Windows 10 Enterprise
The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments
Overview
How It Works
1. UEFI, Secure Boot & BitLocker
सिक्योर बूट के साथ यूईएफआई फर्मवेयर बूटलोडर हस्ताक्षर को सत्यापित करता है। यदि बिटलॉकर सक्षम है, तो टीपीएम डिक्रिप्शन कुंजी तभी जारी करता है जब मापा गया बूट यह सत्यापित करता है कि कोई छेड़छाड़ नहीं हुई है। डीएमए सुरक्षा (कर्नेल डीएमए सुरक्षा) वाले उपकरणों पर, ओएस लोड होने तक थंडरबोल्ट पोर्ट अवरुद्ध रहते हैं।
2. Virtualisation‑Based Security (VBS) Initialisation
हाइपरवाइज़र (Microsoft हाइपर‑V) जल्दी लोड होता है, जिससे पृथक वर्चुअलाइजेशन कंटेनर बनते हैं। क्रेडेंशियल गार्ड एक सुरक्षित वीएम के अंदर एलएसए चलाता है। विंडोज डिफेंडर एप्लिकेशन गार्ड (डब्ल्यूडीएजी) अपना स्वयं का हल्का कंटेनर तैयार करता है। मुख्य ओएस कम विशेषाधिकारों के साथ रूट विभाजन के रूप में चलता है।
3. Kernel & Device Guard / WDAC
कर्नेल हाइपरवाइजर‑प्रोटेक्टेड कोड इंटीग्रिटी (एचवीसीआई) के साथ लोड होता है। निष्पादन से पहले प्रत्येक ड्राइवर और कर्नेल मॉड्यूल को एक नीति (WDAC) के विरुद्ध सत्यापित किया जाता है। केवल अधिकृत प्रकाशकों (Microsoft, आपका संगठन) द्वारा हस्ताक्षरित बायनेरिज़ ही चल सकते हैं - रूटकिट और अहस्ताक्षरित ड्राइवरों को प्रभावी ढंग से अवरुद्ध करना।
4. DirectAccess & VPN Client
जैसे ही नेटवर्क कनेक्टिविटी उपलब्ध होती है, डायरेक्टएक्सेस क्लाइंट मशीन प्रमाणपत्रों का उपयोग करके कॉर्पोरेट नेटवर्क में एक IPsec सुरंग स्थापित करने का प्रयास करता है। यह उपयोगकर्ता लॉगऑन से पहले होता है, किसी भी उपयोगकर्ता के साइन इन न होने पर भी रिमोट डिवाइस प्रबंधन (पैच परिनियोजन, नीति अपडेट) को सक्षम करना।
5. User Logon with Windows Hello for Business
लॉगिन स्क्रीन पर, विंडोज हैलो फॉर बिजनेस (बायोमेट्रिक या पिन) उपयोगकर्ता को Azure AD या ऑन-प्रिमाइसेस सक्रिय निर्देशिका के लिए प्रमाणित करता है। रिमोट क्रेडेंशियल गार्ड उपयोगकर्ता को लक्ष्य मशीन पर अपने क्रेडेंशियल भेजे बिना दूरस्थ संसाधनों तक पहुंचने की अनुमति देता है।
6. Group Policy / MDM Refresh & BranchCache
पृष्ठभूमि सेवाएँ डोमेन नियंत्रकों या इंट्यून एमडीएम नीतियों से समूह नीति ऑब्जेक्ट (जीपीओ) को ताज़ा करती हैं। ब्रांच कैश 'वितरित कैश मोड' में पहले से डाउनलोड की गई फ़ाइलों के लिए स्थानीय पीयर कैश की जांच करता है, अनावश्यक WAN स्थानांतरण से बचता है।
7. Windows Defender Application Guard (Optional)
यदि कोई व्यवस्थापक एज को एप्लिकेशन गार्ड मोड (या पॉलिसी के माध्यम से) में लॉन्च करता है, तो एक नया हाइपर‑वी कंटेनर न्यूनतम विंडोज छवि के साथ शुरू होता है। ब्राउज़र इस सैंडबॉक्स के अंदर चलता है, क्लिपबोर्ड और फ़ाइल पुनर्निर्देशन नीति द्वारा नियंत्रित होता है। कंटेनर को बंद करने से सभी परिवर्तन खारिज हो जाते हैं।
8. Microsoft Defender for Endpoint Sensors
एंडपॉइंट के लिए डिफेंडर सेंसर (`MsSense.exe`) प्रक्रिया निर्माण, नेटवर्क कनेक्शन, फ़ाइल लेखन और रजिस्ट्री परिवर्तनों की निगरानी करता है। वास्तविक समय जोखिम विश्लेषण के लिए व्यवहार संबंधी संकेत क्लाउड पर भेजे जाते हैं। यदि किसी खतरे का पता चलता है, तो स्वचालित प्रतिक्रिया क्रियाएं (अलगाव, फ़ाइल संगरोध) शुरू की जा सकती हैं।
9. Windows Update for Business & Desktop Analytics
