Bagaimanakah saya boleh mendapatkan Windows 10 Enterprise?

Windows 10 Enterprise hanya tersedia melalui program pelesenan volum: Microsoft 365 E3/E5 (langganan setiap pengguna), atau melalui Jaminan Perisian (setiap peranti). Ia tidak dijual secara runcit. Jika anda seorang individu, anda tidak boleh membeli satu lesen secara sah. Sesetengah organisasi menyediakan imej Perusahaan kepada pekerja melalui portal korporat mereka.

Apakah perbezaan antara Windows 10 Enterprise dan Windows 10 Pro?

Pro termasuk pengurusan asas (Dasar Kumpulan, BitLocker, Hos RDP, Hiper‑V). Perusahaan menambah keselamatan lanjutan: Pengawal Kredensial, Pengawal Aplikasi, DirectAccess, BranchCache, WDAC, Defender untuk penyepaduan Endpoint, Cetakan Universal, Analitis Desktop dan LTSC. Perusahaan direka bentuk untuk organisasi yang mempunyai pasukan keselamatan IT yang berdedikasi dan keperluan pematuhan.

Adakah Windows 10 Education sama dengan Enterprise?

Ya, fungsinya serupa. Windows 10 Education dibina daripada kod yang sama seperti Enterprise dan termasuk semua ciri keselamatan dan pengurusan yang sama. Satu-satunya perbezaan ialah nama edisi yang dipaparkan, kertas dinding lalai dan pelesenan (Pendidikan adalah percuma untuk institusi akademik). Untuk organisasi bukan akademik, anda memerlukan Perusahaan.

Apakah itu Saluran Servis Jangka Panjang (LTSC)?

LTSC ialah versi khas Windows 10 Enterprise yang tidak menerima kemas kini ciri – hanya kemas kini keselamatan dan kualiti sehingga 10 tahun. Ia bertujuan untuk peranti khusus yang tidak boleh berubah: ATM, peralatan perubatan, pengawal industri dan kiosk. Microsoft mengesyorkan agar tidak menggunakan LTSC untuk desktop tujuan umum atau produktiviti Office.

Adakah Windows 10 Enterprise menyertakan Microsoft 365 Apps (Office)?

Tidak. Windows 10 Enterprise ialah sistem pengendalian sahaja. Microsoft 365 Apps (dahulunya Office 365 ProPlus) ialah langganan berasingan. Walau bagaimanapun, Microsoft 365 E3/E5 menggabungkan kedua-dua Apl Windows 10 Enterprise dan Microsoft 365 bersama-sama.

Bolehkah saya menaik taraf daripada Windows 10 Pro kepada Enterprise tanpa memasang semula?

ya. Jika anda mempunyai kunci lesen volum Perusahaan yang sah (MAK atau KMS), pergi ke **Tetapan → Kemas Kini & Keselamatan → Pengaktifan → Tukar kunci produk** dan masukkan kekunci Perusahaan. Peningkatan akan diteruskan dan menyimpan semua fail dan apl. Anda tidak boleh menurunkan taraf kembali kepada Pro tanpa pemasangan yang bersih.

Adakah Windows 10 Enterprise berfungsi dengan Windows Autopilot?

ya. Autopilot menyokong semua edisi Windows 10 (kecuali Laman Utama). Perusahaan boleh disediakan melalui Autopilot dengan gabungan Azure AD dan dasar Intune – penempatan sifar sentuhan untuk peranti baharu.

Apakah kitaran hayat sokongan untuk Windows 10 Enterprise?

Versi Saluran Separuh Tahunan (SAC) disokong selama 18 bulan selepas setiap keluaran (mis., 21H2 disokong sehingga Jun 2023). Keluaran LTSC disokong selama 10 tahun (5 arus perdana + 5 dilanjutkan). Sokongan arus perdana untuk semua edisi Windows 10 berakhir **14 Oktober 2025**, selepas itu anda mesti mempunyai Kemas Kini Keselamatan Lanjutan (ESU) – tersedia hanya melalui pelesenan volum sehingga 3 tahun.

Adakah Windows Defender for Endpoint disertakan dalam Windows 10 Enterprise?

Tidak. Windows 10 Enterprise termasuk **Microsoft Defender Antivirus** dan percuma **Microsoft Defender for Endpoint – Plan 1** (antivirus asas). Keupayaan EDR penuh (Defender for Endpoint Plan 2) memerlukan lesen berasingan, biasanya disertakan dalam Microsoft 365 E5 atau dijual sebagai tambahan untuk E3.

