2.0 وقفل UEFI.

Application Guard for Edge

حاوية معزولة للأجهزة لتصفح الويب - لا يمكن لمواقع الويب الضارة أن تعرض نظام التشغيل المضيف للخطر. يدعم التحكم في الحافظة وسياسات إعادة توجيه الملفات.

DirectAccess

شبكة VPN شفافة تعمل دائمًا باستخدام IPsec. يتم الاتصال قبل تسجيل دخول المستخدم، ويدعم المواقع المتعددة، ويتكامل مع مصادقة الشهادة.

BranchCache

التخزين المؤقت الموزع أو المستضاف لمحتوى SMB/HTTP - يقلل من عرض النطاق الترددي لشبكة WAN وزمن الوصول لمستخدمي المكاتب الفرعية.

Windows Defender Application Control (WDAC)

تكامل التعليمات البرمجية المحمية بواسطة برنامج Hypervisor - يسمح فقط بالملفات التنفيذية وبرامج التشغيل والبرامج النصية الموثوقة. يحظر برامج الفدية والبرامج الضارة الخالية من الملفات على مستوى النواة.

AppLocker

القائمة البيضاء للتطبيقات في وضع المستخدم مع مجموعات القواعد لملفات EXEs وMSIs والبرامج النصية وتطبيقات المتجر. وضع التدقيق للاختبار.

Microsoft Defender for Endpoint

EDR الكامل للمؤسسة - أجهزة الاستشعار السلوكية، والذكاء الاصطناعي السحابي، والتحقيق الآلي، وإدارة التهديدات والثغرات الأمنية، وإجراءات الاستجابة (العزل والحجر الصحي).

BitLocker

تشفير القرص بالكامل باستخدام TPM وPIN. تضيف المؤسسة BitLocker NetworkUnlock (التمهيد من محرك أقراص مشفر عند الاتصال بشبكة الشركة) وتكامل إدارة ومراقبة BitLocker لـ Microsoft (MBAM).

Windows Hello for Business

المصادقة الثنائية باستخدام القياسات الحيوية + TPM. يستبدل كلمات المرور بمصادقة تعتمد على المفتاح أو على الشهادة. يدعم Azure AD والإعلان المحلي.

Desktop Analytics

التكامل مع Configuration Manager لتقييم توافق التطبيق مع تحديثات ميزات Windows. يوفر توصيات تجريبية ورؤى التراجع.

Windows Update for Business (Advanced)

قم بتأجيل تحديثات الميزات لمدة تصل إلى 365 يومًا، وتحديثات الجودة لمدة تصل إلى 30 يومًا. إنشاء مجموعات الأجهزة (تجريبية، واسعة النطاق، حرجة) مع حلقات التحديث. يتكامل مع تحسين التسليم (نظير إلى نظير).

Universal Print

حل طباعة قائم على السحابة - لا حاجة إلى خوادم طباعة. يتضمن إصدار Enterprise إدارة موصلات Universal Print وحصة مهام الطباعة لكل مستخدم.

Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management

قم بإدارة الأجهزة بسلاسة باستخدام كل من MDM (Intune) السحابي وSCCM المحلي. لتمكين الوصول المشروط وسياسات الامتثال والإجراءات عن بعد (المسح والتقاعد والمزامنة).

Long‑Term Servicing Channel (LTSC)

10 سنوات من التحديثات الأمنية دون تغيير الميزات – للأجهزة ذات الأغراض الثابتة (أجهزة الصراف الآلي، والأجهزة الطبية، والصناعية). فقط مع ضمان البرنامج.

Credential Guard & Virtualisation‑Based Security

عزل الأسرار عن نظام التشغيل - فحتى برامج kernel الضارة لا يمكنها سرقة التجزئة

How Credential Guard Works

يستخدم برنامج Credential Guard الأمان القائم على المحاكاة الافتراضية (VBS) لتشغيل خدمة النظام الفرعي لسلطة الأمان المحلية (LSASS) داخل جهاز ظاهري معزول بالأجهزة. لا يمكن لعمليات Windows خارج هذا الجهاز الظاهري الآمن الوصول إلى بيانات الاعتماد المجزأة أو تذاكر Kerberos أو تجزئات NTLM المخزنة بداخله. تصبح هجمات Pass-the-hash وPass-the-Ticket مستحيلة لأن الأسرار لا تترك البيئة المعزولة أبدًا.