बिजनेस के लिए विंडोज अपडेट स्थगन नीतियों (फीचर अपडेट के लिए 365 दिन तक) और अपडेट रिंग का उपयोग करता है। डेस्कटॉप एनालिटिक्स अपग्रेड तैयारी अंतर्दृष्टि प्रदान करने के लिए कॉन्फ़िगरेशन प्रबंधक के साथ एकीकृत होता है - तैनाती से पहले एप्लिकेशन संगतता समस्याओं की पहचान करना।
Key Features
Credential Guard
वर्चुअलाइजेशन-आधारित सुरक्षा एलएसएएसएस को अलग करती है - पास-द-हैश और पास-द-टिकट हमलों को रोकती है। टीपीएम 2.0 और यूईएफआई लॉक की आवश्यकता है।
Application Guard for Edge
वेब ब्राउजिंग के लिए हार्डवेयर-पृथक कंटेनर - दुर्भावनापूर्ण वेबसाइटें होस्ट ओएस से समझौता नहीं कर सकती हैं। क्लिपबोर्ड नियंत्रण और फ़ाइल पुनर्निर्देशन नीतियों का समर्थन करता है।
DirectAccess
IPsec का उपयोग करते हुए हमेशा चालू, पारदर्शी वीपीएन। उपयोगकर्ता लॉगऑन से पहले कनेक्ट होता है, मल्टी-साइट का समर्थन करता है, और प्रमाणपत्र प्रमाणीकरण के साथ एकीकृत होता है।
BranchCache
SMB/HTTP सामग्री की वितरित या होस्ट की गई कैशिंग - शाखा कार्यालय उपयोगकर्ताओं के लिए WAN बैंडविड्थ और विलंबता को कम करती है।
Windows Defender Application Control (WDAC)
हाइपरवाइज़र-संरक्षित कोड अखंडता - केवल विश्वसनीय निष्पादन योग्य, ड्राइवर और स्क्रिप्ट की अनुमति देता है। कर्नेल स्तर पर रैंसमवेयर और फ़ाइल रहित मैलवेयर को ब्लॉक करता है।
AppLocker
EXE, MSI, स्क्रिप्ट और स्टोर ऐप्स के लिए नियम संग्रह के साथ उपयोगकर्ता-मोड एप्लिकेशन श्वेतसूची। परीक्षण के लिए ऑडिट मोड.
Microsoft Defender for Endpoint
पूर्ण उद्यम ईडीआर - व्यवहार सेंसर, क्लाउड एआई, स्वचालित जांच, खतरा और भेद्यता प्रबंधन, और प्रतिक्रिया क्रियाएं (अलगाव, संगरोध)।
BitLocker
टीपीएम और पिन के साथ पूर्ण डिस्क एन्क्रिप्शन। एंटरप्राइज बिटलॉकर नेटवर्क अनलॉक (कॉर्पोरेट नेटवर्क से कनेक्ट होने पर एन्क्रिप्टेड ड्राइव से बूट) और माइक्रोसॉफ्ट बिटलॉकर एडमिनिस्ट्रेशन एंड मॉनिटरिंग (एमबीएएम) एकीकरण जोड़ता है।
Windows Hello for Business
बायोमेट्रिक्स + टीपीएम का उपयोग करके दो-कारक प्रमाणीकरण। पासवर्ड को कुंजी-आधारित या प्रमाणपत्र-आधारित प्रमाणीकरण से बदल देता है। Azure AD और ऑन-प्रिमाइसेस AD का समर्थन करता है।
Desktop Analytics
विंडोज़ फीचर अपडेट के साथ एप्लिकेशन संगतता का आकलन करने के लिए कॉन्फ़िगरेशन प्रबंधक के साथ एकीकरण। पायलट सिफ़ारिशें और रोलबैक अंतर्दृष्टि प्रदान करता है।
Windows Update for Business (Advanced)
फीचर अपडेट को 365 दिनों तक और गुणवत्ता अपडेट को 30 दिनों तक टालें। अपडेट रिंग्स के साथ डिवाइस समूह (पायलट, ब्रॉड, क्रिटिकल) बनाएं। डिलिवरी अनुकूलन (पीयर-टू-पीयर) के साथ एकीकृत होता है।
Universal Print
क्लाउड-आधारित प्रिंट समाधान - किसी प्रिंट सर्वर की आवश्यकता नहीं। एंटरप्राइज़ संस्करण में यूनिवर्सल प्रिंट कनेक्टर और प्रति-उपयोगकर्ता प्रिंट जॉब कोटा का प्रबंधन शामिल है।
Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management
क्लाउड एमडीएम (इंट्यून) और ऑन-प्रिमाइसेस एससीसीएम दोनों के साथ डिवाइस को निर्बाध रूप से प्रबंधित करें। सशर्त पहुंच, अनुपालन नीतियों और दूरस्थ कार्रवाइयों (वाइप, रिटायर, सिंक) को सक्षम करता है।
Long‑Term Servicing Channel (LTSC)
सुविधा परिवर्तन के बिना 10 वर्षों के सुरक्षा अद्यतन - निश्चित-उद्देश्य उपकरणों (एटीएम, चिकित्सा, औद्योगिक) के लिए। केवल सॉफ्टवेयर आश्वासन के साथ.
