Jak mogę uzyskać system Windows 10 Enterprise?

System Windows 10 Enterprise jest dostępny wyłącznie w ramach programów licencjonowania zbiorowego: Microsoft 365 E3/E5 (subskrypcja na użytkownika) lub w ramach pakietu Software Assurance (na urządzenie). Nie jest sprzedawany w sprzedaży detalicznej. Jeśli jesteś osobą fizyczną, nie możesz legalnie kupić pojedynczej licencji. Niektóre organizacje udostępniają pracownikom obrazy korporacyjne za pośrednictwem portalu korporacyjnego.

Jaka jest różnica między Windows 10 Enterprise a Windows 10 Pro?

Pro obejmuje podstawowe zarządzanie (Zasady grupy, BitLocker, Host RDP, Hyper-V). Enterprise dodaje zaawansowane zabezpieczenia: Credential Guard, Application Guard, DirectAccess, BranchCache, WDAC, Defender for Endpoint Integration, Universal Print, Desktop Analytics i LTSC. Enterprise jest przeznaczony dla organizacji posiadających dedykowane zespoły ds. bezpieczeństwa IT i wymagań dotyczących zgodności.

Czy Windows 10 Education to to samo co Enterprise?

Tak, funkcjonalnie identyczne. System Windows 10 Education jest zbudowany z tego samego kodu co wersja Enterprise i zawiera te same funkcje zabezpieczeń i zarządzania. Jedyne różnice to wyświetlana nazwa edycji, domyślne tapety i licencja (edukacja jest bezpłatna dla instytucji akademickich). W przypadku organizacji pozaakademickich potrzebujesz Enterprise.

Co to jest kanał obsługi długoterminowej (LTSC)?

LTSC to specjalna wersja systemu Windows 10 Enterprise, która nie otrzymuje aktualizacji funkcji – jedynie aktualizacje zabezpieczeń i jakości przez okres do 10 lat. Przeznaczony jest do specjalistycznych urządzeń, które nigdy nie mogą się zmieniać: bankomatów, sprzętu medycznego, sterowników przemysłowych i kiosków. Firma Microsoft odradza używanie LTSC do komputerów stacjonarnych ogólnego przeznaczenia lub do zastosowań biurowych.

Czy system Windows 10 Enterprise zawiera aplikacje Microsoft 365 (Office)?

Nie. Windows 10 Enterprise to tylko system operacyjny. Aplikacje Microsoft 365 (dawniej Office 365 ProPlus) to osobna subskrypcja. Jednak platforma Microsoft 365 E3/E5 łączy w sobie zarówno system Windows 10 Enterprise, jak i aplikacje Microsoft 365.

Czy mogę uaktualnić system Windows 10 Pro do wersji Enterprise bez ponownej instalacji?

Tak. Jeśli posiadasz ważny klucz licencji zbiorczej Enterprise (MAK lub KMS), przejdź do **Ustawienia → Aktualizacja i zabezpieczenia → Aktywacja → Zmień klucz produktu** i wprowadź klucz Enterprise. Aktualizacja będzie kontynuowana, a wszystkie pliki i aplikacje zostaną zachowane. Nie można wrócić do wersji Pro bez czystej instalacji.

Czy system Windows 10 Enterprise współpracuje z systemem Windows Autopilot?

Tak. Autopilot obsługuje wszystkie wersje systemu Windows 10 (z wyjątkiem Home). Przedsiębiorstwo można aprowizować za pomocą rozwiązania Autopilot z możliwością dołączania do usługi Azure AD i zasadami usługi Intune — wdrażanie bez dotykania nowych urządzeń.

Jaki jest cykl pomocy technicznej dla systemu Windows 10 Enterprise?

Wersje półroczne (SAC) są obsługiwane przez 18 miesięcy po każdym wydaniu (np. wersja 21H2 jest obsługiwana do czerwca 2023 r.). Wersje LTSC są wspierane przez 10 lat (5 głównych + 5 rozszerzonych). Podstawowe wsparcie dla wszystkich wersji systemu Windows 10 kończy się **14 października 2025 r.**, po czym konieczne jest posiadanie rozszerzonych aktualizacji zabezpieczeń (ESU) – dostępnych wyłącznie w ramach licencji zbiorczych na okres do 3 lat.

