Windows 10 Enterprise
The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments
Overview
How It Works
1. UEFI, Secure Boot & BitLocker
보안 부팅이 포함된 UEFI 펌웨어는 부트로더 서명을 확인합니다. BitLocker가 활성화된 경우 TPM은 신중한 부팅을 통해 변조가 없음을 확인한 후에만 암호 해독 키를 해제합니다. DMA 보호(커널 DMA 보호) 기능이 있는 장치에서는 OS가 로드될 때까지 Thunderbolt 포트가 차단됩니다.
2. Virtualisation‑Based Security (VBS) Initialisation
하이퍼바이저(Microsoft Hyper‑V)가 조기에 로드되어 격리된 가상화 컨테이너를 생성합니다. Credential Guard는 보안 VM 내에서 LSA를 실행합니다. Windows Defender Application Guard(WDAG)는 자체 경량 컨테이너를 준비합니다. 기본 OS는 권한이 제한된 루트 파티션으로 실행됩니다.
3. Kernel & Device Guard / WDAC
커널은 HVCI(Hypervisor-Protected Code Integrity)를 사용하여 로드됩니다. 모든 드라이버와 커널 모듈은 실행 전에 정책(WDAC)에 대해 확인됩니다. 승인된 게시자(Microsoft, 귀하의 조직)가 서명한 바이너리만 실행할 수 있으며 루트킷과 서명되지 않은 드라이버를 효과적으로 차단합니다.
4. DirectAccess & VPN Client
네트워크 연결이 가능해지면 즉시 DirectAccess 클라이언트는 시스템 인증서를 사용하여 회사 네트워크에 대한 IPsec 터널 설정을 시도합니다. 이는 사용자가 로그온하기 전에 발생하므로 로그인한 사용자가 없을 때에도 원격 장치 관리(패치 배포, 정책 업데이트)가 가능합니다.
5. User Logon with Windows Hello for Business
로그인 화면에서 비즈니스용 Windows Hello(생체 인식 또는 PIN)는 Azure AD 또는 온-프레미스 Active Directory에 대해 사용자를 인증합니다. Remote Credential Guard를 사용하면 사용자는 자격 증명을 대상 컴퓨터에 보내지 않고도 원격 리소스에 액세스할 수 있습니다.
6. Group Policy / MDM Refresh & BranchCache
백그라운드 서비스는 도메인 컨트롤러 또는 Intune MDM 정책에서 GPO(그룹 정책 개체)를 새로 고칩니다. BranchCache '분산 캐시 모드'는 로컬 피어 캐시에서 이전에 다운로드한 파일을 확인하여 중복 WAN 전송을 방지합니다.
7. Windows Defender Application Guard (Optional)
관리자가 Application Guard 모드에서(또는 정책을 통해) Edge를 시작하면 새 Hyper-V 컨테이너가 최소 Windows 이미지로 시작됩니다. 브라우저는 이 샌드박스 내에서 실행되며 정책에 따라 클립보드 및 파일 리디렉션이 제어됩니다. 컨테이너를 닫으면 모든 변경 사항이 삭제됩니다.
8. Microsoft Defender for Endpoint Sensors
Defender for Endpoint 센서(`MsSense.exe`)는 프로세스 생성, 네트워크 연결, 파일 쓰기 및 레지스트리 변경을 모니터링합니다. 실시간 위험 분석을 위해 행동 신호가 클라우드로 전송됩니다. 위협이 감지되면 자동화된 대응 조치(격리, 파일 격리)가 실행될 수 있습니다.
9. Windows Update for Business & Desktop Analytics
비즈니스용 Windows 업데이트는 연기 정책(기능 업데이트의 경우 최대 365일) 및 업데이트 링을 사용합니다. Desktop Analytics는 Configuration Manager와 통합되어 업그레이드 준비 통찰력을 제공하여 배포 전에 애플리케이션 호환성 문제를 식별합니다.
