Bagaimana saya bisa mendapatkan Windows 10 Perusahaan?

Windows 10 Enterprise hanya tersedia melalui program lisensi volume: Microsoft 365 E3/E5 (langganan per pengguna), atau melalui Jaminan Perangkat Lunak (per perangkat). Itu tidak dijual secara eceran. Jika Anda seorang individu, Anda tidak dapat membeli satu lisensi pun secara legal. Beberapa organisasi memberikan citra Perusahaan kepada karyawan melalui portal perusahaan mereka.

Apa perbedaan antara Windows 10 Enterprise dan Windows 10 Pro?

Pro mencakup manajemen dasar (Kebijakan Grup, BitLocker, RDP Host, Hyper‑V). Enterprise menambahkan keamanan tingkat lanjut: Credential Guard, Application Guard, DirectAccess, BranchCache, WDAC, Defender untuk integrasi Endpoint, Universal Print, Desktop Analytics, dan LTSC. Perusahaan dirancang untuk organisasi dengan tim keamanan TI khusus dan persyaratan kepatuhan.

Apakah Windows 10 Education sama dengan Enterprise?

Ya, secara fungsional identik. Windows 10 Education dibuat dari kode yang sama dengan Enterprise dan mencakup semua fitur keamanan dan manajemen yang sama. Perbedaannya hanya pada nama edisi yang ditampilkan, wallpaper default, dan lisensi (Pendidikan gratis untuk institusi akademik). Untuk organisasi non-akademik, Anda memerlukan Enterprise.

Apa yang dimaksud dengan Saluran Pelayanan Jangka Panjang (LTSC)?

LTSC adalah versi khusus Windows 10 Enterprise yang tidak menerima pembaruan fitur – hanya pembaruan keamanan dan kualitas hingga 10 tahun. Ini ditujukan untuk perangkat khusus yang tidak boleh diubah: ATM, peralatan medis, pengontrol industri, dan kios. Microsoft menyarankan untuk tidak menggunakan LTSC untuk desktop tujuan umum atau produktivitas Office.

Apakah Windows 10 Enterprise menyertakan Aplikasi Microsoft 365 (Office)?

Tidak. Windows 10 Enterprise hanyalah sistem operasinya saja. Aplikasi Microsoft 365 (sebelumnya Office 365 ProPlus) adalah langganan terpisah. Namun, Microsoft 365 E3/E5 menggabungkan Aplikasi Windows 10 Enterprise dan Microsoft 365 secara bersamaan.

Bisakah saya mengupgrade dari Windows 10 Pro ke Enterprise tanpa menginstal ulang?

Ya. Jika Anda memiliki kunci lisensi volume Perusahaan yang valid (MAK atau KMS), buka **Pengaturan → Perbarui & Keamanan → Aktivasi → Ubah kunci produk** dan masukkan kunci Perusahaan. Peningkatan akan dilanjutkan dan menyimpan semua file dan aplikasi. Anda tidak dapat menurunkan versi kembali ke Pro tanpa instalasi bersih.

Apakah Windows 10 Enterprise berfungsi dengan Windows Autopilot?

Ya. Autopilot mendukung semua edisi Windows 10 (kecuali Home). Perusahaan dapat diprovisikan melalui Autopilot dengan penggabungan Azure Active Directory dan kebijakan Intune – penerapan zero-touch untuk perangkat baru.

Apa siklus hidup dukungan untuk Windows 10 Enterprise?

Versi Saluran Semi-Tahunan (SAC) didukung selama 18 bulan setelah setiap rilis (misalnya, 21H2 didukung hingga Juni 2023). Rilisan LTSC didukung selama 10 tahun (5 mainstream + 5 extended). Dukungan mainstream untuk semua edisi Windows 10 berakhir **14 Oktober 2025**, setelah itu Anda harus memiliki Pembaruan Keamanan yang Diperpanjang (ESU) – hanya tersedia melalui lisensi volume hingga 3 tahun.

Apakah Windows Defender untuk Endpoint disertakan dalam Windows 10 Enterprise?

Tidak. Windows 10 Enterprise mencakup **Microsoft Defender Antivirus** dan **Microsoft Defender for Endpoint – Paket 1** gratis (antivirus dasar). Kemampuan EDR penuh (Defender untuk Endpoint Paket 2) memerlukan lisensi terpisah, biasanya disertakan dalam Microsoft 365 E5 atau dijual sebagai add-on untuk E3.

