എനിക്ക് എങ്ങനെ Windows 10 എൻ്റർപ്രൈസ് ലഭിക്കും?

Windows 10 എൻ്റർപ്രൈസ് വോളിയം ലൈസൻസിംഗ് പ്രോഗ്രാമുകളിലൂടെ മാത്രമേ ലഭ്യമാകൂ: Microsoft 365 E3/E5 (ഓരോ ഉപയോക്താവിനും സബ്സ്ക്രിപ്ഷൻ), അല്ലെങ്കിൽ സോഫ്റ്റ്വെയർ അഷ്വറൻസ് വഴി (ഓരോ ഉപകരണത്തിനും). ഇത് ചില്ലറവിൽപ്പനയിൽ വിൽക്കുന്നില്ല. നിങ്ങൾ ഒരു വ്യക്തിയാണെങ്കിൽ, നിങ്ങൾക്ക് ഒരു ലൈസൻസ് പോലും നിയമപരമായി വാങ്ങാൻ കഴിയില്ല. ചില സ്ഥാപനങ്ങൾ അവരുടെ കോർപ്പറേറ്റ് പോർട്ടൽ വഴി ജീവനക്കാർക്ക് എൻ്റർപ്രൈസ് ചിത്രങ്ങൾ നൽകുന്നു.

വിൻഡോസ് 10 എൻ്റർപ്രൈസും വിൻഡോസ് 10 പ്രോയും തമ്മിലുള്ള വ്യത്യാസം എന്താണ്?

പ്രോയിൽ അടിസ്ഥാന മാനേജ്മെൻ്റ് ഉൾപ്പെടുന്നു (ഗ്രൂപ്പ് പോളിസി, ബിറ്റ്ലോക്കർ, RDP ഹോസ്റ്റ്, ഹൈപ്പർ-വി). എൻ്റർപ്രൈസ് വിപുലമായ സുരക്ഷ ചേർക്കുന്നു: ക്രെഡൻഷ്യൽ ഗാർഡ്, ആപ്ലിക്കേഷൻ ഗാർഡ്, ഡയറക്ട് ആക്സസ്, ബ്രാഞ്ച് കാഷെ, ഡബ്ല്യുഡിഎസി, ഡിഫൻഡർ ഫോർ എൻഡ്പോയിൻ്റ് ഇൻ്റഗ്രേഷൻ, യൂണിവേഴ്സൽ പ്രിൻ്റ്, ഡെസ്ക്ടോപ്പ് അനലിറ്റിക്സ്, എൽടിഎസ്സി. സമർപ്പിത ഐടി സുരക്ഷാ ടീമുകളും പാലിക്കൽ ആവശ്യകതകളുമുള്ള ഓർഗനൈസേഷനുകൾക്കായി എൻ്റർപ്രൈസ് രൂപകൽപ്പന ചെയ്തിരിക്കുന്നു.

വിൻഡോസ് 10 എഡ്യൂക്കേഷൻ എൻ്റർപ്രൈസിന് തുല്യമാണോ?

അതെ, പ്രവർത്തനപരമായി സമാനമാണ്. Windows 10 എഡ്യൂക്കേഷൻ എൻ്റർപ്രൈസിൻ്റെ അതേ കോഡിൽ നിന്നാണ് നിർമ്മിച്ചിരിക്കുന്നത്, കൂടാതെ എല്ലാ സുരക്ഷയും മാനേജ്മെൻ്റ് സവിശേഷതകളും ഉൾപ്പെടുന്നു. പ്രദർശിപ്പിച്ചിരിക്കുന്ന പതിപ്പിൻ്റെ പേര്, ഡിഫോൾട്ട് വാൾപേപ്പറുകൾ, ലൈസൻസിംഗ് എന്നിവ മാത്രമാണ് വ്യത്യാസങ്ങൾ (അക്കാദമിക് സ്ഥാപനങ്ങൾക്ക് വിദ്യാഭ്യാസം സൗജന്യമാണ്). അക്കാദമിക് ഇതര ഓർഗനൈസേഷനുകൾക്ക്, നിങ്ങൾക്ക് എൻ്റർപ്രൈസ് ആവശ്യമാണ്.

എന്താണ് ദീർഘകാല സേവന ചാനൽ (LTSC)?

ഫീച്ചർ അപ്ഡേറ്റുകൾ ലഭിക്കാത്ത Windows 10 എൻ്റർപ്രൈസിൻ്റെ ഒരു പ്രത്യേക പതിപ്പാണ് LTSC - 10 വർഷം വരെ സുരക്ഷയും ഗുണനിലവാരമുള്ള അപ്ഡേറ്റുകളും മാത്രം. ഇത് ഒരിക്കലും മാറാൻ പാടില്ലാത്ത പ്രത്യേക ഉപകരണങ്ങൾക്കായി ഉദ്ദേശിച്ചുള്ളതാണ്: എടിഎമ്മുകൾ, മെഡിക്കൽ ഉപകരണങ്ങൾ, ഇൻഡസ്ട്രിയൽ കൺട്രോളറുകൾ, കിയോസ്കുകൾ. പൊതു-ഉദ്ദേശ്യ ഡെസ്ക്ടോപ്പുകൾക്കോ ഓഫീസ് ഉൽപ്പാദനക്ഷമതയ്ക്കോ LTSC ഉപയോഗിക്കുന്നതിനെതിരെ Microsoft ശുപാർശ ചെയ്യുന്നു.

Windows 10 എൻ്റർപ്രൈസിൽ Microsoft 365 ആപ്പുകൾ (ഓഫീസ്) ഉൾപ്പെടുന്നുണ്ടോ?

നമ്പർ Windows 10 എൻ്റർപ്രൈസ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റം മാത്രമാണ്. Microsoft 365 Apps (മുമ്പ് Office 365 ProPlus) ഒരു പ്രത്യേക സബ്സ്ക്രിപ്ഷനാണ്. എന്നിരുന്നാലും, Microsoft 365 E3/E5 വിൻഡോസ് 10 എൻ്റർപ്രൈസ്, മൈക്രോസോഫ്റ്റ് 365 ആപ്പുകൾ എന്നിവയെ ഒരുമിച്ച് ചേർക്കുന്നു.

വീണ്ടും ഇൻസ്റ്റാൾ ചെയ്യാതെ എനിക്ക് Windows 10 Pro-യിൽ നിന്ന് എൻ്റർപ്രൈസിലേക്ക് അപ്ഗ്രേഡ് ചെയ്യാൻ കഴിയുമോ?

അതെ. നിങ്ങൾക്ക് സാധുവായ എൻ്റർപ്രൈസ് വോളിയം ലൈസൻസ് കീ (MAK അല്ലെങ്കിൽ KMS) ഉണ്ടെങ്കിൽ, **ക്രമീകരണങ്ങൾ → അപ്ഡേറ്റും സുരക്ഷയും → സജീവമാക്കൽ → ഉൽപ്പന്ന കീ മാറ്റുക** എന്നതിലേക്ക് പോയി എൻ്റർപ്രൈസ് കീ നൽകുക. അപ്ഗ്രേഡ് തുടരുകയും എല്ലാ ഫയലുകളും ആപ്പുകളും സൂക്ഷിക്കുകയും ചെയ്യും. ഒരു ക്ലീൻ ഇൻസ്റ്റാളില്ലാതെ നിങ്ങൾക്ക് തിരികെ പ്രോയിലേക്ക് ഡൗൺഗ്രേഡ് ചെയ്യാൻ കഴിയില്ല.

വിൻഡോസ് ഓട്ടോപൈലറ്റിനൊപ്പം Windows 10 എൻ്റർപ്രൈസ് പ്രവർത്തിക്കുമോ?

അതെ. ഓട്ടോപൈലറ്റ് എല്ലാ Windows 10 പതിപ്പുകളെയും പിന്തുണയ്ക്കുന്നു (ഹോം ഒഴികെ). പുതിയ ഉപകരണങ്ങൾക്കായി സീറോ-ടച്ച് വിന്യാസം - അസൂർ എഡി ജോയിൻ, ഇൻട്യൂൺ പോളിസികൾ എന്നിവ ഉപയോഗിച്ച് ഓട്ടോപൈലറ്റ് വഴി എൻ്റർപ്രൈസ് പ്രൊവിഷൻ ചെയ്യാൻ കഴിയും.

Windows 10 എൻ്റർപ്രൈസിനുള്ള പിന്തുണാ ജീവിതചക്രം എന്താണ്?

സെമി-വാർഷിക ചാനൽ (SAC) പതിപ്പുകൾ ഓരോ റിലീസിന് ശേഷവും 18 മാസത്തേക്ക് പിന്തുണയ്ക്കുന്നു (ഉദാ. 2023 ജൂൺ വരെ 21H2 പിന്തുണയ്ക്കുന്നു). LTSC റിലീസുകൾ 10 വർഷത്തേക്ക് പിന്തുണയ്ക്കുന്നു (5 മുഖ്യധാര + 5 വിപുലീകരിച്ചത്). എല്ലാ Windows 10 പതിപ്പുകൾക്കുമുള്ള മുഖ്യധാരാ പിന്തുണ അവസാനിക്കുന്നത് **ഒക്ടോബർ 14, 2025**, അതിനുശേഷം നിങ്ങൾക്ക് വിപുലീകൃത സുരക്ഷാ അപ്ഡേറ്റുകൾ (ESU) ഉണ്ടായിരിക്കണം - 3 വർഷം വരെ വോളിയം ലൈസൻസിംഗിലൂടെ മാത്രമേ ലഭ്യമാകൂ.

Windows 10 Enterprise-ൽ Endpoint-നുള്ള Windows Defender ഉൾപ്പെടുത്തിയിട്ടുണ്ടോ?

നമ്പർ Windows 10 എൻ്റർപ്രൈസിൽ **മൈക്രോസോഫ്റ്റ് ഡിഫൻഡർ ആൻ്റിവൈറസ്**, എൻഡ്പോയിൻ്റിനായുള്ള സൗജന്യ **മൈക്രോസോഫ്റ്റ് ഡിഫൻഡർ - പ്ലാൻ 1** (അടിസ്ഥാന ആൻ്റിവൈറസ്) എന്നിവ ഉൾപ്പെടുന്നു. പൂർണ്ണ EDR കഴിവുകൾക്ക് (എൻഡ്പോയിൻ്റ് പ്ലാൻ 2-നുള്ള ഡിഫൻഡർ) ഒരു പ്രത്യേക ലൈസൻസ് ആവശ്യമാണ്, ഇത് സാധാരണയായി Microsoft 365 E5-ൽ ഉൾപ്പെടുത്തിയിട്ടുണ്ട് അല്ലെങ്കിൽ E3-നുള്ള ആഡ്-ഓൺ ആയി വിൽക്കുന്നു.