Bolehkah saya menggunakan Hyper‑V dan Pengawal Kredensial pada masa yang sama?

ya. Kedua-duanya menggunakan platform hypervisor yang sama. Walau bagaimanapun, mendayakan VBS (termasuk Pengawal Kredensial) menyimpan beberapa memori dan mungkin mengehadkan ketersediaan ciri tertentu Hyper‑V (seperti virtualisasi bersarang) bergantung pada perkakasan. Pada sistem moden, mereka wujud bersama dengan baik.

Apakah perbezaan antara Windows Defender Application Guard dan Windows Sandbox?

Windows Sandbox ialah VM sementara yang ringan untuk menguji mana-mana apl – anda membuka Sandbox, menjalankan pemasang yang tidak dipercayai dan menutupnya – semua perubahan hilang. Application Guard khusus untuk penyemakan imbas web Microsoft Edge, disepadukan ke dalam penyemak imbas, dan boleh diuruskan dasar. Pengawal Aplikasi tersedia dalam Perusahaan; Windows Sandbox berada dalam Pro/Enterprise (tetapi tidak dalam LTSC).

Windows 10 Enterprise

The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments

Overview

Windows 10 Enterprise ialah sistem pengendalian Microsoft yang direka untuk organisasi sederhana hingga besar yang memerlukan tahap keselamatan, kawalan dan pengurusan tertinggi. Dibina di atas asas yang sama seperti Windows 10 Pro, Enterprise menambah suite komprehensif teknologi keselamatan termaju: Windows Defender Credential Guard (pengasingan bukti kelayakan berasaskan virtualisasi), Windows Defender Application Guard (penyemakan imbas terpencil perkakasan), Microsoft Defender for Endpoint (Perusahaan VPN tanpa EDR), BWAN Cachless VPN pengoptimuman), AppLocker (penyenaraian putih aplikasi), dan BitLocker (penyulitan cakera penuh). Ia juga termasuk Kemas Kini Windows untuk Perniagaan dengan pilihan penangguhan lanjutan, Analitis Desktop untuk kesediaan kemas kini dan pilihan Saluran Servis Jangka Panjang (LTSC) untuk peranti yang tidak pernah mengubah fungsi (ATM, peralatan perubatan, kawalan industri). Windows 10 Enterprise boleh diurus melalui Microsoft Intune (MDM) atau Configuration Manager (SCCM) di premis. Pelesenan berasaskan langganan melalui Microsoft 365 E3/E5 menyediakan kemas kini ciri biasa, manakala edisi LTSC (hanya tersedia dengan Jaminan Perisian aktif) menawarkan kemas kini keselamatan selama 10 tahun tanpa perubahan ciri. Dengan sokongan untuk seni bina sifar amanah moden, Windows Hello for Business dan keselamatan berasaskan virtualisasi, Windows 10 Enterprise melindungi data sensitif walaupun apabila diakses daripada rangkaian yang tidak dipercayai. Sokongan arus perdana tamat 14 Oktober 2025, dengan kemas kini keselamatan lanjutan (ESU) tersedia melalui pelesenan volum sehingga tiga tahun tambahan.

How It Works

Proses but Windows 10 Enterprise termasuk lapisan keselamatan berasaskan virtualisasi tambahan dan cangkuk rangkaian perusahaan. Berikut ialah urutan penuh pada peranti Perusahaan terurus:

1. UEFI, Secure Boot & BitLocker

Perisian tegar UEFI dengan Secure Boot mengesahkan tandatangan pemuat but. Jika BitLocker didayakan, TPM mengeluarkan kunci penyahsulitan hanya selepas but yang diukur mengesahkan tiada gangguan. Pada peranti dengan perlindungan DMA (Perlindungan DMA Kernel), port Thunderbolt disekat sehingga OS dimuatkan.

2. Virtualisation‑Based Security (VBS) Initialisation

Hipervisor (Microsoft Hyper‑V) dimuatkan lebih awal, mencipta bekas virtualisasi terpencil. Credential Guard menjalankan LSA di dalam VM yang selamat. Windows Defender Application Guard (WDAG) menyediakan bekas ringannya sendiri. OS utama berjalan sebagai partition root dengan keistimewaan yang dikurangkan.

