Wie bekomme ich Windows 10 Enterprise?

Windows 10 Enterprise ist nur über Volumenlizenzprogramme verfügbar: Microsoft 365 E3/E5 (Abonnement pro Benutzer) oder über Software Assurance (pro Gerät). Es wird nicht im Einzelhandel verkauft. Wenn Sie eine Einzelperson sind, können Sie nicht legal eine einzelne Lizenz erwerben. Einige Organisationen stellen ihren Mitarbeitern Enterprise-Images über ihr Unternehmensportal zur Verfügung.

Was ist der Unterschied zwischen Windows 10 Enterprise und Windows 10 Pro?

Pro umfasst grundlegende Verwaltung (Gruppenrichtlinie, BitLocker, RDP-Host, Hyper-V). Enterprise bietet erweiterte Sicherheit: Credential Guard, Application Guard, DirectAccess, BranchCache, WDAC, Defender für Endpoint-Integration, Universal Print, Desktop Analytics und LTSC. Enterprise ist für Organisationen mit dedizierten IT-Sicherheitsteams und Compliance-Anforderungen konzipiert.

Ist Windows 10 Education dasselbe wie Enterprise?

Ja, funktional identisch. Windows 10 Education basiert auf demselben Code wie Enterprise und umfasst dieselben Sicherheits- und Verwaltungsfunktionen. Die einzigen Unterschiede bestehen im angezeigten Editionsnamen, den Standardhintergründen und der Lizenzierung (Education ist für akademische Einrichtungen kostenlos). Für nicht-akademische Organisationen benötigen Sie Enterprise.

Was ist der Long-Term Servicing Channel (LTSC)?

LTSC ist eine spezielle Version von Windows 10 Enterprise, die keine Funktionsupdates erhält, sondern nur Sicherheits- und Qualitätsupdates für bis zu 10 Jahre. Es ist für spezielle Geräte gedacht, die sich niemals ändern dürfen: Geldautomaten, medizinische Geräte, Industriesteuerungen und Kioske. Microsoft rät von der Verwendung von LTSC für Allzweck-Desktops oder Office-Produktivität ab.

Enthält Windows 10 Enterprise Microsoft 365 Apps (Office)?

Nein. Windows 10 Enterprise ist nur das Betriebssystem. Microsoft 365 Apps (ehemals Office 365 ProPlus) ist ein separates Abonnement. Allerdings bündelt Microsoft 365 E3/E5 sowohl Windows 10 Enterprise- als auch Microsoft 365-Apps.

Kann ich ohne Neuinstallation von Windows 10 Pro auf Enterprise upgraden?

Ja. Wenn Sie über einen gültigen Enterprise-Volumenlizenzschlüssel (MAK oder KMS) verfügen, gehen Sie zu **Einstellungen → Update & Sicherheit → Aktivierung → Produktschlüssel ändern** und geben Sie den Enterprise-Schlüssel ein. Das Upgrade wird fortgesetzt und alle Dateien und Apps bleiben erhalten. Ohne eine Neuinstallation ist kein Downgrade auf Pro möglich.

Funktioniert Windows 10 Enterprise mit Windows Autopilot?

Ja. Autopilot unterstützt alle Windows 10-Editionen (außer Home). Enterprise kann über Autopilot mit Azure AD-Beitritt und Intune-Richtlinien bereitgestellt werden – Zero-Touch-Bereitstellung für neue Geräte.

Was ist der Support-Lebenszyklus für Windows 10 Enterprise?

Die Semi-Annual Channel (SAC)-Versionen werden nach jeder Veröffentlichung 18 Monate lang unterstützt (z. B. 21H2 bis Juni 2023). Die LTSC-Releases werden 10 Jahre lang unterstützt (5 Mainstream + 5 Extended). Der Mainstream-Support für alle Windows 10-Editionen endet am **14. Oktober 2025**. Danach müssen Sie über Extended Security Updates (ESU) verfügen – verfügbar nur über Volumenlizenzen für bis zu 3 Jahre.

Ist Windows Defender für Endpoint in Windows 10 Enterprise enthalten?

Nein. Windows 10 Enterprise umfasst **Microsoft Defender Antivirus** und das kostenlose **Microsoft Defender for Endpoint – Plan 1** (Basis-Antivirus). Für die vollständigen EDR-Funktionen (Defender for Endpoint Plan 2) ist eine separate Lizenz erforderlich, die normalerweise in Microsoft 365 E5 enthalten ist oder als Add-on für E3 verkauft wird.