എനിക്ക് ഒരേ സമയം ഹൈപ്പർ-വിയും ക്രെഡൻഷ്യൽ ഗാർഡും ഉപയോഗിക്കാൻ കഴിയുമോ?

അതെ. രണ്ടും ഒരേ ഹൈപ്പർവൈസർ പ്ലാറ്റ്ഫോം ഉപയോഗിക്കുന്നു. എന്നിരുന്നാലും, VBS (ക്രെഡൻഷ്യൽ ഗാർഡ് ഉൾപ്പെടെ) പ്രവർത്തനക്ഷമമാക്കുന്നത് കുറച്ച് മെമ്മറി റിസർവ് ചെയ്യുന്നു കൂടാതെ ഹാർഡ്വെയറിനെ ആശ്രയിച്ച് ചില സവിശേഷതകളുടെ (നെസ്റ്റഡ് വെർച്വലൈസേഷൻ പോലെ) ഹൈപ്പർ-വിയുടെ ലഭ്യത പരിമിതപ്പെടുത്തിയേക്കാം. ആധുനിക സംവിധാനങ്ങളിൽ, അവ നന്നായി നിലനിൽക്കുന്നു.

Windows Defender Application Guard ഉം Windows Sandbox ഉം തമ്മിലുള്ള വ്യത്യാസം എന്താണ്?

വിൻഡോസ് സാൻഡ്ബോക്സ് ഏത് ആപ്പും പരീക്ഷിക്കുന്നതിനുള്ള ഭാരം കുറഞ്ഞതും താൽക്കാലികവുമായ VM ആണ് - നിങ്ങൾ സാൻഡ്ബോക്സ് തുറക്കുക, വിശ്വസനീയമല്ലാത്ത ഒരു ഇൻസ്റ്റാളർ പ്രവർത്തിപ്പിക്കുക, അത് അടയ്ക്കുക - എല്ലാ മാറ്റങ്ങളും ഇല്ലാതായി. ആപ്ലിക്കേഷൻ ഗാർഡ് പ്രത്യേകമായി മൈക്രോസോഫ്റ്റ് എഡ്ജ് വെബ് ബ്രൗസിംഗിനുള്ളതാണ്, ബ്രൗസറിലേക്ക് സംയോജിപ്പിച്ചിരിക്കുന്നു, നയം നിയന്ത്രിക്കാനാകും. എൻ്റർപ്രൈസിൽ ആപ്ലിക്കേഷൻ ഗാർഡ് ലഭ്യമാണ്; Windows Sandbox Pro/Enterprise-ലാണ് (എന്നാൽ LTSC-ലല്ല).

Windows 10 Enterprise

The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments

Overview

Windows 10 എൻ്റർപ്രൈസ് എന്നത് മൈക്രോസോഫ്റ്റിൻ്റെ ഓപ്പറേറ്റിംഗ് സിസ്റ്റമാണ്. Windows 10 Pro-യുടെ അതേ അടിത്തറയിൽ നിർമ്മിച്ച, എൻ്റർപ്രൈസ് വിപുലമായ സുരക്ഷാ സാങ്കേതികവിദ്യകളുടെ ഒരു സമഗ്രമായ സ്യൂട്ട് ചേർക്കുന്നു: Windows ഡിഫൻഡർ ക്രെഡൻഷ്യൽ ഗാർഡ് (ക്രെഡൻഷ്യലുകളുടെ വെർച്വലൈസേഷൻ-അടിസ്ഥാനത്തിലുള്ള ഒറ്റപ്പെടുത്തൽ), Windows ഡിഫൻഡർ ആപ്ലിക്കേഷൻ ഗാർഡ് റോസിംഗിനായി (ഹാർഡ്‌വെയർ ‑-സോൾഡ്‌വെയർ എൻഡ്‌പോയിൻ്റ് (എൻ്റർപ്രൈസ് EDR), ഡയറക്‌ട് ആക്‌സസ് (തടസ്സമില്ലാത്ത VPN), ബ്രാഞ്ച് കാഷെ (WAN ഒപ്റ്റിമൈസേഷൻ), AppLocker (ആപ്ലിക്കേഷൻ വൈറ്റ്‌ലിസ്റ്റിംഗ്), BitLocker (പൂർണ്ണ-ഡിസ്ക് എൻക്രിപ്ഷൻ). വിപുലീകൃത ഡിഫെറൽ ഓപ്‌ഷനുകളുള്ള ബിസിനസിനായുള്ള വിൻഡോസ് അപ്‌ഡേറ്റ്, അപ്‌ഡേറ്റ് സന്നദ്ധതയ്‌ക്കായി ഡെസ്‌ക്‌ടോപ്പ് അനലിറ്റിക്‌സ്, ഒരിക്കലും പ്രവർത്തനക്ഷമത മാറ്റാത്ത ഉപകരണങ്ങൾക്കായുള്ള ലോംഗ്-ടേം സർവീസിംഗ് ചാനൽ (LTSC) ഓപ്ഷനും ഇതിൽ ഉൾപ്പെടുന്നു (എടിഎമ്മുകൾ, മെഡിക്കൽ ഉപകരണങ്ങൾ, വ്യാവസായിക നിയന്ത്രണം). Windows 10 എൻ്റർപ്രൈസ് Microsoft Intune (MDM) അല്ലെങ്കിൽ ഓൺ-പ്രിമൈസ് കോൺഫിഗറേഷൻ മാനേജർ (SCCM) വഴി നിയന്ത്രിക്കാനാകും. Microsoft 365 E3/E5 മുഖേനയുള്ള സബ്‌സ്‌ക്രിപ്‌ഷൻ അടിസ്ഥാനമാക്കിയുള്ള ലൈസൻസിംഗ് പതിവ് ഫീച്ചർ അപ്‌ഡേറ്റുകൾ നൽകുന്നു, അതേസമയം LTSC പതിപ്പ് (സജീവ സോഫ്‌റ്റ്‌വെയർ അഷ്വറൻസിനൊപ്പം മാത്രം ലഭ്യമാണ്) ഫീച്ചർ മാറ്റങ്ങളില്ലാതെ 10 വർഷത്തെ സുരക്ഷാ അപ്‌ഡേറ്റുകൾ വാഗ്ദാനം ചെയ്യുന്നു. ആധുനിക സീറോ-ട്രസ്റ്റ് ആർക്കിടെക്ചറുകൾ, ബിസിനസ്സിനായുള്ള വിൻഡോസ് ഹലോ, വിർച്ച്വലൈസേഷൻ അധിഷ്‌ഠിത സുരക്ഷ എന്നിവയ്‌ക്കുള്ള പിന്തുണയോടെ, വിശ്വസനീയമല്ലാത്ത നെറ്റ്‌വർക്കുകളിൽ നിന്ന് ആക്‌സസ് ചെയ്യുമ്പോൾ പോലും Windows 10 എൻ്റർപ്രൈസ് സെൻസിറ്റീവ് ഡാറ്റ പരിരക്ഷിക്കുന്നു. മുഖ്യധാരാ പിന്തുണ ഒക്‌ടോബർ 14, 2025 അവസാനിക്കുന്നു, വിപുലീകൃത സുരക്ഷാ അപ്‌ഡേറ്റുകൾ (ESU) മൂന്ന് അധിക വർഷത്തേക്ക് വോളിയം ലൈസൻസിംഗിലൂടെ ലഭ്യമാണ്.

How It Works

Windows 10 എൻ്റർപ്രൈസ് ബൂട്ട് പ്രക്രിയയിൽ അധിക വിർച്ച്വലൈസേഷൻ അടിസ്ഥാനമാക്കിയുള്ള സുരക്ഷാ പാളികളും എൻ്റർപ്രൈസ് നെറ്റ്‌വർക്കിംഗ് ഹുക്കുകളും ഉൾപ്പെടുന്നു. നിയന്ത്രിത എൻ്റർപ്രൈസ് ഉപകരണത്തിലെ മുഴുവൻ ശ്രേണിയും ഇതാ:

1. UEFI, Secure Boot & BitLocker

സെക്യുർ ബൂട്ട് ഉള്ള UEFI ഫേംവെയർ ബൂട്ട്ലോഡർ സിഗ്നേച്ചർ പരിശോധിക്കുന്നു. ബിറ്റ്‌ലോക്കർ പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെങ്കിൽ, അളന്ന ബൂട്ട് യാതൊരു കൃത്രിമത്വവും ഇല്ലെന്ന് പരിശോധിച്ചതിന് ശേഷം മാത്രമേ TPM ഡീക്രിപ്ഷൻ കീ റിലീസ് ചെയ്യുകയുള്ളൂ. DMA പരിരക്ഷയുള്ള ഉപകരണങ്ങളിൽ (കേർണൽ DMA സംരക്ഷണം), OS ലോഡുചെയ്യുന്നത് വരെ തണ്ടർബോൾട്ട് പോർട്ടുകൾ തടഞ്ഞിരിക്കുന്നു.

2. Virtualisation‑Based Security (VBS) Initialisation

ഹൈപ്പർവൈസർ (മൈക്രോസോഫ്റ്റ് ഹൈപ്പർ-വി) നേരത്തെ ലോഡ് ചെയ്യുന്നു, ഒറ്റപ്പെട്ട വിർച്ച്വലൈസേഷൻ കണ്ടെയ്നറുകൾ സൃഷ്ടിക്കുന്നു. ക്രെഡൻഷ്യൽ ഗാർഡ് ഒരു സുരക്ഷിത VM ഉള്ളിൽ LSA പ്രവർത്തിപ്പിക്കുന്നു. Windows Defender Application Guard (WDAG) സ്വന്തം ഭാരം കുറഞ്ഞ കണ്ടെയ്നർ തയ്യാറാക്കുന്നു. പ്രധാന OS കുറഞ്ഞ പ്രത്യേകാവകാശങ്ങളോടെ റൂട്ട് പാർട്ടീഷൻ ആയി പ്രവർത്തിക്കുന്നു.