Credential Guard & Virtualisation‑Based Security
ऑपरेटिंग सिस्टम से रहस्यों को अलग करें - यहां तक कि कर्नेल मैलवेयर भी हैश नहीं चुरा सकता है
How Credential Guard Works
क्रेडेंशियल गार्ड हार्डवेयर-पृथक वर्चुअल मशीन के अंदर स्थानीय सुरक्षा प्राधिकरण सबसिस्टम सेवा (एलएसएएसएस) को चलाने के लिए वर्चुअलाइजेशन‑आधारित सुरक्षा (वीबीएस) का उपयोग करता है। इस सुरक्षित वीएम के बाहर विंडोज़ प्रक्रियाएं अंदर संग्रहीत हैशेड क्रेडेंशियल्स, केर्बरोस टिकट या एनटीएलएम हैश तक नहीं पहुंच सकती हैं। पास‑द‑हैश और पास‑द‑टिकट हमले असंभव हो जाते हैं क्योंकि रहस्य कभी भी अलग-थलग वातावरण नहीं छोड़ते हैं।
Requirements & Enablement
Intel VT‑x (एक्सटेंडेड पेज टेबल्स के साथ) या AMD‑V (रैपिड वर्चुअलाइजेशन इंडेक्सिंग के साथ), UEFI लॉक और TPM 2.0 के साथ 64‑बिट CPU की आवश्यकता है। समूह नीति के माध्यम से सक्षम करें: `कंप्यूटर कॉन्फ़िगरेशन → प्रशासनिक टेम्पलेट → सिस्टम → डिवाइस गार्ड → वर्चुअलाइजेशन आधारित सुरक्षा चालू करें`। 'क्रेडेंशियल गार्ड के साथ सक्षम' पर सेट करें।
Key Protection & Remote Credential Guard
क्रेडेंशियल गार्ड की ट्रस्ट (टीपीएम‑बाउंड कीज़) और सर्टिफिकेट ट्रस्ट (स्मार्टकार्ड सर्टिफिकेट) की भी सुरक्षा करता है। रिमोट क्रेडेंशियल गार्ड इसे आरडीपी सत्रों तक विस्तारित करता है - जब कोई उपयोगकर्ता रिमोट पीसी से कनेक्ट होता है, तो उनके क्रेडेंशियल क्लाइंट मशीन को कभी नहीं छोड़ते हैं। लक्ष्य पीसी को केर्बरोस सेवा टिकट प्राप्त होता है, उपयोगकर्ता का पासवर्ड हैश नहीं।
Performance Impact
वीबीएस सुरक्षित वीएम और सामान्य ओएस के बीच संदर्भ स्विचिंग के लिए एक छोटा ओवरहेड (2‑5% सीपीयू) लगाता है। आधुनिक सर्वर-श्रेणी हार्डवेयर पर, अधिकांश कार्यभार के लिए यह नगण्य है। कुछ पुराने ड्राइवर और एप्लिकेशन (विशेष रूप से एंटी-चीट गेम सॉफ़्टवेयर) असंगत हैं और वीबीएस को चालू होने से रोक देंगे।
Windows Defender Application Guard (WDAG)
हार्डवेयर-पृथक ब्राउज़िंग - अविश्वसनीय वेबसाइटों पर सर्फ करने का सबसे सुरक्षित तरीका
Hyper‑V Container per Browser Session
WDAG ने एक हल्के हाइपर‑V कंटेनर के अंदर Microsoft Edge लॉन्च किया। यह कंटेनर होस्ट ओएस की एक प्रति का उपयोग करता है लेकिन होस्ट की मेमोरी, स्टोरेज या नेटवर्क स्टैक (वर्चुअल स्विच को छोड़कर) तक पहुंच के बिना एक अलग वर्चुअल मशीन में चलता है। यदि कोई वेबसाइट ब्राउज़र का शोषण करती है, तो हमलावर को केवल कंटेनर तक पहुंच प्राप्त होती है - होस्ट पूरी तरह से अछूता रहता है।
Configuration & Policies
समूह नीति या इंट्यून के माध्यम से सक्षम करें: `प्रशासनिक टेम्पलेट्स → विंडोज घटक → विंडोज डिफेंडर एप्लिकेशन गार्ड → विंडोज डिफेंडर एप्लिकेशन गार्ड चालू करें`। नीतियाँ क्लिपबोर्ड एक्सेस (कॉपी/पेस्ट की अनुमति?), फ़ाइल डाउनलोड पुनर्निर्देशन (होस्ट में सहेजें?), और कंटेनर से प्रिंटिंग को नियंत्रित करती हैं। आप एंटरप्राइज़ संसाधन ट्रस्ट को भी परिभाषित कर सकते हैं (उदाहरण के लिए, सामान्य एज में खुलने वाली आंतरिक SharePoint साइटें)।
Performance & User Experience