Requirements & Enablement

يتطلب وحدة معالجة مركزية 64 بت مع Intel VT‑x (مع جداول الصفحات الموسعة) أو AMD‑V (مع الفهرسة الافتراضية السريعة)، وقفل UEFI، وTPM 2.0. قم بالتمكين عبر سياسة المجموعة: `تكوين الكمبيوتر ← قوالب الإدارة ← النظام ← حارس الجهاز ← تشغيل الأمان القائم على المحاكاة الافتراضية`. اضبط على "ممكّن باستخدام Credential Guard".

Key Protection & Remote Credential Guard

يحمي برنامج Credential Guard أيضًا Key Trust (المفاتيح المرتبطة بـ TPM) وCertificate Trust (شهادات البطاقة الذكية). Remote Credential Guard يمتد هذا إلى جلسات RDP - عندما يتصل المستخدم بجهاز كمبيوتر بعيد، فإن بيانات الاعتماد الخاصة به لا تترك جهاز العميل أبدًا. يتلقى الكمبيوتر المستهدف تذكرة خدمة Kerberos، وليس تجزئة كلمة مرور المستخدم.

Performance Impact

يفرض VBS حملًا صغيرًا (2‑5% من وحدة المعالجة المركزية) لتبديل السياق بين الجهاز الظاهري الآمن ونظام التشغيل العادي. وفي الأجهزة الحديثة من فئة الخادم، يكون هذا أمرًا ضئيلًا بالنسبة لمعظم أحمال العمل. بعض برامج التشغيل والتطبيقات القديمة (خاصة برامج مكافحة الغش في الألعاب) غير متوافقة وستمنع تشغيل VBS.

Windows Defender Application Guard (WDAG)

التصفح المعزول عن الأجهزة – الطريقة الأكثر أمانًا لتصفح مواقع الويب غير الموثوق بها

Hyper‑V Container per Browser Session

تطلق WDAG Microsoft Edge داخل حاوية Hyper‑V خفيفة الوزن. تستخدم هذه الحاوية نسخة من نظام التشغيل المضيف ولكنها تعمل في جهاز ظاهري منفصل مع عدم إمكانية الوصول إلى ذاكرة المضيف أو وحدة التخزين أو مكدس الشبكة (إلا عبر مفتاح افتراضي). إذا استغل موقع ويب المتصفح، فلن يتمكن المهاجم إلا من الوصول إلى الحاوية، وسيظل المضيف دون مساس تمامًا.

Configuration & Policies

قم بالتمكين عبر Group Policy أو Intune: `القوالب الإدارية ← مكونات Windows ← Windows Defender Application Guard ← تشغيل Windows Defender Application Guard`. تتحكم السياسات في الوصول إلى الحافظة (النسخ/اللصق مسموح به؟)، وإعادة توجيه تنزيل الملف (الحفظ في المضيف؟)، والطباعة من الحاوية. يمكنك أيضًا تحديد الثقة في موارد المؤسسة (على سبيل المثال، مواقع SharePoint الداخلية المفتوحة في Edge العادي).

Performance & User Experience

يستغرق الإطلاق الأول من 5 إلى 10 ثوانٍ لإنشاء الحاوية؛ تكون عمليات الإطلاق اللاحقة أسرع بسبب التخزين المؤقت. بمجرد الدخول، يصبح التصفح أمرًا أصليًا تقريبًا. لا تحتفظ الحاوية بأي بيانات - يتم تجاهل ملفات تعريف الارتباط والتنزيلات وسجل التصفح عند إغلاق الحاوية. يرى المستخدمون واجهة مستخدم خاصة تشير إلى أنهم في وضع "حماية التطبيقات".

Integration with Defender for Endpoint

إذا تم اكتشاف عينة من البرامج الضارة داخل الحاوية، فيمكن لـ Defender for Endpoint جمع الحمولة تلقائيًا وإرسالها للتحليل. يمكن أيضًا إعادة تعيين الحاوية تلقائيًا إلى حالة جيدة معروفة في حالة اكتشاف سلوك مشبوه.