Key Features
Credential Guard
가상화 기반 보안은 LSASS를 격리하여 Pass-the-Hash 및 Pass-the-Ticket 공격을 방지합니다. TPM 2.0 및 UEFI 잠금이 필요합니다.
Application Guard for Edge
웹 브라우징을 위한 하드웨어 격리 컨테이너 – 악성 웹사이트는 호스트 OS를 손상시킬 수 없습니다. 클립보드 제어 및 파일 리디렉션 정책을 지원합니다.
DirectAccess
IPsec을 사용하는 상시 작동되고 투명한 VPN입니다. 사용자 로그온 전에 연결하고 다중 사이트를 지원하며 인증서 인증과 통합됩니다.
BranchCache
SMB/HTTP 콘텐츠의 분산 또는 호스팅 캐싱 – 지사 사용자의 WAN 대역폭과 대기 시간을 줄입니다.
Windows Defender Application Control (WDAC)
하이퍼바이저로 보호되는 코드 무결성 - 신뢰할 수 있는 실행 파일, 드라이버 및 스크립트만 허용합니다. 커널 수준에서 랜섬웨어 및 파일리스 악성 코드를 차단합니다.
AppLocker
EXE, MSI, 스크립트 및 스토어 앱에 대한 규칙 컬렉션이 포함된 사용자 모드 애플리케이션 화이트리스트입니다. 테스트를 위한 감사 모드입니다.
Microsoft Defender for Endpoint
전체 엔터프라이즈 EDR – 행동 센서, 클라우드 AI, 자동화된 조사, 위협 및 취약성 관리, 대응 조치(격리, 격리).
BitLocker
TPM 및 PIN을 사용한 전체 디스크 암호화. Enterprise에서는 BitLocker 네트워크 잠금 해제(회사 네트워크에 연결된 경우 암호화된 드라이브에서 부팅) 및 Microsoft BitLocker 관리 및 모니터링(MBAM) 통합을 추가합니다.
Windows Hello for Business
생체 인식 + TPM을 사용한 2단계 인증. 암호를 키 기반 또는 인증서 기반 인증으로 대체합니다. Azure AD 및 온프레미스 AD를 지원합니다.
Desktop Analytics
Windows 기능 업데이트와의 애플리케이션 호환성을 평가하기 위해 Configuration Manager와 통합됩니다. 파일럿 권장 사항 및 롤백 통찰력을 제공합니다.
Windows Update for Business (Advanced)
기능 업데이트는 최대 365일, 품질 업데이트는 최대 30일까지 연기합니다. 업데이트 링을 사용하여 장치 그룹(파일럿, 광범위, 중요)을 만듭니다. 배달 최적화(피어 투 피어)와 통합됩니다.
Universal Print
클라우드 기반 인쇄 솔루션 – 인쇄 서버가 필요하지 않습니다. Enterprise 버전에는 Universal Print 커넥터 관리 및 사용자별 인쇄 작업 할당량이 포함되어 있습니다.
Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management
클라우드 MDM(Intune)과 온프레미스 SCCM을 모두 사용하여 장치를 원활하게 관리합니다. 조건부 액세스, 규정 준수 정책 및 원격 작업(삭제, 폐기, 동기화)을 활성화합니다.
Long‑Term Servicing Channel (LTSC)
고정 목적 장치(ATM, 의료, 산업)에 대해 기능 변경 없이 10년 동안 보안 업데이트를 제공합니다. Software Assurance에서만 가능합니다.
Credential Guard & Virtualisation‑Based Security
운영 체제에서 비밀을 격리합니다. 커널 악성 코드도 해시를 훔칠 수 없습니다.
