Windows 10 Enterprise
The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments
Overview
How It Works
1. UEFI, Secure Boot & BitLocker
El firmware UEFI con arranque seguro verifica la firma del gestor de arranque. Si BitLocker está habilitado, TPM libera la clave de descifrado solo después de que el arranque medido verifique que no haya manipulación. En dispositivos con protección DMA (Protección Kernel DMA), los puertos Thunderbolt están bloqueados hasta que se carga el sistema operativo.
2. Virtualisation‑Based Security (VBS) Initialisation
El hipervisor (Microsoft Hyper‑V) se carga temprano, creando contenedores de virtualización aislados. Credential Guard ejecuta LSA dentro de una máquina virtual segura. Windows Defender Application Guard (WDAG) prepara su propio contenedor liviano. El sistema operativo principal se ejecuta como partición raíz con privilegios reducidos.
3. Kernel & Device Guard / WDAC
El kernel se carga con Integridad de código protegida por hipervisor (HVCI). Cada controlador y módulo del kernel se verifica con una política (WDAC) antes de su ejecución. Sólo se pueden ejecutar archivos binarios firmados por editores autorizados (Microsoft, su organización), lo que bloquea eficazmente rootkits y controladores no firmados.
4. DirectAccess & VPN Client
Tan pronto como la conectividad de red esté disponible, el cliente DirectAccess intenta establecer un túnel IPsec hacia la red corporativa mediante certificados de máquina. Esto sucede antes de que el usuario inicie sesión, lo que permite la administración remota de dispositivos (implementación de parches, actualizaciones de políticas) incluso cuando ningún usuario ha iniciado sesión.
5. User Logon with Windows Hello for Business
En la pantalla de inicio de sesión, Windows Hello para empresas (biométrico o PIN) autentica al usuario en Azure AD o Active Directory local. Remote Credential Guard permite al usuario acceder a recursos remotos sin enviar sus credenciales a la máquina de destino.
6. Group Policy / MDM Refresh & BranchCache
Los servicios en segundo plano actualizan los objetos de directiva de grupo (GPO) desde controladores de dominio o directivas de Intune MDM. BranchCache en el 'modo de caché distribuida' comprueba la caché del mismo nivel local en busca de archivos descargados previamente, evitando transferencias WAN redundantes.
7. Windows Defender Application Guard (Optional)
Si un administrador inicia Edge en modo Application Guard (o mediante una política), un nuevo contenedor Hyper‑V comienza con una imagen mínima de Windows. El navegador se ejecuta dentro de esta zona de pruebas, con el portapapeles y la redirección de archivos controlados por política. Al cerrar el contenedor se descartan todos los cambios.
8. Microsoft Defender for Endpoint Sensors
El sensor Defender for Endpoint (`MsSense.exe`) monitorea la creación de procesos, las conexiones de red, las escrituras de archivos y los cambios en el registro. Las señales de comportamiento se envían a la nube para realizar análisis de riesgos en tiempo real. Si se detecta una amenaza, se pueden activar acciones de respuesta automatizadas (aislamiento, cuarentena de archivos).
9. Windows Update for Business & Desktop Analytics
Windows Update for Business utiliza políticas de aplazamiento (hasta 365 días para actualizaciones de funciones) y anillos de actualización. Desktop Analytics se integra con Configuration Manager para proporcionar información sobre la preparación para la actualización, identificando problemas de compatibilidad de aplicaciones antes de la implementación.
Key Features
Credential Guard
La seguridad basada en la virtualización aísla LSASS y previene los ataques pass-the-hash y pass-the-ticket. Requiere TPM 2.0 y bloqueo UEFI.
Application Guard for Edge
Contenedor aislado por hardware para navegación web: los sitios web maliciosos no pueden comprometer el sistema operativo host. Admite control del portapapeles y políticas de redirección de archivos.
DirectAccess
VPN transparente y siempre activa que utiliza IPsec. Se conecta antes de que el usuario inicie sesión, admite múltiples sitios y se integra con la autenticación de certificados.