DirectAccess & BranchCache

الوصول السلس عن بعد وتحسين شبكة WAN للمؤسسات الموزعة

DirectAccess – Always On VPN

يوفر DirectAccess نفق IPsec تلقائي وشفاف ودائم التشغيل لشبكة الشركة بمجرد اتصال الجهاز بالإنترنت. لا يوجد إدخال من المستخدم (بدون نقرة للاتصال) - فهو يستخدم شهادات الجهاز للمصادقة. يصل المستخدمون إلى الموارد الداخلية (مشاركة الملفات، ومواقع الإنترانت) كما لو كانوا في مقر العمل، حتى خلف NATs وجدران الحماية. يدعم DirectAccess أيضًا النشر متعدد المواقع ويتكامل مع حماية الوصول إلى الشبكة (NAP) (القديم).

DirectAccess vs Traditional VPN

تتطلب شبكة VPN التقليدية من المستخدم الاتصال يدويًا، ويمكن قطع الاتصال بعد الخمول، ولا تعمل قبل تسجيل دخول المستخدم. يتصل DirectAccess تلقائيًا قبل تسجيل الدخول، ويظل متصلاً إلى أجل غير مسمى، ويدعم فرض الاتصال النفقي (كل حركة مرور الإنترنت يتم توجيهها عبر شبكة الشركة) أو تقسيم الأنفاق. إنه مثالي لإدارة أجهزة الكمبيوتر المحمولة عن بعد والوصول المستمر إلى الموارد الداخلية.

BranchCache – Reduce WAN Traffic

يقوم BranchCache بتخزين المحتوى مؤقتًا من خوادم الملفات البعيدة (مشاركات SMB) وخوادم HTTP (الويب) على أجهزة الكمبيوتر العميلة المحلية أو خادم ذاكرة التخزين المؤقت المستضاف في الموقع. في وضع ذاكرة التخزين المؤقت الموزعة، يقوم كل عميل بتخزين المحتوى مؤقتًا ومشاركته مع العملاء الزملاء عبر اكتشاف شبكة LAN المحلية (WS-Discovery). في وضع ذاكرة التخزين المؤقت المستضافة، يعمل خادم Windows المخصص كذاكرة تخزين مؤقت مركزية. يتم تقديم الطلبات اللاحقة لنفس الملف من ذاكرة التخزين المؤقت المحلية، مما يقلل بشكل كبير من زمن الوصول واستخدام شبكة WAN.

BranchCache Security

يتم تشفير البيانات والتحقق من سلامتها باستخدام SHA‑256. يتلقى العملاء فقط أجزاء الملف التي يطلبونها، ويتم تجزئة ذاكرة التخزين المؤقت لمنع إعادة البناء غير المصرح بها. يعمل BranchCache عبر بروتوكولات HTTP وSMB، ويتكامل بسلاسة مع Windows File Server.

Windows Defender Application Control (WDAC) & AppLocker

القائمة البيضاء لتطبيقات الثقة المعدومة - يتم تشغيل البرامج المعتمدة فقط

WDAC – Hypervisor‑Protected Code Integrity

يسمح WDAC (المعروف سابقًا باسم Device Guard) للمسؤولين بتحديد الملفات القابلة للتنفيذ وبرامج التشغيل والبرامج النصية وMSI الموثوق بها بالضبط. تعتمد القواعد على مسار الملف أو الناشر (الشهادة الرقمية) أو تجزئة الملف. يتم فرض السياسة بواسطة برنامج Hypervisor (HVCI) ولا يمكن تجاوزها عن طريق البرامج الضارة في وضع kernel. لا يستطيع WDAC حظر البرامج الضارة المعروفة فحسب، بل يمكنه أيضًا حظر الثنائيات "المعيشة خارج نطاق الأرض" (مثل PowerShell وwmic) التي يستخدمها المهاجمون.

WDAC vs AppLocker

AppLocker هو حل لسياسة وضع المستخدم متوفر في Enterprise (وPro) – وهو أسهل في الإدارة ولكن يمكن تجاوزه بواسطة برامج تشغيل kernel. يعد WDAC حلاً محميًا بوضع kernel وبرنامج Hypervisor، وهو أقوى بكثير ولكنه يتطلب تخطيطًا واختبارًا دقيقين. تستخدم العديد من المؤسسات كلاً من: WDAC لحماية النظام المهمة، وAppLocker لقيود تطبيقات المستخدم.

Creating WDAC Policies

استخدم وحدة PowerShell `ConfigCI` على جهاز كمبيوتر مرجعي. تقوم `New-CIPolicy` بفحص النظام وإنشاء قائمة مسموح بها بجميع التطبيقات وبرامج التشغيل المثبتة حاليًا. يتم تحويل `ConvertFrom-CIPolicy` إلى تنسيق ثنائي. النشر عبر Group Policy أو MDM. يمكنك التشغيل في وضع التدقيق في البداية لتسجيل ما سيتم حظره دون حظره فعليًا.