3. Kernel & Device Guard / WDAC

ഹൈപ്പർവൈസർ-പ്രൊട്ടക്റ്റഡ് കോഡ് ഇൻ്റഗ്രിറ്റി (HVCI) ഉപയോഗിച്ച് കേർണൽ ലോഡ് ചെയ്യുന്നു. ഓരോ ഡ്രൈവറും കേർണൽ മൊഡ്യൂളും ഒരു നയം (WDAC) നടപ്പിലാക്കുന്നതിന് മുമ്പ് പരിശോധിച്ചുറപ്പിച്ചിരിക്കുന്നു. അംഗീകൃത പ്രസാധകർ (മൈക്രോസോഫ്റ്റ്, നിങ്ങളുടെ സ്ഥാപനം) ഒപ്പിട്ട ബൈനറികൾക്ക് മാത്രമേ പ്രവർത്തിക്കാനാകൂ - റൂട്ട്കിറ്റുകളും ഒപ്പിടാത്ത ഡ്രൈവറുകളും ഫലപ്രദമായി തടയുന്നു.

4. DirectAccess & VPN Client

നെറ്റ്‌വർക്ക് കണക്റ്റിവിറ്റി ലഭ്യമാകുമ്പോൾ, ഡയറക്ട് ആക്‌സസ് ക്ലയൻ്റ് മെഷീൻ സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് കോർപ്പറേറ്റ് നെറ്റ്‌വർക്കിലേക്ക് ഒരു IPsec ടണൽ സ്ഥാപിക്കാൻ ശ്രമിക്കുന്നു. ഉപയോക്താവ് സൈൻ ഇൻ ചെയ്‌തിട്ടില്ലെങ്കിലും വിദൂര ഉപകരണ മാനേജ്‌മെൻ്റ് (പാച്ച് വിന്യാസം, നയ അപ്‌ഡേറ്റുകൾ) പ്രവർത്തനക്ഷമമാക്കിക്കൊണ്ട്, ഉപയോക്തൃ ലോഗിൻ ചെയ്യുന്നതിന് മുമ്പ് ഇത് സംഭവിക്കുന്നു.

5. User Logon with Windows Hello for Business

ലോഗിൻ സ്ക്രീനിൽ, Windows Hello for Business (ബയോമെട്രിക് അല്ലെങ്കിൽ PIN) ഉപയോക്താവിനെ Azure AD അല്ലെങ്കിൽ ഓൺ-പ്രിമൈസ് ആക്റ്റീവ് ഡയറക്‌ടറിയിലേക്ക് പ്രാമാണീകരിക്കുന്നു. റിമോട്ട് ക്രെഡൻഷ്യൽ ഗാർഡ് ടാർഗെറ്റ് മെഷീനിലേക്ക് അവരുടെ ക്രെഡൻഷ്യലുകൾ അയയ്‌ക്കാതെ തന്നെ വിദൂര ഉറവിടങ്ങൾ ആക്‌സസ് ചെയ്യാൻ ഉപയോക്താവിനെ അനുവദിക്കുന്നു.

6. Group Policy / MDM Refresh & BranchCache

പശ്ചാത്തല സേവനങ്ങൾ ഡൊമെയ്ൻ കൺട്രോളറുകളിൽ നിന്നോ ഇൻ്റ്യൂൺ എംഡിഎം പോളിസികളിൽ നിന്നോ ഗ്രൂപ്പ് പോളിസി ഒബ്‌ജക്‌റ്റുകൾ (ജിപിഒകൾ) പുതുക്കുന്നു. 'ഡിസ്ട്രിബ്യൂട്ടഡ് കാഷെ മോഡിൽ' ബ്രാഞ്ച് കാഷെ മുമ്പ് ഡൗൺലോഡ് ചെയ്‌ത ഫയലുകൾക്കായി ലോക്കൽ പിയർ കാഷെ പരിശോധിക്കുന്നു, അനാവശ്യ WAN കൈമാറ്റങ്ങൾ ഒഴിവാക്കുന്നു.

7. Windows Defender Application Guard (Optional)

ഒരു അഡ്മിനിസ്ട്രേറ്റർ ആപ്ലിക്കേഷൻ ഗാർഡ് മോഡിൽ (അല്ലെങ്കിൽ പോളിസി വഴി) എഡ്ജ് സമാരംഭിക്കുകയാണെങ്കിൽ, ഒരു പുതിയ ഹൈപ്പർ-വി കണ്ടെയ്‌നർ ഒരു കുറഞ്ഞ വിൻഡോസ് ഇമേജിൽ ആരംഭിക്കുന്നു. നയത്താൽ നിയന്ത്രിക്കപ്പെടുന്ന ക്ലിപ്പ്ബോർഡും ഫയൽ റീഡയറക്‌ഷനും ഉപയോഗിച്ച് ബ്രൗസർ ഈ സാൻഡ്‌ബോക്‌സിനുള്ളിൽ പ്രവർത്തിക്കുന്നു. കണ്ടെയ്നർ അടയ്ക്കുന്നത് എല്ലാ മാറ്റങ്ങളും നിരസിക്കുന്നു.

8. Microsoft Defender for Endpoint Sensors

ഡിഫെൻഡർ ഫോർ എൻഡ് പോയിൻ്റ് സെൻസർ (`MsSense.exe`) പ്രോസസ്സ് ക്രിയേഷൻ, നെറ്റ്‌വർക്ക് കണക്ഷനുകൾ, ഫയൽ റൈറ്റുകൾ, രജിസ്ട്രി മാറ്റങ്ങൾ എന്നിവ നിരീക്ഷിക്കുന്നു. തത്സമയ റിസ്ക് വിശകലനത്തിനായി ബിഹേവിയറൽ സിഗ്നലുകൾ ക്ലൗഡിലേക്ക് അയയ്ക്കുന്നു. ഒരു ഭീഷണി കണ്ടെത്തിയാൽ, സ്വയമേവയുള്ള പ്രതികരണ പ്രവർത്തനങ്ങൾ (ഐസൊലേഷൻ, ഫയൽ ക്വാറൻ്റൈൻ) പ്രവർത്തനക്ഷമമാക്കാം.

9. Windows Update for Business & Desktop Analytics

ബിസിനസിനായുള്ള വിൻഡോസ് അപ്‌ഡേറ്റ് ഡിഫെറൽ പോളിസികളും (ഫീച്ചർ അപ്‌ഡേറ്റുകൾക്ക് 365 ദിവസം വരെ) റിംഗുകളും അപ്‌ഡേറ്റ് ചെയ്യുന്നു. ഡെസ്‌ക്‌ടോപ്പ് അനലിറ്റിക്‌സ് അപ്‌ഗ്രേഡ് റെഡിനെസ് ഇൻസൈറ്റുകൾ നൽകുന്നതിന് കോൺഫിഗറേഷൻ മാനേജറുമായി സംയോജിക്കുന്നു - വിന്യാസത്തിന് മുമ്പ് ആപ്ലിക്കേഷൻ അനുയോജ്യത പ്രശ്നങ്ങൾ തിരിച്ചറിയുന്നു.

Key Features

Credential Guard

വിർച്ച്വലൈസേഷൻ അടിസ്ഥാനമാക്കിയുള്ള സുരക്ഷ LSASS-നെ ഒറ്റപ്പെടുത്തുന്നു - പാസ്-ദി-ഹാഷ്, പാസ്-ദി-ടിക്കറ്റ് ആക്രമണങ്ങളെ തടയുന്നു. TPM 2.0, UEFI ലോക്ക് എന്നിവ ആവശ്യമാണ്.

Application Guard for Edge

വെബ് ബ്രൗസിംഗിനായുള്ള ഹാർഡ്‌വെയർ-ഒറ്റപ്പെട്ട കണ്ടെയ്‌നർ - ക്ഷുദ്ര വെബ്‌സൈറ്റുകൾക്ക് ഹോസ്റ്റ് OS-നെ വിട്ടുവീഴ്ച ചെയ്യാൻ കഴിയില്ല. ക്ലിപ്പ്ബോർഡ് നിയന്ത്രണവും ഫയൽ റീഡയറക്ഷൻ നയങ്ങളും പിന്തുണയ്ക്കുന്നു.

DirectAccess

എല്ലായ്‌പ്പോഴും ഓൺ, IPsec ഉപയോഗിച്ച് സുതാര്യമായ VPN. ഉപയോക്തൃ ലോഗോണിന് മുമ്പ് കണക്റ്റുചെയ്യുന്നു, മൾട്ടി-സൈറ്റിനെ പിന്തുണയ്ക്കുന്നു, കൂടാതെ സർട്ടിഫിക്കറ്റ് ആധികാരികതയുമായി സംയോജിപ്പിക്കുന്നു.

BranchCache

SMB/HTTP ഉള്ളടക്കത്തിൻ്റെ വിതരണം ചെയ്തതോ ഹോസ്റ്റുചെയ്തതോ ആയ കാഷിംഗ് - ബ്രാഞ്ച് ഓഫീസ് ഉപയോക്താക്കൾക്ക് WAN ബാൻഡ്‌വിഡ്ത്തും ലേറ്റൻസിയും കുറയ്ക്കുന്നു.

Windows Defender Application Control (WDAC)

ഹൈപ്പർവൈസർ-സംരക്ഷിത കോഡ് സമഗ്രത - വിശ്വസനീയമായ എക്സിക്യൂട്ടബിളുകൾ, ഡ്രൈവറുകൾ, സ്ക്രിപ്റ്റുകൾ എന്നിവ മാത്രം അനുവദിക്കുക. ransomware, fileless malware എന്നിവ കേർണൽ തലത്തിൽ തടയുന്നു.

AppLocker

EXE-കൾ, MSI-കൾ, സ്‌ക്രിപ്റ്റുകൾ, സ്‌റ്റോർ ആപ്പുകൾ എന്നിവയ്‌ക്കായുള്ള റൂൾ ശേഖരങ്ങളുള്ള ഉപയോക്തൃ മോഡ് അപ്ലിക്കേഷൻ വൈറ്റ്‌ലിസ്റ്റിംഗ്. പരിശോധനയ്ക്കുള്ള ഓഡിറ്റ് മോഡ്.

Microsoft Defender for Endpoint

പൂർണ്ണ എൻ്റർപ്രൈസ് ഇഡിആർ - ബിഹേവിയറൽ സെൻസറുകൾ, ക്ലൗഡ് എഐ, ഓട്ടോമേറ്റഡ് ഇൻവെസ്റ്റിഗേഷൻ, ത്രെട്ട് & വൾനറബിലിറ്റി മാനേജ്മെൻ്റ്, പ്രതികരണ പ്രവർത്തനങ്ങൾ (ഐസൊലേഷൻ, ക്വാറൻ്റൈൻ).