Bisakah saya menggunakan Hyper‑V dan Credential Guard secara bersamaan?

Ya. Keduanya menggunakan platform hypervisor yang sama. Namun, mengaktifkan VBS (termasuk Credential Guard) akan menghemat sebagian memori dan mungkin membatasi ketersediaan fitur tertentu Hyper‑V (seperti virtualisasi bersarang) tergantung pada perangkat keras. Pada sistem modern, mereka hidup berdampingan dengan baik.

Apa perbedaan antara Penjaga Aplikasi Windows Defender dan Windows Sandbox?

Windows Sandbox adalah VM sementara yang ringan untuk menguji aplikasi apa pun – Anda membuka Sandbox, menjalankan penginstal yang tidak tepercaya, dan menutupnya – semua perubahan hilang. Application Guard khusus untuk penjelajahan web Microsoft Edge, terintegrasi ke dalam browser, dan dapat dikelola dengan kebijakan. Penjaga Aplikasi tersedia di Perusahaan; Windows Sandbox ada di Pro/Enterprise (tetapi tidak di LTSC).

Windows 10 Enterprise

The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments

Overview

Windows 10 Enterprise adalah sistem operasi Microsoft yang dirancang untuk organisasi menengah hingga besar yang memerlukan tingkat keamanan, kontrol, dan manajemen tertinggi. Dibangun dengan fondasi yang sama seperti Windows 10 Pro, Enterprise menambahkan rangkaian lengkap teknologi keamanan tingkat lanjut: Windows Defender Credential Guard (isolasi kredensial berbasis virtualisasi), Windows Defender Application Guard (penjelajahan yang terisolasi perangkat keras), Microsoft Defender for Endpoint (EDR perusahaan), DirectAccess (VPN mulus), BranchCache (optimasi WAN), AppLocker (daftar putih aplikasi), dan BitLocker (enkripsi disk penuh). Ini juga mencakup Pembaruan Windows untuk Bisnis dengan opsi penangguhan yang diperpanjang, Analisis Desktop untuk kesiapan pembaruan, dan opsi Saluran Pelayanan Jangka Panjang (LTSC) untuk perangkat yang tidak pernah mengubah fungsinya (ATM, peralatan medis, kontrol industri). Windows 10 Enterprise dapat dikelola melalui Microsoft Intune (MDM) atau Configuration Manager (SCCM) lokal. Lisensi berbasis langganan melalui Microsoft 365 E3/E5 menyediakan pembaruan fitur rutin, sedangkan edisi LTSC (hanya tersedia dengan Jaminan Perangkat Lunak aktif) menawarkan pembaruan keamanan selama 10 tahun tanpa perubahan fitur. Dengan dukungan arsitektur zero-trust modern, Windows Hello for Business, dan keamanan berbasis virtualisasi, Windows 10 Enterprise melindungi data sensitif bahkan ketika diakses dari jaringan yang tidak tepercaya. Dukungan mainstream berakhir 14 Oktober 2025, dengan pembaruan keamanan yang diperluas (ESU) tersedia melalui lisensi volume hingga tiga tahun tambahan.

How It Works

Proses booting Windows 10 Enterprise mencakup lapisan keamanan tambahan berbasis virtualisasi dan hook jaringan perusahaan. Berikut urutan lengkap pada perangkat Perusahaan yang dikelola:

1. UEFI, Secure Boot & BitLocker

Firmware UEFI dengan Secure Boot memverifikasi tanda tangan bootloader. Jika BitLocker diaktifkan, TPM melepaskan kunci dekripsi hanya setelah boot terukur memverifikasi tidak adanya gangguan. Pada perangkat dengan perlindungan DMA (Kernel DMA Protection), port Thunderbolt diblokir hingga OS dimuat.

2. Virtualisation‑Based Security (VBS) Initialisation

Hypervisor (Microsoft Hyper‑V) dimuat lebih awal, menciptakan wadah virtualisasi yang terisolasi. Credential Guard menjalankan LSA di dalam VM yang aman. Windows Defender Application Guard (WDAG) menyiapkan container ringannya sendiri. OS utama berjalan sebagai partisi root dengan hak istimewa yang dikurangi.

