Windows 10 Enterprise
The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments
Overview
How It Works
1. UEFI, Secure Boot & BitLocker
સિક્યોર બૂટ સાથે UEFI ફર્મવેર બુટલોડરની સહી ચકાસે છે. જો BitLocker સક્ષમ હોય, તો TPM ડિક્રિપ્શન કી રીલીઝ કરે છે તે પછી જ માપવામાં આવેલ બુટ કોઈ ચેડાં ન કરે. DMA પ્રોટેક્શન (કર્નલ ડીએમએ પ્રોટેક્શન) ધરાવતા ઉપકરણો પર, OS લોડ ન થાય ત્યાં સુધી થંડરબોલ્ટ પોર્ટ બ્લૉક કરવામાં આવે છે.
2. Virtualisation‑Based Security (VBS) Initialisation
હાઇપરવાઇઝર (Microsoft Hyper-V) વહેલું લોડ થાય છે, અલગ વર્ચ્યુઅલાઇઝેશન કન્ટેનર બનાવે છે. ક્રેડન્શિયલ ગાર્ડ સુરક્ષિત VM ની અંદર LSA ચલાવે છે. Windows Defender Application Guard (WDAG) તેનું પોતાનું લાઇટવેઇટ કન્ટેનર તૈયાર કરે છે. મુખ્ય OS ઓછા વિશેષાધિકારો સાથે રૂટ પાર્ટીશન તરીકે ચાલે છે.
3. Kernel & Device Guard / WDAC
કર્નલ હાયપરવાઈઝર-પ્રોટેક્ટેડ કોડ ઈન્ટિગ્રિટી (HVCI) સાથે લોડ થાય છે. દરેક ડ્રાઈવર અને કર્નલ મોડ્યુલ એક્ઝેક્યુશન પહેલા પોલિસી (WDAC) સામે ચકાસવામાં આવે છે. માત્ર અધિકૃત પ્રકાશકો (માઈક્રોસોફ્ટ, તમારી સંસ્થા) દ્વારા હસ્તાક્ષરિત દ્વિસંગીઓ જ ચાલી શકે છે - અસરકારક રીતે રૂટકિટ્સ અને સહી વગરના ડ્રાઈવરોને અવરોધિત કરે છે.
4. DirectAccess & VPN Client
નેટવર્ક કનેક્ટિવિટી ઉપલબ્ધ થતાં જ, ડાયરેક્ટએક્સેસ ક્લાયંટ મશીન પ્રમાણપત્રોનો ઉપયોગ કરીને કોર્પોરેટ નેટવર્ક માટે IPsec ટનલ સ્થાપિત કરવાનો પ્રયાસ કરે છે. કોઈ વપરાશકર્તા સાઇન ઇન ન હોય ત્યારે પણ રિમોટ ડિવાઇસ મેનેજમેન્ટ (પૅચ ડિપ્લોયમેન્ટ, પૉલિસી અપડેટ્સ)ને સક્ષમ કરીને, વપરાશકર્તા લૉગૉન પહેલાં આવું થાય છે.
5. User Logon with Windows Hello for Business
લૉગિન સ્ક્રીન પર, Windows Hello for Business (બાયોમેટ્રિક અથવા PIN) વપરાશકર્તાને Azure AD અથવા ઑન-પ્રિમિસીસ એક્ટિવ ડિરેક્ટરીમાં પ્રમાણિત કરે છે. રિમોટ ક્રેડેન્શિયલ ગાર્ડ વપરાશકર્તાને તેમના ઓળખપત્રોને લક્ષ્ય મશીન પર મોકલ્યા વિના દૂરસ્થ સંસાધનોને ઍક્સેસ કરવાની મંજૂરી આપે છે.
6. Group Policy / MDM Refresh & BranchCache
પૃષ્ઠભૂમિ સેવાઓ ડોમેન નિયંત્રકો અથવા Intune MDM નીતિઓમાંથી ગ્રુપ પોલિસી ઓબ્જેક્ટ્સ (GPOs) ને તાજું કરે છે. 'ડિસ્ટ્રિબ્યુટેડ કૅશ મોડ'માં બ્રાન્ચકેશ અગાઉ ડાઉનલોડ કરેલી ફાઇલો માટે સ્થાનિક પીઅર કૅશ ચેક કરે છે, બિનજરૂરી WAN ટ્રાન્સફરને ટાળે છે.
7. Windows Defender Application Guard (Optional)
જો એડમિનિસ્ટ્રેટર એજને એપ્લીકેશન ગાર્ડ મોડમાં (અથવા નીતિ દ્વારા) લોન્ચ કરે છે, તો નવું હાયપર-V કન્ટેનર ન્યૂનતમ વિન્ડોઝ ઈમેજ સાથે શરૂ થાય છે. નીતિ દ્વારા નિયંત્રિત ક્લિપબોર્ડ અને ફાઇલ રીડાયરેક્શન સાથે, બ્રાઉઝર આ સેન્ડબોક્સની અંદર ચાલે છે. કન્ટેનર બંધ કરવાથી બધા ફેરફારો કાઢી નાખવામાં આવે છે.