3. Kernel & Device Guard / WDAC

Kernel dimuatkan dengan Hypervisor‑Protected Code Integrity (HVCI). Setiap modul pemacu dan kernel disahkan terhadap dasar (WDAC) sebelum pelaksanaan. Hanya perduaan yang ditandatangani oleh penerbit yang diberi kuasa (Microsoft, organisasi anda) boleh dijalankan – menyekat rootkit dan pemacu yang tidak ditandatangani dengan berkesan.

4. DirectAccess & VPN Client

Sebaik sahaja sambungan rangkaian tersedia, pelanggan DirectAccess cuba mewujudkan terowong IPsec ke rangkaian korporat menggunakan sijil mesin. Ini berlaku sebelum log masuk pengguna, mendayakan pengurusan peranti jauh (pengerahan patch, kemas kini dasar) walaupun tiada pengguna dilog masuk.

5. User Logon with Windows Hello for Business

Pada skrin log masuk, Windows Hello for Business (biometrik atau PIN) mengesahkan pengguna kepada Azure AD atau Active Directory di premis. Remote Credential Guard membenarkan pengguna mengakses sumber jauh tanpa menghantar bukti kelayakan mereka ke mesin sasaran.

6. Group Policy / MDM Refresh & BranchCache

Perkhidmatan latar belakang menyegarkan objek Dasar Kumpulan (GPO) daripada pengawal domain atau dasar MDM Intune. BranchCache dalam 'mod cache teragih' menyemak cache rakan sebaya setempat untuk fail yang dimuat turun sebelum ini, mengelakkan pemindahan WAN yang berlebihan.

7. Windows Defender Application Guard (Optional)

Jika pentadbir melancarkan Edge dalam mod Pengawal Aplikasi (atau melalui dasar), bekas Hyper‑V baharu bermula dengan imej Windows yang minimum. Penyemak imbas berjalan di dalam kotak pasir ini, dengan papan keratan dan ubah hala fail dikawal oleh dasar. Menutup bekas membuang semua perubahan.

8. Microsoft Defender for Endpoint Sensors

Penderia Defender for Endpoint (`MsSense.exe`) memantau penciptaan proses, sambungan rangkaian, penulisan fail dan perubahan pendaftaran. Isyarat tingkah laku dihantar ke awan untuk analisis risiko masa nyata. Jika ancaman dikesan, tindakan tindak balas automatik (pengasingan, kuarantin fail) boleh dicetuskan.

9. Windows Update for Business & Desktop Analytics

Windows Update for Business menggunakan dasar penangguhan (sehingga 365 hari untuk kemas kini ciri) dan dering kemas kini. Analitis Desktop disepadukan dengan Pengurus Konfigurasi untuk memberikan cerapan kesediaan naik taraf – mengenal pasti isu keserasian aplikasi sebelum penggunaan.

Key Features

Credential Guard

Keselamatan berasaskan virtualisasi mengasingkan LSASS – menghalang serangan pass‑the‑hash dan pass‑the-ticket. Memerlukan kunci TPM 2.0 dan UEFI.

Application Guard for Edge

Bekas terpencil perkakasan untuk penyemakan imbas web – tapak web berniat jahat tidak boleh menjejaskan OS hos. Menyokong kawalan papan keratan dan dasar ubah hala fail.

DirectAccess

VPN telus sentiasa hidup menggunakan IPsec. Bersambung sebelum log masuk pengguna, menyokong berbilang tapak dan menyepadukan dengan pengesahan sijil.

BranchCache

Caching kandungan SMB/HTTP yang diedarkan atau dihoskan – mengurangkan lebar jalur WAN dan kependaman untuk pengguna pejabat cawangan.

Windows Defender Application Control (WDAC)

Integriti kod yang dilindungi Hypervisor – hanya benarkan boleh laku, pemacu dan skrip yang dipercayai. Menyekat perisian tebusan dan perisian hasad tanpa fail pada peringkat kernel.

AppLocker

Penyenaraian putih aplikasi mod pengguna dengan koleksi peraturan untuk EXE, MSI, skrip dan apl Kedai. Mod audit untuk ujian.

Microsoft Defender for Endpoint

EDR perusahaan penuh – penderia tingkah laku, AI awan, penyiasatan automatik, pengurusan ancaman & kerentanan serta tindakan tindak balas (pengasingan, kuarantin).