कंटेनर बनाने में पहले लॉन्च में 5-10 सेकंड लगते हैं; कैशिंग के कारण बाद के लॉन्च तेज़ हैं। एक बार अंदर जाने के बाद, ब्राउज़िंग लगभग स्थानीय हो जाती है। कंटेनर में कोई डेटा नहीं रहता है - कंटेनर बंद होने पर कुकीज़, डाउनलोड और ब्राउज़िंग इतिहास हटा दिए जाते हैं। उपयोगकर्ताओं को एक विशेष यूआई दिखाई देता है जो दर्शाता है कि वे 'एप्लिकेशन गार्ड' मोड में हैं।
Integration with Defender for Endpoint
यदि कंटेनर के अंदर मैलवेयर का नमूना पाया जाता है, तो एंडपॉइंट के लिए डिफेंडर स्वचालित रूप से पेलोड एकत्र कर सकता है और इसे विश्लेषण के लिए सबमिट कर सकता है। यदि संदिग्ध व्यवहार का पता चलता है तो कंटेनर को स्वचालित रूप से ज्ञात-अच्छी स्थिति में रीसेट किया जा सकता है।
DirectAccess & BranchCache
वितरित संगठनों के लिए निर्बाध रिमोट एक्सेस और WAN अनुकूलन
DirectAccess – Always On VPN
जैसे ही डिवाइस में इंटरनेट एक्सेस होता है, DirectAccess कॉर्पोरेट नेटवर्क को एक स्वचालित, पारदर्शी, हमेशा चालू IPsec टनल प्रदान करता है। कोई उपयोगकर्ता इनपुट नहीं (कोई क्लिक-टू-कनेक्ट नहीं) - यह प्रमाणीकरण के लिए मशीन प्रमाणपत्र का उपयोग करता है। उपयोगकर्ता आंतरिक संसाधनों (फ़ाइल शेयर, इंट्रानेट साइट्स) तक ऐसे पहुंचते हैं जैसे कि वे NAT और फ़ायरवॉल के पीछे भी, परिसर में हों। DirectAccess मल्टी-साइट परिनियोजन का भी समर्थन करता है और नेटवर्क एक्सेस प्रोटेक्शन (NAP) (विरासत) के साथ एकीकृत होता है।
DirectAccess vs Traditional VPN
पारंपरिक वीपीएन के लिए उपयोगकर्ता को मैन्युअल रूप से कनेक्ट करने की आवश्यकता होती है, निष्क्रिय होने के बाद डिस्कनेक्ट किया जा सकता है, और उपयोगकर्ता लॉगऑन से पहले काम नहीं करता है। डायरेक्टएक्सेस लॉगिन से पहले स्वचालित रूप से कनेक्ट होता है, अनिश्चित काल तक कनेक्ट रहता है, और फोर्स टनलिंग (कॉर्पोरेट नेटवर्क के माध्यम से रूट किए गए सभी इंटरनेट ट्रैफ़िक) या स्प्लिट टनलिंग का समर्थन करता है। यह लैपटॉप के दूरस्थ प्रबंधन और आंतरिक संसाधनों तक निरंतर पहुंच के लिए आदर्श है।
BranchCache – Reduce WAN Traffic
ब्रांच कैश स्थानीय क्लाइंट पीसी या ऑन-साइट होस्टेड कैश सर्वर पर दूरस्थ फ़ाइल सर्वर (एसएमबी शेयर) और HTTP (वेब) सर्वर से सामग्री को कैश करता है। डिस्ट्रीब्यूटेड कैश मोड में, प्रत्येक क्लाइंट सामग्री को कैश करता है और इसे स्थानीय LAN डिस्कवरी (WS-डिस्कवरी) के माध्यम से सहकर्मी क्लाइंट के साथ साझा करता है। होस्टेड कैश मोड में, एक समर्पित विंडोज सर्वर केंद्रीय कैश के रूप में कार्य करता है। उसी फ़ाइल के लिए बाद के अनुरोधों को स्थानीय कैश से परोसा जाता है, जिससे विलंबता और WAN उपयोग में भारी कमी आती है।
BranchCache Security
SHA‑256 का उपयोग करके डेटा एन्क्रिप्ट किया गया है और अखंडता की जाँच की गई है। ग्राहकों को उनके द्वारा अनुरोधित फ़ाइल के केवल भाग प्राप्त होते हैं, और अनधिकृत पुनर्निर्माण को रोकने के लिए कैश को खंडित किया जाता है। ब्रांच कैश HTTP और SMB प्रोटोकॉल पर काम करता है, जो विंडोज़ फ़ाइल सर्वर के साथ सहजता से एकीकृत है।
Windows Defender Application Control (WDAC) & AppLocker
शून्य-विश्वास एप्लिकेशन श्वेतसूची - केवल स्वीकृत सॉफ़्टवेयर चलता है
WDAC – Hypervisor‑Protected Code Integrity