BranchCache
Almacenamiento en caché distribuido o alojado de contenido SMB/HTTP: reduce el ancho de banda WAN y la latencia para los usuarios de sucursales.
Windows Defender Application Control (WDAC)
Integridad del código protegido por hipervisor: solo permita ejecutables, controladores y scripts confiables. Bloquea ransomware y malware sin archivos a nivel de kernel.
AppLocker
Lista blanca de aplicaciones en modo de usuario con colecciones de reglas para EXE, MSI, scripts y aplicaciones de la Tienda. Modo de auditoría para pruebas.
Microsoft Defender for Endpoint
EDR empresarial completo: sensores de comportamiento, IA en la nube, investigación automatizada, gestión de amenazas y vulnerabilidades y acciones de respuesta (aislamiento, cuarentena).
BitLocker
Cifrado de disco completo con TPM y PIN. Enterprise agrega Desbloqueo de red BitLocker (arranque desde una unidad cifrada cuando se conecta a la red corporativa) e integración de Administración y monitoreo de Microsoft BitLocker (MBAM).
Windows Hello for Business
Autenticación de dos factores mediante biometría + TPM. Reemplaza las contraseñas con autenticación basada en claves o certificados. Admite Azure AD y AD local.
Desktop Analytics
Integración con Configuration Manager para evaluar la compatibilidad de la aplicación con las actualizaciones de funciones de Windows. Proporciona recomendaciones piloto e información sobre reversión.
Windows Update for Business (Advanced)
Posponga las actualizaciones de funciones hasta 365 días y las actualizaciones de calidad hasta 30 días. Cree grupos de dispositivos (piloto, amplio, crítico) con anillos de actualización. Se integra con la optimización de entrega (de igual a igual).
Universal Print
Solución de impresión basada en la nube: no se necesitan servidores de impresión. La edición Enterprise incluye la gestión de conectores de Universal Print y la cuota de trabajos de impresión por usuario.
Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management
Administre dispositivos sin problemas con MDM en la nube (Intune) y SCCM local. Habilita el acceso condicional, políticas de cumplimiento y acciones remotas (borrar, retirar, sincronizar).
Long‑Term Servicing Channel (LTSC)
10 años de actualizaciones de seguridad sin cambios de funciones, para dispositivos de propósito fijo (cajeros automáticos, médicos, industriales). Sólo con Software Assurance.
Credential Guard & Virtualisation‑Based Security
Aislar secretos del sistema operativo: ni siquiera el malware del kernel puede robar hashes
How Credential Guard Works
Credential Guard utiliza Seguridad basada en virtualización (VBS) para ejecutar el Servicio de subsistema de autoridad de seguridad local (LSASS) dentro de una máquina virtual aislada por hardware. Los procesos de Windows fuera de esta máquina virtual segura no pueden acceder a las credenciales con hash, a los tickets de Kerberos ni a los hashes NTLM almacenados en su interior. Los ataques Pass-the-hash y Pass-the-ticket se vuelven imposibles porque los secretos nunca abandonan el entorno aislado.
Requirements & Enablement
Requiere una CPU de 64 bits con Intel VT‑x (con tablas de páginas extendidas) o AMD‑V (con indexación de virtualización rápida), bloqueo UEFI y TPM 2.0. Habilite a través de la Política de grupo: `Configuración de la computadora → Plantillas administrativas → Sistema → Protección del dispositivo → Activar seguridad basada en virtualización`. Establezca en 'Activado con Credential Guard'.
Key Protection & Remote Credential Guard
Credential Guard también protege Key Trust (claves vinculadas a TPM) y Certificate Trust (certificados de tarjeta inteligente). Remote Credential Guard extiende esto a las sesiones RDP: cuando un usuario se conecta a una PC remota, sus credenciales nunca abandonan la máquina cliente. La PC de destino recibe un ticket de servicio Kerberos, no el hash de contraseña del usuario.
Performance Impact
VBS impone una pequeña sobrecarga (2‑5 % de CPU) para el cambio de contexto entre la máquina virtual segura y el sistema operativo normal. En el hardware moderno de tipo servidor, esto es insignificante para la mayoría de las cargas de trabajo. Algunos controladores y aplicaciones heredados (especialmente el software de juegos antitrampas) son incompatibles y bloquearán el encendido de VBS.