8. Microsoft Defender for Endpoint Sensors
એન્ડપોઇન્ટ માટે ડિફેન્ડર સેન્સર (`MsSense.exe`) પ્રક્રિયા બનાવટ, નેટવર્ક કનેક્શન્સ, ફાઇલ રાઇટ્સ અને રજિસ્ટ્રી ફેરફારોનું નિરીક્ષણ કરે છે. વર્તણૂકીય સંકેતો રીઅલ-ટાઇમ જોખમ વિશ્લેષણ માટે ક્લાઉડ પર મોકલવામાં આવે છે. જો કોઈ ધમકી મળી આવે, તો સ્વયંસંચાલિત પ્રતિસાદ ક્રિયાઓ (અલગતા, ફાઇલ સંસર્ગનિષેધ) ટ્રિગર થઈ શકે છે.
9. Windows Update for Business & Desktop Analytics
Windows Update for Business વિલંબિત નીતિઓ (ફીચર અપડેટ્સ માટે 365 દિવસ સુધી) અને અપડેટ રિંગ્સનો ઉપયોગ કરે છે. ડેસ્કટૉપ ઍનલિટિક્સ અપગ્રેડ રેડીનેસ ઇન્સાઇટ્સ પ્રદાન કરવા માટે કન્ફિગરેશન મેનેજર સાથે એકીકૃત થાય છે - જમાવટ પહેલાં એપ્લિકેશન સુસંગતતા સમસ્યાઓને ઓળખે છે.
Key Features
Credential Guard
વર્ચ્યુઅલાઈઝેશન-આધારિત સુરક્ષા LSASS ને અલગ કરે છે - પાસ-ધ-હેશ અને પાસ-ધ-ટિકિટ હુમલાઓને અટકાવે છે. TPM 2.0 અને UEFI લોકની જરૂર છે.
Application Guard for Edge
વેબ બ્રાઉઝિંગ માટે હાર્ડવેર-અલગ કન્ટેનર - દૂષિત વેબસાઇટ્સ હોસ્ટ OS સાથે સમાધાન કરી શકતી નથી. ક્લિપબોર્ડ નિયંત્રણ અને ફાઇલ રીડાયરેક્શન નીતિઓને સપોર્ટ કરે છે.
DirectAccess
IPsec નો ઉપયોગ કરીને હંમેશા-ચાલુ, પારદર્શક VPN. વપરાશકર્તા લૉગૉન પહેલાં કનેક્ટ થાય છે, મલ્ટિ-સાઇટને સપોર્ટ કરે છે અને પ્રમાણપત્ર પ્રમાણીકરણ સાથે એકીકૃત થાય છે.
BranchCache
SMB/HTTP સામગ્રીનું વિતરિત અથવા હોસ્ટ કરેલ કેશીંગ - શાખા ઓફિસ વપરાશકર્તાઓ માટે WAN બેન્ડવિડ્થ અને લેટન્સી ઘટાડે છે.
Windows Defender Application Control (WDAC)
હાઇપરવાઇઝર-સંરક્ષિત કોડ અખંડિતતા - ફક્ત વિશ્વસનીય એક્ઝિક્યુટેબલ, ડ્રાઇવરો અને સ્ક્રિપ્ટ્સને મંજૂરી આપો. કર્નલ સ્તરે રેન્સમવેર અને ફાઇલલેસ માલવેરને અવરોધિત કરે છે.
AppLocker
EXE, MSI, સ્ક્રિપ્ટ્સ અને સ્ટોર એપ્લિકેશન્સ માટે નિયમ સંગ્રહ સાથે વપરાશકર્તા-મોડ એપ્લિકેશન વ્હાઇટલિસ્ટિંગ. પરીક્ષણ માટે ઓડિટ મોડ.
Microsoft Defender for Endpoint
સંપૂર્ણ એન્ટરપ્રાઇઝ EDR - વર્તણૂકીય સેન્સર્સ, ક્લાઉડ AI, સ્વચાલિત તપાસ, ધમકી અને નબળાઈ વ્યવસ્થાપન અને પ્રતિભાવ ક્રિયાઓ (અલગતા, સંસર્ગનિષેધ).
BitLocker
TPM અને PIN સાથે પૂર્ણ-ડિસ્ક એન્ક્રિપ્શન. એન્ટરપ્રાઈઝ બીટલોકર નેટવર્ક અનલોક (કોર્પોરેટ નેટવર્ક સાથે જોડાયેલ હોય ત્યારે એન્ક્રિપ્ટેડ ડ્રાઈવમાંથી બુટ) અને માઈક્રોસોફ્ટ બીટલોકર એડમિનિસ્ટ્રેશન એન્ડ મોનિટરિંગ (MBAM) એકીકરણ ઉમેરે છે.
Windows Hello for Business
બાયોમેટ્રિક્સ + TPM નો ઉપયોગ કરીને દ્વિ-પરિબળ પ્રમાણીકરણ. કી-આધારિત અથવા પ્રમાણપત્ર-આધારિત પ્રમાણીકરણ સાથે પાસવર્ડ્સને બદલે છે. Azure AD અને on-premises AD ને સપોર્ટ કરે છે.
Desktop Analytics
વિન્ડોઝ ફીચર અપડેટ્સ સાથે એપ્લિકેશન સુસંગતતાનું મૂલ્યાંકન કરવા માટે કન્ફિગરેશન મેનેજર સાથે એકીકરણ. પાઇલોટ ભલામણો અને રોલબેક આંતરદૃષ્ટિ પ્રદાન કરે છે.