BitLocker

Penyulitan cakera penuh dengan TPM dan PIN. Perusahaan menambah BitLocker Network Unlock (but daripada pemacu yang disulitkan apabila disambungkan ke rangkaian korporat) dan integrasi Microsoft BitLocker Administration and Monitoring (MBAM).

Windows Hello for Business

Pengesahan dua faktor menggunakan biometrik + TPM. Menggantikan kata laluan dengan pengesahan berasaskan kunci atau berasaskan sijil. Menyokong Azure AD dan AD di premis.

Desktop Analytics

Integrasi dengan Pengurus Konfigurasi untuk menilai keserasian aplikasi dengan kemas kini ciri Windows. Menyediakan cadangan perintis dan cerapan balik.

Windows Update for Business (Advanced)

Tangguhkan kemas kini ciri sehingga 365 hari, kemas kini kualiti sehingga 30 hari. Buat kumpulan peranti (juruterbang, luas, kritikal) dengan deringan kemas kini. Bersepadu dengan Pengoptimuman Penghantaran (peer-to-peer).

Universal Print

Penyelesaian cetakan berasaskan awan – tiada pelayan cetakan diperlukan. Edisi perusahaan termasuk pengurusan penyambung Cetakan Universal dan kuota kerja cetakan setiap pengguna.

Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management

Urus peranti dengan lancar dengan MDM awan (Intune) dan SCCM di premis. Mendayakan akses bersyarat, dasar pematuhan dan tindakan jauh (hapus, berhenti, segerak).

Long‑Term Servicing Channel (LTSC)

10 tahun kemas kini keselamatan tanpa perubahan ciri – untuk peranti tujuan tetap (ATM, perubatan, industri). Hanya dengan Jaminan Perisian.

Credential Guard & Virtualisation‑Based Security

Asingkan rahsia daripada sistem pengendalian – malah perisian hasad kernel tidak boleh mencuri cincang

How Credential Guard Works

Pengawal Kredensial menggunakan Virtualisation-Based Security (VBS) untuk menjalankan Perkhidmatan Subsistem Pihak Berkuasa Keselamatan Tempatan (LSASS) di dalam mesin maya terpencil perkakasan. Proses Windows di luar VM selamat ini tidak boleh mengakses bukti kelayakan cincang, tiket Kerberos atau cincang NTLM yang disimpan di dalam. Serangan Pass‑the‑hash dan Pass‑the‑ticket menjadi mustahil kerana rahsia tidak pernah meninggalkan persekitaran terpencil.

Requirements & Enablement

Memerlukan CPU 64-bit dengan Intel VT‑x (dengan Jadual Halaman Lanjutan) atau AMD‑V (dengan Pengindeksan Maya Rapid), kunci UEFI dan TPM 2.0. Dayakan melalui Dasar Kumpulan: `Konfigurasi Komputer → Templat Pentadbiran → Sistem → Pengawal Peranti → Hidupkan Keselamatan Berdasarkan Maya`. Tetapkan kepada 'Didayakan dengan Pengawal Kredensial'.

Key Protection & Remote Credential Guard

Pengawal Kredensial juga melindungi Key Trust (kunci terikat TPM) dan Certificate Trust (sijil kad pintar). Remote Credential Guard memanjangkan ini kepada sesi RDP – apabila pengguna menyambung ke PC jauh, bukti kelayakan mereka tidak pernah meninggalkan mesin klien. PC sasaran menerima tiket perkhidmatan Kerberos, bukan cincang kata laluan pengguna.

Performance Impact

VBS mengenakan overhed kecil (2‑5% CPU) untuk penukaran konteks antara VM selamat dan OS biasa. Pada perkakasan kelas pelayan moden, ini boleh diabaikan untuk kebanyakan beban kerja. Sesetengah pemacu dan aplikasi lama (terutama perisian anti-penipuan) tidak serasi dan akan menyekat VBS daripada dihidupkan.

Windows Defender Application Guard (WDAG)

Penyemakan imbas terpencil perkakasan – cara paling selamat untuk melayari tapak web yang tidak dipercayai

Hyper‑V Container per Browser Session

WDAG melancarkan Microsoft Edge di dalam bekas Hyper‑V yang ringan. Bekas ini menggunakan salinan OS hos tetapi berjalan dalam mesin maya yang berasingan tanpa akses kepada memori, storan atau timbunan rangkaian hos (kecuali melalui suis maya). Jika tapak web mengeksploitasi penyemak imbas, penyerang hanya mendapat akses kepada bekas - hos kekal tidak disentuh sepenuhnya.