Windows Defender Application Guard (WDAG)
Navegación aislada por hardware: la forma más segura de navegar por sitios web que no son de confianza
Hyper‑V Container per Browser Session
WDAG lanza Microsoft Edge dentro de un contenedor Hyper‑V liviano. Este contenedor utiliza una copia del sistema operativo del host, pero se ejecuta en una máquina virtual separada sin acceso a la memoria, el almacenamiento o la pila de red del host (excepto a través de un conmutador virtual). Si un sitio web explota el navegador, el atacante sólo obtiene acceso al contenedor; el host permanece completamente intacto.
Configuration & Policies
Habilite a través de la Política de grupo o Intune: `Plantillas administrativas → Componentes de Windows → Protección de aplicaciones de Windows Defender → Activar Protección de aplicaciones de Windows Defender`. Las políticas controlan el acceso al portapapeles (¿se permite copiar y pegar?), la redirección de descarga de archivos (¿guardar en el host?) y la impresión desde el contenedor. You can also define enterprise resource trust (e.g., internal SharePoint sites open in normal Edge).
Performance & User Experience
El primer lanzamiento tarda entre 5 y 10 segundos en crear el contenedor; los lanzamientos posteriores son más rápidos debido al almacenamiento en caché. Una vez dentro, la navegación es casi nativa. El contenedor no conserva ningún dato: las cookies, las descargas y el historial de navegación se descartan cuando se cierra el contenedor. Los usuarios ven una interfaz de usuario especial que indica que están en modo "Guardia de aplicaciones".
Integration with Defender for Endpoint
Si se detecta una muestra de malware dentro del contenedor, Defender for Endpoint puede recopilar automáticamente la carga útil y enviarla para su análisis. El contenedor también se puede restablecer automáticamente a un estado correcto si se detecta un comportamiento sospechoso.
DirectAccess & BranchCache
Acceso remoto fluido y optimización de WAN para organizaciones distribuidas
DirectAccess – Always On VPN
DirectAccess proporciona un túnel IPsec automático, transparente y siempre activo a la red corporativa tan pronto como el dispositivo tiene acceso a Internet. Sin entrada del usuario (sin clic para conectarse): utiliza certificados de máquina para la autenticación. Los usuarios acceden a recursos internos (archivos compartidos, sitios de intranet) como si estuvieran en las instalaciones, incluso detrás de NAT y firewalls. DirectAccess también admite la implementación multisitio y se integra con Protección de acceso a la red (NAP) (heredado).
DirectAccess vs Traditional VPN
La VPN tradicional requiere que el usuario se conecte manualmente, puede desconectarse después de estar inactiva y no funciona antes de que el usuario inicie sesión. DirectAccess se conecta automáticamente antes de iniciar sesión, permanece conectado indefinidamente y admite túnel forzado (todo el tráfico de Internet enrutado a través de la red corporativa) o túnel dividido. Es ideal para la gestión remota de portátiles y el acceso constante a recursos internos.
BranchCache – Reduce WAN Traffic
BranchCache almacena en caché el contenido de servidores de archivos remotos (recursos compartidos SMB) y servidores HTTP (web) en PC cliente locales o en un servidor de caché alojado en el sitio. En Modo de caché distribuida, cada cliente almacena en caché el contenido y lo comparte con clientes pares a través del descubrimiento de LAN local (WS-Discovery). En Modo de caché alojada, un servidor Windows dedicado actúa como caché central. Las solicitudes posteriores del mismo archivo se atienden desde la memoria caché local, lo que reduce drásticamente la latencia y la utilización de la WAN.
BranchCache Security
Los datos se cifran y se comprueba su integridad mediante SHA‑256. Los clientes reciben solo las partes del archivo que solicitan y el caché está segmentado para evitar una reconstrucción no autorizada. BranchCache funciona a través de protocolos HTTP y SMB y se integra perfectamente con Windows File Server.