3. Kernel & Device Guard / WDAC

Kernel dimuat dengan Hypervisor‑Protected Code Integrity (HVCI). Setiap modul driver dan kernel diverifikasi berdasarkan kebijakan (WDAC) sebelum dieksekusi. Hanya biner yang ditandatangani oleh penerbit resmi (Microsoft, organisasi Anda) yang dapat berjalan – secara efektif memblokir rootkit dan driver yang tidak ditandatangani.

4. DirectAccess & VPN Client

Segera setelah konektivitas jaringan tersedia, klien DirectAccess mencoba membuat terowongan IPsec ke jaringan perusahaan menggunakan sertifikat mesin. Hal ini terjadi sebelum pengguna masuk, sehingga memungkinkan pengelolaan perangkat jarak jauh (penyebaran patch, pembaruan kebijakan) bahkan ketika tidak ada pengguna yang masuk.

5. User Logon with Windows Hello for Business

Di layar masuk, Windows Hello for Business (biometrik atau PIN) mengautentikasi pengguna ke Azure Active Directory atau Direktori Aktif lokal. Remote Credential Guard memungkinkan pengguna mengakses sumber daya jarak jauh tanpa mengirimkan kredensial mereka ke mesin target.

6. Group Policy / MDM Refresh & BranchCache

Layanan latar belakang menyegarkan objek Kebijakan Grup (GPO) dari pengontrol domain atau kebijakan MDM Intune. BranchCache dalam 'mode cache terdistribusi' memeriksa cache rekan lokal untuk file yang diunduh sebelumnya, menghindari transfer WAN yang berlebihan.

7. Windows Defender Application Guard (Optional)

Jika administrator meluncurkan Edge dalam mode Application Guard (atau melalui kebijakan), kontainer Hyper‑V baru dimulai dengan image Windows minimal. Browser berjalan di dalam kotak pasir ini, dengan clipboard dan pengalihan file dikendalikan oleh kebijakan. Menutup wadah akan membuang semua perubahan.

8. Microsoft Defender for Endpoint Sensors

Sensor Defender for Endpoint (`MsSense.exe`) memantau pembuatan proses, koneksi jaringan, penulisan file, dan perubahan registri. Sinyal perilaku dikirim ke cloud untuk analisis risiko secara real-time. Jika ancaman terdeteksi, tindakan respons otomatis (isolasi, karantina file) dapat dipicu.

9. Windows Update for Business & Desktop Analytics

Pembaruan Windows untuk Bisnis menggunakan kebijakan penangguhan (hingga 365 hari untuk pembaruan fitur) dan dering pembaruan. Desktop Analytics terintegrasi dengan Manajer Konfigurasi untuk memberikan wawasan kesiapan pemutakhiran – mengidentifikasi masalah kompatibilitas aplikasi sebelum penerapan.

Key Features

Credential Guard

Keamanan berbasis virtualisasi mengisolasi LSASS – mencegah serangan pass‑the‑hash dan pass‑the‑ticket. Memerlukan kunci TPM 2.0 dan UEFI.

Application Guard for Edge

Wadah yang diisolasi dengan perangkat keras untuk penjelajahan web – situs web berbahaya tidak dapat menyusupi OS host. Mendukung kontrol clipboard dan kebijakan pengalihan file.

DirectAccess

VPN transparan yang selalu aktif menggunakan IPsec. Terhubung sebelum pengguna masuk, mendukung multi-situs, dan terintegrasi dengan autentikasi sertifikat.

BranchCache

Caching konten SMB/HTTP yang terdistribusi atau dihosting – mengurangi bandwidth dan latensi WAN untuk pengguna kantor cabang.

Windows Defender Application Control (WDAC)

Integritas kode yang dilindungi hypervisor – hanya mengizinkan executable, driver, dan skrip tepercaya. Memblokir ransomware dan malware tanpa file di tingkat kernel.

AppLocker

Daftar putih aplikasi mode pengguna dengan kumpulan aturan untuk EXE, MSI, skrip, dan aplikasi Store. Mode audit untuk pengujian.

Microsoft Defender for Endpoint

EDR perusahaan lengkap – sensor perilaku, cloud AI, investigasi otomatis, manajemen ancaman & kerentanan, dan tindakan respons (isolasi, karantina).