Kann ich Hyper-V und Credential Guard gleichzeitig verwenden?

Ja. Beide nutzen die gleiche Hypervisor-Plattform. Die Aktivierung von VBS (einschließlich Credential Guard) reserviert jedoch etwas Speicher und kann je nach Hardware die Verfügbarkeit bestimmter Funktionen (wie verschachtelter Virtualisierung) durch Hyper-V einschränken. Auf modernen Systemen koexistieren sie problemlos.

Was ist der Unterschied zwischen Windows Defender Application Guard und Windows Sandbox?

Windows Sandbox is a lightweight, temporary VM for testing any app – you open Sandbox, run an untrusted installer, and close it – all changes gone. Application Guard ist speziell für das Surfen im Internet mit Microsoft Edge gedacht, in den Browser integriert und kann durch Richtlinien verwaltet werden. Application Guard ist in Enterprise verfügbar; Windows Sandbox ist in Pro/Enterprise verfügbar (jedoch nicht in LTSC).

Windows 10 Enterprise

The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments

Overview

Windows 10 Enterprise ist das Betriebssystem von Microsoft, das für mittlere bis große Unternehmen entwickelt wurde, die ein Höchstmaß an Sicherheit, Kontrolle und Verwaltung benötigen. Enterprise basiert auf der gleichen Grundlage wie Windows 10 Pro und verfügt über eine umfassende Suite fortschrittlicher Sicherheitstechnologien: Windows Defender Credential Guard (virtualisierungsbasierte Isolierung von Anmeldeinformationen), Windows Defender Application Guard (hardwareisoliertes Surfen), Microsoft Defender for Endpoint (Enterprise EDR), DirectAccess (nahtloses VPN), BranchCache (WAN-Optimierung), AppLocker (Anwendungs-Whitelisting) und BitLocker (vollständige Festplattenverschlüsselung). Es umfasst außerdem Windows Update for Business mit erweiterten Verzögerungsoptionen, Desktop Analytics für Update-Bereitschaft und die Option Long-Term Servicing Channel (LTSC) für Geräte, deren Funktionalität sich nie ändert (Geldautomaten, medizinische Geräte, industrielle Steuerungen). Windows 10 Enterprise kann über Microsoft Intune (MDM) oder den lokalen Configuration Manager (SCCM) verwaltet werden. Die abonnementbasierte Lizenzierung über Microsoft 365 E3/E5 bietet regelmäßige Funktionsupdates, während die LTSC-Edition (nur mit aktiver Software Assurance verfügbar) 10 Jahre Sicherheitsupdates ohne Funktionsänderungen bietet. Durch die Unterstützung moderner Zero-Trust-Architekturen, Windows Hello for Business und virtualisierungsbasierter Sicherheit schützt Windows 10 Enterprise sensible Daten auch beim Zugriff über nicht vertrauenswürdige Netzwerke. Der Mainstream-Support endet am 14. Oktober 2025, wobei erweiterte Sicherheitsupdates (ESU) über Volumenlizenzen für bis zu drei weitere Jahre verfügbar sind.

How It Works

Der Startvorgang von Windows 10 Enterprise umfasst zusätzliche virtualisierungsbasierte Sicherheitsebenen und Netzwerk-Hooks für Unternehmen. Hier ist die vollständige Sequenz auf einem verwalteten Enterprise-Gerät:

1. UEFI, Secure Boot & BitLocker

UEFI-Firmware mit Secure Boot überprüft die Bootloader-Signatur. Wenn BitLocker aktiviert ist, gibt TPM den Entschlüsselungsschlüssel erst frei, nachdem beim gemessenen Start festgestellt wurde, dass keine Manipulation vorliegt. Auf Geräten mit DMA-Schutz (Kernel DMA Protection) werden Thunderbolt-Ports blockiert, bis das Betriebssystem geladen wird.

2. Virtualisation‑Based Security (VBS) Initialisation

Der Hypervisor (Microsoft Hyper-V) wird früh geladen und erstellt isolierte Virtualisierungscontainer. Credential Guard führt LSA innerhalb einer sicheren VM aus. Windows Defender Application Guard (WDAG) bereitet seinen eigenen Lightweight-Container vor. Das Hauptbetriebssystem läuft als Root-Partition mit reduzierten Rechten.