Windows Defender Application Control (WDAC) & AppLocker
Lista blanca de aplicaciones de confianza cero: solo se ejecuta software aprobado
WDAC – Hypervisor‑Protected Code Integrity
WDAC (anteriormente Device Guard) permite a los administradores especificar exactamente qué archivos ejecutables, controladores, scripts y MSI son confiables. Las reglas se basan en la ruta del archivo, el editor (certificado digital) o el hash del archivo. La política la aplica el hipervisor (HVCI) y el malware en modo kernel no puede eludirla. WDAC puede bloquear no sólo el malware conocido sino también los archivos binarios que "viven de la tierra" (por ejemplo, PowerShell, wmic) que utilizan los atacantes.
WDAC vs AppLocker
AppLocker es una solución de políticas en modo de usuario disponible en Enterprise (y Pro): más fácil de administrar pero que los controladores del kernel pueden omitir. WDAC es una solución protegida por hipervisor en modo kernel, mucho más potente pero que requiere una planificación y pruebas cuidadosas. Muchas organizaciones utilizan ambos: WDAC para protección crítica del sistema y AppLocker para restricciones de aplicaciones de usuario.
Creating WDAC Policies
Utilice el módulo PowerShell `ConfigCI` en una PC de referencia. `New-CIPolicy` escanea el sistema y genera una lista de permitidos de todas las aplicaciones y controladores actualmente instalados. `ConvertFrom-CIPolicy` convierte a formato binario. Implementar mediante política de grupo o MDM. Puede ejecutarlo en Modo de auditoría inicialmente para registrar lo que se bloquearía sin bloquearlo realmente.
AppLocker Rulesets for Enterprises
AppLocker admite cinco colecciones de reglas: ejecutables (.exe, .com), instaladores de Windows (.msi, .msp), scripts (.ps1, .bat, .vbs, .js), archivos DLL y aplicaciones empaquetadas (aplicaciones de la tienda). Las políticas se pueden aplicar por grupo de usuarios. Por ejemplo: permitir que todos los usuarios ejecuten programas desde `C:\Program Files` y `C:\Program Files (x86)`, pero negar la ejecución desde `%USERPROFILE%\Downloads` o `%TEMP%`.
Microsoft Defender for Endpoint (formerly ATP)
EDR empresarial con investigación y respuesta automatizadas
Next‑Generation Protection
Los sensores de comportamiento, la inteligencia artificial en la nube y los modelos de aprendizaje automático analizan el comportamiento de los procesos, las conexiones de red y los cambios de registro. Las reglas de reducción de la superficie de ataque (por ejemplo, impedir que Office cree procesos secundarios, bloquear contenido ejecutable del cliente de correo electrónico) previenen los vectores de infección comunes.
Endpoint Detection & Response (EDR)
Profunda visibilidad de los puntos finales: alertas sobre comportamientos sospechosos, investigaciones entre máquinas y vistas cronológicas de los árboles de procesos. Los centros de operaciones de seguridad (SOC) pueden consultar telemetría sin procesar durante hasta 6 meses (según la licencia).
Automated Investigation & Remediation
Cuando se activa una alerta, Defender for Endpoint puede investigar automáticamente el incidente: determinar la causa raíz, aislar las máquinas afectadas de la red (mediante la integración de Microsoft Intune) y eliminar artefactos maliciosos (archivos, claves de registro, tareas programadas).
Threat & Vulnerability Management (TVM)
TVM descubre continuamente actualizaciones de seguridad faltantes, configuraciones erróneas (por ejemplo, reglas de firewall débiles) y versiones de software vulnerables. It provides risk‑based prioritisation – 'Patch first' recommendations based on exploit likelihood and asset exposure.
Long‑Term Servicing Channel (LTSC)
10 años de actualizaciones de seguridad sin cambios de funciones (para dispositivos de uso fijo)
What is LTSC?
El Canal de mantenimiento a largo plazo (anteriormente LTSB) es una edición especial de Windows 10 Enterprise que no recibe actualizaciones de funciones. Incluye solo actualizaciones de seguridad y calidad por hasta 10 años (5 años estándar + 5 años extendidos). Ideal para dispositivos que nunca deben cambiar de funcionalidad: cajeros automáticos, equipos médicos (escáneres MRI, CT), sistemas de control industrial (SCADA), quioscos y sistemas integrados.