BitLocker

Enkripsi disk penuh dengan TPM dan PIN. Perusahaan menambahkan BitLocker Network Unlock (boot dari drive terenkripsi saat terhubung ke jaringan perusahaan) dan integrasi Microsoft BitLocker Administration and Monitoring (MBAM).

Windows Hello for Business

Autentikasi dua faktor menggunakan biometrik + TPM. Menggantikan kata sandi dengan autentikasi berbasis kunci atau sertifikat. Mendukung Azure AD dan AD lokal.

Desktop Analytics

Integrasi dengan Manajer Konfigurasi untuk menilai kompatibilitas aplikasi dengan pembaruan fitur Windows. Memberikan rekomendasi percontohan dan wawasan rollback.

Windows Update for Business (Advanced)

Tunda pembaruan fitur hingga 365 hari, pembaruan kualitas hingga 30 hari. Buat grup perangkat (percontohan, luas, kritis) dengan dering pembaruan. Terintegrasi dengan Pengoptimalan Pengiriman (peer‑to‑peer).

Universal Print

Solusi pencetakan berbasis cloud – tidak memerlukan server pencetakan. Edisi perusahaan mencakup pengelolaan konektor Universal Print dan kuota tugas pencetakan per pengguna.

Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management

Kelola perangkat dengan lancar menggunakan MDM cloud (Intune) dan SCCM lokal. Memungkinkan akses bersyarat, kebijakan kepatuhan, dan tindakan jarak jauh (wipe, pensiun, sinkronisasi).

Long‑Term Servicing Channel (LTSC)

Pembaruan keamanan selama 10 tahun tanpa perubahan fitur – untuk perangkat dengan tujuan tetap (ATM, medis, industri). Hanya dengan Jaminan Perangkat Lunak.

Credential Guard & Virtualisation‑Based Security

Pisahkan rahasia dari sistem operasi – bahkan malware kernel tidak dapat mencuri hash

How Credential Guard Works

Credential Guard menggunakan Keamanan Berbasis Virtualisasi (VBS) untuk menjalankan Layanan Subsistem Otoritas Keamanan Lokal (LSASS) di dalam mesin virtual yang diisolasi dengan perangkat keras. Proses Windows di luar VM aman ini tidak dapat mengakses kredensial hash, tiket Kerberos, atau hash NTLM yang disimpan di dalamnya. Serangan Pass‑the‑hash dan Pass‑the‑ticket menjadi tidak mungkin dilakukan karena rahasia tidak pernah meninggalkan lingkungan yang terisolasi.

Requirements & Enablement

Memerlukan CPU 64-bit dengan Intel VT‑x (dengan Extended Page Tables) atau AMD‑V (dengan Rapid Virtualization Indexing), kunci UEFI, dan TPM 2.0. Aktifkan melalui Kebijakan Grup: `Konfigurasi Komputer → Templat Administratif → Sistem → Penjaga Perangkat → Aktifkan Keamanan Berbasis Virtualisasi`. Setel ke 'Diaktifkan dengan Penjaga Kredensial'.

Key Protection & Remote Credential Guard

Credential Guard juga melindungi Key Trust (kunci yang terikat TPM) dan Certificate Trust (sertifikat kartu pintar). Remote Credential Guard memperluas ini ke sesi RDP – ketika pengguna terhubung ke PC jarak jauh, kredensial mereka tidak pernah meninggalkan mesin klien. PC target menerima tiket layanan Kerberos, bukan hash kata sandi pengguna.

Performance Impact

VBS menerapkan overhead kecil (2‑5% CPU) untuk peralihan konteks antara VM aman dan OS normal. Pada perangkat keras kelas server modern, hal ini dapat diabaikan untuk sebagian besar beban kerja. Beberapa driver dan aplikasi lawas (terutama perangkat lunak game anti-cheat) tidak kompatibel dan akan menghalangi pengaktifan VBS.

Windows Defender Application Guard (WDAG)

Penjelajahan yang terisolasi perangkat keras – cara paling aman untuk menjelajahi situs web yang tidak tepercaya

Hyper‑V Container per Browser Session

WDAG meluncurkan Microsoft Edge di dalam wadah Hyper‑V yang ringan. Kontainer ini menggunakan salinan OS host tetapi berjalan di mesin virtual terpisah tanpa akses ke memori host, penyimpanan, atau tumpukan jaringan (kecuali melalui saklar virtual). Jika sebuah situs web mengeksploitasi browser, penyerang hanya mendapatkan akses ke container – host tetap tidak tersentuh sama sekali.