How Credential Guard Works
Credential Guard는 VBS(가상화 기반 보안)를 사용하여 하드웨어 격리 가상 머신 내에서 LSASS(로컬 보안 기관 하위 시스템 서비스)를 실행합니다. 이 보안 VM 외부의 Windows 프로세스는 내부에 저장된 해시된 자격 증명, Kerberos 티켓 또는 NTLM 해시에 액세스할 수 없습니다. Pass-the-hash 및 Pass-the-ticket 공격은 비밀이 격리된 환경을 벗어나지 않기 때문에 불가능합니다.
Requirements & Enablement
Intel VT-x(확장 페이지 테이블 포함) 또는 AMD-V(빠른 가상화 인덱싱 포함), UEFI 잠금 및 TPM 2.0을 갖춘 64비트 CPU가 필요합니다. 그룹 정책을 통해 활성화: `컴퓨터 구성 → 관리 템플릿 → 시스템 → 장치 가드 → 가상화 기반 보안 켜기`. 'Credential Guard 사용'으로 설정합니다.
Key Protection & Remote Credential Guard
Credential Guard는 키 신뢰(TPM 바인딩 키) 및 인증서 신뢰(스마트 카드 인증서)도 보호합니다. Remote Credential Guard는 이를 RDP 세션으로 확장합니다. 즉, 사용자가 원격 PC에 연결하면 해당 자격 증명이 클라이언트 시스템을 떠나지 않습니다. 대상 PC는 사용자의 비밀번호 해시가 아닌 Kerberos 서비스 티켓을 받습니다.
Performance Impact
VBS는 보안 VM과 일반 OS 간의 컨텍스트 전환을 위해 약간의 오버헤드(2-5% CPU)를 부과합니다. 최신 서버급 하드웨어에서는 대부분의 워크로드에서 이는 무시할 수 있습니다. 일부 레거시 드라이버 및 애플리케이션(특히 치트 방지 게임 소프트웨어)은 호환되지 않으며 VBS가 켜지는 것을 차단합니다.
Windows Defender Application Guard (WDAG)
하드웨어 격리 브라우징 - 신뢰할 수 없는 웹사이트를 서핑하는 가장 안전한 방법
Hyper‑V Container per Browser Session
WDAG는 경량 Hyper-V 컨테이너 내에서 Microsoft Edge를 시작합니다. 이 컨테이너는 호스트 OS의 복사본을 사용하지만 호스트의 메모리, 스토리지 또는 네트워크 스택에 액세스할 수 없는 별도의 가상 머신에서 실행됩니다(가상 스위치를 통한 경우 제외). 웹사이트가 브라우저를 악용하는 경우 공격자는 컨테이너에만 액세스할 수 있으며 호스트는 전혀 영향을 받지 않습니다.
Configuration & Policies
그룹 정책 또는 Intune을 통해 활성화: `관리 템플릿 → Windows 구성 요소 → Windows Defender Application Guard → Windows Defender Application Guard 켜기`. 정책은 클립보드 액세스(복사/붙여넣기 허용 여부), 파일 다운로드 리디렉션(호스트에 저장?) 및 컨테이너에서 인쇄를 제어합니다. 전사적 자원 신뢰(예: 일반 Edge에서 열리는 내부 SharePoint 사이트)를 정의할 수도 있습니다.
Performance & User Experience
처음 실행하면 컨테이너를 생성하는 데 5~10초가 걸립니다. 캐싱으로 인해 후속 실행이 더 빨라집니다. 안으로 들어가면 탐색이 거의 기본으로 이루어집니다. 컨테이너는 어떤 데이터도 유지하지 않습니다. 컨테이너가 닫히면 쿠키, 다운로드, 검색 기록이 삭제됩니다. 사용자에게는 'Application Guard' 모드에 있음을 나타내는 특수 UI가 표시됩니다.
Integration with Defender for Endpoint
컨테이너 내부에서 맬웨어 샘플이 감지되면 Defender for Endpoint는 자동으로 페이로드를 수집하고 분석을 위해 제출할 수 있습니다. 의심스러운 동작이 감지되면 컨테이너가 알려진 양호한 상태로 자동으로 재설정될 수도 있습니다.