What’s Missing in LTSC
LTSC se envía sin Microsoft Edge (solo versión antigua, no Chromium), Windows Store, Cortana, aplicaciones de la bandeja de entrada (correo, calendario, calculadora), OneDrive y funciones modernas como Timeline y Sets. Tampoco es compatible con las actualizaciones de funciones semestrales de Windows 10 (por ejemplo, 21H2, 22H2). Esto hace que LTSC sea incompatible con hardware nuevo (los controladores pueden requerir versiones más nuevas de Windows).
Licensing & Availability
LTSC solo está disponible para clientes con Software Assurance activo (licencias por volumen) o a través de Microsoft 365 E3/E5 (no hay LTSC allí; necesita SA). Cada nueva versión de LTSC es compatible durante 10 años a partir de su fecha de lanzamiento (por ejemplo, Windows 10 Enterprise LTSC 2019 es compatible hasta 2029, LTSC 2021 hasta 2031). No puede actualizar de una versión de LTSC a otra sin una instalación limpia.
LTSC vs Semi‑Annual Channel (SAC)
La mayoría de los dispositivos empresariales deberían utilizar el canal semianual (SAC): obtenga nuevas funciones dos veces al año. LTSC es una herramienta especializada para infraestructura crítica que no puede tolerar cambios en la interfaz de usuario ni reiniciar para actualizaciones de funciones. Microsoft desaconseja el uso de LTSC para computadoras de escritorio de uso general, Office o máquinas de desarrollo.
Pros
- ✓Seguridad inigualable: Credential Guard, Application Guard, WDAC y Defender for Endpoint brindan una defensa en profundidad
- ✓DirectAccess elimina la VPN orientada al usuario: gestión de acceso remoto perfecta
- ✓BranchCache mejora drásticamente la experiencia de las sucursales para servidores de archivos y aplicaciones web
- ✓Administración completa de dispositivos: Intune, ConfigMgr, directiva de grupo y coadministración
- ✓Windows Update for Business con aplazamiento de 1 año: planifique las actualizaciones según su programación
- ✓Canal de servicio a largo plazo (LTSC) para entornos regulatorios o de estabilidad crítica
- ✓AppLocker + WDAC: aplica políticas de aplicación de confianza cero desde el modo kernel al modo usuario
- ✓Microsoft Defender for Endpoint proporciona EDR empresarial sin agentes de terceros
- ✓Desktop Analytics reduce el riesgo de actualización con datos de compatibilidad del mundo real
- ✓Remote Credential Guard protege las credenciales durante las sesiones RDP
- ✓Impresión universal reduce la complejidad del servidor de impresión
- ✓Compatible con Windows 10 en modo S: bloqueado solo para aplicaciones de Microsoft Store, para entornos ultra restringidos
Cons
- ✗No disponible para venta minorista: requiere un acuerdo de licencia por volumen (Microsoft 365 E3/E5 o Software Assurance)
- ✗Costo más alto que Pro: tarifas de suscripción por usuario/por dispositivo (normalmente entre $7 y $14 por usuario/mes como parte de Microsoft 365)
- ✗Complejidad: muchas funciones (WDAC, Credential Guard, Application Guard) requieren una planificación y pruebas cuidadosas
- ✗Requisitos de hardware: las funciones de VBS necesitan TPM 2.0, UEFI y CPU recientes; Es posible que los dispositivos más antiguos no los admitan.
- ✗Problemas de compatibilidad de aplicaciones: WDAC puede bloquear software legítimo; Credential Guard rompe algunos módulos de autenticación de terceros
- ✗Gasto general de rendimiento: VBS (Credential Guard, HVCI) puede reducir el rendimiento entre un 2 % y un 8 %, lo que se nota en cargas de trabajo de juegos o de E/S elevadas.