3. Kernel & Device Guard / WDAC

Der Kernel wird mit Hypervisor-Protected Code Integrity (HVCI) geladen. Jeder Treiber und jedes Kernelmodul wird vor der Ausführung anhand einer Richtlinie (WDAC) überprüft. Es können nur von autorisierten Herausgebern (Microsoft, Ihrer Organisation) signierte Binärdateien ausgeführt werden, wodurch Rootkits und nicht signierte Treiber effektiv blockiert werden.

4. DirectAccess & VPN Client

Sobald eine Netzwerkkonnektivität verfügbar ist, versucht der DirectAccess-Client mithilfe von Maschinenzertifikaten einen IPsec-Tunnel zum Unternehmensnetzwerk aufzubauen. Dies geschieht vor der Benutzeranmeldung und ermöglicht die Remote-Geräteverwaltung (Patch-Bereitstellung, Richtlinienaktualisierungen), auch wenn kein Benutzer angemeldet ist.

5. User Logon with Windows Hello for Business

Auf dem Anmeldebildschirm authentifiziert Windows Hello for Business (biometrisch oder PIN) den Benutzer bei Azure AD oder dem lokalen Active Directory. Remote Credential Guard ermöglicht dem Benutzer den Zugriff auf Remote-Ressourcen, ohne seine Anmeldeinformationen an den Zielcomputer zu senden.

6. Group Policy / MDM Refresh & BranchCache

Hintergrunddienste aktualisieren Gruppenrichtlinienobjekte (GPOs) von Domänencontrollern oder Intune MDM-Richtlinien. BranchCache im „verteilten Cache-Modus“ überprüft den lokalen Peer-Cache auf zuvor heruntergeladene Dateien und vermeidet so redundante WAN-Übertragungen.

7. Windows Defender Application Guard (Optional)

Wenn ein Administrator Edge im Application Guard-Modus (oder über eine Richtlinie) startet, startet ein neuer Hyper-V-Container mit einem minimalen Windows-Image. Der Browser wird in dieser Sandbox ausgeführt, wobei die Zwischenablage und die Dateiumleitung durch Richtlinien gesteuert werden. Durch das Schließen des Containers werden alle Änderungen verworfen.

8. Microsoft Defender for Endpoint Sensors

Der Defender for Endpoint-Sensor („MsSense.exe“) überwacht die Prozesserstellung, Netzwerkverbindungen, Dateischreibvorgänge und Registrierungsänderungen. Verhaltenssignale werden zur Risikoanalyse in Echtzeit an die Cloud gesendet. Wird eine Bedrohung erkannt, können automatisierte Reaktionsmaßnahmen (Isolierung, Dateiquarantäne) ausgelöst werden.

9. Windows Update for Business & Desktop Analytics

Windows Update for Business verwendet Verzögerungsrichtlinien (bis zu 365 Tage für Funktionsupdates) und Updateringe. Desktop Analytics lässt sich in Configuration Manager integrieren, um Einblicke in die Upgrade-Bereitschaft zu geben und Anwendungskompatibilitätsprobleme vor der Bereitstellung zu identifizieren.

Key Features

Credential Guard

Virtualisierungsbasierte Sicherheit isoliert LSASS – verhindert Pass-the-Hash- und Pass-the-Ticket-Angriffe. Erfordert TPM 2.0 und UEFI-Sperre.

Application Guard for Edge

Hardware-isolierter Container zum Surfen im Internet – bösartige Websites können das Host-Betriebssystem nicht gefährden. Unterstützt die Steuerung der Zwischenablage und Dateiumleitungsrichtlinien.

DirectAccess

Stets aktives, transparentes VPN mit IPsec. Stellt vor der Benutzeranmeldung eine Verbindung her, unterstützt mehrere Standorte und lässt sich in die Zertifikatauthentifizierung integrieren.

BranchCache

Verteiltes oder gehostetes Caching von SMB/HTTP-Inhalten – reduziert die WAN-Bandbreite und Latenz für Benutzer in Zweigstellen.

Windows Defender Application Control (WDAC)

Durch Hypervisor geschützte Codeintegrität – nur vertrauenswürdige ausführbare Dateien, Treiber und Skripte zulassen. Blockiert Ransomware und dateilose Malware auf Kernel-Ebene.

AppLocker

Whitelisting von Anwendungen im Benutzermodus mit Regelsammlungen für EXEs, MSIs, Skripts und Store-Apps. Audit-Modus zum Testen.

Microsoft Defender for Endpoint

Vollständiges Unternehmens-EDR – Verhaltenssensoren, Cloud-KI, automatisierte Untersuchung, Bedrohungs- und Schwachstellenmanagement sowie Reaktionsmaßnahmen (Isolation, Quarantäne).