Configuration & Policies

Dayakan melalui Dasar Kumpulan atau Intune: `Templat Pentadbiran → Komponen Windows → Pengawal Aplikasi Windows Defender → Hidupkan Pengawal Aplikasi Windows Defender`. Dasar mengawal akses papan keratan (salin/tampal dibenarkan?), ubah hala muat turun fail (simpan ke hos?), dan pencetakan daripada bekas. Anda juga boleh menentukan kepercayaan sumber perusahaan (cth., tapak SharePoint dalaman dibuka dalam Edge biasa).

Performance & User Experience

Pelancaran pertama mengambil masa 5–10 saat untuk mencipta bekas; pelancaran seterusnya adalah lebih pantas kerana caching. Sebaik sahaja di dalam, penyemakan imbas adalah hampir-asli. Bekas tidak menyimpan sebarang data – kuki, muat turun dan sejarah penyemakan imbas dibuang apabila bekas ditutup. Pengguna melihat UI khas yang menunjukkan mereka berada dalam mod 'Pengawal Aplikasi'.

Integration with Defender for Endpoint

Jika sampel perisian hasad dikesan di dalam bekas, Defender for Endpoint secara automatik boleh mengumpul muatan dan menyerahkannya untuk analisis. Bekas juga boleh ditetapkan semula secara automatik kepada keadaan yang diketahui baik jika tingkah laku yang mencurigakan dikesan.

DirectAccess & BranchCache

Akses jauh yang lancar dan pengoptimuman WAN untuk organisasi yang diedarkan

DirectAccess – Always On VPN

DirectAccess menyediakan terowong IPsec automatik, telus, sentiasa hidup kepada rangkaian korporat sebaik sahaja peranti mempunyai akses internet. Tiada input pengguna (tiada klik‑untuk‑sambung) – ia menggunakan sijil mesin untuk pengesahan. Pengguna mengakses sumber dalaman (perkongsian fail, tapak intranet) seolah-olah mereka berada di premis, walaupun di belakang NAT dan tembok api. DirectAccess juga menyokong penggunaan berbilang tapak dan disepadukan dengan Perlindungan Akses Rangkaian (NAP) (warisan).

DirectAccess vs Traditional VPN

VPN tradisional memerlukan pengguna menyambung secara manual, boleh memutuskan sambungan selepas melahu dan tidak berfungsi sebelum log masuk pengguna. DirectAccess bersambung secara automatik sebelum log masuk, kekal bersambung selama-lamanya dan menyokong force tunneling (semua trafik internet dihalakan melalui rangkaian korporat) atau split tunneling. Ia sesuai untuk pengurusan jauh komputer riba dan akses berterusan kepada sumber dalaman.

BranchCache – Reduce WAN Traffic

BranchCache menyimpan cache kandungan daripada pelayan fail jauh (perkongsian SMB) dan pelayan HTTP (web) pada PC klien tempatan atau pelayan cache yang dihoskan di tapak. Dalam Mod Cache Teragih, setiap pelanggan menyimpan cache kandungan dan berkongsinya dengan pelanggan rakan sebaya melalui penemuan LAN setempat (WS-Discovery). Dalam Mod Cache Dihoskan, Pelayan Windows khusus bertindak sebagai cache pusat. Permintaan seterusnya untuk fail yang sama disampaikan dari cache setempat, secara drastik mengurangkan kependaman dan penggunaan WAN.

BranchCache Security

Data disulitkan dan disemak integriti menggunakan SHA‑256. Pelanggan hanya menerima bahagian fail yang mereka minta, dan cache dibahagikan untuk mengelakkan pembinaan semula yang tidak dibenarkan. BranchCache berfungsi melalui protokol HTTP dan SMB, disepadukan dengan lancar dengan Pelayan Fail Windows.