Windows Update for Business (Advanced)
સુવિધા અપડેટ્સને 365 દિવસ સુધી, ગુણવત્તા અપડેટ્સને 30 દિવસ સુધી મુલતવી રાખો. અપડેટ રિંગ્સ સાથે ઉપકરણ જૂથો (પાયલોટ, વ્યાપક, જટિલ) બનાવો. ડિલિવરી ઑપ્ટિમાઇઝેશન (પીઅર-ટુ-પીઅર) સાથે સંકલિત કરે છે.
Universal Print
ક્લાઉડ-આધારિત પ્રિન્ટ સોલ્યુશન - કોઈ પ્રિન્ટ સર્વરની જરૂર નથી. એન્ટરપ્રાઇઝ એડિશનમાં યુનિવર્સલ પ્રિન્ટ કનેક્ટર્સનું સંચાલન અને પ્રતિ-વપરાશકર્તા પ્રિન્ટ જોબ ક્વોટાનો સમાવેશ થાય છે.
Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management
ક્લાઉડ એમડીએમ (ઇન્ટ્યુન) અને ઓન-પ્રિમીસીસ SCCM બંને સાથે ઉપકરણોને એકીકૃત રીતે સંચાલિત કરો. શરતી ઍક્સેસ, અનુપાલન નીતિઓ અને રિમોટ ક્રિયાઓ (વાઇપ, રિટાયર, સિંક) સક્ષમ કરે છે.
Long‑Term Servicing Channel (LTSC)
ફિક્સ્ડ-પર્પઝ ડિવાઇસીસ (ATM, મેડિકલ, ઔદ્યોગિક) માટે - 10 વર્ષનાં સુરક્ષા અપડેટ્સ ફીચર ફેરફારો વિના. માત્ર સોફ્ટવેર ખાતરી સાથે.
Credential Guard & Virtualisation‑Based Security
ઓપરેટિંગ સિસ્ટમમાંથી રહસ્યોને અલગ કરો - કર્નલ માલવેર પણ હેશ ચોરી શકતા નથી
How Credential Guard Works
હાર્ડવેર-આઇસોલેટેડ વર્ચ્યુઅલ મશીનની અંદર લોકલ સિક્યુરિટી ઓથોરિટી સબસિસ્ટમ સર્વિસ (LSASS) ચલાવવા માટે ઓળખપત્ર ગાર્ડ વર્ચ્યુઅલાઈઝેશન-આધારિત સુરક્ષા (VBS) નો ઉપયોગ કરે છે. આ સુરક્ષિત VM બહારની વિન્ડોઝ પ્રક્રિયાઓ અંદર સંગ્રહિત હેશ કરેલ ઓળખપત્રો, કર્બરોસ ટિકિટો અથવા NTLM હેશને ઍક્સેસ કરી શકતી નથી. પાસ‑ધ‑હેશ અને પાસ‑ધ-ટિકિટ હુમલાઓ અશક્ય બની જાય છે કારણ કે રહસ્યો ક્યારેય અલગ વાતાવરણ છોડતા નથી.
Requirements & Enablement
Intel VT‑x (વિસ્તૃત પૃષ્ઠ કોષ્ટકો સાથે) અથવા AMD‑V (રેપિડ વર્ચ્યુઅલાઈઝેશન ઈન્ડેક્સીંગ સાથે), UEFI લોક અને TPM 2.0 સાથે 64‑bit CPU જરૂરી છે. જૂથ નીતિ દ્વારા સક્ષમ કરો: `કોમ્પ્યુટર ગોઠવણી → વહીવટી નમૂનાઓ → સિસ્ટમ → ઉપકરણ ગાર્ડ → વર્ચ્યુઅલાઈઝેશન આધારિત સુરક્ષા ચાલુ કરો`. 'ક્રેડન્શિયલ ગાર્ડ સાથે સક્ષમ' પર સેટ કરો.
Key Protection & Remote Credential Guard
ઓળખપત્ર ગાર્ડ કી ટ્રસ્ટ (TPM-બાઉન્ડ કી) અને પ્રમાણપત્ર ટ્રસ્ટ (સ્માર્ટકાર્ડ પ્રમાણપત્રો) ને પણ સુરક્ષિત કરે છે. રિમોટ ક્રેડેન્શિયલ ગાર્ડ આને RDP સત્રો સુધી વિસ્તરે છે - જ્યારે વપરાશકર્તા રિમોટ પીસી સાથે કનેક્ટ થાય છે, ત્યારે તેમના ઓળખપત્રો ક્યારેય ક્લાયંટ મશીન છોડતા નથી. લક્ષ્ય પીસી કર્બરોસ સેવા ટિકિટ મેળવે છે, વપરાશકર્તાના પાસવર્ડ હેશને નહીં.
Performance Impact
સુરક્ષિત VM અને સામાન્ય OS વચ્ચે સંદર્ભ સ્વિચ કરવા માટે VBS એક નાનું ઓવરહેડ (2-5% CPU) લાદે છે. આધુનિક સર્વર-ક્લાસ હાર્ડવેર પર, મોટાભાગના વર્કલોડ માટે આ નગણ્ય છે. કેટલાક લેગસી ડ્રાઇવરો અને એપ્લીકેશન્સ (ખાસ કરીને એન્ટી-ચીટ ગેમ સોફ્ટવેર) અસંગત છે અને VBSને ચાલુ કરવાથી અવરોધિત કરશે.