Configuration & Policies

Aktifkan melalui Kebijakan Grup atau Intune: `Template Administratif → Komponen Windows → Penjaga Aplikasi Windows Defender → Aktifkan Windows Defender Application Guard`. Kebijakan mengontrol akses clipboard (salin/tempel diperbolehkan?), pengalihan pengunduhan file (simpan ke host?), dan pencetakan dari wadah. Anda juga dapat menentukan kepercayaan sumber daya perusahaan (misalnya, situs SharePoint internal yang dibuka di Edge normal).

Performance & User Experience

Peluncuran pertama memerlukan waktu 5–10 detik untuk membuat penampung; peluncuran berikutnya lebih cepat karena caching. Begitu masuk, penjelajahan hampir seperti aslinya. Penampung tidak menyimpan data apa pun – cookie, unduhan, dan riwayat penelusuran akan dibuang saat penampung ditutup. Pengguna melihat UI khusus yang menunjukkan bahwa mereka berada dalam mode 'Penjaga Aplikasi'.

Integration with Defender for Endpoint

Jika sampel malware terdeteksi di dalam penampung, Defender for Endpoint dapat secara otomatis mengumpulkan muatannya dan mengirimkannya untuk dianalisis. Kontainer juga dapat diatur ulang secara otomatis ke kondisi yang dikenal baik jika terdeteksi perilaku mencurigakan.

DirectAccess & BranchCache

Akses jarak jauh yang mulus dan optimalisasi WAN untuk organisasi terdistribusi

DirectAccess – Always On VPN

DirectAccess menyediakan terowongan IPsec otomatis, transparan, dan selalu aktif ke jaringan perusahaan segera setelah perangkat memiliki akses internet. Tanpa input pengguna (tanpa klik untuk menyambung) – ini menggunakan sertifikat mesin untuk autentikasi. Pengguna mengakses sumber daya internal (berbagi file, situs intranet) seolah-olah mereka berada di lokasi, bahkan di balik NAT dan firewall. DirectAccess juga mendukung penerapan multi-situs dan terintegrasi dengan Network Access Protection (NAP) (lama).

DirectAccess vs Traditional VPN

VPN tradisional mengharuskan pengguna untuk terhubung secara manual, dapat memutuskan sambungan setelah menganggur, dan tidak berfungsi sebelum pengguna masuk. DirectAccess terhubung secara otomatis sebelum login, tetap terhubung tanpa batas waktu, dan mendukung force tunneling (semua lalu lintas internet dirutekan melalui jaringan perusahaan) atau split tunneling. Ini ideal untuk manajemen laptop jarak jauh dan akses konstan ke sumber daya internal.

BranchCache – Reduce WAN Traffic

BranchCache menyimpan konten dalam cache dari server file jarak jauh (berbagi SMB) dan server HTTP (web) pada PC klien lokal atau server cache yang dihosting di lokasi. Dalam Mode Cache Terdistribusi, setiap klien menyimpan konten dalam cache dan membagikannya dengan klien sejenis melalui penemuan LAN lokal (WS-Discovery). Dalam Mode Cache yang Dihosting, Server Windows khusus bertindak sebagai cache pusat. Permintaan selanjutnya untuk file yang sama dilayani dari cache lokal, sehingga secara drastis mengurangi latensi dan pemanfaatan WAN.

BranchCache Security

Data dienkripsi dan diperiksa integritasnya menggunakan SHA‑256. Klien hanya menerima bagian dari file yang mereka minta, dan cache disegmentasi untuk mencegah rekonstruksi yang tidak sah. BranchCache bekerja melalui protokol HTTP dan SMB, terintegrasi secara mulus dengan Windows File Server.