Windows Defender Application Control (WDAC) & AppLocker

Penyenaraian putih aplikasi amanah sifar – hanya perisian yang diluluskan berjalan

WDAC – Hypervisor‑Protected Code Integrity

WDAC (dahulunya Device Guard) membenarkan pentadbir untuk menentukan dengan tepat fail boleh laku, pemacu, skrip dan MSI yang dipercayai. Peraturan adalah berdasarkan laluan fail, penerbit (sijil digital) atau cincang fail. Dasar ini dikuatkuasakan oleh hypervisor (HVCI) dan tidak boleh dipintas oleh perisian hasad mod kernel. WDAC boleh menyekat bukan sahaja perisian hasad yang diketahui tetapi juga perduaan 'hidup dari tanah' (cth., PowerShell, wmic) yang digunakan oleh penyerang.

WDAC vs AppLocker

AppLocker ialah penyelesaian dasar mod pengguna yang tersedia dalam Perusahaan (dan Pro) – lebih mudah untuk diurus tetapi boleh dipintas oleh pemacu kernel. WDAC ialah penyelesaian kernel-mod, hypervisor-protected – jauh lebih kuat tetapi memerlukan perancangan dan ujian yang teliti. Banyak organisasi menggunakan kedua-duanya: WDAC untuk perlindungan sistem kritikal, AppLocker untuk sekatan apl pengguna.

Creating WDAC Policies

Gunakan modul PowerShell `ConfigCI` pada PC rujukan. `New-CIPolicy` mengimbas sistem dan menjana senarai dibenarkan semua aplikasi dan pemacu yang sedang dipasang. `ConvertFrom-CIPolicy` menukar kepada format binari. Gunakan melalui Dasar Kumpulan atau MDM. Anda boleh menjalankan dalam Mod Audit pada mulanya untuk log perkara yang akan disekat tanpa benar-benar menyekatnya.

AppLocker Rulesets for Enterprises

AppLocker menyokong lima koleksi peraturan: Boleh laku (.exe, .com), Pemasang Windows (.msi, .msp), Skrip (.ps1, .bat, .vbs, .js), DLL dan apl Berpakej (Apl kedai). Dasar boleh digunakan bagi setiap kumpulan pengguna. Contohnya: benarkan semua pengguna menjalankan atur cara daripada `C:\Program Files` dan `C:\Program Files (x86)`, tetapi tolak menjalankan daripada `%USERPROFILE%\Downloads` atau `%TEMP%`.

Microsoft Defender for Endpoint (formerly ATP)

EDR perusahaan dengan penyiasatan dan tindak balas automatik

Next‑Generation Protection

Penderia gelagat, AI awan dan model pembelajaran mesin menganalisis gelagat proses, sambungan rangkaian dan perubahan pendaftaran. Peraturan pengurangan permukaan serangan (cth., sekat Office daripada membuat proses kanak-kanak, sekat kandungan boleh laku daripada klien e-mel) menghalang vektor jangkitan biasa.

Endpoint Detection & Response (EDR)

Keterlihatan yang mendalam ke titik akhir: makluman tentang kelakuan yang mencurigakan, penyiasatan merentas mesin dan pandangan garis masa bagi pokok proses. Pusat operasi keselamatan (SOC) boleh menanyakan telemetri mentah sehingga 6 bulan (bergantung pada lesen).

Automated Investigation & Remediation

Apabila amaran dicetuskan, Defender for Endpoint boleh menyiasat insiden tersebut secara automatik: tentukan punca, mengasingkan mesin yang terjejas daripada rangkaian (menggunakan penyepaduan Microsoft Intune) dan mengalih keluar artifak berniat jahat (fail, kunci pendaftaran, tugas berjadual).

Threat & Vulnerability Management (TVM)

TVM sentiasa menemui kemas kini keselamatan yang tiada, salah konfigurasi (mis., peraturan tembok api yang lemah) dan versi perisian yang terdedah. Ia menyediakan keutamaan berasaskan risiko – pengesyoran 'Tampal dahulu' berdasarkan kemungkinan mengeksploitasi dan pendedahan aset.

Long‑Term Servicing Channel (LTSC)

10 tahun kemas kini keselamatan tanpa perubahan ciri – untuk peranti tujuan tetap

What is LTSC?

Saluran Servis Jangka Panjang (dahulunya LTSB) ialah edisi khas Windows 10 Enterprise yang tidak menerima kemas kini ciri. Ia termasuk hanya kemas kini keselamatan dan kualiti sehingga 10 tahun (5 tahun arus perdana + 5 tahun dilanjutkan). Sesuai untuk peranti yang tidak boleh mengubah fungsi: ATM, peralatan perubatan (MRI, pengimbas CT), sistem kawalan industri (SCADA), kiosk dan sistem terbenam.