Windows Defender Application Guard (WDAG)
હાર્ડવેર-અલગ બ્રાઉઝિંગ – અવિશ્વસનીય વેબસાઇટ્સ સર્ફ કરવાની સૌથી સુરક્ષિત રીત
Hyper‑V Container per Browser Session
WDAG એ હળવા વજનના હાઇપર-V કન્ટેનરની અંદર માઇક્રોસોફ્ટ એજ લોન્ચ કર્યું. આ કન્ટેનર હોસ્ટ OS ની નકલનો ઉપયોગ કરે છે પરંતુ હોસ્ટની મેમરી, સ્ટોરેજ અથવા નેટવર્ક સ્ટેક (વર્ચ્યુઅલ સ્વીચ દ્વારા સિવાય) ની ઍક્સેસ વિના અલગ વર્ચ્યુઅલ મશીનમાં ચાલે છે. જો કોઈ વેબસાઈટ બ્રાઉઝરનું શોષણ કરે છે, તો હુમલાખોર માત્ર કન્ટેનરની ઍક્સેસ મેળવે છે - હોસ્ટ સંપૂર્ણપણે અસ્પૃશ્ય રહે છે.
Configuration & Policies
જૂથ નીતિ અથવા ઇન્ટ્યુન દ્વારા સક્ષમ કરો: `વહીવટી નમૂનાઓ → વિન્ડોઝ ઘટકો → વિન્ડોઝ ડિફેન્ડર એપ્લિકેશન ગાર્ડ → વિન્ડોઝ ડિફેન્ડર એપ્લિકેશન ગાર્ડ ચાલુ કરો`. નીતિઓ ક્લિપબોર્ડ ઍક્સેસને નિયંત્રિત કરે છે (કોપી/પેસ્ટ કરવાની મંજૂરી છે?), ફાઇલ ડાઉનલોડ રીડાયરેક્શન (હોસ્ટ પર સાચવો?), અને કન્ટેનરમાંથી પ્રિન્ટિંગ. તમે એન્ટરપ્રાઇઝ રિસોર્સ ટ્રસ્ટને પણ વ્યાખ્યાયિત કરી શકો છો (દા.ત. આંતરિક શેરપોઇન્ટ સાઇટ્સ સામાન્ય એજમાં ખુલે છે).
Performance & User Experience
પ્રથમ લોંચ કન્ટેનર બનાવવા માટે 5-10 સેકન્ડ લે છે; કેશીંગને કારણે અનુગામી લોંચ ઝડપી છે. એકવાર અંદર ગયા પછી, બ્રાઉઝિંગ નજીક-નેટિવ છે. કન્ટેનર કોઈપણ ડેટાને ચાલુ રાખતું નથી - જ્યારે કન્ટેનર બંધ થાય ત્યારે કૂકીઝ, ડાઉનલોડ્સ અને બ્રાઉઝિંગ ઇતિહાસ કાઢી નાખવામાં આવે છે. વપરાશકર્તાઓ એક વિશિષ્ટ UI જુએ છે જે દર્શાવે છે કે તેઓ 'એપ્લિકેશન ગાર્ડ' મોડમાં છે.
Integration with Defender for Endpoint
જો કન્ટેનરની અંદર માલવેર સેમ્પલ મળી આવે, તો એન્ડપોઇન્ટ માટે ડિફેન્ડર આપમેળે પેલોડ એકત્રિત કરી શકે છે અને તેને વિશ્લેષણ માટે સબમિટ કરી શકે છે. જો શંકાસ્પદ વર્તણૂક મળી આવે તો કન્ટેનર આપમેળે જાણીતી-સારી સ્થિતિમાં રીસેટ પણ થઈ શકે છે.
DirectAccess & BranchCache
વિતરિત સંસ્થાઓ માટે સીમલેસ રિમોટ એક્સેસ અને WAN ઓપ્ટિમાઇઝેશન
DirectAccess – Always On VPN
ડિવાઈસમાં ઈન્ટરનેટ એક્સેસ હોય કે તરત જ DirectAccess કોર્પોરેટ નેટવર્કને ઓટોમેટિક, પારદર્શક, હંમેશા-ચાલુ IPsec ટનલ પ્રદાન કરે છે. કોઈ વપરાશકર્તા ઇનપુટ નથી (કોઈ ક્લિક-ટુ-કનેક્ટ નથી) - તે પ્રમાણીકરણ માટે મશીન પ્રમાણપત્રોનો ઉપયોગ કરે છે. વપરાશકર્તાઓ આંતરિક સંસાધનો (ફાઇલ શેર, ઇન્ટ્રાનેટ સાઇટ્સ) ને ઍક્સેસ કરે છે જાણે કે તેઓ NATs અને ફાયરવોલની પાછળ પણ ઓન-પ્રિમાઈસીસ હોય. DirectAccess મલ્ટિ-સાઇટ ડિપ્લોયમેન્ટને પણ સપોર્ટ કરે છે અને નેટવર્ક એક્સેસ પ્રોટેક્શન (NAP) (લેગસી) સાથે એકીકૃત થાય છે.
DirectAccess vs Traditional VPN
પરંપરાગત VPN માટે વપરાશકર્તાને મેન્યુઅલી કનેક્ટ કરવાની જરૂર છે, નિષ્ક્રિય થયા પછી ડિસ્કનેક્ટ થઈ શકે છે અને વપરાશકર્તા લૉગૉન પહેલાં કામ કરતું નથી. ડાયરેક્ટએક્સેસ લોગિન પહેલા આપમેળે કનેક્ટ થાય છે, અનિશ્ચિત સમય સુધી જોડાયેલ રહે છે અને ફોર્સ ટનલીંગ (કોર્પોરેટ નેટવર્ક દ્વારા રૂટ થયેલ તમામ ઇન્ટરનેટ ટ્રાફિક) અથવા સ્પ્લિટ ટનલીંગને સપોર્ટ કરે છે. તે લેપટોપના રિમોટ મેનેજમેન્ટ અને આંતરિક સંસાધનોની સતત ઍક્સેસ માટે આદર્શ છે.