BitLocker

Vollständige Festplattenverschlüsselung mit TPM und PIN. Enterprise fügt BitLocker Network Unlock (Booten von einem verschlüsselten Laufwerk bei Verbindung mit dem Unternehmensnetzwerk) und Microsoft BitLocker Administration and Monitoring (MBAM)-Integration hinzu.

Windows Hello for Business

Zwei-Faktor-Authentifizierung mit Biometrie + TPM. Ersetzt Passwörter durch schlüsselbasierte oder zertifikatbasierte Authentifizierung. Unterstützt Azure AD und lokales AD.

Desktop Analytics

Integration mit Configuration Manager zur Bewertung der Anwendungskompatibilität mit Windows-Funktionsupdates. Bietet Pilotempfehlungen und Rollback-Einblicke.

Windows Update for Business (Advanced)

Verschieben Sie Funktionsupdates um bis zu 365 Tage und Qualitätsupdates um bis zu 30 Tage. Erstellen Sie Gerätegruppen (Pilot, breit, kritisch) mit Update-Ringen. Integriert sich in die Übermittlungsoptimierung (Peer-to-Peer).

Universal Print

Cloudbasierte Drucklösung – keine Druckserver erforderlich. Die Enterprise Edition umfasst die Verwaltung von Universal Print Connectors und Druckauftragskontingenten pro Benutzer.

Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management

Verwalten Sie Geräte nahtlos mit Cloud-MDM (Intune) und lokalem SCCM. Ermöglicht bedingten Zugriff, Compliance-Richtlinien und Remote-Aktionen (Löschen, Zurückziehen, Synchronisieren).

Long‑Term Servicing Channel (LTSC)

10 Jahre Sicherheitsupdates ohne Funktionsänderungen – für Geräte mit festem Verwendungszweck (Geldautomaten, Medizintechnik, Industrie). Nur mit Software Assurance.

Credential Guard & Virtualisation‑Based Security

Isolieren Sie Geheimnisse aus dem Betriebssystem – selbst Kernel-Malware kann keine Hashes stehlen

How Credential Guard Works

Credential Guard verwendet Virtualisierungsbasierte Sicherheit (VBS), um den Local Security Authority Subsystem Service (LSASS) in einer hardwareisolierten virtuellen Maschine auszuführen. Windows-Prozesse außerhalb dieser sicheren VM können nicht auf die darin gespeicherten gehashten Anmeldeinformationen, Kerberos-Tickets oder NTLM-Hashes zugreifen. Pass-the-hash- und Pass-the-ticket-Angriffe werden unmöglich, da die Geheimnisse die isolierte Umgebung nie verlassen.

Requirements & Enablement

Erfordert eine 64-Bit-CPU mit Intel VT-x (mit erweiterten Seitentabellen) oder AMD-V (mit Rapid Virtualization Indexing), UEFI-Sperre und TPM 2.0. Aktivieren Sie über die Gruppenrichtlinie: „Computerkonfiguration → Administrative Vorlagen → System → Geräteschutz → Virtualisierungsbasierte Sicherheit aktivieren“. Auf „Aktiviert mit Credential Guard“ setzen.

Key Protection & Remote Credential Guard

Credential Guard schützt auch Key Trust (TPM-gebundene Schlüssel) und Certificate Trust (Smartcard-Zertifikate). Remote Credential Guard erweitert dies auf RDP-Sitzungen – wenn ein Benutzer eine Verbindung zu einem Remote-PC herstellt, verlassen seine Anmeldeinformationen niemals den Client-Computer. Der Ziel-PC erhält ein Kerberos-Serviceticket, nicht den Passwort-Hash des Benutzers.

Performance Impact

VBS verursacht einen geringen Overhead (2-5 % CPU) für den Kontextwechsel zwischen der sicheren VM und dem normalen Betriebssystem. Auf moderner Hardware der Serverklasse ist dies für die meisten Workloads vernachlässigbar. Einige ältere Treiber und Anwendungen (insbesondere Anti-Cheat-Spielesoftware) sind inkompatibel und blockieren die Aktivierung von VBS.