BitLocker

TPM, PIN എന്നിവയുള്ള പൂർണ്ണ-ഡിസ്ക് എൻക്രിപ്ഷൻ. എൻ്റർപ്രൈസ് ബിറ്റ്‌ലോക്കർ നെറ്റ്‌വർക്ക് അൺലോക്ക് (കോർപ്പറേറ്റ് നെറ്റ്‌വർക്കിലേക്ക് കണക്റ്റുചെയ്യുമ്പോൾ എൻക്രിപ്റ്റുചെയ്‌ത ഡ്രൈവിൽ നിന്ന് ബൂട്ട് ചെയ്യുക), മൈക്രോസോഫ്റ്റ് ബിറ്റ്‌ലോക്കർ അഡ്മിനിസ്ട്രേഷൻ ആൻഡ് മോണിറ്ററിംഗ് (എംബിഎഎം) സംയോജനം എന്നിവ ചേർക്കുന്നു.

Windows Hello for Business

ബയോമെട്രിക്സ് + ടിപിഎം ഉപയോഗിച്ചുള്ള ടു-ഫാക്ടർ പ്രാമാണീകരണം. കീ-അധിഷ്‌ഠിത അല്ലെങ്കിൽ സർട്ടിഫിക്കറ്റ് അടിസ്ഥാനമാക്കിയുള്ള പ്രാമാണീകരണം ഉപയോഗിച്ച് പാസ്‌വേഡുകൾ മാറ്റിസ്ഥാപിക്കുന്നു. Azure AD, ഓൺ-പ്രിമൈസ് AD എന്നിവയെ പിന്തുണയ്ക്കുന്നു.

Desktop Analytics

വിൻഡോസ് ഫീച്ചർ അപ്‌ഡേറ്റുകളുമായുള്ള ആപ്ലിക്കേഷൻ അനുയോജ്യത വിലയിരുത്തുന്നതിന് കോൺഫിഗറേഷൻ മാനേജറുമായുള്ള സംയോജനം. പൈലറ്റ് ശുപാർശകളും റോൾബാക്ക് സ്ഥിതിവിവരക്കണക്കുകളും നൽകുന്നു.

Windows Update for Business (Advanced)

ഫീച്ചർ അപ്‌ഡേറ്റുകൾ 365 ദിവസം വരെയും ഗുണനിലവാരമുള്ള അപ്‌ഡേറ്റുകൾ 30 ദിവസം വരെയും മാറ്റിവയ്ക്കുക. അപ്‌ഡേറ്റ് റിംഗുകൾ ഉപയോഗിച്ച് ഉപകരണ ഗ്രൂപ്പുകൾ (പൈലറ്റ്, ബ്രോഡ്, ക്രിട്ടിക്കൽ) സൃഷ്‌ടിക്കുക. ഡെലിവറി ഒപ്റ്റിമൈസേഷനുമായി സംയോജിപ്പിക്കുന്നു (പിയർ-ടു-പിയർ).

Universal Print

ക്ലൗഡ് അടിസ്ഥാനമാക്കിയുള്ള പ്രിൻ്റ് സൊല്യൂഷൻ - പ്രിൻ്റ് സെർവറുകളൊന്നും ആവശ്യമില്ല. എൻ്റർപ്രൈസ് പതിപ്പിൽ യൂണിവേഴ്സൽ പ്രിൻ്റ് കണക്ടറുകളുടെ മാനേജ്മെൻ്റും ഓരോ ഉപയോക്താവിനും പ്രിൻ്റ് ജോബ് ക്വാട്ടയും ഉൾപ്പെടുന്നു.

Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management

ക്ലൗഡ് എംഡിഎം (ഇൻ്റ്യൂൺ), ഓൺ-പ്രിമൈസ് എസ്‌സിസിഎം എന്നിവ ഉപയോഗിച്ച് ഉപകരണങ്ങൾ പരിധിയില്ലാതെ നിയന്ത്രിക്കുക. സോപാധിക ആക്‌സസ്, പാലിക്കൽ നയങ്ങൾ, വിദൂര പ്രവർത്തനങ്ങൾ (വൈപ്പ്, റിട്ടയർ, സമന്വയം) എന്നിവ പ്രവർത്തനക്ഷമമാക്കുന്നു.

Long‑Term Servicing Channel (LTSC)

ഫീച്ചർ മാറ്റങ്ങളില്ലാതെ 10 വർഷത്തെ സുരക്ഷാ അപ്‌ഡേറ്റുകൾ - ഫിക്സഡ് പർപ്പസ് ഉപകരണങ്ങൾക്ക് (എടിഎമ്മുകൾ, മെഡിക്കൽ, ഇൻഡസ്ട്രിയൽ). സോഫ്റ്റ്‌വെയർ അഷ്വറൻസ് ഉപയോഗിച്ച് മാത്രം.

Credential Guard & Virtualisation‑Based Security

ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൽ നിന്ന് രഹസ്യങ്ങൾ ഒറ്റപ്പെടുത്തുക - കേർണൽ മാൽവെയറിന് പോലും ഹാഷുകൾ മോഷ്ടിക്കാൻ കഴിയില്ല

How Credential Guard Works

ഒരു ഹാർഡ്‌വെയർ ഒറ്റപ്പെട്ട വെർച്വൽ മെഷീനിനുള്ളിൽ ലോക്കൽ സെക്യൂരിറ്റി അതോറിറ്റി സബ്സിസ്റ്റം സർവീസ് (LSASS) പ്രവർത്തിപ്പിക്കുന്നതിന് ക്രെഡൻഷ്യൽ ഗാർഡ് വെർച്വലൈസേഷൻ-അടിസ്ഥാന സുരക്ഷ (VBS) ഉപയോഗിക്കുന്നു. ഈ സുരക്ഷിത VM-ന് പുറത്തുള്ള Windows പ്രോസസ്സുകൾക്ക് ഹാഷ് ചെയ്ത ക്രെഡൻഷ്യലുകളോ Kerberos ടിക്കറ്റുകളോ ഉള്ളിൽ സംഭരിച്ചിരിക്കുന്ന NTLM ഹാഷുകളോ ആക്‌സസ് ചെയ്യാൻ കഴിയില്ല. പാസ്-ദി-ഹാഷ്, പാസ്-ദി-ടിക്കറ്റ് ആക്രമണങ്ങൾ അസാധ്യമാണ്, കാരണം രഹസ്യങ്ങൾ ഒരിക്കലും ഒറ്റപ്പെട്ട അന്തരീക്ഷത്തിൽ നിന്ന് പുറത്തുപോകില്ല.

Requirements & Enablement

Intel VT‑x (വിപുലീകരിച്ച പേജ് ടേബിളുകൾക്കൊപ്പം) അല്ലെങ്കിൽ AMD‑V (റാപ്പിഡ് വെർച്വലൈസേഷൻ ഇൻഡെക്‌സിംഗ് ഉള്ളത്), UEFI ലോക്ക്, TPM 2.0 എന്നിവയ്‌ക്കൊപ്പം 64-ബിറ്റ് സിപിയു ആവശ്യമാണ്. ഗ്രൂപ്പ് നയം വഴി പ്രവർത്തനക്ഷമമാക്കുക: `കമ്പ്യൂട്ടർ കോൺഫിഗറേഷൻ → അഡ്മിനിസ്ട്രേറ്റീവ് ടെംപ്ലേറ്റുകൾ → സിസ്റ്റം → ഡിവൈസ് ഗാർഡ് → വെർച്വലൈസേഷൻ അടിസ്ഥാനമാക്കിയുള്ള സുരക്ഷ ഓണാക്കുക`. 'ക്രെഡൻഷ്യൽ ഗാർഡിനൊപ്പം പ്രവർത്തനക്ഷമമാക്കി' എന്ന് സജ്ജമാക്കുക.

Key Protection & Remote Credential Guard

കീ ട്രസ്റ്റ് (TPM-ബൗണ്ട് കീകൾ), സർട്ടിഫിക്കറ്റ് ട്രസ്റ്റ് (സ്മാർട്ട്കാർഡ് സർട്ടിഫിക്കറ്റുകൾ) എന്നിവയും ക്രെഡൻഷ്യൽ ഗാർഡ് പരിരക്ഷിക്കുന്നു. റിമോട്ട് ക്രെഡൻഷ്യൽ ഗാർഡ് ഇത് RDP സെഷനുകളിലേക്ക് നീട്ടുന്നു - ഒരു ഉപയോക്താവ് ഒരു റിമോട്ട് പിസിയിലേക്ക് കണക്റ്റുചെയ്യുമ്പോൾ, അവരുടെ ക്രെഡൻഷ്യലുകൾ ഒരിക്കലും ക്ലയൻ്റ് മെഷീനിൽ നിന്ന് പുറത്തുപോകില്ല. ടാർഗെറ്റ് പിസിക്ക് ലഭിക്കുന്നത് കെർബറോസ് സേവന ടിക്കറ്റാണ്, ഉപയോക്താവിൻ്റെ പാസ്‌വേഡ് ഹാഷല്ല.

Performance Impact

സുരക്ഷിത VM-നും സാധാരണ OS-നും ഇടയിൽ സന്ദർഭ സ്വിച്ചിംഗിനായി VBS ഒരു ചെറിയ ഓവർഹെഡ് (2‑5% CPU) ചുമത്തുന്നു. ആധുനിക സെർവർ-ക്ലാസ് ഹാർഡ്‌വെയറിൽ, മിക്ക ജോലിഭാരങ്ങൾക്കും ഇത് നിസ്സാരമാണ്. ചില ലെഗസി ഡ്രൈവറുകളും ആപ്ലിക്കേഷനുകളും (പ്രത്യേകിച്ച് ആൻ്റി-ചീറ്റ് ഗെയിം സോഫ്‌റ്റ്‌വെയർ) പൊരുത്തമില്ലാത്തതിനാൽ VBS ഓണാക്കുന്നതിൽ നിന്ന് തടയും.