BranchCache – Reduce WAN Traffic
BranchCache સ્થાનિક ક્લાયંટ પીસી અથવા ઑન-સાઇટ હોસ્ટ કરેલ કૅશ સર્વર પર રિમોટ ફાઇલ સર્વર્સ (SMB શેર્સ) અને HTTP (વેબ) સર્વરમાંથી સામગ્રીને કેશ કરે છે. ડિસ્ટ્રિબ્યુટેડ કૅશ મોડમાં, દરેક ક્લાયંટ કન્ટેન્ટ કૅશ કરે છે અને તેને સ્થાનિક LAN ડિસ્કવરી (WS-Discovery) દ્વારા પીઅર ક્લાયન્ટ સાથે શેર કરે છે. હોસ્ટેડ કેશ મોડમાં, સમર્પિત Windows સર્વર કેન્દ્રીય કેશ તરીકે કાર્ય કરે છે. સમાન ફાઇલ માટે અનુગામી વિનંતીઓ સ્થાનિક કેશમાંથી આપવામાં આવે છે, જે વિલંબિતતા અને WAN ઉપયોગને ભારે ઘટાડો કરે છે.
BranchCache Security
SHA-256 નો ઉપયોગ કરીને ડેટા એન્ક્રિપ્ટેડ અને અખંડિતતા-ચકાસાયેલ છે. ક્લાયન્ટને તેઓ વિનંતી કરે છે તે ફાઇલના માત્ર ભાગો પ્રાપ્ત કરે છે અને અનધિકૃત પુનઃનિર્માણને રોકવા માટે કેશને વિભાજિત કરવામાં આવે છે. BranchCache HTTP અને SMB પ્રોટોકોલ્સ પર કામ કરે છે, જે વિન્ડોઝ ફાઇલ સર્વર સાથે એકીકૃત રીતે સંકલિત છે.
Windows Defender Application Control (WDAC) & AppLocker
શૂન્ય-ટ્રસ્ટ એપ્લિકેશન વ્હાઇટલિસ્ટિંગ - માત્ર મંજૂર સૉફ્ટવેર ચાલે છે
WDAC – Hypervisor‑Protected Code Integrity
WDAC (અગાઉનું ઉપકરણ ગાર્ડ) એડમિનિસ્ટ્રેટર્સને ચોક્કસ રીતે સ્પષ્ટ કરવાની મંજૂરી આપે છે કે કઈ એક્ઝિક્યુટેબલ ફાઈલો, ડ્રાઈવરો, સ્ક્રિપ્ટો અને MSI વિશ્વસનીય છે. નિયમો ફાઇલ પાથ, પ્રકાશક (ડિજિટલ પ્રમાણપત્ર) અથવા ફાઇલ હેશ પર આધારિત છે. નીતિ હાઇપરવાઇઝર (HVCI) દ્વારા લાગુ કરવામાં આવી છે અને કર્નલ-મોડ માલવેર દ્વારા તેને બાયપાસ કરી શકાતી નથી. WDAC માત્ર જાણીતા માલવેરને જ નહીં પરંતુ હુમલાખોરો ઉપયોગ કરે છે તે દ્વિસંગી (દા.ત., પાવરશેલ, ડબલ્યુએમસી)ને પણ અવરોધિત કરી શકે છે.
WDAC vs AppLocker
AppLocker એ એન્ટરપ્રાઇઝ (અને પ્રો) માં ઉપલબ્ધ એક વપરાશકર્તા-મોડ નીતિ ઉકેલ છે – મેનેજ કરવા માટે સરળ છે પરંતુ કર્નલ ડ્રાઇવરો દ્વારા તેને બાયપાસ કરી શકાય છે. WDAC એ કર્નલ-મોડ, હાઇપરવાઇઝર-સંરક્ષિત સોલ્યુશન છે – વધુ મજબૂત પરંતુ સાવચેત આયોજન અને પરીક્ષણની જરૂર છે. ઘણી સંસ્થાઓ બંનેનો ઉપયોગ કરે છે: જટિલ સિસ્ટમ સુરક્ષા માટે WDAC, વપરાશકર્તા-એપ્લિકેશન પ્રતિબંધો માટે AppLocker.
Creating WDAC Policies
સંદર્ભ PC પર `ConfigCI` PowerShell મોડ્યુલનો ઉપયોગ કરો. 'New-CIPolicy' સિસ્ટમને સ્કેન કરે છે અને હાલમાં ઇન્સ્ટોલ કરેલી તમામ એપ્લિકેશનો અને ડ્રાઇવરોની મંજૂર સૂચિ બનાવે છે. `ConvertFrom-CIPolicy` બાઈનરી ફોર્મેટમાં રૂપાંતરિત થાય છે. જૂથ નીતિ અથવા MDM દ્વારા જમાવટ કરો. તમે ખરેખર તેને અવરોધિત કર્યા વિના શું અવરોધિત કરવામાં આવશે તે લોગ કરવા માટે શરૂઆતમાં ઓડિટ મોડ માં ચલાવી શકો છો.