Windows Defender Application Control (WDAC) & AppLocker

Memasukkan aplikasi tanpa kepercayaan – hanya perangkat lunak yang disetujui yang berjalan

WDAC – Hypervisor‑Protected Code Integrity

WDAC (sebelumnya Device Guard) memungkinkan administrator untuk menentukan dengan tepat file, driver, skrip, dan MSI mana yang dapat dipercaya. Aturan didasarkan pada jalur file, penerbit (sertifikat digital), atau hash file. Kebijakan ini diterapkan oleh hypervisor (HVCI) dan tidak dapat dilewati oleh malware mode kernel. WDAC tidak hanya dapat memblokir malware yang dikenal tetapi juga binari 'living off the land' (misalnya, PowerShell, wmic) yang digunakan penyerang.

WDAC vs AppLocker

AppLocker adalah solusi kebijakan mode pengguna yang tersedia di Perusahaan (dan Pro) – lebih mudah dikelola tetapi dapat dilewati oleh driver kernel. WDAC adalah solusi mode kernel yang dilindungi hypervisor – jauh lebih kuat tetapi memerlukan perencanaan dan pengujian yang cermat. Banyak organisasi menggunakan keduanya: WDAC untuk perlindungan sistem penting, AppLocker untuk pembatasan aplikasi pengguna.

Creating WDAC Policies

Gunakan modul PowerShell `ConfigCI` pada PC referensi. `New-CIPolicy` memindai sistem dan menghasilkan daftar yang diizinkan dari semua aplikasi dan driver yang diinstal saat ini. `ConvertFrom-CIPolicy` dikonversi ke format biner. Terapkan melalui Kebijakan Grup atau MDM. Anda dapat menjalankan Mode Audit pada awalnya untuk mencatat apa yang akan diblokir tanpa benar-benar memblokirnya.

AppLocker Rulesets for Enterprises

AppLocker mendukung lima kumpulan aturan: Executable (.exe, .com), Penginstal Windows (.msi, .msp), Skrip (.ps1, .bat, .vbs, .js), DLL, dan Aplikasi terpaket (aplikasi Store). Kebijakan dapat diterapkan per grup pengguna. Misalnya: izinkan semua pengguna menjalankan program dari `C:\Program Files` dan `C:\Program Files (x86)`, namun menolak menjalankan program dari `%USERPROFILE%\Downloads` atau `%TEMP%`.

Microsoft Defender for Endpoint (formerly ATP)

EDR perusahaan dengan investigasi dan respons otomatis

Next‑Generation Protection

Sensor perilaku, cloud AI, dan model pembelajaran mesin menganalisis perilaku proses, koneksi jaringan, dan perubahan registri. Aturan pengurangan permukaan serangan (misalnya, memblokir Office agar tidak membuat proses turunan, memblokir konten yang dapat dieksekusi dari klien email) mencegah vektor infeksi umum.

Endpoint Detection & Response (EDR)

Visibilitas mendalam ke titik akhir: peringatan tentang perilaku mencurigakan, investigasi di seluruh mesin, dan tampilan garis waktu dari pohon proses. Pusat operasi keamanan (SOC) dapat menanyakan telemetri mentah hingga 6 bulan (tergantung lisensi).

Automated Investigation & Remediation

Ketika peringatan dipicu, Defender for Endpoint dapat secara otomatis menyelidiki insiden tersebut: menentukan akar permasalahan, mengisolasi mesin yang terpengaruh dari jaringan (menggunakan integrasi Microsoft Intune), dan menghapus artefak berbahaya (file, kunci registri, tugas terjadwal).

Threat & Vulnerability Management (TVM)

TVM terus-menerus menemukan pembaruan keamanan yang hilang, kesalahan konfigurasi (misalnya aturan firewall yang lemah), dan versi perangkat lunak yang rentan. Hal ini memberikan prioritas berbasis risiko – rekomendasi 'Patch first' berdasarkan kemungkinan eksploitasi dan eksposur aset.

Long‑Term Servicing Channel (LTSC)

Pembaruan keamanan selama 10 tahun tanpa perubahan fitur – untuk perangkat dengan tujuan tetap

What is LTSC?

Saluran Layanan Jangka Panjang (sebelumnya LTSB) adalah edisi khusus Windows 10 Enterprise yang tidak menerima pembaruan fitur. Ini hanya mencakup pembaruan keamanan dan kualitas hingga 10 tahun (5 tahun arus utama + 5 tahun perpanjangan). Ideal untuk perangkat yang fungsinya tidak boleh berubah: ATM, peralatan medis (MRI, pemindai CT), sistem kontrol industri (SCADA), kios, dan sistem tertanam.