Windows Defender Application Guard (WDAG)

ഹാർഡ്‌വെയർ-ഒറ്റപ്പെട്ട ബ്രൗസിംഗ് - വിശ്വസനീയമല്ലാത്ത വെബ്‌സൈറ്റുകൾ സർഫ് ചെയ്യുന്നതിനുള്ള ഏറ്റവും സുരക്ഷിതമായ മാർഗം

Hyper‑V Container per Browser Session

ഭാരം കുറഞ്ഞ ഹൈപ്പർ-വി കണ്ടെയ്‌നറിനുള്ളിൽ WDAG മൈക്രോസോഫ്റ്റ് എഡ്ജ് സമാരംഭിക്കുന്നു. ഈ കണ്ടെയ്‌നർ ഹോസ്റ്റ് OS-ൻ്റെ ഒരു പകർപ്പ് ഉപയോഗിക്കുന്നു, എന്നാൽ ഹോസ്റ്റിൻ്റെ മെമ്മറിയിലേക്കോ സംഭരണത്തിലേക്കോ നെറ്റ്‌വർക്ക് സ്റ്റാക്കിലേക്കോ (ഒരു വെർച്വൽ സ്വിച്ച് വഴി ഒഴികെ) ആക്‌സസ് ഇല്ലാത്ത ഒരു പ്രത്യേക വെർച്വൽ മെഷീനിൽ പ്രവർത്തിക്കുന്നു. ഒരു വെബ്‌സൈറ്റ് ബ്രൗസറിനെ ചൂഷണം ചെയ്‌താൽ, ആക്രമണകാരിക്ക് കണ്ടെയ്‌നറിലേക്ക് മാത്രമേ ആക്‌സസ് ലഭിക്കൂ - ഹോസ്റ്റ് പൂർണ്ണമായും സ്പർശിക്കാതെ തുടരുന്നു.

Configuration & Policies

ഗ്രൂപ്പ് പോളിസി അല്ലെങ്കിൽ ഇൻട്യൂൺ വഴി പ്രവർത്തനക്ഷമമാക്കുക: `അഡ്‌മിനിസ്‌ട്രേറ്റീവ് ടെംപ്ലേറ്റുകൾ → വിൻഡോസ് ഘടകങ്ങൾ → വിൻഡോസ് ഡിഫൻഡർ ആപ്ലിക്കേഷൻ ഗാർഡ് → വിൻഡോസ് ഡിഫൻഡർ ആപ്ലിക്കേഷൻ ഗാർഡ് ഓണാക്കുക`. നയങ്ങൾ ക്ലിപ്പ്ബോർഡ് ആക്സസ് (പകർത്തുക/ഒട്ടിക്കുക അനുവദനീയമാണോ?), ഫയൽ ഡൗൺലോഡ് റീഡയറക്ഷൻ (ഹോസ്റ്റിലേക്ക് സംരക്ഷിക്കണോ?), കണ്ടെയ്നറിൽ നിന്നുള്ള പ്രിൻ്റിംഗ് എന്നിവ നിയന്ത്രിക്കുന്നു. നിങ്ങൾക്ക് എൻ്റർപ്രൈസ് റിസോഴ്സ് ട്രസ്റ്റ് നിർവചിക്കാം (ഉദാ. ആന്തരിക ഷെയർപോയിൻ്റ് സൈറ്റുകൾ സാധാരണ എഡ്ജിൽ തുറക്കുന്നു).

Performance & User Experience

കണ്ടെയ്നർ സൃഷ്ടിക്കാൻ ആദ്യ വിക്ഷേപണം 5-10 സെക്കൻഡ് എടുക്കും; കാഷിംഗ് കാരണം തുടർന്നുള്ള ലോഞ്ചുകൾ വേഗത്തിലാണ്. അകത്തു കടന്നാൽ, ബ്രൗസിംഗ് നേറ്റീവ് ആണ്. കണ്ടെയ്നർ ഒരു ഡാറ്റയും നിലനിർത്തുന്നില്ല - കണ്ടെയ്നർ അടയ്ക്കുമ്പോൾ കുക്കികൾ, ഡൗൺലോഡുകൾ, ബ്രൗസിംഗ് ചരിത്രം എന്നിവ നിരസിക്കപ്പെടും. ഉപയോക്താക്കൾ 'അപ്ലിക്കേഷൻ ഗാർഡ്' മോഡിൽ ആണെന്ന് സൂചിപ്പിക്കുന്ന ഒരു പ്രത്യേക യുഐ കാണുന്നു.

Integration with Defender for Endpoint

കണ്ടെയ്‌നറിനുള്ളിൽ ഒരു ക്ഷുദ്രവെയർ സാമ്പിൾ കണ്ടെത്തിയാൽ, എൻഡ്‌പോയിൻ്റിനായുള്ള ഡിഫെൻഡറിന് പേലോഡ് സ്വയമേവ ശേഖരിച്ച് വിശകലനത്തിനായി സമർപ്പിക്കാനാകും. സംശയാസ്പദമായ പെരുമാറ്റം കണ്ടെത്തിയാൽ, കണ്ടെയ്നർ സ്വയമേവ അറിയപ്പെടുന്ന-നല്ല അവസ്ഥയിലേക്ക് പുനഃസജ്ജമാക്കാനും കഴിയും.

DirectAccess & BranchCache

വിതരണം ചെയ്ത ഓർഗനൈസേഷനുകൾക്കുള്ള തടസ്സമില്ലാത്ത വിദൂര ആക്‌സസും WAN ഒപ്റ്റിമൈസേഷനും

DirectAccess – Always On VPN

ഉപകരണത്തിന് ഇൻ്റർനെറ്റ് ആക്‌സസ് ലഭിച്ചാലുടൻ കോർപ്പറേറ്റ് നെറ്റ്‌വർക്കിലേക്ക് ഡയറക്‌ട് ആക്‌സസ് ഒരു സ്വയമേവയുള്ള, സുതാര്യമായ, എപ്പോഴും-ഓൺ IPsec ടണൽ നൽകുന്നു. ഉപയോക്തൃ ഇൻപുട്ടില്ല (കണക്‌റ്റുചെയ്യാൻ ക്ലിക്ക് ഇല്ല) - ഇത് പ്രാമാണീകരണത്തിനായി മെഷീൻ സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിക്കുന്നു. NAT-കൾക്കും ഫയർവാളുകൾക്കും പിന്നിൽ പോലും, ഉപയോക്താക്കൾ ആന്തരിക ഉറവിടങ്ങൾ (ഫയൽ ഷെയറുകൾ, ഇൻട്രാനെറ്റ് സൈറ്റുകൾ) ആക്‌സസ് ചെയ്യുന്നു. ഡയറക്‌ട് ആക്‌സസ് മൾട്ടി-സൈറ്റ് വിന്യാസത്തെ പിന്തുണയ്‌ക്കുകയും നെറ്റ്‌വർക്ക് ആക്‌സസ് പ്രൊട്ടക്ഷനുമായി (NAP) (ലെഗസി) സംയോജിപ്പിക്കുകയും ചെയ്യുന്നു.

DirectAccess vs Traditional VPN

പരമ്പരാഗത VPN-ന് ഉപയോക്താവ് സ്വമേധയാ കണക്റ്റുചെയ്യേണ്ടതുണ്ട്, നിഷ്‌ക്രിയമായതിന് ശേഷം വിച്ഛേദിക്കാം, കൂടാതെ ഉപയോക്തൃ ലോഗിൻ ചെയ്യുന്നതിന് മുമ്പ് ഇത് പ്രവർത്തിക്കില്ല. ലോഗിൻ ചെയ്യുന്നതിന് മുമ്പ് ഡയറക്‌ട് ആക്‌സസ് സ്വയമേവ കണക്‌റ്റ് ചെയ്യുന്നു, അനിശ്ചിതമായി കണക്‌റ്റ് ചെയ്‌തിരിക്കുന്നു, കൂടാതെ ഫോഴ്‌സ് ടണലിംഗ് (എല്ലാ ഇൻ്റർനെറ്റ് ട്രാഫിക്കും കോർപ്പറേറ്റ് നെറ്റ്‌വർക്കിലൂടെ റൂട്ട് ചെയ്യപ്പെടുന്നു) അല്ലെങ്കിൽ സ്പ്ലിറ്റ് ടണലിംഗിനെ പിന്തുണയ്‌ക്കുന്നു. ലാപ്‌ടോപ്പുകളുടെ വിദൂര മാനേജ്‌മെൻ്റിനും ആന്തരിക ഉറവിടങ്ങളിലേക്കുള്ള നിരന്തരമായ ആക്‌സസിനും ഇത് അനുയോജ്യമാണ്.

BranchCache – Reduce WAN Traffic

പ്രാദേശിക ക്ലയൻ്റ് പിസികളിലെ റിമോട്ട് ഫയൽ സെർവറുകൾ (എസ്എംബി ഷെയറുകൾ), എച്ച്ടിടിപി (വെബ്) സെർവറുകൾ അല്ലെങ്കിൽ ഓൺ-സൈറ്റ് ഹോസ്റ്റ് ചെയ്ത കാഷെ സെർവർ എന്നിവയിൽ നിന്നുള്ള ഉള്ളടക്കം BranchCache കാഷെ ചെയ്യുന്നു. ഡിസ്ട്രിബ്യൂട്ടഡ് കാഷെ മോഡിൽ, ഓരോ ക്ലയൻ്റും ഉള്ളടക്കം കാഷെ ചെയ്യുകയും പ്രാദേശിക LAN കണ്ടെത്തൽ (WS-Discovery) വഴി പിയർ ക്ലയൻ്റുകളുമായി പങ്കിടുകയും ചെയ്യുന്നു. ഹോസ്‌റ്റ് ചെയ്‌ത കാഷെ മോഡിൽ, ഒരു സമർപ്പിത വിൻഡോസ് സെർവർ കേന്ദ്ര കാഷായി പ്രവർത്തിക്കുന്നു. ഇതേ ഫയലിനായുള്ള തുടർന്നുള്ള അഭ്യർത്ഥനകൾ ലോക്കൽ കാഷെയിൽ നിന്ന് നൽകപ്പെടുന്നു, ഇത് ലേറ്റൻസിയും WAN ഉപയോഗവും ഗണ്യമായി കുറയ്ക്കുന്നു.

BranchCache Security

SHA‑256 ഉപയോഗിച്ച് ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുകയും സമഗ്രത പരിശോധിക്കുകയും ചെയ്യുന്നു. ഉപഭോക്താക്കൾക്ക് അവർ ആവശ്യപ്പെടുന്ന ഫയലിൻ്റെ ഭാഗങ്ങൾ മാത്രമേ ലഭിക്കൂ, അനധികൃത പുനർനിർമ്മാണം തടയാൻ കാഷെ വിഭജിച്ചിരിക്കുന്നു. Windows ഫയൽ സെർവറുമായി പരിധികളില്ലാതെ സംയോജിപ്പിച്ചിരിക്കുന്ന HTTP, SMB പ്രോട്ടോക്കോളുകളിൽ ബ്രാഞ്ച് കാഷെ പ്രവർത്തിക്കുന്നു.