AppLocker Rulesets for Enterprises
AppLocker પાંચ નિયમ સંગ્રહને સપોર્ટ કરે છે: એક્ઝિક્યુટેબલ્સ (.exe, .com), Windows Installers (.msi, .msp), સ્ક્રિપ્ટ્સ (.ps1, .bat, .vbs, .js), DLL અને પેકેજ્ડ એપ્સ (સ્ટોર એપ્સ). નીતિઓ વપરાશકર્તા જૂથ દીઠ લાગુ કરી શકાય છે. ઉદાહરણ તરીકે: બધા વપરાશકર્તાઓને `C:\Program Files` અને `C:\Program Files (x86)` માંથી પ્રોગ્રામ ચલાવવાની મંજૂરી આપો, પરંતુ `%USERPROFILE%\Downloads` અથવા `%TEMP%` માંથી ચલાવવાનો ઇનકાર કરો.
Microsoft Defender for Endpoint (formerly ATP)
ઓટોમેટેડ તપાસ અને પ્રતિભાવ સાથે એન્ટરપ્રાઇઝ EDR
Next‑Generation Protection
બિહેવિયરલ સેન્સર્સ, ક્લાઉડ એઆઈ અને મશીન લર્નિંગ મોડલ્સ પ્રક્રિયાના વર્તન, નેટવર્ક કનેક્શન અને રજિસ્ટ્રી ફેરફારોનું વિશ્લેષણ કરે છે. એટેક સરફેસ રિડક્શન નિયમો (દા.ત., ઓફિસને ચાઈલ્ડ પ્રોસેસ બનાવવાથી બ્લોક કરો, ઈમેલ ક્લાયન્ટમાંથી એક્ઝિક્યુટેબલ કન્ટેન્ટને બ્લૉક કરો) સામાન્ય ચેપ વેક્ટરને અટકાવે છે.
Endpoint Detection & Response (EDR)
અંતિમ બિંદુઓમાં ઊંડી દૃશ્યતા: શંકાસ્પદ વર્તણૂકો પર ચેતવણીઓ, સમગ્ર મશીનોની તપાસ અને પ્રક્રિયા વૃક્ષોના સમયરેખા દૃશ્યો. સિક્યોરિટી ઓપરેશન સેન્ટર્સ (એસઓસી) 6 મહિના સુધી (લાયસન્સ પર આધાર રાખીને) કાચી ટેલિમેટ્રીની ક્વેરી કરી શકે છે.
Automated Investigation & Remediation
જ્યારે કોઈ ચેતવણી ટ્રિગર થાય છે, ત્યારે એન્ડપોઇન્ટ માટે ડિફેન્ડર આપમેળે ઘટનાની તપાસ કરી શકે છે: મૂળ કારણ નક્કી કરો, અસરગ્રસ્ત મશીનોને નેટવર્કમાંથી અલગ કરો (Microsoft Intune એકીકરણનો ઉપયોગ કરીને), અને દૂષિત કલાકૃતિઓ (ફાઈલો, રજિસ્ટ્રી કી, શેડ્યૂલ કરેલ કાર્યો) દૂર કરો.
Threat & Vulnerability Management (TVM)
TVM ગુમ થયેલ સુરક્ષા અપડેટ્સ, ખોટી ગોઠવણીઓ (દા.ત., નબળા ફાયરવોલ નિયમો) અને સંવેદનશીલ સોફ્ટવેર વર્ઝનને સતત શોધે છે. તે જોખમ-આધારિત પ્રાથમિકતા પ્રદાન કરે છે - શોષણની સંભાવના અને સંપત્તિ એક્સપોઝરના આધારે 'પહેલા પેચ' ભલામણો.
Long‑Term Servicing Channel (LTSC)
ફિક્સ્ડ-પર્પઝ ડિવાઇસ માટે - સુવિધામાં ફેરફાર વિના 10 વર્ષનાં સુરક્ષા અપડેટ્સ
What is LTSC?
લોંગ-ટર્મ સર્વિસિંગ ચેનલ (અગાઉનું એલટીએસબી) એ Windows 10 એન્ટરપ્રાઇઝની વિશેષ આવૃત્તિ છે જે સુવિધા અપડેટ્સ પ્રાપ્ત કરતી નથી. તેમાં માત્ર 10 વર્ષ (5 વર્ષ મુખ્ય પ્રવાહ + 5 વર્ષ વિસ્તૃત) માટે સુરક્ષા અને ગુણવત્તા અપડેટ્સનો સમાવેશ થાય છે. એવા ઉપકરણો માટે આદર્શ છે કે જેણે કાર્યક્ષમતા ક્યારેય બદલવી જોઈએ નહીં: ATM, તબીબી ઉપકરણો (MRI, CT સ્કેનર્સ), ઔદ્યોગિક નિયંત્રણ સિસ્ટમ્સ (SCADA), કિઓસ્ક અને એમ્બેડેડ સિસ્ટમ્સ.
What’s Missing in LTSC
LTSC Microsoft Edge (માત્ર લેગસી વર્ઝન, Chromium નહીં), Windows Store, Cortana, Inbox apps (Mail, Calendar, Calculator), OneDrive અને સમયરેખા અને સેટ જેવી આધુનિક સુવિધાઓ વિના શિપ કરે છે. તે Windows 10 ના અર્ધ-વાર્ષિક સુવિધા અપડેટ્સને પણ સપોર્ટ કરતું નથી (દા.ત., 21H2, 22H2). આ LTSC ને નવા હાર્ડવેર સાથે અસંગત બનાવે છે (ડ્રાઈવરોને નવા વિન્ડોઝ બિલ્ડ્સની જરૂર પડી શકે છે).