DirectAccess & BranchCache
분산된 조직을 위한 원활한 원격 액세스 및 WAN 최적화
DirectAccess – Always On VPN
DirectAccess는 장치가 인터넷에 액세스하는 즉시 회사 네트워크에 자동으로 투명하고 항상 켜져 있는 IPsec 터널을 제공합니다. 사용자 입력 없음(클릭하여 연결 없음) - 인증을 위해 시스템 인증서를 사용합니다. 사용자는 NAT 및 방화벽 뒤에 있는 경우에도 마치 온프레미스에 있는 것처럼 내부 리소스(파일 공유, 인트라넷 사이트)에 액세스합니다. DirectAccess는 또한 다중 사이트 배포를 지원하고 NAP(네트워크 액세스 보호)(레거시)와 통합됩니다.
DirectAccess vs Traditional VPN
기존 VPN은 사용자가 수동으로 연결해야 하고, 유휴 후에는 연결을 끊을 수 있으며, 사용자 로그온 전에는 작동하지 않습니다. DirectAccess는 로그인하기 전에 자동으로 연결되고, 연결이 무기한 유지되며 강제 터널링(모든 인터넷 트래픽이 회사 네트워크를 통해 라우팅됨) 또는 분할 터널링을 지원합니다. 노트북의 원격 관리와 내부 리소스에 대한 지속적인 액세스에 이상적입니다.
BranchCache – Reduce WAN Traffic
BranchCache는 로컬 클라이언트 PC 또는 현장 호스트 캐시 서버에 있는 원격 파일 서버(SMB 공유) 및 HTTP(웹) 서버의 콘텐츠를 캐시합니다. 분산 캐시 모드에서 각 클라이언트는 콘텐츠를 캐시하고 로컬 LAN 검색(WS-Discovery)을 통해 피어 클라이언트와 공유합니다. 호스트 캐시 모드에서는 전용 Windows Server가 중앙 캐시 역할을 합니다. 동일한 파일에 대한 후속 요청은 로컬 캐시에서 처리되므로 대기 시간과 WAN 활용도가 크게 줄어듭니다.
BranchCache Security
데이터는 SHA-256을 사용하여 암호화되고 무결성 검사됩니다. 클라이언트는 요청한 파일 부분만 수신하며 캐시는 무단 재구성을 방지하기 위해 분할됩니다. BranchCache는 HTTP 및 SMB 프로토콜을 통해 작동하며 Windows 파일 서버와 원활하게 통합됩니다.
Windows Defender Application Control (WDAC) & AppLocker
제로 트러스트 애플리케이션 화이트리스트 – 승인된 소프트웨어만 실행
WDAC – Hypervisor‑Protected Code Integrity
WDAC(이전의 Device Guard)를 사용하면 관리자는 신뢰할 수 있는 실행 파일, 드라이버, 스크립트 및 MSI를 정확하게 지정할 수 있습니다. 규칙은 파일 경로, 게시자(디지털 인증서) 또는 파일 해시를 기반으로 합니다. 정책은 하이퍼바이저(HVCI)에 의해 시행되며 커널 모드 악성코드에 의해 우회될 수 없습니다. WDAC는 알려진 악성 코드뿐만 아니라 공격자가 사용하는 '외계 생활' 바이너리(예: PowerShell, wmic)도 차단할 수 있습니다.
WDAC vs AppLocker
AppLocker는 Enterprise(및 Pro)에서 사용할 수 있는 사용자 모드 정책 솔루션으로, 관리하기 쉽지만 커널 드라이버로 우회할 수 있습니다. WDAC는 커널 모드, 하이퍼바이저 보호 솔루션으로 훨씬 강력하지만 신중한 계획과 테스트가 필요합니다. 많은 조직에서는 중요한 시스템 보호를 위한 WDAC와 사용자 앱 제한을 위한 AppLocker를 모두 사용합니다.