AppLocker Rulesets for Enterprises

يدعم AppLocker خمس مجموعات من القواعد: الملفات التنفيذية (.exe، .com)، مثبتات Windows (.msi، .msp)، البرامج النصية (.ps1، .bat، .vbs، .js)، ملفات DLL والتطبيقات المجمعة (تطبيقات المتجر). يمكن تطبيق السياسات لكل مجموعة مستخدمين. على سبيل المثال: السماح لجميع المستخدمين بتشغيل البرامج من `C:\Program Files` و`C:\Program Files (x86)`، مع رفض التشغيل من `%USERPROFILE%\Downloads` أو `%TEMP%`.

Microsoft Defender for Endpoint (formerly ATP)

EDR للمؤسسات مع التحقيق والاستجابة الآلية

Next‑Generation Protection

تعمل أجهزة الاستشعار السلوكية والذكاء الاصطناعي السحابي ونماذج التعلم الآلي على تحليل سلوكيات العملية واتصالات الشبكة وتغييرات التسجيل. قواعد الحد من سطح الهجوم (على سبيل المثال، منع Office من إنشاء عمليات فرعية، وحظر المحتوى القابل للتنفيذ من عميل البريد الإلكتروني) تمنع نواقل العدوى الشائعة.

Endpoint Detection & Response (EDR)

رؤية عميقة لنقاط النهاية: تنبيهات بشأن السلوكيات المشبوهة، والتحقيقات عبر الأجهزة، وطرق عرض المخطط الزمني لأشجار العمليات. يمكن لمراكز العمليات الأمنية (SOCs) الاستعلام عن بيانات القياس عن بعد الأولية لمدة تصل إلى 6 أشهر (حسب الترخيص).

Automated Investigation & Remediation

عند تشغيل تنبيه، يمكن لـ Defender for Endpoint التحقيق تلقائيًا في الحادث: تحديد السبب الجذري، وعزل الأجهزة المتأثرة عن الشبكة (باستخدام تكامل Microsoft Intune)، وإزالة العناصر الضارة (الملفات، ومفاتيح التسجيل، والمهام المجدولة).

Threat & Vulnerability Management (TVM)

يكتشف TVM باستمرار التحديثات الأمنية المفقودة والتكوينات الخاطئة (على سبيل المثال، قواعد جدار الحماية الضعيفة) وإصدارات البرامج المعرضة للخطر. وهو يوفر أولويات قائمة على المخاطر - توصيات "التصحيح أولاً" بناءً على احتمالية الاستغلال وتعرض الأصول.

Long‑Term Servicing Channel (LTSC)

10 سنوات من التحديثات الأمنية دون تغييرات في الميزات – للأجهزة ذات الأغراض الثابتة

What is LTSC?

تعد قناة الخدمة طويلة الأجل (LTSB سابقًا) إصدارًا خاصًا من Windows 10 Enterprise لا تتلقى تحديثات الميزات. يتضمن فقط تحديثات الأمان والجودة لمدة تصل إلى 10 سنوات (5 سنوات رئيسية + 5 سنوات ممتدة). مثالي للأجهزة التي لا يجب أن تغير وظائفها أبدًا: أجهزة الصراف الآلي، والمعدات الطبية (التصوير بالرنين المغناطيسي، والماسحات الضوئية المقطعية)، وأنظمة التحكم الصناعية (SCADA)، والأكشاك، والأنظمة المدمجة.

What’s Missing in LTSC

يأتي LTSC بدون Microsoft Edge (الإصدار القديم فقط، وليس Chromium)، وWindows Store، وCortana، وتطبيقات Inbox (البريد، والتقويم، والآلة الحاسبة)، وOneDrive، والميزات الحديثة مثل Timeline وSets. كما أنه لا يدعم تحديثات الميزات نصف السنوية لنظام التشغيل Windows 10 (على سبيل المثال، 21H2، 22H2). وهذا يجعل LTSC غير متوافق مع الأجهزة الجديدة (قد تتطلب برامج التشغيل إصدارات أحدث من Windows).