Czy usługa Windows Defender for Endpoint jest zawarta w systemie Windows 10 Enterprise?

Nie. System Windows 10 Enterprise zawiera **Microsoft Defender Antivirus** i bezpłatny **Microsoft Defender for Endpoint – Plan 1** (podstawowy program antywirusowy). Pełne możliwości EDR (Defender dla Endpoint Plan 2) wymagają osobnej licencji, zwykle dołączonej do Microsoft 365 E5 lub sprzedawanej jako dodatek do E3.

Czy mogę jednocześnie korzystać z funkcji Hyper-V i Credential Guard?

Tak. Obydwa korzystają z tej samej platformy hypervisora. Jednak włączenie VBS (w tym Credential Guard) rezerwuje część pamięci i może ograniczyć dostępność niektórych funkcji Hyper-V (takich jak wirtualizacja zagnieżdżona) w zależności od sprzętu. W nowoczesnych systemach współistnieją dobrze.

Jaka jest różnica między funkcją Windows Defender Application Guard a Windows Sandbox?

Windows Sandbox to lekka, tymczasowa maszyna wirtualna do testowania dowolnej aplikacji — otwierasz Sandbox, uruchamiasz niezaufany instalator i zamykasz go — wszystkie zmiany znikają. Application Guard jest przeznaczony specjalnie do przeglądania Internetu w przeglądarce Microsoft Edge, jest zintegrowany z przeglądarką i można nim zarządzać za pomocą zasad. Application Guard jest dostępny w wersji Enterprise; Windows Sandbox jest w wersji Pro/Enterprise (ale nie w LTSC).

Windows 10 Enterprise

The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments

Overview

Windows 10 Enterprise to system operacyjny firmy Microsoft przeznaczony dla średnich i dużych organizacji wymagających najwyższego poziomu bezpieczeństwa, kontroli i zarządzania. Zbudowany na tym samym fundamencie co Windows 10 Pro, Enterprise oferuje kompleksowy pakiet zaawansowanych technologii bezpieczeństwa: Windows Defender Credential Guard (izolacja danych uwierzytelniających w oparciu o wirtualizację), Windows Defender Application Guard (przeglądanie izolowane sprzętowo), Microsoft Defender for Endpoint (edr dla przedsiębiorstw), DirectAccess (bezproblemowa sieć VPN), BranchCache (optymalizacja sieci WAN), AppLocker (biała lista aplikacji) i BitLocker (szyfrowanie całego dysku). Zawiera także Windows Update dla firm z rozszerzonymi opcjami odroczenia, Desktop Analytics pod kątem gotowości aktualizacji oraz opcję Long-Term Servicing Channel (LTSC) dla urządzeń, które nigdy nie zmieniają funkcjonalności (bankomaty, sprzęt medyczny, kontrola przemysłowa). Systemem Windows 10 Enterprise można zarządzać poprzez Microsoft Intune (MDM) lub lokalnie Configuration Manager (SCCM). Licencjonowanie oparte na subskrypcji w ramach platformy Microsoft 365 E3/E5 zapewnia regularne aktualizacje funkcji, natomiast wersja LTSC (dostępna tylko z aktywnym pakietem Software Assurance) oferuje 10 lat aktualizacji zabezpieczeń bez zmian funkcji. Dzięki obsłudze nowoczesnych architektur typu zero-trust, funkcji Windows Hello dla firm i zabezpieczeniom opartym na wirtualizacji, system Windows 10 Enterprise chroni wrażliwe dane nawet w przypadku dostępu do nich z niezaufanych sieci. Podstawowe wsparcie kończy się 14 października 2025 r., a rozszerzone aktualizacje zabezpieczeń (ESU) są dostępne w ramach licencji zbiorczych przez maksymalnie trzy dodatkowe lata.