Windows Defender Application Control (WDAC) & AppLocker

സീറോ-ട്രസ്റ്റ് ആപ്ലിക്കേഷൻ വൈറ്റ്‌ലിസ്റ്റിംഗ് - അംഗീകൃത സോഫ്റ്റ്‌വെയർ മാത്രം പ്രവർത്തിക്കുന്നു

WDAC – Hypervisor‑Protected Code Integrity

ഏത് എക്സിക്യൂട്ടബിൾ ഫയലുകൾ, ഡ്രൈവറുകൾ, സ്ക്രിപ്റ്റുകൾ, എംഎസ്ഐകൾ എന്നിവ വിശ്വസനീയമാണെന്ന് കൃത്യമായി വ്യക്തമാക്കാൻ WDAC (മുമ്പ് ഡിവൈസ് ഗാർഡ്) അഡ്മിനിസ്ട്രേറ്റർമാരെ അനുവദിക്കുന്നു. നിയമങ്ങൾ ഫയൽ പാത്ത്, പ്രസാധകൻ (ഡിജിറ്റൽ സർട്ടിഫിക്കറ്റ്), അല്ലെങ്കിൽ ഫയൽ ഹാഷ് എന്നിവയെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്. നയം നടപ്പിലാക്കുന്നത് ഹൈപ്പർവൈസർ (HVCI) ആണ്, കേർണൽ മോഡ് ക്ഷുദ്രവെയർ വഴി മറികടക്കാൻ കഴിയില്ല. WDAC-ന് അറിയപ്പെടുന്ന ക്ഷുദ്രവെയറുകൾ മാത്രമല്ല, ആക്രമണകാരികൾ ഉപയോഗിക്കുന്ന 'ലിവിംഗ് ഓഫ് ദ ലാൻഡ്' ബൈനറികളും (ഉദാ. PowerShell, wmic) തടയാൻ കഴിയും.

WDAC vs AppLocker

AppLocker എന്നത് എൻ്റർപ്രൈസിൽ (ഒപ്പം പ്രോ) ലഭ്യമായ ഒരു ഉപയോക്തൃ-മോഡ് നയ പരിഹാരമാണ് - കൈകാര്യം ചെയ്യാൻ എളുപ്പമാണ്, എന്നാൽ കേർണൽ ഡ്രൈവറുകൾക്ക് അത് മറികടക്കാൻ കഴിയും. WDAC ഒരു കേർണൽ-മോഡ്, ഹൈപ്പർവൈസർ-സംരക്ഷിത പരിഹാരമാണ് - കൂടുതൽ ശക്തമാണ്, എന്നാൽ സൂക്ഷ്മമായ ആസൂത്രണവും പരിശോധനയും ആവശ്യമാണ്. പല ഓർഗനൈസേഷനുകളും ഇവ രണ്ടും ഉപയോഗിക്കുന്നു: നിർണായകമായ സിസ്റ്റം സംരക്ഷണത്തിനായി WDAC, ഉപയോക്തൃ-ആപ്പ് നിയന്ത്രണങ്ങൾക്കുള്ള AppLocker.

Creating WDAC Policies

ഒരു റഫറൻസ് പിസിയിൽ `ConfigCI` PowerShell മൊഡ്യൂൾ ഉപയോഗിക്കുക. `ന്യൂ-സിഐപോളിസി` സിസ്റ്റം സ്കാൻ ചെയ്യുകയും നിലവിൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള എല്ലാ ആപ്ലിക്കേഷനുകളുടെയും ഡ്രൈവറുകളുടെയും അനുവദനീയമായ ലിസ്റ്റ് സൃഷ്ടിക്കുകയും ചെയ്യുന്നു. `ConvertFrom-CIPolicy` ബൈനറി ഫോർമാറ്റിലേക്ക് പരിവർത്തനം ചെയ്യുന്നു. ഗ്രൂപ്പ് പോളിസി അല്ലെങ്കിൽ MDM വഴി വിന്യസിക്കുക. യഥാർത്ഥത്തിൽ തടയാതെ തന്നെ ബ്ലോക്ക് ചെയ്യപ്പെടുന്നവ ലോഗ് ചെയ്യാൻ നിങ്ങൾക്ക് തുടക്കത്തിൽ ഓഡിറ്റ് മോഡിൽ പ്രവർത്തിപ്പിക്കാം.

AppLocker Rulesets for Enterprises

AppLocker അഞ്ച് റൂൾ കളക്ഷനുകളെ പിന്തുണയ്ക്കുന്നു: എക്സിക്യൂട്ടബിളുകൾ (.exe, .com), വിൻഡോസ് ഇൻസ്റ്റാളറുകൾ (.msi, .msp), സ്ക്രിപ്റ്റുകൾ (.ps1, .bat, .vbs, .js), DLL-കൾ, പാക്കേജ് ചെയ്ത ആപ്പുകൾ (സ്റ്റോർ ആപ്പുകൾ). ഓരോ ഉപയോക്തൃ ഗ്രൂപ്പിനും നയങ്ങൾ പ്രയോഗിക്കാവുന്നതാണ്. ഉദാഹരണത്തിന്: `C:\Program Files`, `C:\Program Files (x86)` എന്നിവയിൽ നിന്ന് പ്രോഗ്രാമുകൾ പ്രവർത്തിപ്പിക്കാൻ എല്ലാ ഉപയോക്താക്കളെയും അനുവദിക്കുക, എന്നാൽ `%USERPROFILE%\Downloads` അല്ലെങ്കിൽ `%TEMP%` എന്നിവയിൽ നിന്ന് പ്രവർത്തിക്കുന്നത് നിരസിക്കുക.

Microsoft Defender for Endpoint (formerly ATP)

ഓട്ടോമേറ്റഡ് അന്വേഷണവും പ്രതികരണവും ഉള്ള എൻ്റർപ്രൈസ് EDR

Next‑Generation Protection

ബിഹേവിയറൽ സെൻസറുകൾ, ക്ലൗഡ് AI, മെഷീൻ ലേണിംഗ് മോഡലുകൾ എന്നിവ പ്രോസസ്സ് പെരുമാറ്റങ്ങൾ, നെറ്റ്‌വർക്ക് കണക്ഷനുകൾ, രജിസ്ട്രി മാറ്റങ്ങൾ എന്നിവ വിശകലനം ചെയ്യുന്നു. അറ്റാക്ക് ഉപരിതല റിഡക്ഷൻ നിയമങ്ങൾ (ഉദാ. ചൈൽഡ് പ്രോസസുകൾ സൃഷ്‌ടിക്കുന്നതിൽ നിന്ന് ഓഫീസ് തടയുക, ഇമെയിൽ ക്ലയൻ്റിൽനിന്ന് എക്‌സിക്യൂട്ടബിൾ ഉള്ളടക്കം തടയുക) സാധാരണ അണുബാധ വെക്‌ടറുകൾ തടയുക.

Endpoint Detection & Response (EDR)

അവസാന പോയിൻ്റുകളിലേക്കുള്ള ആഴത്തിലുള്ള ദൃശ്യപരത: സംശയാസ്പദമായ പെരുമാറ്റങ്ങളെക്കുറിച്ചുള്ള അലേർട്ടുകൾ, മെഷീനുകളിലുടനീളമുള്ള അന്വേഷണങ്ങൾ, പ്രോസസ്സ് ട്രീകളുടെ ടൈംലൈൻ കാഴ്ചകൾ. സെക്യൂരിറ്റി ഓപ്പറേഷൻസ് സെൻ്ററുകൾക്ക് (എസ്ഒസി) 6 മാസം വരെ (ലൈസൻസ് അനുസരിച്ച്) റോ ടെലിമെട്രി അന്വേഷിക്കാൻ കഴിയും.

Automated Investigation & Remediation

ഒരു അലേർട്ട് പ്രവർത്തനക്ഷമമാകുമ്പോൾ, എൻഡ്‌പോയിൻ്റിനായുള്ള ഡിഫെൻഡറിന് സംഭവം സ്വയമേവ അന്വേഷിക്കാൻ കഴിയും: മൂലകാരണം നിർണ്ണയിക്കുക, നെറ്റ്‌വർക്കിൽ നിന്ന് ബാധിച്ച മെഷീനുകളെ വേർതിരിക്കുക (Microsoft Intune integration ഉപയോഗിച്ച്), ക്ഷുദ്രവസ്തുക്കൾ നീക്കം ചെയ്യുക (ഫയലുകൾ, രജിസ്ട്രി കീകൾ, ഷെഡ്യൂൾ ചെയ്ത ജോലികൾ).

Threat & Vulnerability Management (TVM)

നഷ്‌ടമായ സുരക്ഷാ അപ്‌ഡേറ്റുകൾ, തെറ്റായ കോൺഫിഗറേഷനുകൾ (ഉദാ. ദുർബലമായ ഫയർവാൾ നിയമങ്ങൾ), ദുർബലമായ സോഫ്റ്റ്‌വെയർ പതിപ്പുകൾ എന്നിവ ടിവിഎം തുടർച്ചയായി കണ്ടെത്തുന്നു. ഇത് അപകടസാധ്യത അടിസ്ഥാനമാക്കിയുള്ള മുൻഗണന നൽകുന്നു - ചൂഷണ സാധ്യതയും അസറ്റ് എക്സ്പോഷറും അടിസ്ഥാനമാക്കിയുള്ള 'പാച്ച് ഫസ്റ്റ്' ശുപാർശകൾ.

Long‑Term Servicing Channel (LTSC)

ഫീച്ചർ മാറ്റങ്ങളില്ലാതെ 10 വർഷത്തെ സുരക്ഷാ അപ്‌ഡേറ്റുകൾ - നിശ്ചിത-ഉദ്ദേശ്യ ഉപകരണങ്ങൾക്കായി

What is LTSC?

ദീർഘകാല സേവന ചാനൽ (മുമ്പ് LTSB) Windows 10 എൻ്റർപ്രൈസിൻ്റെ ഒരു പ്രത്യേക പതിപ്പാണ്, അത് ഫീച്ചർ അപ്‌ഡേറ്റുകൾ സ്വീകരിക്കുന്നില്ല. ഇതിൽ 10 വർഷം വരെ (5 വർഷം മുഖ്യധാര + 5 വർഷം നീട്ടി) സുരക്ഷയും ഗുണനിലവാരമുള്ള അപ്‌ഡേറ്റുകളും ഉൾപ്പെടുന്നു. ഒരിക്കലും പ്രവർത്തനക്ഷമത മാറ്റാൻ പാടില്ലാത്ത ഉപകരണങ്ങൾക്ക് അനുയോജ്യം: എടിഎമ്മുകൾ, മെഡിക്കൽ ഉപകരണങ്ങൾ (എംആർഐ, സിടി സ്കാനറുകൾ), വ്യാവസായിക നിയന്ത്രണ സംവിധാനങ്ങൾ (എസ്‌സിഎഡിഎ), കിയോസ്‌ക്കുകൾ, എംബഡഡ് സിസ്റ്റങ്ങൾ.