What’s Missing in LTSC

LTSC dikirimkan tanpa Microsoft Edge (hanya versi lama, bukan Chromium), Windows Store, Cortana, aplikasi Inbox (Mail, Kalender, Kalkulator), OneDrive, dan fitur modern seperti Timeline dan Set. Ini juga tidak mendukung pembaruan fitur semi-tahunan Windows 10 (misalnya, 21H2, 22H2). Hal ini membuat LTSC tidak kompatibel dengan perangkat keras baru (driver mungkin memerlukan versi Windows yang lebih baru).

Licensing & Availability

LTSC hanya tersedia bagi pelanggan dengan Jaminan Perangkat Lunak aktif (lisensi volume) atau melalui Microsoft 365 E3/E5 (tidak ada LTSC di sana – Anda memerlukan SA). Setiap rilis LTSC baru didukung selama 10 tahun sejak tanggal rilisnya (misalnya, Windows 10 Enterprise LTSC 2019 didukung hingga tahun 2029, LTSC 2021 hingga 2031). Anda tidak dapat melakukan upgrade dari satu rilis LTSC ke rilis lainnya tanpa instalasi bersih.

LTSC vs Semi‑Annual Channel (SAC)

Sebagian besar perangkat Perusahaan harus menggunakan Saluran Semi‑Tahunan (SAC) – dapatkan fitur baru dua kali per tahun. LTSC adalah alat khusus untuk infrastruktur penting yang tidak dapat mentolerir perubahan UI atau reboot untuk pembaruan fitur. Microsoft menyarankan agar tidak menggunakan LTSC untuk desktop tujuan umum, Office, atau mesin pengembangan.

Pros

✓Keamanan tak tertandingi – Credential Guard, Application Guard, WDAC, dan Defender for Endpoint memberikan pertahanan mendalam
✓DirectAccess menghilangkan VPN yang berhubungan dengan pengguna – manajemen akses jarak jauh yang mulus
✓BranchCache secara dramatis meningkatkan pengalaman kantor cabang untuk server file dan aplikasi web
✓Manajemen perangkat penuh – Intune, ConfigMgr, Kebijakan Grup, dan manajemen bersama
✓Pembaruan Windows untuk Bisnis dengan penangguhan 1 tahun – rencanakan pembaruan sesuai jadwal Anda
✓Saluran Pelayanan Jangka Panjang (LTSC) untuk lingkungan yang bersifat regulasi atau kritis terhadap stabilitas
✓AppLocker + WDAC – menerapkan kebijakan aplikasi zero-trust dari kernel ke mode pengguna
✓Microsoft Defender for Endpoint menyediakan EDR perusahaan tanpa agen pihak ketiga
✓Analisis Desktop mengurangi risiko peningkatan versi dengan data kompatibilitas dunia nyata
✓Remote Credential Guard melindungi kredensial selama sesi RDP
✓Cetak Universal mengurangi kompleksitas server pencetakan
✓Mendukung Windows 10 dalam mode S – dikunci hanya untuk aplikasi Microsoft Store, untuk lingkungan yang sangat terbatas

Cons

✗Tidak tersedia untuk ritel – memerlukan perjanjian lisensi volume (Microsoft 365 E3/E5 atau Software Assurance)
✗Biaya lebih tinggi dibandingkan Pro – biaya berlangganan per pengguna/per perangkat (biasanya $7–$14 per pengguna/bulan sebagai bagian dari Microsoft 365)
✗Kompleksitas – banyak fitur (WDAC, Credential Guard, Application Guard) memerlukan perencanaan dan pengujian yang cermat
✗Persyaratan perangkat keras – Fitur VBS memerlukan TPM 2.0, UEFI, dan CPU terbaru; perangkat lama mungkin tidak mendukungnya
✗Masalah kompatibilitas aplikasi – WDAC dapat memblokir perangkat lunak yang sah; Credential Guard merusak beberapa modul autentikasi pihak ketiga
✗Performa overhead – VBS (Credential Guard, HVCI) dapat mengurangi performa sebesar 2‑8%, yang terlihat pada beban kerja I/O tinggi atau gaming
✗DirectAccess memerlukan infrastruktur Windows Server (teknologi transisi server DirectAccess, PKI, DNS, dan IPv6)
✗BranchCache memerlukan server file Windows Server dan ukuran cache yang cermat
✗Dukungan berakhir pada 14 Oktober 2025 – sama seperti semua edisi Windows 10 (meskipun LTSC beralih ke 2031 untuk rilis tertentu)
✗Tidak ada fitur konsumen – Cortana, Windows Store (dapat dinonaktifkan), pengalaman cloud konsumen dinonaktifkan berdasarkan kebijakan (dapat membingungkan pengguna dalam mengharapkannya)
✗LTSC tidak memiliki browser dan toko aplikasi modern – tidak dapat menginstal aplikasi Microsoft Teams, Edge baru, atau Store tanpa solusi