Licensing & Availability
LTSC ફક્ત સક્રિય સોફ્ટવેર એશ્યોરન્સ (વોલ્યુમ લાઇસન્સિંગ) ધરાવતા ગ્રાહકો માટે અથવા Microsoft 365 E3/E5 (ત્યાં કોઈ LTSC નથી - તમારે SA ની જરૂર છે) દ્વારા ઉપલબ્ધ છે. દરેક નવી LTSC રિલીઝ તેની રિલીઝ તારીખથી 10 વર્ષ માટે સપોર્ટેડ છે (દા.ત., Windows 10 Enterprise LTSC 2019 2029 સુધી, LTSC 2021 2031 સુધી સપોર્ટેડ છે). તમે ક્લીન ઇન્સ્ટોલ કર્યા વિના એક LTSC રિલીઝમાંથી બીજામાં અપગ્રેડ કરી શકતા નથી.
LTSC vs Semi‑Annual Channel (SAC)
મોટાભાગના એન્ટરપ્રાઇઝ ઉપકરણોએ અર્ધ-વાર્ષિક ચેનલ (SAC) નો ઉપયોગ કરવો જોઈએ - વર્ષમાં બે વાર નવી સુવિધાઓ મેળવો. LTSC એ જટિલ ઇન્ફ્રાસ્ટ્રક્ચર માટે એક વિશિષ્ટ સાધન છે જે UI ફેરફારોને સહન કરી શકતું નથી અથવા સુવિધા અપડેટ્સ માટે રીબૂટ કરી શકતું નથી. Microsoft સામાન્ય હેતુના ડેસ્કટોપ, ઓફિસ અથવા ડેવલપમેન્ટ મશીનો માટે LTSC નો ઉપયોગ કરવા સામે સલાહ આપે છે.
Pros
- ✓બેજોડ સુરક્ષા – ક્રિડેન્શિયલ ગાર્ડ, એપ્લિકેશન ગાર્ડ, WDAC અને એન્ડપોઇન્ટ માટે ડિફેન્ડર ઊંડાણપૂર્વક સંરક્ષણ પ્રદાન કરે છે
- ✓ડાયરેક્ટ એક્સેસ યુઝર-ફેસિંગ VPN - સીમલેસ રિમોટ એક્સેસ મેનેજમેન્ટને દૂર કરે છે
- ✓બ્રાંચકૅશ ફાઈલ સર્વર્સ અને વેબ એપ્સ માટે બ્રાન્ચ ઑફિસ અનુભવને નાટ્યાત્મક રીતે સુધારે છે
- ✓સંપૂર્ણ ઉપકરણ સંચાલન – ઇન્ટ્યુન, કોન્ફિગએમજીઆર, જૂથ નીતિ અને સહ-વ્યવસ્થાપન
- ✓વ્યવસાય માટે વિન્ડોઝ અપડેટ 1-વર્ષની મુલતવી સાથે - તમારા શેડ્યૂલ પર અપડેટ્સની યોજના બનાવો
- ✓નિયમનકારી અથવા સ્થિરતા-નિર્ણાયક વાતાવરણ માટે લોંગ-ટર્મ સર્વિસિંગ ચેનલ (LTSC)
- ✓AppLocker + WDAC - કર્નલથી યુઝર મોડ સુધી ઝીરો-ટ્રસ્ટ એપ્લિકેશન નીતિઓ લાગુ કરો
- ✓એન્ડપોઇન્ટ માટે માઇક્રોસોફ્ટ ડિફેન્ડર તૃતીય-પક્ષ એજન્ટો વિના એન્ટરપ્રાઇઝ EDR પ્રદાન કરે છે
- ✓ડેસ્કટૉપ ઍનલિટિક્સ વાસ્તવિક-વિશ્વ સુસંગતતા ડેટા સાથે અપગ્રેડ જોખમ ઘટાડે છે
- ✓રિમોટ ક્રેડેન્શિયલ ગાર્ડ RDP સત્રો દરમિયાન ઓળખપત્રોનું રક્ષણ કરે છે
- ✓યુનિવર્સલ પ્રિન્ટ પ્રિન્ટ સર્વરની જટિલતાને ઘટાડે છે
- ✓S મોડમાં વિન્ડોઝ 10 ને સપોર્ટ કરે છે - અલ્ટ્રા-પ્રતિબંધિત વાતાવરણ માટે, માત્ર Microsoft Store એપ્સ માટે લૉક ડાઉન
Cons
- ✗રિટેલ માટે ઉપલબ્ધ નથી - વોલ્યુમ લાઇસન્સિંગ કરારની જરૂર છે (Microsoft 365 E3/E5 અથવા સોફ્ટવેર એશ્યોરન્સ)
- ✗પ્રો - પ્રતિ-વપરાશકર્તા/ડિવાઈસ સબ્સ્ક્રિપ્શન ફી કરતાં ઊંચી કિંમત (Microsoft 365ના ભાગ રૂપે સામાન્ય રીતે પ્રતિ વપરાશકર્તા/મહિને $7–$14)
- ✗જટિલતા - ઘણી સુવિધાઓ (WDAC, ઓળખપત્ર ગાર્ડ, એપ્લિકેશન ગાર્ડ) માટે સાવચેત આયોજન અને પરીક્ષણની જરૂર છે
- ✗હાર્ડવેર આવશ્યકતાઓ - VBS સુવિધાઓને TPM 2.0, UEFI અને તાજેતરના CPU ની જરૂર છે; જૂના ઉપકરણો તેમને સપોર્ટ ન કરી શકે
- ✗એપ્લિકેશન સુસંગતતા સમસ્યાઓ - WDAC કાયદેસર સોફ્ટવેરને અવરોધિત કરી શકે છે; ઓળખપત્ર ગાર્ડ કેટલાક તૃતીય-પક્ષ પ્રમાણીકરણ મોડ્યુલોને તોડે છે
- ✗પર્ફોર્મન્સ ઓવરહેડ - VBS (ક્રેડેન્ટિયલ ગાર્ડ, HVCI) પ્રદર્શનને 2-8% ઘટાડી શકે છે, જે ઉચ્ચ-I/O અથવા ગેમિંગ વર્કલોડમાં નોંધનીય છે.
