Windows 10 Enterprise
The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments
Overview
How It Works
1. UEFI, Secure Boot & BitLocker
Il firmware UEFI con Secure Boot verifica la firma del bootloader. Se BitLocker è abilitato, TPM rilascia la chiave di decrittografia solo dopo che l'avvio misurato ha verificato l'assenza di manomissioni. Sui dispositivi con protezione DMA (protezione Kernel DMA), le porte Thunderbolt vengono bloccate fino al caricamento del sistema operativo.
2. Virtualisation‑Based Security (VBS) Initialisation
L'hypervisor (Microsoft Hyper‑V) si carica in anticipo, creando contenitori di virtualizzazione isolati. Credential Guard esegue LSA all'interno di una VM sicura. Windows Defender Application Guard (WDAG) prepara il proprio contenitore leggero. Il sistema operativo principale viene eseguito come partizione root con privilegi ridotti.
3. Kernel & Device Guard / WDAC
Il kernel viene caricato con Hypervisor‑Protected Code Integrity (HVCI). Ogni driver e modulo del kernel viene verificato rispetto a una policy (WDAC) prima dell'esecuzione. Possono essere eseguiti solo i file binari firmati da editori autorizzati (Microsoft, la tua organizzazione), bloccando di fatto rootkit e driver non firmati.
4. DirectAccess & VPN Client
Non appena la connettività di rete è disponibile, il client DirectAccess tenta di stabilire un tunnel IPsec verso la rete aziendale utilizzando i certificati della macchina. Ciò avviene prima dell'accesso dell'utente, consentendo la gestione remota dei dispositivi (distribuzione di patch, aggiornamenti delle policy) anche quando nessun utente ha effettuato l'accesso.
5. User Logon with Windows Hello for Business
Nella schermata di accesso, Windows Hello for Business (biometrico o PIN) autentica l'utente in Azure AD o Active Directory locale. Remote Credential Guard consente all'utente di accedere alle risorse remote senza inviare le proprie credenziali al computer di destinazione.
6. Group Policy / MDM Refresh & BranchCache
I servizi in background aggiornano gli oggetti Criteri di gruppo (GPO) dai controller di dominio o dai criteri MDM di Intune. BranchCache in "modalità cache distribuita" controlla la peer cache locale per i file scaricati in precedenza, evitando trasferimenti WAN ridondanti.
7. Windows Defender Application Guard (Optional)
Se un amministratore avvia Edge in modalità Application Guard (o tramite policy), un nuovo contenitore Hyper‑V viene avviato con un'immagine Windows minima. Il browser viene eseguito all'interno di questa sandbox, con appunti e reindirizzamento dei file controllati dalla policy. La chiusura del contenitore elimina tutte le modifiche.
8. Microsoft Defender for Endpoint Sensors
Il sensore Defender for Endpoint (`MsSense.exe`) monitora la creazione di processi, le connessioni di rete, le scritture di file e le modifiche al registro. I segnali comportamentali vengono inviati al cloud per l'analisi dei rischi in tempo reale. Se viene rilevata una minaccia, è possibile attivare azioni di risposta automatizzate (isolamento, quarantena dei file).
9. Windows Update for Business & Desktop Analytics
Windows Update for Business utilizza criteri di differimento (fino a 365 giorni per gli aggiornamenti delle funzionalità) e cicli di aggiornamento. Desktop Analytics si integra con Configuration Manager per fornire approfondimenti sulla preparazione dell'aggiornamento, identificando i problemi di compatibilità delle applicazioni prima della distribuzione.
Key Features
Credential Guard
La sicurezza basata sulla virtualizzazione isola LSASS e previene gli attacchi pass-the-hash e pass-the-ticket. Richiede TPM 2.0 e blocco UEFI.
Application Guard for Edge
Contenitore isolato dall'hardware per la navigazione Web: i siti Web dannosi non possono compromettere il sistema operativo host. Supporta il controllo degli appunti e le politiche di reindirizzamento dei file.
DirectAccess
VPN trasparente e sempre attiva tramite IPsec. Si connette prima dell'accesso dell'utente, supporta più siti e si integra con l'autenticazione del certificato.