Creating WDAC Policies
참조 PC에서 `ConfigCI` PowerShell 모듈을 사용합니다. 'New-CIPolicy'는 시스템을 검사하고 현재 설치된 모든 애플리케이션과 드라이버의 허용 목록을 생성합니다. 'ConvertFrom-CIPolicy'는 바이너리 형식으로 변환됩니다. 그룹 정책 또는 MDM을 통해 배포합니다. 처음에는 감사 모드에서 실행하여 실제로 차단하지 않고도 차단되는 내용을 기록할 수 있습니다.
AppLocker Rulesets for Enterprises
AppLocker는 실행 파일(.exe, .com), Windows 설치 프로그램(.msi, .msp), 스크립트(.ps1, .bat, .vbs, .js), DLL 및 패키지 앱(스토어 앱)의 5가지 규칙 컬렉션을 지원합니다. 사용자 그룹별로 정책을 적용할 수 있습니다. 예를 들어 모든 사용자가 `C:\Program Files` 및 `C:\Program Files (x86)`에서 프로그램을 실행할 수 있도록 허용하지만 `%USERPROFILE%\Downloads` 또는 `%TEMP%`에서 실행하는 것은 거부합니다.
Microsoft Defender for Endpoint (formerly ATP)
자동화된 조사 및 대응을 갖춘 엔터프라이즈 EDR
Next‑Generation Protection
동작 센서, 클라우드 AI 및 기계 학습 모델은 프로세스 동작, 네트워크 연결 및 레지스트리 변경 사항을 분석합니다. 공격 표면 감소 규칙(예: Office에서 하위 프로세스를 생성하지 못하도록 차단, 이메일 클라이언트에서 실행 가능한 콘텐츠 차단)은 일반적인 감염 경로를 방지합니다.
Endpoint Detection & Response (EDR)
엔드포인트에 대한 심층적인 가시성: 의심스러운 행동에 대한 경고, 시스템 전반의 조사, 프로세스 트리의 타임라인 보기. SOC(보안 운영 센터)는 라이선스에 따라 최대 6개월 동안 원시 원격 측정을 쿼리할 수 있습니다.
Automated Investigation & Remediation
경고가 트리거되면 Defender for Endpoint는 자동으로 사건을 조사할 수 있습니다. 즉, 근본 원인을 파악하고, 영향을 받는 컴퓨터를 네트워크에서 격리하고(Microsoft Intune 통합 사용), 악성 아티팩트(파일, 레지스트리 키, 예약된 작업)를 제거할 수 있습니다.
Threat & Vulnerability Management (TVM)
TVM은 누락된 보안 업데이트, 잘못된 구성(예: 취약한 방화벽 규칙) 및 취약한 소프트웨어 버전을 지속적으로 검색합니다. 이는 위험 기반 우선 순위 지정, 즉 악용 가능성 및 자산 노출을 기반으로 한 '패치 우선' 권장 사항을 제공합니다.
Long‑Term Servicing Channel (LTSC)
기능 변경 없이 10년간 보안 업데이트 – 고정 목적 장치용
What is LTSC?
장기 서비스 채널(이전의 LTSB)은 기능 업데이트를 받지 않는 Windows 10 Enterprise의 특별 버전입니다. 최대 10년(기본 5년 + 연장 5년) 동안 보안 및 품질 업데이트만 포함됩니다. ATM, 의료 장비(MRI, CT 스캐너), 산업 제어 시스템(SCADA), 키오스크, 임베디드 시스템 등 기능을 절대로 변경해서는 안 되는 장치에 이상적입니다.
What’s Missing in LTSC
LTSC에는 Microsoft Edge(Chromium이 아닌 레거시 버전만 해당), Windows Store, Cortana, Inbox 앱(메일, 일정, 계산기), OneDrive 및 타임라인 및 세트와 같은 최신 기능이 포함되어 있지 않습니다. 또한 Windows 10의 반기별 기능 업데이트(예: 21H2, 22H2)도 지원하지 않습니다. 이로 인해 LTSC가 새 하드웨어와 호환되지 않습니다(드라이버에는 최신 Windows 빌드가 필요할 수 있음).