WDAC (पूर्व में डिवाइस गार्ड) प्रशासकों को यह निर्दिष्ट करने की अनुमति देता है कि कौन सी निष्पादन योग्य फ़ाइलें, ड्राइवर, स्क्रिप्ट और MSI विश्वसनीय हैं। नियम फ़ाइल पथ, प्रकाशक (डिजिटल प्रमाणपत्र), या फ़ाइल हैश पर आधारित हैं। नीति हाइपरवाइज़र (HVCI) द्वारा लागू की जाती है और कर्नेल-मोड मैलवेयर द्वारा इसे बायपास नहीं किया जा सकता है। WDAC न केवल ज्ञात मैलवेयर को ब्लॉक कर सकता है, बल्कि हमलावरों द्वारा उपयोग किए जाने वाले 'जमीन से दूर रहने वाले' बायनेरिज़ (जैसे, पॉवरशेल, wmic) को भी ब्लॉक कर सकता है।
WDAC vs AppLocker
AppLocker एक उपयोगकर्ता-मोड नीति समाधान है जो एंटरप्राइज़ (और प्रो) में उपलब्ध है - प्रबंधित करना आसान है लेकिन कर्नेल ड्राइवरों द्वारा इसे बायपास किया जा सकता है। डब्लूडीएसी एक कर्नेल-मोड, हाइपरविजर-संरक्षित समाधान है - बहुत मजबूत लेकिन सावधानीपूर्वक योजना और परीक्षण की आवश्यकता है। कई संगठन दोनों का उपयोग करते हैं: महत्वपूर्ण सिस्टम सुरक्षा के लिए WDAC, उपयोगकर्ता-ऐप प्रतिबंधों के लिए AppLocker।
Creating WDAC Policies
संदर्भ पीसी पर `कॉन्फिगसीआई` पावरशेल मॉड्यूल का उपयोग करें। `न्यू-सीआईपॉलिसी` सिस्टम को स्कैन करती है और वर्तमान में इंस्टॉल किए गए सभी एप्लिकेशन और ड्राइवरों की एक अनुमति सूची तैयार करती है। `ConvertFrom-CIPolicy` बाइनरी प्रारूप में परिवर्तित हो जाता है। समूह नीति या एमडीएम के माध्यम से तैनात करें। आप शुरुआत में ऑडिट मोड में जाकर लॉग इन कर सकते हैं कि वास्तव में इसे ब्लॉक किए बिना क्या ब्लॉक किया जाएगा।
AppLocker Rulesets for Enterprises
AppLocker पांच नियम संग्रहों का समर्थन करता है: निष्पादन योग्य (.exe, .com), Windows इंस्टालर (.msi, .msp), स्क्रिप्ट (.ps1, .bat, .vbs, .js), DLL और पैकेज्ड ऐप्स (स्टोर ऐप्स)। नीतियाँ प्रति उपयोगकर्ता समूह पर लागू की जा सकती हैं। उदाहरण के लिए: सभी उपयोगकर्ताओं को `C:\Program Files` और `C:\Program Files (x86)` से प्रोग्राम चलाने की अनुमति दें, लेकिन `%USERPROFILE%\Downloads` या `%TEMP%` से चलने से इनकार करें।
Microsoft Defender for Endpoint (formerly ATP)
स्वचालित जांच और प्रतिक्रिया के साथ एंटरप्राइज़ ईडीआर
Next‑Generation Protection
व्यवहार सेंसर, क्लाउड एआई और मशीन लर्निंग मॉडल प्रक्रिया व्यवहार, नेटवर्क कनेक्शन और रजिस्ट्री परिवर्तनों का विश्लेषण करते हैं। हमले की सतह को कम करने के नियम (जैसे, ऑफिस को चाइल्ड प्रोसेस बनाने से रोकना, ईमेल क्लाइंट से निष्पादन योग्य सामग्री को ब्लॉक करना) सामान्य संक्रमण वैक्टर को रोकते हैं।
Endpoint Detection & Response (EDR)
अंतिम बिंदुओं में गहरी दृश्यता: संदिग्ध व्यवहार पर अलर्ट, मशीनों में जांच, और प्रक्रिया वृक्षों के समयरेखा दृश्य। सुरक्षा संचालन केंद्र (एसओसी) 6 महीने तक (लाइसेंस के आधार पर) कच्ची टेलीमेट्री से पूछताछ कर सकते हैं।
Automated Investigation & Remediation
जब कोई अलर्ट ट्रिगर होता है, तो एंडपॉइंट के लिए डिफेंडर स्वचालित रूप से घटना की जांच कर सकता है: मूल कारण निर्धारित करें, प्रभावित मशीनों को नेटवर्क से अलग करें (माइक्रोसॉफ्ट इंट्यून एकीकरण का उपयोग करके), और दुर्भावनापूर्ण कलाकृतियों (फ़ाइलें, रजिस्ट्री कुंजी, निर्धारित कार्य) को हटा दें।