BranchCache
Caching distribuito o ospitato di contenuti SMB/HTTP: riduce la larghezza di banda e la latenza WAN per gli utenti delle filiali.
Windows Defender Application Control (WDAC)
Integrità del codice protetta dall'hypervisor: consente solo file eseguibili, driver e script attendibili. Blocca ransomware e malware senza file a livello di kernel.
AppLocker
Whitelist delle applicazioni in modalità utente con raccolte di regole per EXE, MSI, script e app dello Store. Modalità di controllo per i test.
Microsoft Defender for Endpoint
EDR aziendale completo: sensori comportamentali, intelligenza artificiale nel cloud, indagini automatizzate, gestione di minacce e vulnerabilità e azioni di risposta (isolamento, quarantena).
BitLocker
Crittografia dell'intero disco con TPM e PIN. Enterprise aggiunge BitLocker Network Unlock (avvio da un'unità crittografata quando connesso alla rete aziendale) e l'integrazione di Microsoft BitLocker Administration and Monitoring (MBAM).
Windows Hello for Business
Autenticazione a due fattori tramite biometria + TPM. Sostituisce le password con l'autenticazione basata su chiave o certificato. Supporta Azure AD e AD locale.
Desktop Analytics
Integrazione con Configuration Manager per valutare la compatibilità dell'applicazione con gli aggiornamenti delle funzionalità di Windows. Fornisce consigli pilota e approfondimenti sul rollback.
Windows Update for Business (Advanced)
Rinviare gli aggiornamenti delle funzionalità fino a 365 giorni, gli aggiornamenti qualitativi fino a 30 giorni. Crea gruppi di dispositivi (pilota, ampio, critico) con anelli di aggiornamento. Si integra con l'ottimizzazione della consegna (peer‑to‑peer).
Universal Print
Soluzione di stampa basata su cloud: non sono necessari server di stampa. L'edizione Enterprise include la gestione dei connettori Universal Print e la quota dei lavori di stampa per utente.
Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management
Gestisci senza problemi i dispositivi sia con MDM cloud (Intune) che con SCCM locale. Abilita l'accesso condizionato, i criteri di conformità e le azioni remote (cancellazione, ritiro, sincronizzazione).
Long‑Term Servicing Channel (LTSC)
10 anni di aggiornamenti di sicurezza senza modifiche alle funzionalità – per dispositivi a scopo fisso (bancomat, dispositivi medici, industriali). Solo con Software Assurance.
Credential Guard & Virtualisation‑Based Security
Isola i segreti dal sistema operativo: anche il malware del kernel non può rubare gli hash
How Credential Guard Works
Credential Guard utilizza la Virtualization‑Based Security (VBS) per eseguire il Local Security Authority Subsystem Service (LSASS) all'interno di una macchina virtuale isolata dall'hardware. I processi Windows all'esterno di questa VM sicura non possono accedere alle credenziali con hash, ai ticket Kerberos o agli hash NTLM archiviati all'interno. Gli attacchi Pass‑the‑hash e Pass‑the‑ticket diventano impossibili perché i segreti non lasciano mai l'ambiente isolato.
Requirements & Enablement
Richiede una CPU a 64 bit con Intel VT‑x (con tabelle di pagine estese) o AMD‑V (con indicizzazione rapida della virtualizzazione), blocco UEFI e TPM 2.0. Abilita tramite Criteri di gruppo: "Configurazione computer → Modelli amministrativi → Sistema → Protezione dispositivo → Attiva sicurezza basata sulla virtualizzazione". Imposta su "Abilitato con Credential Guard".
Key Protection & Remote Credential Guard
Credential Guard protegge anche Key Trust (chiavi legate a TPM) e Certificate Trust (certificati smartcard). Remote Credential Guard estende questa funzionalità alle sessioni RDP: quando un utente si connette a un PC remoto, le sue credenziali non lasciano mai il computer client. Il PC di destinazione riceve un ticket di servizio Kerberos, non l'hash della password dell'utente.