Licensing & Availability
LTSC는 활성화된 Software Assurance(볼륨 라이선스)를 보유하거나 Microsoft 365 E3/E5(LTSC 없음 – SA 필요)를 통해 만 사용할 수 있습니다. 각각의 새로운 LTSC 릴리스는 릴리스 날짜로부터 10년 동안 지원됩니다(예: Windows 10 Enterprise LTSC 2019는 2029년까지 지원되고 LTSC 2021은 2031년까지 지원됨). 새로 설치하지 않으면 한 LTSC 릴리스에서 다른 릴리스로 업그레이드할 수 없습니다.
LTSC vs Semi‑Annual Channel (SAC)
대부분의 기업 장치는 SAC(반기 채널)를 사용해야 합니다. 즉, 1년에 두 번씩 새로운 기능을 받아야 합니다. LTSC는 UI 변경이나 기능 업데이트를 위한 재부팅을 허용할 수 없는 중요 인프라를 위한 특수 도구입니다. Microsoft는 범용 데스크톱, Office 또는 개발 컴퓨터에 LTSC를 사용하지 말 것을 권장합니다.
Pros
- ✓탁월한 보안 – Credential Guard, Application Guard, WDAC 및 Defender for Endpoint가 심층적인 방어를 제공합니다.
- ✓DirectAccess는 사용자 대면 VPN을 제거하여 원활한 원격 액세스 관리를 제공합니다.
- ✓BranchCache는 파일 서버 및 웹 앱에 대한 지점 경험을 획기적으로 향상시킵니다.
- ✓전체 장치 관리 – Intune, ConfigMgr, 그룹 정책 및 공동 관리
- ✓비즈니스용 Windows 업데이트 1년 연기 - 일정에 따라 업데이트 계획
- ✓LTSC(장기 서비스 채널) 규제 또는 안정성이 중요한 환경을 위한
- ✓AppLocker + WDAC – 커널에서 사용자 모드까지 제로 트러스트 애플리케이션 정책을 적용합니다.
- ✓Microsoft Defender for Endpoint는 타사 에이전트 없이 엔터프라이즈 EDR을 제공합니다.
- ✓Desktop Analytics는 실제 호환성 데이터를 통해 업그레이드 위험을 줄입니다.
- ✓Remote Credential Guard는 RDP 세션 중에 자격 증명을 보호합니다.
- ✓범용 인쇄는 인쇄 서버 복잡성을 줄여줍니다.
- ✓Windows 10 S 모드 지원 – 극도로 제한된 환경에서는 Microsoft Store 앱으로만 제한됩니다.
Cons
- ✗소매점에서는 사용할 수 없음 – 볼륨 라이선스 계약 필요(Microsoft 365 E3/E5 또는 Software Assurance)
- ✗Pro보다 더 높은 비용 - 사용자별/장치별 구독료(일반적으로 Microsoft 365의 일부로 사용자당 월 $7~$14)
- ✗복잡성 – 많은 기능(WDAC, Credential Guard, Application Guard)에는 신중한 계획과 테스트가 필요합니다.
- ✗하드웨어 요구 사항 – VBS 기능에는 TPM 2.0, UEFI 및 최신 CPU가 필요합니다. 오래된 장치는 이를 지원하지 않을 수 있습니다
- ✗응용 프로그램 호환성 문제 – WDAC는 합법적인 소프트웨어를 차단할 수 있습니다. Credential Guard가 일부 타사 인증 모듈을 손상시킵니다.
- ✗성능 오버헤드 – VBS(Credential Guard, HVCI)는 높은 I/O 또는 게임 워크로드에서 눈에 띄게 성능을 2~8%까지 감소시킬 수 있습니다.