Windows Defender Application Guard (WDAG)

Hardwareisoliertes Surfen – die sicherste Möglichkeit, auf nicht vertrauenswürdigen Websites zu surfen

Hyper‑V Container per Browser Session

WDAG startet Microsoft Edge in einem leichten Hyper-V-Container. Dieser Container verwendet eine Kopie des Host-Betriebssystems, wird jedoch in einer separaten virtuellen Maschine ausgeführt und hat keinen Zugriff auf den Arbeitsspeicher, die Speicherung oder den Netzwerkstapel des Hosts (außer über einen virtuellen Switch). Wenn eine Website den Browser ausnutzt, erhält der Angreifer nur Zugriff auf den Container – der Host bleibt völlig unangetastet.

Configuration & Policies

Aktivieren Sie über Gruppenrichtlinien oder Intune: „Administrative Vorlagen → Windows-Komponenten → Windows Defender Application Guard → Windows Defender Application Guard aktivieren“. Richtlinien steuern den Zugriff auf die Zwischenablage (Kopieren/Einfügen erlaubt?), die Umleitung von Dateidownloads (auf Host speichern?) und das Drucken aus dem Container. Sie können auch die Vertrauenswürdigkeit von Unternehmensressourcen definieren (z. B. interne SharePoint-Websites, die im normalen Edge geöffnet werden).

Performance & User Experience

Beim ersten Start dauert die Erstellung des Containers 5–10 Sekunden. Nachfolgende Starts sind aufgrund des Cachings schneller. Sobald Sie drinnen sind, ist das Surfen nahezu nativ. Der Container speichert keine Daten – Cookies, Downloads und Browserverlauf werden verworfen, wenn der Container geschlossen wird. Benutzern wird eine spezielle Benutzeroberfläche angezeigt, die anzeigt, dass sie sich im „Application Guard“-Modus befinden.

Integration with Defender for Endpoint

Wenn im Container ein Malware-Beispiel erkannt wird, kann Defender für Endpunkt die Nutzlast automatisch erfassen und zur Analyse übermitteln. Der Container kann auch automatisch in einen bekanntermaßen guten Zustand zurückgesetzt werden, wenn verdächtiges Verhalten erkannt wird.

DirectAccess & BranchCache

Nahtloser Fernzugriff und WAN-Optimierung für verteilte Organisationen

DirectAccess – Always On VPN

DirectAccess stellt einen automatischen, transparenten, ständig aktiven IPsec-Tunnel zum Unternehmensnetzwerk bereit, sobald das Gerät über einen Internetzugang verfügt. Keine Benutzereingaben (kein Click-to-Connect) – es werden Maschinenzertifikate zur Authentifizierung verwendet. Benutzer greifen auf interne Ressourcen (Dateifreigaben, Intranetseiten) zu, als wären sie vor Ort, sogar hinter NATs und Firewalls. DirectAccess unterstützt auch die Multi-Site-Bereitstellung und lässt sich in Network Access Protection (NAP) (Legacy) integrieren.

DirectAccess vs Traditional VPN

Beim herkömmlichen VPN muss der Benutzer die Verbindung manuell herstellen, die Verbindung kann nach Inaktivität getrennt werden und funktioniert nicht vor der Benutzeranmeldung. DirectAccess stellt vor der Anmeldung automatisch eine Verbindung her, bleibt auf unbestimmte Zeit verbunden und unterstützt Force-Tunneling (der gesamte Internetverkehr wird über das Unternehmensnetzwerk geleitet) oder Split-Tunneling. Es ist ideal für die Fernverwaltung von Laptops und den ständigen Zugriff auf interne Ressourcen.

BranchCache – Reduce WAN Traffic

BranchCache speichert Inhalte von Remote-Dateiservern (SMB-Freigaben) und HTTP-(Web-)Servern auf lokalen Client-PCs oder einem vor Ort gehosteten Cache-Server zwischen. Im Verteilten Cache-Modus speichert jeder Client Inhalte zwischen und teilt sie über die lokale LAN-Erkennung (WS-Discovery) mit Peer-Clients. Im Hosted Cache Mode fungiert ein dedizierter Windows-Server als zentraler Cache. Nachfolgende Anfragen für dieselbe Datei werden aus dem lokalen Cache bedient, wodurch die Latenz und die WAN-Auslastung drastisch reduziert werden.

BranchCache Security

Die Daten werden mit SHA-256 verschlüsselt und auf Integrität überprüft. Clients erhalten nur die Teile der Datei, die sie anfordern, und der Cache ist segmentiert, um eine unbefugte Rekonstruktion zu verhindern. BranchCache funktioniert über HTTP- und SMB-Protokolle und ist nahtlos in den Windows-Dateiserver integriert.