What’s Missing in LTSC

Microsoft Edge (ലെഗസി പതിപ്പ് മാത്രം, Chromium അല്ല), Windows Store, Cortana, Inbox ആപ്പുകൾ (Mail, Calendar, Calculator), OneDrive കൂടാതെ ടൈംലൈനും സെറ്റുകളും പോലുള്ള ആധുനിക ഫീച്ചറുകളും ഇല്ലാതെ LTSC ഷിപ്പ് ചെയ്യുന്നു. ഇത് Windows 10-ൻ്റെ സെമി-വാർഷിക ഫീച്ചർ അപ്‌ഡേറ്റുകളെ പിന്തുണയ്ക്കുന്നില്ല (ഉദാ. 21H2, 22H2). ഇത് LTSC പുതിയ ഹാർഡ്‌വെയറുമായി പൊരുത്തപ്പെടുന്നില്ല (ഡ്രൈവറുകൾക്ക് പുതിയ വിൻഡോസ് ബിൽഡുകൾ ആവശ്യമായി വന്നേക്കാം).

Licensing & Availability

സജീവ സോഫ്റ്റ്‌വെയർ അഷ്വറൻസ് (വോളിയം ലൈസൻസിംഗ്) ഉള്ള ഉപഭോക്താക്കൾക്ക് LTSC മാത്രം ലഭ്യമാണ് അല്ലെങ്കിൽ Microsoft 365 E3/E5 വഴി (അവിടെ LTSC ഇല്ല - നിങ്ങൾക്ക് SA ആവശ്യമാണ്). ഓരോ പുതിയ LTSC റിലീസും അതിൻ്റെ റിലീസ് തീയതി മുതൽ 10 വർഷത്തേക്ക് പിന്തുണയ്ക്കുന്നു (ഉദാ. Windows 10 എൻ്റർപ്രൈസ് LTSC 2019 2029 വരെ, LTSC 2021 2031 വരെ പിന്തുണയ്ക്കുന്നു). ക്ലീൻ ഇൻസ്റ്റാളില്ലാതെ നിങ്ങൾക്ക് ഒരു LTSC റിലീസിൽ നിന്ന് മറ്റൊന്നിലേക്ക് അപ്‌ഗ്രേഡ് ചെയ്യാൻ കഴിയില്ല.

LTSC vs Semi‑Annual Channel (SAC)

മിക്ക എൻ്റർപ്രൈസ് ഉപകരണങ്ങളും സെമി-വാർഷിക ചാനൽ (SAC) ഉപയോഗിക്കണം - വർഷത്തിൽ രണ്ടുതവണ പുതിയ ഫീച്ചറുകൾ നേടുക. യുഐ മാറ്റങ്ങൾ സഹിക്കാനോ ഫീച്ചർ അപ്‌ഡേറ്റുകൾക്കായി റീബൂട്ട് ചെയ്യാനോ കഴിയാത്ത നിർണായക ഇൻഫ്രാസ്ട്രക്ചറിനായുള്ള ഒരു പ്രത്യേക ഉപകരണമാണ് LTSC. പൊതു-ഉദ്ദേശ്യ ഡെസ്‌ക്‌ടോപ്പുകൾ, ഓഫീസ് അല്ലെങ്കിൽ ഡെവലപ്‌മെൻ്റ് മെഷീനുകൾക്കായി LTSC ഉപയോഗിക്കുന്നതിനെതിരെ Microsoft ഉപദേശിക്കുന്നു.

Pros

✓ സമാനതകളില്ലാത്ത സുരക്ഷ - ക്രെഡൻഷ്യൽ ഗാർഡ്, ആപ്ലിക്കേഷൻ ഗാർഡ്, ഡബ്ല്യുഡിഎസി, എൻഡ്‌പോയിൻ്റിനായുള്ള ഡിഫൻഡർ എന്നിവ ആഴത്തിലുള്ള പ്രതിരോധം നൽകുന്നു
✓ഡയറക്ട് ആക്‌സസ് ഉപയോക്താവിനെ അഭിമുഖീകരിക്കുന്ന VPN - തടസ്സമില്ലാത്ത റിമോട്ട് ആക്‌സസ് മാനേജ്‌മെൻ്റ് ഇല്ലാതാക്കുന്നു
✓BranchCache ഫയൽ സെർവറുകൾക്കും വെബ് ആപ്പുകൾക്കുമായി ബ്രാഞ്ച് ഓഫീസ് അനുഭവം നാടകീയമായി മെച്ചപ്പെടുത്തുന്നു
✓ പൂർണ്ണ ഉപകരണ മാനേജുമെൻ്റ് - Intune, ConfigMgr, ഗ്രൂപ്പ് നയം, സഹ-മാനേജ്മെൻ്റ്
✓ബിസിനസിനായുള്ള വിൻഡോസ് അപ്‌ഡേറ്റ് 1 വർഷത്തെ ഡിഫെറലിനൊപ്പം - നിങ്ങളുടെ ഷെഡ്യൂളിലെ അപ്‌ഡേറ്റുകൾ പ്ലാൻ ചെയ്യുക
✓ ദീർഘകാല സേവന ചാനൽ (LTSC) റെഗുലേറ്ററി അല്ലെങ്കിൽ സ്ഥിരത-നിർണ്ണായക പരിതസ്ഥിതികൾക്കായി
✓AppLocker + WDAC - കേർണലിൽ നിന്ന് ഉപയോക്തൃ മോഡിലേക്ക് സീറോ-ട്രസ്റ്റ് ആപ്ലിക്കേഷൻ നയങ്ങൾ നടപ്പിലാക്കുക
✓എൻഡ്‌പോയിൻ്റിനായുള്ള മൈക്രോസോഫ്റ്റ് ഡിഫൻഡർ മൂന്നാം കക്ഷി ഏജൻ്റുമാരില്ലാതെ എൻ്റർപ്രൈസ് EDR നൽകുന്നു
✓ഡെസ്‌ക്‌ടോപ്പ് അനലിറ്റിക്‌സ് യഥാർത്ഥ ലോക അനുയോജ്യത ഡാറ്റ ഉപയോഗിച്ച് അപ്‌ഗ്രേഡ് റിസ്ക് കുറയ്ക്കുന്നു
✓റിമോട്ട് ക്രെഡൻഷ്യൽ ഗാർഡ് RDP സെഷനുകളിൽ ക്രെഡൻഷ്യലുകൾ സംരക്ഷിക്കുന്നു
✓ യൂണിവേഴ്സൽ പ്രിൻ്റ് പ്രിൻ്റ് സെർവർ സങ്കീർണ്ണത കുറയ്ക്കുന്നു
✓S മോഡിൽ Windows 10-നെ പിന്തുണയ്ക്കുന്നു – അതീവ നിയന്ത്രിത പരിതസ്ഥിതികൾക്കായി Microsoft Store ആപ്പുകളിലേക്ക് മാത്രം ലോക്ക് ഡൗൺ ചെയ്‌തിരിക്കുന്നു

Cons

✗ചില്ലറ വിൽപ്പനയ്‌ക്ക് ലഭ്യമല്ല – വോളിയം ലൈസൻസിംഗ് കരാർ ആവശ്യമാണ് (Microsoft 365 E3/E5 അല്ലെങ്കിൽ സോഫ്റ്റ്‌വെയർ അഷ്വറൻസ്)
✗പ്രോ - ഓരോ ഉപയോക്താവിനും / ഓരോ ഉപകരണത്തിനും സബ്‌സ്‌ക്രിപ്‌ഷൻ ഫീസ് (Microsoft 365-ൻ്റെ ഭാഗമായി ഒരു ഉപയോക്താവിന്/മാസം $7–$14) എന്നതിനേക്കാൾ ഉയർന്ന ചെലവ്
✗സങ്കീർണ്ണത - നിരവധി സവിശേഷതകൾ (WDAC, ക്രെഡൻഷ്യൽ ഗാർഡ്, ആപ്ലിക്കേഷൻ ഗാർഡ്) ശ്രദ്ധാപൂർവ്വം ആസൂത്രണവും പരിശോധനയും ആവശ്യമാണ്
✗ഹാർഡ്‌വെയർ ആവശ്യകതകൾ - VBS സവിശേഷതകൾക്ക് TPM 2.0, UEFI, സമീപകാല CPU-കൾ എന്നിവ ആവശ്യമാണ്; പഴയ ഉപകരണങ്ങൾ അവരെ പിന്തുണച്ചേക്കില്ല
✗അപ്ലിക്കേഷൻ അനുയോജ്യത പ്രശ്നങ്ങൾ - WDAC-ന് നിയമാനുസൃത സോഫ്‌റ്റ്‌വെയറിനെ തടയാൻ കഴിയും; ക്രെഡൻഷ്യൽ ഗാർഡ് ചില മൂന്നാം കക്ഷി പ്രാമാണീകരണ മൊഡ്യൂളുകൾ തകർക്കുന്നു
✗പെർഫോമൻസ് ഓവർഹെഡ് - VBS (ക്രെഡൻഷ്യൽ ഗാർഡ്, HVCI) പ്രകടനം 2‑8% കുറയ്ക്കും, ഉയർന്ന-I/O അല്ലെങ്കിൽ ഗെയിമിംഗ് വർക്ക്ലോഡുകളിൽ ശ്രദ്ധേയമാണ്
✗ഡയറക്ട് ആക്സസിന് വിൻഡോസ് സെർവർ ഇൻഫ്രാസ്ട്രക്ചർ ആവശ്യമാണ് (ഡയറക്ട് ആക്സസ് സെർവർ, പികെഐ, ഡിഎൻഎസ്, ഐപിവി6 ട്രാൻസിഷൻ ടെക്നോളജികൾ)
✗BranchCache ന് Windows സെർവർ ഫയൽ സെർവറുകളും ശ്രദ്ധാപൂർവമായ കാഷെ വലുപ്പവും ആവശ്യമാണ്
✗പിന്തുണ 2025 ഒക്‌ടോബർ 14-ന് അവസാനിക്കുന്നു - എല്ലാ Windows 10 പതിപ്പുകൾക്കും സമാനമാണ് (നിർദിഷ്ട റിലീസുകൾക്കായി LTSC 2031-ലേക്ക് പോകുമെങ്കിലും)
✗ഉപഭോക്തൃ ഫീച്ചറുകളൊന്നുമില്ല – Cortana, Windows Store (അപ്രാപ്‌തമാക്കാം), ഉപഭോക്തൃ ക്ലൗഡ് അനുഭവങ്ങൾ നയം വഴി ഓഫാക്കിയിരിക്കുന്നു (അത് പ്രതീക്ഷിക്കുന്ന ഉപയോക്താക്കളെ ആശയക്കുഴപ്പത്തിലാക്കിയേക്കാം)
✗എൽടിഎസ്‌സിക്ക് ആധുനിക ബ്രൗസറുകളും ആപ്പ് സ്റ്റോറുകളും ഇല്ല – മൈക്രോസോഫ്റ്റ് ടീമുകളോ പുതിയ എഡ്ജോ സ്റ്റോർ ആപ്പുകളോ പരിഹാരങ്ങളില്ലാതെ ഇൻസ്റ്റാൾ ചെയ്യാൻ കഴിയില്ല