Threat & Vulnerability Management (TVM)
टीवीएम लगातार लापता सुरक्षा अपडेट, गलत कॉन्फ़िगरेशन (उदाहरण के लिए, कमजोर फ़ायरवॉल नियम), और कमजोर सॉफ़्टवेयर संस्करणों का पता लगाता है। यह जोखिम-आधारित प्राथमिकता प्रदान करता है - शोषण की संभावना और परिसंपत्ति जोखिम के आधार पर 'पहले पैच' सिफ़ारिशें।
Long‑Term Servicing Channel (LTSC)
सुविधा परिवर्तन के बिना 10 वर्षों के सुरक्षा अद्यतन - निश्चित-उद्देश्य वाले उपकरणों के लिए
What is LTSC?
लॉन्ग-टर्म सर्विसिंग चैनल (पूर्व में एलटीएसबी) विंडोज 10 एंटरप्राइज का एक विशेष संस्करण है जो फीचर अपडेट नहीं प्राप्त करता है। इसमें 10 वर्षों तक (5 वर्ष मुख्यधारा + 5 वर्ष विस्तारित) केवल सुरक्षा और गुणवत्ता अद्यतन शामिल हैं। उन उपकरणों के लिए आदर्श जिनकी कार्यक्षमता कभी नहीं बदलनी चाहिए: एटीएम, चिकित्सा उपकरण (एमआरआई, सीटी स्कैनर), औद्योगिक नियंत्रण प्रणाली (एससीएडीए), कियोस्क और एम्बेडेड सिस्टम।
What’s Missing in LTSC
एलटीएससी माइक्रोसॉफ्ट एज (केवल विरासत संस्करण, क्रोमियम नहीं), विंडोज स्टोर, कॉर्टाना, इनबॉक्स ऐप्स (मेल, कैलेंडर, कैलकुलेटर), वनड्राइव और टाइमलाइन और सेट्स जैसी आधुनिक सुविधाओं के बिना जहाज करता है। यह विंडोज़ 10 के अर्ध-वार्षिक फीचर अपडेट (जैसे, 21H2, 22H2) का भी समर्थन नहीं करता है। यह एलटीएससी को नए हार्डवेयर के साथ असंगत बनाता है (ड्राइवरों को नए विंडोज बिल्ड की आवश्यकता हो सकती है)।
Licensing & Availability
एलटीएससी केवल उन ग्राहकों के लिए उपलब्ध है जिनके पास सक्रिय सॉफ्टवेयर एश्योरेंस (वॉल्यूम लाइसेंसिंग) या माइक्रोसॉफ्ट 365 ई3/ई5 (वहां कोई एलटीएससी नहीं है - आपको एसए की आवश्यकता है) के माध्यम से उपलब्ध है। प्रत्येक नई एलटीएससी रिलीज़ को उसकी रिलीज़ तिथि से 10 वर्षों तक समर्थित किया जाता है (उदाहरण के लिए, विंडोज 10 एंटरप्राइज एलटीएससी 2019 को 2029 तक, एलटीएससी 2021 को 2031 तक समर्थित किया जाता है)। आप क्लीन इंस्टाल के बिना एक एलटीएससी रिलीज़ से दूसरे में अपग्रेड नहीं कर सकते।
LTSC vs Semi‑Annual Channel (SAC)
अधिकांश एंटरप्राइज़ उपकरणों को अर्ध-वार्षिक चैनल (एसएसी) का उपयोग करना चाहिए - प्रति वर्ष दो बार नई सुविधाएँ प्राप्त करें। एलटीएससी महत्वपूर्ण बुनियादी ढांचे के लिए एक विशेष उपकरण है जो यूआई परिवर्तनों को बर्दाश्त नहीं कर सकता है या फीचर अपडेट के लिए रीबूट नहीं कर सकता है। Microsoft सामान्य प्रयोजन डेस्कटॉप, कार्यालय या विकास मशीनों के लिए LTSC का उपयोग न करने की सलाह देता है।
Pros
- ✓बेजोड़ सुरक्षा - क्रेडेंशियल गार्ड, एप्लिकेशन गार्ड, डब्लूडीएसी, और एंडपॉइंट के लिए डिफेंडर गहराई से सुरक्षा प्रदान करते हैं
- ✓डायरेक्टएक्सेस उपयोगकर्ता-सामना वाले वीपीएन को समाप्त करता है - निर्बाध रिमोट एक्सेस प्रबंधन
- ✓BranchCache फ़ाइल सर्वर और वेब ऐप्स के लिए शाखा कार्यालय अनुभव को नाटकीय रूप से बेहतर बनाता है
- ✓पूर्ण डिवाइस प्रबंधन - इंट्यून, कॉन्फिगएमजीआर, समूह नीति और सह-प्रबंधन
- ✓व्यवसाय के लिए विंडोज़ अपडेट 1 साल की मोहलत के साथ - अपने शेड्यूल पर अपडेट की योजना बनाएं
- ✓नियामक या स्थिरता-महत्वपूर्ण वातावरण के लिए दीर्घकालिक सर्विसिंग चैनल (एलटीएससी)