What’s Missing in LTSC

LTSC dihantar tanpa Microsoft Edge (versi lama sahaja, bukan Chromium), Gedung Windows, Cortana, apl Peti Masuk (Mel, Kalendar, Kalkulator), OneDrive dan ciri moden seperti Garis Masa dan Set. Ia juga tidak menyokong kemas kini ciri separuh tahunan Windows 10 (cth., 21H2, 22H2). Ini menjadikan LTSC tidak serasi dengan perkakasan baharu (pemacu mungkin memerlukan binaan Windows yang lebih baharu).

Licensing & Availability

LTSC hanya tersedia kepada pelanggan dengan Jaminan Perisian aktif (pelesenan volum) atau melalui Microsoft 365 E3/E5 (tiada LTSC di sana – anda memerlukan SA). Setiap keluaran LTSC baharu disokong selama 10 tahun dari tarikh keluarannya (cth., Windows 10 Enterprise LTSC 2019 disokong sehingga 2029, LTSC 2021 hingga 2031). Anda tidak boleh menaik taraf daripada satu keluaran LTSC kepada yang lain tanpa pemasangan yang bersih.

LTSC vs Semi‑Annual Channel (SAC)

Kebanyakan peranti Perusahaan harus menggunakan Saluran Separuh Tahunan (SAC) – dapatkan ciri baharu dua kali setahun. LTSC ialah alat khusus untuk infrastruktur kritikal yang tidak boleh bertolak ansur dengan perubahan UI atau but semula untuk kemas kini ciri. Microsoft menasihatkan agar tidak menggunakan LTSC untuk desktop tujuan umum, Pejabat atau mesin pembangunan.

Pros

✓Keselamatan yang tiada tandingan – Pengawal Kredensial, Pengawal Aplikasi, WDAC dan Defender untuk Endpoint menyediakan pertahanan secara mendalam
✓DirectAccess menghapuskan VPN yang dihadapi pengguna – pengurusan capaian jauh yang lancar
✓BranchCache meningkatkan pengalaman pejabat cawangan secara mendadak untuk pelayan fail dan apl web
✓Pengurusan peranti penuh – Intune, ConfigMgr, Dasar Kumpulan dan pengurusan bersama
✓Windows Update for Business dengan penangguhan 1 tahun – rancang kemas kini pada jadual anda
✓Saluran Servis Jangka Panjang (LTSC) untuk persekitaran kawal selia atau kritikal kestabilan
✓AppLocker + WDAC – menguatkuasakan dasar aplikasi sifar amanah daripada kernel kepada mod pengguna
✓Microsoft Defender for Endpoint menyediakan EDR perusahaan tanpa ejen pihak ketiga
✓Analitis Desktop mengurangkan risiko peningkatan dengan data keserasian dunia sebenar
✓Remote Credential Guard melindungi kelayakan semasa sesi RDP
✓Cetakan Universal mengurangkan kerumitan pelayan cetakan
✓Menyokong Windows 10 dalam mod S – dikunci ke apl Microsoft Store sahaja, untuk persekitaran ultra-terhad

Cons

✗Tidak tersedia untuk runcit – memerlukan perjanjian pelesenan volum (Microsoft 365 E3/E5 atau Software Assurance)
✗Kos lebih tinggi daripada Pro – yuran langganan setiap pengguna/setiap peranti (biasanya $7–$14 setiap pengguna/bulan sebagai sebahagian daripada Microsoft 365)
✗Kerumitan – banyak ciri (WDAC, Pengawal Kredensial, Pengawal Aplikasi) memerlukan perancangan dan ujian yang teliti
✗Keperluan perkakasan – Ciri VBS memerlukan TPM 2.0, UEFI dan CPU terkini; peranti lama mungkin tidak menyokongnya
✗Isu keserasian aplikasi – WDAC boleh menyekat perisian yang sah; Pengawal Kredensial memecahkan beberapa modul pengesahan pihak ketiga
✗Prestasi overhed – VBS (Credential Guard, HVCI) boleh mengurangkan prestasi sebanyak 2‑8%, ketara dalam I/O tinggi atau beban kerja permainan
✗DirectAccess memerlukan infrastruktur Pelayan Windows (teknologi peralihan DirectAccess, PKI, DNS dan IPv6)
✗BranchCache memerlukan pelayan fail Windows Server dan saiz cache yang teliti
✗Sokongan tamat pada 14 Oktober 2025 – sama seperti semua edisi Windows 10 (walaupun LTSC pergi ke 2031 untuk keluaran tertentu)
✗Tiada ciri pengguna – Cortana, Gedung Windows (boleh dilumpuhkan), pengalaman awan pengguna dimatikan oleh dasar (mungkin mengelirukan pengguna mengharapkannya)
✗LTSC tidak mempunyai penyemak imbas moden dan gedung aplikasi – tidak boleh memasang Microsoft Teams, Edge baharu atau aplikasi Store tanpa penyelesaian