Performance Impact
VBS impone un piccolo sovraccarico (2‑5% della CPU) per il passaggio di contesto tra la VM protetta e il sistema operativo normale. Sui moderni hardware di classe server, questo è trascurabile per la maggior parte dei carichi di lavoro. Alcuni driver e applicazioni legacy (in particolare i software di gioco anti-cheat) sono incompatibili e impediscono l'attivazione di VBS.
Windows Defender Application Guard (WDAG)
Navigazione isolata dall'hardware: il modo più sicuro per navigare su siti Web non attendibili
Hyper‑V Container per Browser Session
WDAG lancia Microsoft Edge all'interno di un contenitore Hyper‑V leggero. Questo contenitore utilizza una copia del sistema operativo host ma viene eseguito in una macchina virtuale separata senza accesso alla memoria, allo spazio di archiviazione o allo stack di rete dell'host (tranne tramite uno switch virtuale). Se un sito web sfrutta il browser, l’aggressore ottiene solo l’accesso al contenitore, mentre l’host rimane completamente intatto.
Configuration & Policies
Abilita tramite Criteri di gruppo o Intune: "Modelli amministrativi → Componenti di Windows → Windows Defender Application Guard → Attiva Windows Defender Application Guard". Le policy controllano l'accesso agli appunti (è consentito copiare/incollare?), il reindirizzamento del download dei file (salvare sull'host?) e la stampa dal contenitore. È inoltre possibile definire l'attendibilità delle risorse aziendali (ad esempio, i siti interni di SharePoint aperti in Edge normale).
Performance & User Experience
Il primo avvio richiede 5-10 secondi per creare il contenitore; i lanci successivi sono più veloci grazie alla memorizzazione nella cache. Una volta dentro, la navigazione è quasi nativa. Il contenitore non conserva alcun dato: cookie, download e cronologia di navigazione vengono eliminati alla chiusura del contenitore. Gli utenti visualizzano un'interfaccia utente speciale che indica che sono in modalità "Application Guard".
Integration with Defender for Endpoint
Se viene rilevato un campione di malware all'interno del contenitore, Defender for Endpoint può raccogliere automaticamente il payload e inviarlo per l'analisi. Il contenitore può anche essere ripristinato automaticamente a uno stato sicuramente valido se viene rilevato un comportamento sospetto.
DirectAccess & BranchCache
Accesso remoto senza soluzione di continuità e ottimizzazione WAN per organizzazioni distribuite
DirectAccess – Always On VPN
DirectAccess fornisce un tunnel IPsec automatico, trasparente e sempre attivo alla rete aziendale non appena il dispositivo ha accesso a Internet. Nessun input da parte dell'utente (nessun clic per connettersi): utilizza i certificati della macchina per l'autenticazione. Gli utenti accedono alle risorse interne (condivisioni di file, siti Intranet) come se fossero in sede, anche dietro NAT e firewall. DirectAccess supporta inoltre la distribuzione multisito e si integra con la Protezione dell'accesso alla rete (NAP) (legacy).
DirectAccess vs Traditional VPN
La VPN tradizionale richiede che l'utente si connetta manualmente, possa disconnettersi dopo l'inattività e non funziona prima dell'accesso dell'utente. DirectAccess si connette automaticamente prima dell'accesso, rimane connesso a tempo indeterminato e supporta il force tunneling (tutto il traffico Internet instradato attraverso la rete aziendale) o lo split tunneling. È ideale per la gestione remota dei laptop e l'accesso costante alle risorse interne.
BranchCache – Reduce WAN Traffic
BranchCache memorizza nella cache il contenuto da file server remoti (condivisioni SMB) e server HTTP (web) su PC client locali o da un server cache ospitata in loco. Nella Modalità cache distribuita, ogni client memorizza nella cache il contenuto e lo condivide con i client peer tramite rilevamento della LAN locale (WS-Discovery). Nella modalità cache ospitata, un server Windows dedicato funge da cache centrale. Le richieste successive per lo stesso file vengono servite dalla cache locale, riducendo drasticamente la latenza e l'utilizzo della WAN.
BranchCache Security
I dati vengono crittografati e verificata l'integrità utilizzando SHA‑256. I client ricevono solo le parti del file richieste e la cache viene segmentata per impedire la ricostruzione non autorizzata. BranchCache funziona su protocolli HTTP e SMB, perfettamente integrato con Windows File Server.