- ✓AppLocker + WDAC - कर्नेल से उपयोगकर्ता मोड तक शून्य-विश्वास एप्लिकेशन नीतियों को लागू करें
- ✓एंडपॉइंट के लिए माइक्रोसॉफ्ट डिफेंडर तीसरे पक्ष के एजेंटों के बिना एंटरप्राइज़ ईडीआर प्रदान करता है
- ✓डेस्कटॉप एनालिटिक्स वास्तविक-विश्व संगतता डेटा के साथ अपग्रेड जोखिम को कम करता है
- ✓रिमोट क्रेडेंशियल गार्ड आरडीपी सत्र के दौरान क्रेडेंशियल्स की सुरक्षा करता है
- ✓यूनिवर्सल प्रिंट प्रिंट सर्वर जटिलता को कम करता है
- ✓एस मोड में विंडोज 10 का समर्थन करता है - अल्ट्रा-प्रतिबंधित वातावरण के लिए केवल माइक्रोसॉफ्ट स्टोर ऐप्स तक लॉक किया गया है
Cons
- ✗रिटेल के लिए उपलब्ध नहीं - वॉल्यूम लाइसेंसिंग समझौते की आवश्यकता है (Microsoft 365 E3/E5 या सॉफ़्टवेयर एश्योरेंस)
- ✗प्रो की तुलना में अधिक लागत - प्रति-उपयोगकर्ता/प्रति-डिवाइस सदस्यता शुल्क (आमतौर पर $7-$14 प्रति उपयोगकर्ता/माह Microsoft 365 के भाग के रूप में)
- ✗जटिलता - कई सुविधाओं (डब्ल्यूडीएसी, क्रेडेंशियल गार्ड, एप्लिकेशन गार्ड) के लिए सावधानीपूर्वक योजना और परीक्षण की आवश्यकता होती है
- ✗हार्डवेयर आवश्यकताएँ - वीबीएस सुविधाओं के लिए टीपीएम 2.0, यूईएफआई और हाल के सीपीयू की आवश्यकता होती है; हो सकता है कि पुराने उपकरण उनका समर्थन न करें
- ✗एप्लिकेशन संगतता समस्याएं - WDAC वैध सॉफ़्टवेयर को ब्लॉक कर सकता है; क्रेडेंशियल गार्ड कुछ तृतीय-पक्ष प्रमाणीकरण मॉड्यूल को तोड़ता है
- ✗प्रदर्शन ओवरहेड - वीबीएस (क्रेडेंशियल गार्ड, एचवीसीआई) प्रदर्शन को 2‑8% तक कम कर सकता है, जो उच्च‑I/O या गेमिंग वर्कलोड में ध्यान देने योग्य है
- ✗डायरेक्टएक्सेस के लिए विंडोज सर्वर इंफ्रास्ट्रक्चर की आवश्यकता होती है (डायरेक्टएक्सेस सर्वर, पीकेआई, डीएनएस और आईपीवी6 ट्रांजिशन टेक्नोलॉजीज)
- ✗BranchCache के लिए Windows सर्वर फ़ाइल सर्वर और सावधानीपूर्वक कैश आकार की आवश्यकता होती है
- ✗समर्थन 14 अक्टूबर, 2025 को समाप्त हो रहा है - सभी विंडोज़ 10 संस्करणों के समान (हालाँकि विशिष्ट रिलीज़ के लिए एलटीएससी 2031 पर जाता है)
- ✗कोई उपभोक्ता सुविधाएँ नहीं - कॉर्टाना, विंडोज स्टोर (अक्षम किया जा सकता है), उपभोक्ता क्लाउड अनुभव नीति द्वारा बंद कर दिए गए हैं (उनसे उम्मीद करने वाले उपयोगकर्ता भ्रमित हो सकते हैं)
- ✗LTSC में आधुनिक ब्राउज़र और ऐप स्टोर का अभाव है - वर्कअराउंड के बिना Microsoft Teams, नए Edge, या Store ऐप्स इंस्टॉल नहीं कर सकते
Use Cases
Hidden & Useful Shortcuts
Master Windows 10 with these time‑saving keyboard shortcuts
Open Start Menu (Cortana disabled by default on Enterprise)
Open Action Centre
Show desktop
Open File Explorer
Open Settings
Lock workstation – secure against physical access
Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)
Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer
Open Search (Cortana disabled but search works)
Task View – virtual desktops (useful for separating classified and unclassified work)
New virtual desktop
Close current virtual desktop
Switch between virtual desktops
Open Game Bar (if not removed by policy)