Use Cases

5000+ ഉപകരണങ്ങളുള്ള വലിയ എൻ്റർപ്രൈസ് - Intune, ConfigMgr എന്നിവ വഴിയുള്ള കേന്ദ്രീകൃത മാനേജ്‌മെൻ്റ്, SOC-യ്‌ക്കുള്ള എൻഡ്‌പോയിൻ്റിനുള്ള ഡിഫൻഡർ, അനധികൃത സോഫ്‌റ്റ്‌വെയർ തടയാൻ WDACസാമ്പത്തിക സേവനങ്ങൾ / ബാങ്കിംഗ് - ക്രെഡൻഷ്യൽ ഗാർഡും വിർച്ച്വലൈസേഷൻ-അടിസ്ഥാന സുരക്ഷയും റെഗുലേറ്ററി ആവശ്യകതകൾ നിറവേറ്റുന്നതിന് (PCI-DSS, SOX, GDPR)ഹെൽത്ത്കെയർ - ബിറ്റ്‌ലോക്കറും ഡിഫൻഡറും ഉപയോഗിച്ച് രോഗികളുടെ ഡാറ്റ പരിരക്ഷിക്കുക; ഫീച്ചർ മാറ്റങ്ങൾ വരുത്താൻ കഴിയാത്ത മെഡിക്കൽ ഉപകരണങ്ങൾക്കുള്ള (MRI, വെൻ്റിലേറ്ററുകൾ) LTSCസർക്കാർ & പ്രതിരോധം - ക്ലാസിഫൈഡ് നെറ്റ്‌വർക്കുകൾ പരിരക്ഷിക്കുന്നതിന് WDAC, ആപ്ലിക്കേഷൻ ഗാർഡ്; സുരക്ഷിത വിദൂര ആക്‌സസിനുള്ള ഡയറക്‌ട് ആക്‌സസ്റീട്ടെയിൽ / ഹോസ്പിറ്റാലിറ്റി – അസൈൻഡ് ആക്സസും യൂണിവേഴ്സൽ പ്രിൻ്റും ഉള്ള കിയോസ്ക് മോഡ്; സ്റ്റോർ-ലെവൽ ഫയൽ സെർവർ കാഷിംഗിനുള്ള ബ്രാഞ്ച് കാഷെനിർമ്മാണം / വ്യാവസായിക - SCADA സിസ്റ്റങ്ങൾ പ്രവർത്തിക്കുന്ന ഫാക്ടറി ഫ്ലോർ പിസികളിൽ LTSC; ആസൂത്രണം ചെയ്യാത്ത റീബൂട്ടുകളോ UI മാറ്റങ്ങളോ ഇല്ലറിമോട്ട് / റോമിംഗ് വർക്ക്ഫോഴ്‌സ് - കോഫി ഷോപ്പുകളിൽ നിന്നും ഹോട്ടലുകളിൽ നിന്നും ഉപയോക്തൃ ഇടപെടൽ കൂടാതെ ആന്തരിക ഉറവിടങ്ങളിലേക്ക് ഡയറക്‌റ്റ് ആക്‌സസ് തടസ്സമില്ലാത്ത ആക്‌സസ് നൽകുന്നുസോഫ്‌റ്റ്‌വെയർ ഡെവലപ്‌മെൻ്റ് ഹൗസ് – വിൻഡോസ് സാൻഡ്‌ബോക്‌സും ഹൈപ്പർ-വിയും ടെസ്റ്റിംഗിനായി; ആപ്ലിക്കേഷൻ അനുവദനീയ ലിസ്റ്റുകൾ നിർമ്മിക്കാൻ ഓഡിറ്റ് മോഡിൽ WDACവിദ്യാഭ്യാസ ഐടി ജീവനക്കാർ/അഡ്മിൻ - വിദ്യാർത്ഥി ലാബുകൾക്കല്ല, പൂർണ്ണ എൻ്റർപ്രൈസ് സുരക്ഷ ആവശ്യമുള്ള ഫാക്കൽറ്റികൾക്കും അഡ്മിനിസ്ട്രേറ്റീവ് ഉപകരണങ്ങൾക്കും

Hidden & Useful Shortcuts

Master Windows 10 with these time‑saving keyboard shortcuts

Win

Open Start Menu (Cortana disabled by default on Enterprise)

WinA

Open Action Centre

WinD

Show desktop

WinE

Open File Explorer

WinI

Open Settings

WinL

Lock workstation – secure against physical access

WinR

Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)

WinX

Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer

WinS

Open Search (Cortana disabled but search works)

WinTab

Task View – virtual desktops (useful for separating classified and unclassified work)

WinCtrlD

New virtual desktop

WinCtrlF4

Close current virtual desktop

WinCtrlLeft/Right

Switch between virtual desktops

WinG

Open Game Bar (if not removed by policy)

WinShiftS

Open Snip & Sketch for custom screenshots

WinV

Open clipboard history (if enabled by policy)

Win.

Emoji panel

CtrlShiftEsc

Open Task Manager – can view VBS status (Performance → Virtualisation)

WinPause/Break

Open System Properties (shows 'Windows 10 Enterprise')

WinK

Open Connect (wireless displays) – may be disabled via policy

WinH

Open dictation (if not disabled)

WinR, then `tpm.msc`

Check TPM status (required for Credential Guard)

WinR, then `msinfo32`

System Information – see 'Virtualisation‑Based Security' status

WinR, then `control userpasswords2`

Advanced user account management

WinR, then `compmgmt.msc`

Computer Management – Local Users, Disk Management, Services

WinR, then `wf.msc`

Windows Firewall with Advanced Security

Technical Specifications

Architecture	64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit
Processor	1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation)
RAM	4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB)
Storage	64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI
Graphics	DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU)
Display	Minimum 800x600; recommended 1920x1080 or higher
TPM	TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only
Virtualisation	Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V
Secure Boot	Required for VBS features; strongly recommended for all Enterprise deployments
Memory for VBS	At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers)
Internet	Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features
DirectAccess Infrastructure	Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later

Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education

Feature	enterprise	pro	education
Availability	Volume licensing (M365 E3/E5, SA)	Retail / OEM	Academic VL / Azure for Education (free)
Credential Guard	Yes	No	Yes (same as Enterprise)
Application Guard for Edge	Yes	No (consumer version only)	Yes
DirectAccess	Yes	No	Yes
BranchCache	Yes	No	Yes
WDAC (Hypervisor Code Integrity)	Yes (fully configurable)	Yes (but limited policies)	Yes (full)
AppLocker	Yes (full)	Yes (via GPO)	Yes
Microsoft Defender for Endpoint (ATP)	Yes (requires separate licence)	No	Yes (through M365 A5)
Long‑Term Servicing Channel (LTSC)	Yes (with SA)	No	No (only via VL, not free)
Desktop Analytics	Yes (with ConfigMgr)	No	Yes (with ConfigMgr)
Universal Print	Yes (full management)	Basic (client only)	Yes (with A3/A5)
Remote Desktop Host	Yes	Yes	Yes
Hyper‑V	Yes	Yes	Yes
Group Policy / MDM	Full (Intune + ConfigMgr co‑management)	Local + domain	Full (with appropriate licences)
Cortana	Disabled by default (can enable)	Enabled	Disabled by default
Max RAM (64‑bit)	2 TB	2 TB	2 TB

Windows 10 Enterprise

Overview

How It Works

1. UEFI, Secure Boot & BitLocker

2. Virtualisation‑Based Security (VBS) Initialisation

3. Kernel & Device Guard / WDAC

4. DirectAccess & VPN Client

5. User Logon with Windows Hello for Business

6. Group Policy / MDM Refresh & BranchCache

7. Windows Defender Application Guard (Optional)

8. Microsoft Defender for Endpoint Sensors

9. Windows Update for Business & Desktop Analytics

Key Features

Credential Guard

Application Guard for Edge

DirectAccess

BranchCache

Windows Defender Application Control (WDAC)

AppLocker

Microsoft Defender for Endpoint

BitLocker

Windows Hello for Business

Desktop Analytics

Windows Update for Business (Advanced)

Universal Print

Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management

Long‑Term Servicing Channel (LTSC)

Credential Guard & Virtualisation‑Based Security

How Credential Guard Works

Requirements & Enablement

Key Protection & Remote Credential Guard

Performance Impact

Windows Defender Application Guard (WDAG)

Hyper‑V Container per Browser Session

Configuration & Policies

Performance & User Experience

Integration with Defender for Endpoint

DirectAccess & BranchCache

DirectAccess – Always On VPN

DirectAccess vs Traditional VPN

BranchCache – Reduce WAN Traffic

BranchCache Security

Windows Defender Application Control (WDAC) & AppLocker

WDAC – Hypervisor‑Protected Code Integrity

WDAC vs AppLocker

Creating WDAC Policies

AppLocker Rulesets for Enterprises

Microsoft Defender for Endpoint (formerly ATP)

Next‑Generation Protection

Endpoint Detection & Response (EDR)

Automated Investigation & Remediation

Threat & Vulnerability Management (TVM)

Long‑Term Servicing Channel (LTSC)

What is LTSC?

What’s Missing in LTSC

Licensing & Availability

LTSC vs Semi‑Annual Channel (SAC)

Pros

Cons

Use Cases

Hidden & Useful Shortcuts

Technical Specifications

Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education

Frequently Asked Questions

Related Resources