Windows Defender Application Control (WDAC) & AppLocker
Whitelist delle applicazioni Zero Trust: viene eseguito solo il software approvato
WDAC – Hypervisor‑Protected Code Integrity
WDAC (in precedenza Device Guard) consente agli amministratori di specificare esattamente quali file eseguibili, driver, script e MSI sono attendibili. Le regole si basano sul percorso del file, sull'editore (certificato digitale) o sull'hash del file. La policy viene applicata dall'hypervisor (HVCI) e non può essere aggirata dal malware in modalità kernel. WDAC può bloccare non solo il malware conosciuto ma anche i file binari "che vivono dei frutti della terra" (ad esempio PowerShell, wmic) utilizzati dagli aggressori.
WDAC vs AppLocker
AppLocker è una soluzione di criteri in modalità utente disponibile in Enterprise (e Pro): più semplice da gestire ma può essere aggirata dai driver del kernel. WDAC è una soluzione in modalità kernel protetta da hypervisor: molto più potente ma richiede un'attenta pianificazione e test. Molte organizzazioni li utilizzano entrambi: WDAC per la protezione dei sistemi critici, AppLocker per le restrizioni delle app utente.
Creating WDAC Policies
Utilizza il modulo PowerShell "ConfigCI" su un PC di riferimento. "New-CIPolicy" esegue la scansione del sistema e genera una lista consentita di tutte le applicazioni e i driver attualmente installati. "ConvertFrom-CIPolicy" converte in formato binario. Distribuisci tramite Criteri di gruppo o MDM. Puoi eseguire inizialmente in Modalità di controllo per registrare ciò che verrebbe bloccato senza bloccarlo effettivamente.
AppLocker Rulesets for Enterprises
AppLocker supporta cinque raccolte di regole: file eseguibili (.exe, .com), programmi di installazione di Windows (.msi, .msp), script (.ps1, .bat, .vbs, .js), DLL e app in pacchetto (app dello Store). È possibile applicare criteri per gruppo di utenti. Ad esempio: consenti a tutti gli utenti di eseguire programmi da `C:\Program Files` e `C:\Program Files (x86)`, ma nega l'esecuzione da `%USERPROFILE%\Downloads` o `%TEMP%`.
Microsoft Defender for Endpoint (formerly ATP)
EDR aziendale con indagini e risposte automatizzate
Next‑Generation Protection
Sensori comportamentali, intelligenza artificiale nel cloud e modelli di machine learning analizzano i comportamenti dei processi, le connessioni di rete e le modifiche del registro. Le regole di riduzione della superficie di attacco (ad esempio, impedire a Office di creare processi secondari, bloccare il contenuto eseguibile dal client di posta elettronica) prevengono i comuni vettori di infezione.
Endpoint Detection & Response (EDR)
Visibilità approfondita sugli endpoint: avvisi su comportamenti sospetti, indagini su più macchine e visualizzazioni della sequenza temporale degli alberi dei processi. I centri operativi di sicurezza (SOC) possono interrogare la telemetria grezza per un massimo di 6 mesi (a seconda della licenza).
Automated Investigation & Remediation
Quando viene attivato un avviso, Defender for Endpoint può indagare automaticamente sull'incidente: determinare la causa principale, isolare le macchine interessate dalla rete (utilizzando l'integrazione di Microsoft Intune) e rimuovere elementi dannosi (file, chiavi di registro, attività pianificate).
Threat & Vulnerability Management (TVM)
TVM scopre continuamente aggiornamenti di sicurezza mancanti, configurazioni errate (ad esempio, regole firewall deboli) e versioni di software vulnerabili. Fornisce una definizione delle priorità basata sul rischio: raccomandazioni "Patch first" basate sulla probabilità di sfruttamento e sull'esposizione delle risorse.
Long‑Term Servicing Channel (LTSC)
10 anni di aggiornamenti di sicurezza senza modifiche alle funzionalità – per dispositivi a scopo fisso
What is LTSC?