- ✗DirectAccess requiere infraestructura de Windows Server (servidor DirectAccess, PKI, DNS y tecnologías de transición IPv6)
- ✗BranchCache requiere servidores de archivos de Windows Server y un tamaño de caché cuidadoso
- ✗El soporte finaliza el 14 de octubre de 2025: igual que todas las ediciones de Windows 10 (aunque LTSC llega hasta 2031 para versiones específicas)
- ✗Sin funciones para el consumidor: Cortana, Tienda Windows (se puede deshabilitar), las experiencias en la nube del consumidor están desactivadas por política (puede confundir a los usuarios que las esperan)
- ✗LTSC carece de navegadores y tienda de aplicaciones modernos: no puede instalar Microsoft Teams, el nuevo Edge o las aplicaciones de la Tienda sin soluciones alternativas
Use Cases
Hidden & Useful Shortcuts
Master Windows 10 with these time‑saving keyboard shortcuts
Open Start Menu (Cortana disabled by default on Enterprise)
Open Action Centre
Show desktop
Open File Explorer
Open Settings
Lock workstation – secure against physical access
Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)
Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer
Open Search (Cortana disabled but search works)
Task View – virtual desktops (useful for separating classified and unclassified work)
New virtual desktop
Close current virtual desktop
Switch between virtual desktops
Open Game Bar (if not removed by policy)
Open Snip & Sketch for custom screenshots
Open clipboard history (if enabled by policy)
Emoji panel
Open Task Manager – can view VBS status (Performance → Virtualisation)
Open System Properties (shows 'Windows 10 Enterprise')
Open Connect (wireless displays) – may be disabled via policy
Open dictation (if not disabled)
Check TPM status (required for Credential Guard)
System Information – see 'Virtualisation‑Based Security' status
Advanced user account management
Computer Management – Local Users, Disk Management, Services
Windows Firewall with Advanced Security
Technical Specifications
| Architecture | 64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit |
| Processor | 1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation) |
| RAM | 4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB) |
| Storage | 64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI |
| Graphics | DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU) |
| Display | Minimum 800x600; recommended 1920x1080 or higher |
| TPM | TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only |
| Virtualisation | Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V |
| Secure Boot | Required for VBS features; strongly recommended for all Enterprise deployments |
| Memory for VBS | At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers) |
| Internet | Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features |
| DirectAccess Infrastructure | Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later |
Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education
| Feature | enterprise | pro | education |
|---|---|---|---|
| Availability | Volume licensing (M365 E3/E5, SA) | Retail / OEM | Academic VL / Azure for Education (free) |
| Credential Guard | Yes | No | Yes (same as Enterprise) |
| Application Guard for Edge | Yes | No (consumer version only) | Yes |
| DirectAccess | Yes | No | Yes |
| BranchCache | Yes | No | Yes |
| WDAC (Hypervisor Code Integrity) | Yes (fully configurable) | Yes (but limited policies) | Yes (full) |
| AppLocker | Yes (full) | Yes (via GPO) | Yes |
| Microsoft Defender for Endpoint (ATP) | Yes (requires separate licence) | No | Yes (through M365 A5) |
| Long‑Term Servicing Channel (LTSC) | Yes (with SA) | No | No (only via VL, not free) |
| Desktop Analytics | Yes (with ConfigMgr) | No | Yes (with ConfigMgr) |
| Universal Print | Yes (full management) | Basic (client only) | Yes (with A3/A5) |
| Remote Desktop Host | Yes | Yes | Yes |
| Hyper‑V | Yes | Yes | Yes |
| Group Policy / MDM | Full (Intune + ConfigMgr co‑management) | Local + domain | Full (with appropriate licences) |
| Cortana | Disabled by default (can enable) | Enabled | Disabled by default |
| Max RAM (64‑bit) | 2 TB | 2 TB | 2 TB |
Frequently Asked Questions
Related Resources
- Descripción general de Windows 10 Enterprise (Microsoft)
- Comparación de Microsoft 365 E3/E5
- Documentación de guardia de credenciales
- Protección de aplicaciones de Windows Defender
- Guía de implementación de DirectAccess
- Descripción general de BranchCache
- Guía de creación de WDAC (Device Guard)
- Microsoft Defender para punto final
- Documentación LTSC de Windows 10