Windows Defender Application Control (WDAC) & AppLocker

Zero-Trust-Anwendungs-Whitelisting – nur genehmigte Software wird ausgeführt

WDAC – Hypervisor‑Protected Code Integrity

Mit WDAC (ehemals Device Guard) können Administratoren genau angeben, welche ausführbaren Dateien, Treiber, Skripts und MSIs vertrauenswürdig sind. Regeln basieren auf Dateipfad, Herausgeber (digitales Zertifikat) oder Datei-Hash. Die Richtlinie wird vom Hypervisor (HVCI) durchgesetzt und kann nicht von Kernel-Modus-Malware umgangen werden. WDAC kann nicht nur bekannte Malware blockieren, sondern auch „lebende“ Binärdateien (z. B. PowerShell, wmic), die Angreifer verwenden.

WDAC vs AppLocker

AppLocker ist eine Benutzermodus-Richtlinienlösung, die in Enterprise (und Pro) verfügbar ist – einfacher zu verwalten, aber durch Kernel-Treiber umgangen werden kann. WDAC ist eine Hypervisor-geschützte Lösung im Kernelmodus – viel leistungsfähiger, erfordert jedoch sorgfältige Planung und Tests. Viele Organisationen nutzen beides: WDAC für den Schutz kritischer Systeme und AppLocker für Benutzer-App-Einschränkungen.

Creating WDAC Policies

Verwenden Sie das PowerShell-Modul „ConfigCI“ auf einem Referenz-PC. „New-CIPolicy“ scannt das System und generiert eine Zulassungsliste aller aktuell installierten Anwendungen und Treiber. „ConvertFrom-CIPolicy“ konvertiert in das Binärformat. Bereitstellung über Gruppenrichtlinie oder MDM. Sie können zunächst im Überwachungsmodus ausführen, um zu protokollieren, was blockiert werden würde, ohne es tatsächlich zu blockieren.

AppLocker Rulesets for Enterprises

AppLocker unterstützt fünf Regelsammlungen: Ausführbare Dateien (.exe, .com), Windows Installer (.msi, .msp), Skripte (.ps1, .bat, .vbs, .js), DLLs und gepackte Apps (Store-Apps). Richtlinien können pro Benutzergruppe angewendet werden. Beispiel: Erlauben Sie allen Benutzern, Programme von „C:\Programme“ und „C:\Programme (x86)“ auszuführen, verbieten Sie jedoch die Ausführung von „%USERPROFILE%\Downloads“ oder „%TEMP%“.

Microsoft Defender for Endpoint (formerly ATP)

Enterprise EDR mit automatisierter Untersuchung und Reaktion

Next‑Generation Protection

Verhaltenssensoren, Cloud-KI und Modelle für maschinelles Lernen analysieren Prozessverhalten, Netzwerkverbindungen und Registrierungsänderungen. Regeln zur Reduzierung der Angriffsfläche (z. B. Office daran hindern, untergeordnete Prozesse zu erstellen, ausführbare Inhalte im E-Mail-Client blockieren) verhindern häufige Infektionsvektoren.

Endpoint Detection & Response (EDR)

Umfassender Einblick in Endpunkte: Warnungen bei verdächtigem Verhalten, maschinenübergreifende Untersuchungen und Zeitleistenansichten von Prozessbäumen. Security Operations Center (SOCs) können rohe Telemetriedaten bis zu 6 Monate lang abfragen (abhängig von der Lizenz).

Automated Investigation & Remediation

Wenn eine Warnung ausgelöst wird, kann Defender für Endpunkt den Vorfall automatisch untersuchen: die Grundursache ermitteln, betroffene Computer vom Netzwerk isolieren (mithilfe der Microsoft Intune-Integration) und schädliche Artefakte (Dateien, Registrierungsschlüssel, geplante Aufgaben) entfernen.

Threat & Vulnerability Management (TVM)

TVM entdeckt kontinuierlich fehlende Sicherheitsupdates, Fehlkonfigurationen (z. B. schwache Firewall-Regeln) und anfällige Softwareversionen. Es bietet eine risikobasierte Priorisierung – „Patch First“-Empfehlungen basierend auf der Exploit-Wahrscheinlichkeit und der Gefährdung der Vermögenswerte.

Long‑Term Servicing Channel (LTSC)

10 Jahre Sicherheitsupdates ohne Funktionsänderungen – für Festzweckgeräte

What is LTSC?