Il canale di manutenzione a lungo termine (in precedenza LTSB) è un'edizione speciale di Windows 10 Enterprise che non riceve aggiornamenti delle funzionalità. Include solo aggiornamenti di sicurezza e qualità per un massimo di 10 anni (5 anni mainstream + 5 anni estesi). Ideale per dispositivi che non devono mai cambiare funzionalità: bancomat, apparecchiature mediche (MRI, scanner CT), sistemi di controllo industriale (SCADA), chioschi e sistemi integrati.
What’s Missing in LTSC
LTSC viene fornito senza Microsoft Edge (solo versione legacy, non Chromium), Windows Store, Cortana, app Inbox (posta, calendario, calcolatrice), OneDrive e funzionalità moderne come Timeline e Sets. Inoltre, non supporta gli aggiornamenti semestrali delle funzionalità di Windows 10 (ad esempio, 21H2, 22H2). Ciò rende LTSC incompatibile con il nuovo hardware (i driver potrebbero richiedere build di Windows più recenti).
Licensing & Availability
LTSC è solo disponibile per i clienti con Software Assurance attiva (contratti multilicenza) o tramite Microsoft 365 E3/E5 (non LTSC lì – è necessario SA). Ogni nuova versione LTSC è supportata per 10 anni dalla data di rilascio (ad esempio, Windows 10 Enterprise LTSC 2019 è supportato fino al 2029, LTSC 2021 fino al 2031). Non è possibile eseguire l'aggiornamento da una versione LTSC a un'altra senza un'installazione pulita.
LTSC vs Semi‑Annual Channel (SAC)
La maggior parte dei dispositivi aziendali dovrebbe utilizzare il Canale semestrale (SAC): ottieni nuove funzionalità due volte all'anno. LTSC è uno strumento specializzato per infrastrutture critiche che non possono tollerare modifiche dell'interfaccia utente o riavviarsi per aggiornamenti delle funzionalità. Microsoft sconsiglia l'utilizzo di LTSC per desktop generici, Office o macchine di sviluppo.
Pros
- ✓Sicurezza senza pari: Credential Guard, Application Guard, WDAC e Defender for Endpoint forniscono una difesa approfondita
- ✓DirectAccess elimina la VPN rivolta all'utente: gestione semplificata dell'accesso remoto
- ✓BranchCache migliora notevolmente l'esperienza delle filiali per file server e app Web
- ✓Gestione completa dei dispositivi: Intune, ConfigMgr, Criteri di gruppo e cogestione
- ✓Windows Update for Business con differimento di 1 anno: pianifica gli aggiornamenti in base alla tua pianificazione
- ✓Long‑Term Servicing Channel (LTSC) per ambienti normativi o critici per la stabilità
- ✓AppLocker + WDAC: applica policy zero-trust per le applicazioni dal kernel alla modalità utente
- ✓Microsoft Defender for Endpoint fornisce EDR aziendale senza agenti di terze parti
- ✓Analisi desktop riduce il rischio di aggiornamento con dati di compatibilità reali
- ✓Remote Credential Guard protegge le credenziali durante le sessioni RDP
- ✓Universal Print riduce la complessità del server di stampa
- ✓Supporta Windows 10 in modalità S: limitato solo alle app di Microsoft Store, per ambienti ultra limitati
Cons
- ✗Non disponibile per la vendita al dettaglio: richiede un contratto multilicenza (Microsoft 365 E3/E5 o Software Assurance)
- ✗Costo più elevato rispetto a Pro: tariffe di abbonamento per utente/per dispositivo (in genere $ 7-$ 14 per utente/mese come parte di Microsoft 365)
- ✗Complessità: molte funzionalità (WDAC, Credential Guard, Application Guard) richiedono un'attenta pianificazione e test
- ✗Requisiti hardware: le funzionalità VBS richiedono TPM 2.0, UEFI e CPU recenti; i dispositivi più vecchi potrebbero non supportarli
- ✗Problemi di compatibilità delle applicazioni – WDAC può bloccare software legittimo; Credential Guard danneggia alcuni moduli di autenticazione di terze parti
- ✗Carico di prestazioni – VBS (Credential Guard, HVCI) può ridurre le prestazioni del 2‑8%, evidente in carichi di lavoro con I/O elevato o di gioco
- ✗DirectAccess richiede l'infrastruttura Windows Server (server DirectAccess, PKI, DNS e tecnologie di transizione IPv6)
- ✗BranchCache richiede file server Windows Server e un attento dimensionamento della cache
- ✗Il supporto termina il 14 ottobre 2025 – come tutte le edizioni di Windows 10 (anche se LTSC arriva al 2031 per versioni specifiche)