Open Snip & Sketch for custom screenshots
Open clipboard history (if enabled by policy)
Emoji panel
Open Task Manager – can view VBS status (Performance → Virtualisation)
Open System Properties (shows 'Windows 10 Enterprise')
Open Connect (wireless displays) – may be disabled via policy
Open dictation (if not disabled)
Check TPM status (required for Credential Guard)
System Information – see 'Virtualisation‑Based Security' status
Advanced user account management
Computer Management – Local Users, Disk Management, Services
Windows Firewall with Advanced Security
Technical Specifications
| Architecture | 64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit |
| Processor | 1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation) |
| RAM | 4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB) |
| Storage | 64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI |
| Graphics | DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU) |
| Display | Minimum 800x600; recommended 1920x1080 or higher |
| TPM | TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only |
| Virtualisation | Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V |
| Secure Boot | Required for VBS features; strongly recommended for all Enterprise deployments |
| Memory for VBS | At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers) |
| Internet | Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features |
| DirectAccess Infrastructure | Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later |
Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education
| Feature | enterprise | pro | education |
|---|---|---|---|
| Availability | Volume licensing (M365 E3/E5, SA) | Retail / OEM | Academic VL / Azure for Education (free) |
| Credential Guard | Yes | No | Yes (same as Enterprise) |
| Application Guard for Edge | Yes | No (consumer version only) | Yes |
| DirectAccess | Yes | No | Yes |
| BranchCache | Yes | No | Yes |
| WDAC (Hypervisor Code Integrity) | Yes (fully configurable) | Yes (but limited policies) | Yes (full) |
| AppLocker | Yes (full) | Yes (via GPO) | Yes |
| Microsoft Defender for Endpoint (ATP) | Yes (requires separate licence) | No | Yes (through M365 A5) |
| Long‑Term Servicing Channel (LTSC) | Yes (with SA) | No | No (only via VL, not free) |
| Desktop Analytics | Yes (with ConfigMgr) | No | Yes (with ConfigMgr) |
| Universal Print | Yes (full management) | Basic (client only) | Yes (with A3/A5) |
| Remote Desktop Host | Yes | Yes | Yes |
| Hyper‑V | Yes | Yes | Yes |
| Group Policy / MDM | Full (Intune + ConfigMgr co‑management) | Local + domain | Full (with appropriate licences) |
| Cortana | Disabled by default (can enable) | Enabled | Disabled by default |
| Max RAM (64‑bit) | 2 TB | 2 TB | 2 TB |