Use Cases

Perusahaan besar dengan 5000+ peranti – pengurusan berpusat melalui Intune dan ConfigMgr, Defender for Endpoint for SOC, WDAC untuk menyekat perisian yang tidak dibenarkanPerkhidmatan kewangan / perbankan – Pengawal Kredensial dan Keselamatan Berasaskan Maya untuk memenuhi keperluan kawal selia (PCI‑DSS, SOX, GDPR)Penjagaan kesihatan – melindungi data pesakit dengan BitLocker dan Defender; LTSC untuk peranti perubatan (MRI, ventilator) yang tidak boleh mempunyai perubahan ciriKerajaan & pertahanan – WDAC dan Application Guard untuk melindungi rangkaian terperingkat; DirectAccess untuk akses jauh selamatRuncit / hospitaliti – mod kiosk dengan Akses Ditugaskan dan Cetakan Universal; BranchCache untuk cache pelayan fail peringkat kedaiPembuatan / perindustrian – LTSC pada PC tingkat kilang yang menjalankan sistem SCADA; tiada but semula yang tidak dirancang atau perubahan UITenaga kerja jauh / perayauan – DirectAccess menyediakan akses lancar kepada sumber dalaman dari kedai kopi dan hotel tanpa interaksi penggunaRumah pembangunan perisian – Windows Sandbox dan Hyper‑V untuk ujian; WDAC dalam mod audit untuk membina senarai dibenarkan aplikasiIT Pendidikan untuk kakitangan/pentadbir – bukan untuk makmal pelajar, tetapi untuk fakulti dan peranti pentadbiran yang memerlukan keselamatan perusahaan sepenuhnya

Hidden & Useful Shortcuts

Master Windows 10 with these time‑saving keyboard shortcuts

Win

Open Start Menu (Cortana disabled by default on Enterprise)

WinA

Open Action Centre

WinD

Show desktop

WinE

Open File Explorer

WinI

Open Settings

WinL

Lock workstation – secure against physical access

WinR

Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)

WinX

Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer

WinS

Open Search (Cortana disabled but search works)

WinTab

Task View – virtual desktops (useful for separating classified and unclassified work)

WinCtrlD

New virtual desktop

WinCtrlF4

Close current virtual desktop

WinCtrlLeft/Right

Switch between virtual desktops

WinG

Open Game Bar (if not removed by policy)

WinShiftS

Open Snip & Sketch for custom screenshots

WinV

Open clipboard history (if enabled by policy)

Win.

Emoji panel

CtrlShiftEsc

Open Task Manager – can view VBS status (Performance → Virtualisation)

WinPause/Break

Open System Properties (shows 'Windows 10 Enterprise')

WinK

Open Connect (wireless displays) – may be disabled via policy

WinH

Open dictation (if not disabled)

WinR, then `tpm.msc`

Check TPM status (required for Credential Guard)

WinR, then `msinfo32`

System Information – see 'Virtualisation‑Based Security' status

WinR, then `control userpasswords2`

Advanced user account management

WinR, then `compmgmt.msc`

Computer Management – Local Users, Disk Management, Services

WinR, then `wf.msc`

Windows Firewall with Advanced Security

Technical Specifications

Architecture	64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit
Processor	1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation)
RAM	4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB)
Storage	64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI
Graphics	DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU)
Display	Minimum 800x600; recommended 1920x1080 or higher
TPM	TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only
Virtualisation	Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V
Secure Boot	Required for VBS features; strongly recommended for all Enterprise deployments
Memory for VBS	At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers)
Internet	Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features
DirectAccess Infrastructure	Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later