Use Cases

Perusahaan besar dengan 5000+ perangkat – manajemen terpusat melalui Intune dan ConfigMgr, Defender for Endpoint for SOC, WDAC untuk memblokir perangkat lunak yang tidak sahLayanan keuangan / perbankan – Penjaga Kredensial dan Keamanan Berbasis Virtualisasi untuk memenuhi persyaratan peraturan (PCI‑DSS, SOX, GDPR)Layanan Kesehatan – melindungi data pasien dengan BitLocker dan Defender; LTSC untuk alat kesehatan (MRI, ventilator) yang tidak dapat mengalami perubahan fiturPemerintah & pertahanan – WDAC dan Application Guard untuk melindungi jaringan rahasia; DirectAccess untuk akses jarak jauh yang amanRetail / perhotelan – mode kios dengan Akses yang Ditugaskan dan Cetak Universal; BranchCache untuk cache server file tingkat tokoManufaktur / industri – LTSC pada PC lantai pabrik yang menjalankan sistem SCADA; tidak ada reboot yang tidak direncanakan atau perubahan UITenaga kerja jarak jauh / roaming – DirectAccess menyediakan akses tanpa batas ke sumber daya internal dari kedai kopi dan hotel tanpa interaksi penggunaRumah pengembangan perangkat lunak – Windows Sandbox dan Hyper‑V untuk pengujian; WDAC dalam mode audit untuk membuat daftar izin aplikasiIT Pendidikan untuk staf/admin – bukan untuk laboratorium mahasiswa, namun untuk perangkat fakultas dan administrasi yang memerlukan keamanan perusahaan penuh

Hidden & Useful Shortcuts

Master Windows 10 with these time‑saving keyboard shortcuts

Win

Open Start Menu (Cortana disabled by default on Enterprise)

WinA

Open Action Centre

WinD

Show desktop

WinE

Open File Explorer

WinI

Open Settings

WinL

Lock workstation – secure against physical access

WinR

Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)

WinX

Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer

WinS

Open Search (Cortana disabled but search works)

WinTab

Task View – virtual desktops (useful for separating classified and unclassified work)

WinCtrlD

New virtual desktop

WinCtrlF4

Close current virtual desktop

WinCtrlLeft/Right

Switch between virtual desktops

WinG

Open Game Bar (if not removed by policy)

WinShiftS

Open Snip & Sketch for custom screenshots

WinV

Open clipboard history (if enabled by policy)

Win.

Emoji panel

CtrlShiftEsc

Open Task Manager – can view VBS status (Performance → Virtualisation)

WinPause/Break

Open System Properties (shows 'Windows 10 Enterprise')

WinK

Open Connect (wireless displays) – may be disabled via policy

WinH

Open dictation (if not disabled)

WinR, then `tpm.msc`

Check TPM status (required for Credential Guard)

WinR, then `msinfo32`

System Information – see 'Virtualisation‑Based Security' status

WinR, then `control userpasswords2`

Advanced user account management

WinR, then `compmgmt.msc`

Computer Management – Local Users, Disk Management, Services

WinR, then `wf.msc`

Windows Firewall with Advanced Security

Technical Specifications

Architecture	64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit
Processor	1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation)
RAM	4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB)
Storage	64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI
Graphics	DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU)
Display	Minimum 800x600; recommended 1920x1080 or higher
TPM	TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only
Virtualisation	Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V
Secure Boot	Required for VBS features; strongly recommended for all Enterprise deployments
Memory for VBS	At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers)
Internet	Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features
DirectAccess Infrastructure	Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later