Licensing & Availability

يتوفر LTSC فقط للعملاء الذين لديهم ضمان البرنامج النشط (الترخيص المجمع) أو من خلال Microsoft 365 E3/E5 (لا يوجد LTSC هناك - أنت بحاجة إلى ضمان البرنامج). يتم دعم كل إصدار LTSC جديد لمدة 10 سنوات من تاريخ إصداره (على سبيل المثال، يتم دعم Windows 10 Enterprise LTSC 2019 حتى عام 2029، وLTSC 2021 حتى 2031). لا يمكنك الترقية من إصدار LTSC إلى آخر دون تثبيت نظيف.

LTSC vs Semi‑Annual Channel (SAC)

يجب أن تستخدم معظم أجهزة المؤسسات القناة نصف السنوية (SAC) - لتحصل على ميزات جديدة مرتين سنويًا. LTSC هي أداة متخصصة للبنية التحتية الحيوية التي لا يمكنها تحمل تغييرات واجهة المستخدم أو إعادة التشغيل لتحديثات الميزات. تنصح Microsoft بعدم استخدام LTSC لأجهزة سطح المكتب ذات الأغراض العامة أو أجهزة Office أو أجهزة التطوير.

Pros

✓أمان لا مثيل له - يوفر Credential Guard وApplication Guard وWDAC وDefender for Endpoint دفاعًا متعمقًا
✓الوصول المباشر يزيل VPN التي تواجه المستخدم - إدارة الوصول عن بعد بسلاسة
✓تعمل BranchCache بشكل كبير على تحسين تجربة المكاتب الفرعية لخوادم الملفات وتطبيقات الويب
✓إدارة كاملة للجهاز – Intune وConfigMgr وGroup Policy والإدارة المشتركة
✓Windows Update for Business مع تأجيل لمدة عام واحد - تحديثات الخطة وفقًا لجدولك الزمني
✓قناة الخدمة طويلة الأمد (LTSC) للبيئات التنظيمية أو الحرجة للاستقرار
✓AppLocker + WDAC - فرض سياسات تطبيق الثقة المعدومة من kernel إلى وضع المستخدم
✓يوفر Microsoft Defender for Endpoint EDR للمؤسسة بدون وكلاء تابعين لجهات خارجية
✓تعمل تحليلات سطح المكتب على تقليل مخاطر الترقية من خلال بيانات التوافق الواقعية
✓Remote Credential Guard يحمي بيانات الاعتماد أثناء جلسات RDP
✓الطباعة الشاملة تقلل من تعقيد خادم الطباعة
✓يدعم نظام التشغيل Windows 10 في الوضع S - مقفل لتطبيقات Microsoft Store فقط، للبيئات المقيدة للغاية

Cons

✗غير متوفر للبيع بالتجزئة - يتطلب اتفاقية ترخيص مجمعة (Microsoft 365 E3/E5 أو ضمان البرنامج)
✗تكلفة أعلى من Pro – رسوم الاشتراك لكل مستخدم/لكل جهاز (عادةً 7 إلى 14 دولارًا لكل مستخدم/شهر كجزء من Microsoft 365)
✗التعقيد – تتطلب العديد من الميزات (WDAC، وCredential Guard، وApplication Guard) تخطيطًا واختبارًا دقيقين
✗متطلبات الأجهزة – تحتاج ميزات VBS إلى TPM 2.0 وUEFI ووحدات المعالجة المركزية الحديثة؛ الأجهزة القديمة قد لا تدعمها
✗مشكلات توافق التطبيقات - يمكن لـ WDAC حظر البرامج الشرعية؛ يقوم Credential Guard بكسر بعض وحدات المصادقة التابعة لجهات خارجية
✗أعباء الأداء – يمكن لـ VBS (Credential Guard, HVCI) تقليل الأداء بنسبة 2‑8%، وهو ما يمكن ملاحظته في أحمال عمل الإدخال/الإخراج العالية أو أحمال عمل الألعاب
✗يتطلب الوصول المباشر بنية Windows Server الأساسية (خادم الوصول المباشر، وPKI، وDNS، وتقنيات انتقال IPv6)
✗يتطلب BranchCache خوادم ملفات Windows Server وحجمًا دقيقًا لذاكرة التخزين المؤقت
✗ينتهي الدعم في 14 أكتوبر 2025 - مثل جميع إصدارات Windows 10 (على الرغم من أن LTSC سينتقل إلى 2031 لإصدارات محددة)
✗لا توجد ميزات للمستهلك - Cortana وWindows Store (يمكن تعطيلها)، ويتم إيقاف تشغيل تجارب المستهلك السحابية بواسطة السياسة (قد يربك المستخدمين الذين يتوقعونها)
✗تفتقر LTSC إلى المتصفحات الحديثة ومتجر التطبيقات - لا يمكن تثبيت تطبيقات Microsoft Teams أو Edge الجديد أو Store بدون حلول بديلة