Der Long-Term Servicing Channel (ehemals LTSB) ist eine Sonderedition von Windows 10 Enterprise, die keine Funktionsupdates erhält. Es umfasst nur Sicherheits- und Qualitätsupdates für bis zu 10 Jahre (5 Jahre Mainstream + 5 Jahre verlängert). Ideal für Geräte, deren Funktionalität sich niemals ändern darf: Geldautomaten, medizinische Geräte (MRT, CT-Scanner), industrielle Steuerungssysteme (SCADA), Kioske und eingebettete Systeme.

What’s Missing in LTSC

LTSC wird ohne Microsoft Edge (nur Legacy-Version, nicht Chromium), Windows Store, Cortana, Inbox-Apps (Mail, Kalender, Rechner), OneDrive und moderne Funktionen wie Timeline und Sets ausgeliefert. Es unterstützt auch nicht die halbjährlichen Funktionsupdates von Windows 10 (z. B. 21H2, 22H2). Dadurch ist LTSC nicht mit neuer Hardware kompatibel (Treiber erfordern möglicherweise neuere Windows-Builds).

Licensing & Availability

LTSC ist nur für Kunden mit aktiver Software Assurance (Volumenlizenzierung) oder über Microsoft 365 E3/E5 verfügbar (kein LTSC – Sie benötigen SA). Jede neue LTSC-Version wird ab dem Veröffentlichungsdatum 10 Jahre lang unterstützt (z. B. wird Windows 10 Enterprise LTSC 2019 bis 2029, LTSC 2021 bis 2031 unterstützt). Ohne eine Neuinstallation ist kein Upgrade von einer LTSC-Version auf eine andere möglich.

LTSC vs Semi‑Annual Channel (SAC)

Die meisten Enterprise-Geräte sollten den Semi-Annual Channel (SAC) nutzen – Sie erhalten zwei Mal im Jahr neue Funktionen. LTSC ist ein spezielles Tool für kritische Infrastrukturen, die keine UI-Änderungen oder Neustarts für Funktionsaktualisierungen tolerieren. Microsoft rät von der Verwendung von LTSC für Allzweck-Desktops, Office- oder Entwicklungsmaschinen ab.

Pros

✓Unübertroffene Sicherheit – Credential Guard, Application Guard, WDAC und Defender for Endpoint bieten umfassenden Schutz
✓DirectAccess macht benutzerseitiges VPN überflüssig – nahtlose Fernzugriffsverwaltung
✓BranchCache verbessert die Filialerfahrung für Dateiserver und Webanwendungen erheblich
✓Vollständige Geräteverwaltung – Intune, ConfigMgr, Gruppenrichtlinie und Co-Verwaltung
✓Windows Update for Business mit 1-jähriger Verzögerung – planen Sie Updates nach Ihrem Zeitplan
✓Long-Term Servicing Channel (LTSC) für regulatorische oder stabilitätskritische Umgebungen
✓AppLocker + WDAC – erzwingt Zero-Trust-Anwendungsrichtlinien vom Kernel- bis zum Benutzermodus
✓Microsoft Defender für Endpoint bietet Unternehmens-EDR ohne Agenten von Drittanbietern
✓Desktop Analytics reduziert das Upgrade-Risiko durch reale Kompatibilitätsdaten
✓Remote Credential Guard schützt Anmeldeinformationen während RDP-Sitzungen
✓Universal Print reduziert die Komplexität des Druckservers
✓Unterstützt Windows 10 im S-Modus – nur für Microsoft Store-Apps beschränkt, für extrem eingeschränkte Umgebungen

Cons

✗Nicht im Einzelhandel erhältlich – erfordert einen Volumenlizenzvertrag (Microsoft 365 E3/E5 oder Software Assurance)
✗Höhere Kosten als Pro – Abonnementgebühren pro Benutzer/pro Gerät (normalerweise 7–14 $ pro Benutzer/Monat als Teil von Microsoft 365)
✗Komplexität – viele Funktionen (WDAC, Credential Guard, Application Guard) erfordern sorgfältige Planung und Tests
✗Hardwareanforderungen – VBS-Funktionen erfordern TPM 2.0, UEFI und aktuelle CPUs; Ältere Geräte unterstützen sie möglicherweise nicht
✗Probleme mit der Anwendungskompatibilität – WDAC kann legitime Software blockieren; Credential Guard macht einige Authentifizierungsmodule von Drittanbietern kaputt
✗Leistungsaufwand – VBS (Credential Guard, HVCI) kann die Leistung um 2–8 % reduzieren, was sich bei hohen I/O- oder Gaming-Workloads bemerkbar macht
✗DirectAccess erfordert eine Windows-Server-Infrastruktur (DirectAccess-Server, PKI, DNS und IPv6-Übergangstechnologien)
✗BranchCache erfordert Windows Server-Dateiserver und eine sorgfältige Cache-Größe
✗Der Support endet am 14. Oktober 2025 – wie bei allen Windows 10-Editionen (obwohl LTSC für bestimmte Versionen bis 2031 geht)
✗Keine Verbraucherfunktionen – Cortana, Windows Store (kann deaktiviert werden), Cloud-Erlebnisse für Verbraucher sind durch Richtlinien deaktiviert (kann Benutzer verwirren, die sie erwarten)
✗LTSC verfügt nicht über moderne Browser und App Store – Microsoft Teams, neue Edge- oder Store-Apps können nicht ohne Problemumgehungen installiert werden