- ✗DirectAccess ને Windows સર્વર ઇન્ફ્રાસ્ટ્રક્ચરની જરૂર છે (DirectAccess સર્વર, PKI, DNS અને IPv6 સંક્રમણ તકનીકો)
- ✗બ્રાન્ચકેશને Windows સર્વર ફાઇલ સર્વર્સ અને સાવચેતીપૂર્વક કેશ કદ બદલવાની જરૂર છે
- ✗સપોર્ટ ઑક્ટોબર 14, 2025 ના રોજ સમાપ્ત થાય છે – બધી Windows 10 આવૃત્તિઓ જેવી જ (જોકે LTSC ચોક્કસ પ્રકાશનો માટે 2031 પર જાય છે)
- ✗કોઈ ગ્રાહક સુવિધાઓ નથી – Cortana, Windows Store (અક્ષમ કરી શકાય છે), ગ્રાહક ક્લાઉડ અનુભવો નીતિ દ્વારા બંધ કરવામાં આવે છે (તેમની અપેક્ષા રાખતા વપરાશકર્તાઓને મૂંઝવણમાં મૂકી શકે છે)
- ✗LTSCમાં આધુનિક બ્રાઉઝર અને એપ સ્ટોરનો અભાવ છે - વર્કઅરાઉન્ડ વિના Microsoft ટીમ્સ, નવી એજ અથવા સ્ટોર એપ્લિકેશન્સ ઇન્સ્ટોલ કરી શકતા નથી
Use Cases
Hidden & Useful Shortcuts
Master Windows 10 with these time‑saving keyboard shortcuts
Open Start Menu (Cortana disabled by default on Enterprise)
Open Action Centre
Show desktop
Open File Explorer
Open Settings
Lock workstation – secure against physical access
Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)
Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer
Open Search (Cortana disabled but search works)
Task View – virtual desktops (useful for separating classified and unclassified work)
New virtual desktop
Close current virtual desktop
Switch between virtual desktops
Open Game Bar (if not removed by policy)
Open Snip & Sketch for custom screenshots
Open clipboard history (if enabled by policy)
Emoji panel
Open Task Manager – can view VBS status (Performance → Virtualisation)
Open System Properties (shows 'Windows 10 Enterprise')
Open Connect (wireless displays) – may be disabled via policy
Open dictation (if not disabled)
Check TPM status (required for Credential Guard)
System Information – see 'Virtualisation‑Based Security' status
Advanced user account management
Computer Management – Local Users, Disk Management, Services
Windows Firewall with Advanced Security
Technical Specifications
| Architecture | 64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit |
| Processor | 1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation) |
| RAM | 4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB) |
| Storage | 64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI |
| Graphics | DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU) |
| Display | Minimum 800x600; recommended 1920x1080 or higher |
| TPM | TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only |
| Virtualisation | Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V |
| Secure Boot | Required for VBS features; strongly recommended for all Enterprise deployments |
| Memory for VBS | At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers) |
| Internet | Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features |
| DirectAccess Infrastructure | Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later |
Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education
| Feature | enterprise | pro | education |
|---|---|---|---|
| Availability | Volume licensing (M365 E3/E5, SA) | Retail / OEM | Academic VL / Azure for Education (free) |
| Credential Guard | Yes | No | Yes (same as Enterprise) |
| Application Guard for Edge | Yes | No (consumer version only) | Yes |
| DirectAccess | Yes | No | Yes |
| BranchCache | Yes | No | Yes |
| WDAC (Hypervisor Code Integrity) | Yes (fully configurable) | Yes (but limited policies) | Yes (full) |
| AppLocker | Yes (full) | Yes (via GPO) | Yes |
| Microsoft Defender for Endpoint (ATP) | Yes (requires separate licence) | No | Yes (through M365 A5) |
| Long‑Term Servicing Channel (LTSC) | Yes (with SA) | No | No (only via VL, not free) |
| Desktop Analytics | Yes (with ConfigMgr) | No | Yes (with ConfigMgr) |
| Universal Print | Yes (full management) | Basic (client only) | Yes (with A3/A5) |
| Remote Desktop Host | Yes | Yes | Yes |
| Hyper‑V | Yes | Yes | Yes |
| Group Policy / MDM | Full (Intune + ConfigMgr co‑management) | Local + domain | Full (with appropriate licences) |
| Cortana | Disabled by default (can enable) | Enabled | Disabled by default |
| Max RAM (64‑bit) | 2 TB | 2 TB | 2 TB |