- ✗DirectAccess에는 Windows Server 인프라가 필요합니다(DirectAccess 서버, PKI, DNS 및 IPv6 전환 기술)
- ✗BranchCache에는 Windows Server 파일 서버와 신중한 캐시 크기 조정이 필요합니다.
- ✗지원은 2025년 10월 14일에 종료됩니다 – 모든 Windows 10 버전과 동일(단, 특정 릴리스의 경우 LTSC가 2031년으로 연장됨)
- ✗소비자 기능 없음 – Cortana, Windows Store(비활성화 가능), 소비자 클라우드 환경은 정책에 따라 꺼집니다(사용자가 기대하는 데 혼란을 줄 수 있음).
- ✗LTSC에는 최신 브라우저와 앱 스토어가 없습니다 – 해결 방법 없이는 Microsoft Teams, 새로운 Edge 또는 스토어 앱을 설치할 수 없습니다.
Use Cases
Hidden & Useful Shortcuts
Master Windows 10 with these time‑saving keyboard shortcuts
Open Start Menu (Cortana disabled by default on Enterprise)
Open Action Centre
Show desktop
Open File Explorer
Open Settings
Lock workstation – secure against physical access
Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)
Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer
Open Search (Cortana disabled but search works)
Task View – virtual desktops (useful for separating classified and unclassified work)
New virtual desktop
Close current virtual desktop
Switch between virtual desktops
Open Game Bar (if not removed by policy)
Open Snip & Sketch for custom screenshots
Open clipboard history (if enabled by policy)
Emoji panel
Open Task Manager – can view VBS status (Performance → Virtualisation)
Open System Properties (shows 'Windows 10 Enterprise')
Open Connect (wireless displays) – may be disabled via policy
Open dictation (if not disabled)
Check TPM status (required for Credential Guard)
System Information – see 'Virtualisation‑Based Security' status
Advanced user account management
Computer Management – Local Users, Disk Management, Services
Windows Firewall with Advanced Security
Technical Specifications
| Architecture | 64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit |
| Processor | 1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation) |
| RAM | 4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB) |
| Storage | 64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI |
| Graphics | DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU) |
| Display | Minimum 800x600; recommended 1920x1080 or higher |
| TPM | TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only |
| Virtualisation | Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V |
| Secure Boot | Required for VBS features; strongly recommended for all Enterprise deployments |
| Memory for VBS | At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers) |
| Internet | Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features |
| DirectAccess Infrastructure | Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later |
Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education
| Feature | enterprise | pro | education |
|---|---|---|---|
| Availability | Volume licensing (M365 E3/E5, SA) | Retail / OEM | Academic VL / Azure for Education (free) |
| Credential Guard | Yes | No | Yes (same as Enterprise) |
| Application Guard for Edge | Yes | No (consumer version only) | Yes |
| DirectAccess | Yes | No | Yes |
| BranchCache | Yes | No | Yes |
| WDAC (Hypervisor Code Integrity) | Yes (fully configurable) | Yes (but limited policies) | Yes (full) |
| AppLocker | Yes (full) | Yes (via GPO) | Yes |
| Microsoft Defender for Endpoint (ATP) | Yes (requires separate licence) | No | Yes (through M365 A5) |
| Long‑Term Servicing Channel (LTSC) | Yes (with SA) | No | No (only via VL, not free) |
| Desktop Analytics | Yes (with ConfigMgr) | No | Yes (with ConfigMgr) |
| Universal Print | Yes (full management) | Basic (client only) | Yes (with A3/A5) |
| Remote Desktop Host | Yes | Yes | Yes |
| Hyper‑V | Yes | Yes | Yes |
| Group Policy / MDM | Full (Intune + ConfigMgr co‑management) | Local + domain | Full (with appropriate licences) |
| Cortana | Disabled by default (can enable) | Enabled | Disabled by default |
| Max RAM (64‑bit) | 2 TB | 2 TB | 2 TB |