- ✗Nessuna funzionalità consumer – Cortana, Windows Store (può essere disabilitato), le esperienze cloud consumer sono disattivate dai criteri (potrebbero confondere gli utenti che le aspettano)
- ✗LTSC non dispone di browser e app store moderni: non è possibile installare le app Microsoft Teams, New Edge o Store senza soluzioni alternative
Use Cases
Hidden & Useful Shortcuts
Master Windows 10 with these time‑saving keyboard shortcuts
Open Start Menu (Cortana disabled by default on Enterprise)
Open Action Centre
Show desktop
Open File Explorer
Open Settings
Lock workstation – secure against physical access
Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)
Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer
Open Search (Cortana disabled but search works)
Task View – virtual desktops (useful for separating classified and unclassified work)
New virtual desktop
Close current virtual desktop
Switch between virtual desktops
Open Game Bar (if not removed by policy)
Open Snip & Sketch for custom screenshots
Open clipboard history (if enabled by policy)
Emoji panel
Open Task Manager – can view VBS status (Performance → Virtualisation)
Open System Properties (shows 'Windows 10 Enterprise')
Open Connect (wireless displays) – may be disabled via policy
Open dictation (if not disabled)
Check TPM status (required for Credential Guard)
System Information – see 'Virtualisation‑Based Security' status
Advanced user account management
Computer Management – Local Users, Disk Management, Services
Windows Firewall with Advanced Security
Technical Specifications
| Architecture | 64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit |
| Processor | 1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation) |
| RAM | 4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB) |
| Storage | 64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI |
| Graphics | DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU) |
| Display | Minimum 800x600; recommended 1920x1080 or higher |
| TPM | TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only |
| Virtualisation | Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V |
| Secure Boot | Required for VBS features; strongly recommended for all Enterprise deployments |
| Memory for VBS | At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers) |
| Internet | Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features |
| DirectAccess Infrastructure | Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later |
Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education
| Feature | enterprise | pro | education |
|---|---|---|---|
| Availability | Volume licensing (M365 E3/E5, SA) | Retail / OEM | Academic VL / Azure for Education (free) |
| Credential Guard | Yes | No | Yes (same as Enterprise) |
| Application Guard for Edge | Yes | No (consumer version only) | Yes |
| DirectAccess | Yes | No | Yes |
| BranchCache | Yes | No | Yes |
| WDAC (Hypervisor Code Integrity) | Yes (fully configurable) | Yes (but limited policies) | Yes (full) |
| AppLocker | Yes (full) | Yes (via GPO) | Yes |
| Microsoft Defender for Endpoint (ATP) | Yes (requires separate licence) | No | Yes (through M365 A5) |
| Long‑Term Servicing Channel (LTSC) | Yes (with SA) | No | No (only via VL, not free) |
| Desktop Analytics | Yes (with ConfigMgr) | No | Yes (with ConfigMgr) |
| Universal Print | Yes (full management) | Basic (client only) | Yes (with A3/A5) |
| Remote Desktop Host | Yes | Yes | Yes |
| Hyper‑V | Yes | Yes | Yes |
| Group Policy / MDM | Full (Intune + ConfigMgr co‑management) | Local + domain | Full (with appropriate licences) |
| Cortana | Disabled by default (can enable) | Enabled | Disabled by default |
| Max RAM (64‑bit) | 2 TB | 2 TB | 2 TB |
Frequently Asked Questions
Related Resources
- Panoramica di Windows 10 Enterprise (Microsoft)
- Confronto tra Microsoft 365 E3/E5
- Documentazione della protezione delle credenziali
- Protezione dell'applicazione di Windows Defender
- Guida alla distribuzione di DirectAccess
- Panoramica di BranchCache
- Guida alla creazione di WDAC (Device Guard).
- Microsoft Defender per endpoint
- Documentazione di Windows 10 LTSC