Use Cases

مؤسسة كبيرة تحتوي على أكثر من 5000 جهاز - إدارة مركزية عبر Intune وConfigMgr وDefender for Endpoint for SOC وWDAC لحظر البرامج غير المصرح بهاالخدمات المالية / المصرفية - حماية بيانات الاعتماد والأمان القائم على المحاكاة الافتراضية لتلبية المتطلبات التنظيمية (PCI-DSS، وSOX، وGDPR)الرعاية الصحية – حماية بيانات المرضى باستخدام BitLocker وDefender؛ LTSC للأجهزة الطبية (التصوير بالرنين المغناطيسي، وأجهزة التنفس الصناعي) التي لا يمكن أن تحتوي على تغييرات في ميزاتهاالحكومة والدفاع – WDAC وApplication Guard لحماية الشبكات السرية؛ الوصول المباشر للوصول الآمن عن بعدالبيع بالتجزئة/الضيافة – وضع الكشك مع الوصول المخصص والطباعة العامة؛ BranchCache للتخزين المؤقت لخادم الملفات على مستوى المتجرالتصنيع/الصناعة - LTSC على أجهزة الكمبيوتر الأرضية في المصنع التي تعمل بأنظمة SCADA؛ لا توجد عمليات إعادة تشغيل غير مخطط لها أو تغييرات في واجهة المستخدمالقوى العاملة عن بعد/المتجولة - يوفر الوصول المباشر وصولاً سلسًا إلى الموارد الداخلية من المقاهي والفنادق دون تدخل المستخدمدار تطوير البرمجيات – Windows Sandbox وHyper‑V للاختبار؛ WDAC في وضع التدقيق لإنشاء قوائم التطبيقات المسموح بهاتكنولوجيا المعلومات التعليمية للموظفين/المشرفين - ليس لمختبرات الطلاب، ولكن لأعضاء هيئة التدريس والأجهزة الإدارية التي تحتاج إلى الأمان الكامل للمؤسسة

Hidden & Useful Shortcuts

Master Windows 10 with these time‑saving keyboard shortcuts

Win

Open Start Menu (Cortana disabled by default on Enterprise)

WinA

Open Action Centre

WinD

Show desktop

WinE

Open File Explorer

WinI

Open Settings

WinL

Lock workstation – secure against physical access

WinR

Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)

WinX

Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer

WinS

Open Search (Cortana disabled but search works)

WinTab

Task View – virtual desktops (useful for separating classified and unclassified work)

WinCtrlD

New virtual desktop

WinCtrlF4

Close current virtual desktop

WinCtrlLeft/Right

Switch between virtual desktops

WinG

Open Game Bar (if not removed by policy)

WinShiftS

Open Snip & Sketch for custom screenshots

WinV

Open clipboard history (if enabled by policy)

Win.

Emoji panel

CtrlShiftEsc

Open Task Manager – can view VBS status (Performance → Virtualisation)

WinPause/Break

Open System Properties (shows 'Windows 10 Enterprise')

WinK

Open Connect (wireless displays) – may be disabled via policy

WinH

Open dictation (if not disabled)

WinR, then `tpm.msc`

Check TPM status (required for Credential Guard)

WinR, then `msinfo32`

System Information – see 'Virtualisation‑Based Security' status

WinR, then `control userpasswords2`

Advanced user account management

WinR, then `compmgmt.msc`

Computer Management – Local Users, Disk Management, Services

WinR, then `wf.msc`

Windows Firewall with Advanced Security

Technical Specifications

Architecture	64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit
Processor	1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation)
RAM	4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB)
Storage	64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI
Graphics	DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU)
Display	Minimum 800x600; recommended 1920x1080 or higher
TPM	TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only
Virtualisation	Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V
Secure Boot	Required for VBS features; strongly recommended for all Enterprise deployments
Memory for VBS	At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers)
Internet	Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features
DirectAccess Infrastructure	Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later