Use Cases

Großes Unternehmen mit mehr als 5.000 Geräten – zentrale Verwaltung über Intune und ConfigMgr, Defender for Endpoint für SOC, WDAC zum Blockieren nicht autorisierter SoftwareFinanzdienstleistungen/Banking – Credential Guard und virtualisierungsbasierte Sicherheit zur Erfüllung regulatorischer Anforderungen (PCI-DSS, SOX, DSGVO)Gesundheitswesen – Patientendaten mit BitLocker und Defender schützen; LTSC für medizinische Geräte (MRT, Beatmungsgeräte), bei denen keine Funktionsänderungen möglich sindRegierung und Verteidigung – WDAC und Application Guard zum Schutz klassifizierter Netzwerke; DirectAccess für sicheren FernzugriffEinzelhandel/Gastgewerbe – Kioskmodus mit zugewiesenem Zugriff und universellem Druck; BranchCache für Dateiserver-Caching auf GeschäftsebeneFertigung/Industrie – LTSC auf Fabrik-PCs, auf denen SCADA-Systeme laufen; Keine ungeplanten Neustarts oder Änderungen an der BenutzeroberflächeRemote-/Roaming-Mitarbeiter – DirectAccess bietet nahtlosen Zugriff auf interne Ressourcen von Cafés und Hotels ohne BenutzerinteraktionSoftwareentwicklungshaus – Windows Sandbox und Hyper-V zum Testen; WDAC im Überwachungsmodus zum Erstellen von AnwendungszulassungslistenBildungs-IT für Personal/Verwaltung – nicht für Studentenlabore, sondern für Fakultäts- und Verwaltungsgeräte, die umfassende Unternehmenssicherheit benötigen

Hidden & Useful Shortcuts

Master Windows 10 with these time‑saving keyboard shortcuts

Win

Open Start Menu (Cortana disabled by default on Enterprise)

WinA

Open Action Centre

WinD

Show desktop

WinE

Open File Explorer

WinI

Open Settings

WinL

Lock workstation – secure against physical access

WinR

Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)

WinX

Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer

WinS

Open Search (Cortana disabled but search works)

WinTab

Task View – virtual desktops (useful for separating classified and unclassified work)

WinCtrlD

New virtual desktop

WinCtrlF4

Close current virtual desktop

WinCtrlLeft/Right

Switch between virtual desktops

WinG

Open Game Bar (if not removed by policy)

WinShiftS

Open Snip & Sketch for custom screenshots

WinV

Open clipboard history (if enabled by policy)

Win.

Emoji panel

CtrlShiftEsc

Open Task Manager – can view VBS status (Performance → Virtualisation)

WinPause/Break

Open System Properties (shows 'Windows 10 Enterprise')

WinK

Open Connect (wireless displays) – may be disabled via policy

WinH

Open dictation (if not disabled)

WinR, then `tpm.msc`

Check TPM status (required for Credential Guard)

WinR, then `msinfo32`

System Information – see 'Virtualisation‑Based Security' status

WinR, then `control userpasswords2`

Advanced user account management

WinR, then `compmgmt.msc`

Computer Management – Local Users, Disk Management, Services

WinR, then `wf.msc`

Windows Firewall with Advanced Security

Technical Specifications

Architecture	64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit
Processor	1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation)
RAM	4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB)
Storage	64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI
Graphics	DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU)
Display	Minimum 800x600; recommended 1920x1080 or higher
TPM	TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only
Virtualisation	Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V
Secure Boot	Required for VBS features; strongly recommended for all Enterprise deployments
Memory for VBS	At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers)
Internet	Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features
DirectAccess Infrastructure	Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later