How It Works

Proces uruchamiania systemu Windows 10 Enterprise obejmuje dodatkowe warstwy zabezpieczeń oparte na wirtualizacji i elementy sieci korporacyjnej. Oto pełna sekwencja na zarządzanym urządzeniu Enterprise:

1. UEFI, Secure Boot & BitLocker

Oprogramowanie układowe UEFI z funkcją Secure Boot weryfikuje sygnaturę programu ładującego. Jeśli funkcja BitLocker jest włączona, moduł TPM zwalnia klucz deszyfrujący dopiero po zmierzeniu rozruchu w celu sprawdzenia braku manipulacji. Na urządzeniach z ochroną DMA (ochrona jądra DMA) porty Thunderbolt są blokowane do czasu załadowania systemu operacyjnego.

2. Virtualisation‑Based Security (VBS) Initialisation

Hiperwizor (Microsoft Hyper-V) ładuje się wcześniej, tworząc izolowane kontenery wirtualizacji. Credential Guard uruchamia LSA w bezpiecznej maszynie wirtualnej. Windows Defender Application Guard (WDAG) przygotowuje własny, lekki kontener. Główny system operacyjny działa jako partycja root z ograniczonymi uprawnieniami.

3. Kernel & Device Guard / WDAC

Jądro ładuje się z Integralnością kodu chronioną przez funkcję hypervisor (HVCI). Każdy sterownik i moduł jądra jest przed wykonaniem sprawdzany pod kątem zasad (WDAC). Mogą działać tylko pliki binarne podpisane przez autoryzowanych wydawców (Microsoft, Twoja organizacja) – skutecznie blokując rootkity i niepodpisane sterowniki.

4. DirectAccess & VPN Client

Gdy tylko dostępna będzie łączność sieciowa, klient DirectAccess podejmuje próbę ustanowienia tunelu IPsec do sieci firmowej przy użyciu certyfikatów komputera. Dzieje się to przed zalogowaniem użytkownika, umożliwiając zdalne zarządzanie urządzeniami (wdrażanie poprawek, aktualizacje zasad), nawet jeśli żaden użytkownik nie jest zalogowany.

5. User Logon with Windows Hello for Business

Na ekranie logowania funkcja Windows Hello for Business (biometryczna lub PIN) uwierzytelnia użytkownika w usłudze Azure AD lub lokalnej usłudze Active Directory. Remote Credential Guard umożliwia użytkownikowi dostęp do zdalnych zasobów bez wysyłania danych uwierzytelniających do komputera docelowego.

6. Group Policy / MDM Refresh & BranchCache

Usługi w tle odświeżają obiekty zasad grupy (GPO) z kontrolerów domeny lub zasad MDM usługi Intune. BranchCache w „trybie rozproszonej pamięci podręcznej” sprawdza lokalną równorzędną pamięć podręczną pod kątem wcześniej pobranych plików, unikając zbędnych transferów WAN.

7. Windows Defender Application Guard (Optional)

Jeśli administrator uruchomi Edge w trybie Application Guard (lub poprzez zasady), nowy kontener Hyper-V zostanie uruchomiony z minimalnym obrazem systemu Windows. Przeglądarka działa w tym obszarze izolowanym, a schowek i przekierowanie plików są kontrolowane przez zasady. Zamknięcie kontenera powoduje odrzucenie wszystkich zmian.

8. Microsoft Defender for Endpoint Sensors

Czujnik Defender for Endpoint (`MsSense.exe`) monitoruje tworzenie procesów, połączenia sieciowe, zapisy plików i zmiany w rejestrze. Sygnały behawioralne są wysyłane do chmury w celu analizy ryzyka w czasie rzeczywistym. W przypadku wykrycia zagrożenia mogą zostać uruchomione automatyczne akcje reagowania (izolacja, kwarantanna plików).

9. Windows Update for Business & Desktop Analytics

Windows Update dla Firm wykorzystuje zasady odroczenia (do 365 dni w przypadku aktualizacji funkcji) i pierścienie aktualizacji. Desktop Analytics integruje się z Menedżerem konfiguracji, aby zapewnić wgląd w gotowość do aktualizacji – identyfikując problemy ze zgodnością aplikacji przed wdrożeniem.

Key Features

Credential Guard

Zabezpieczenia oparte na wirtualizacji izolują LSASS – zapobiegają atakom typu pass-the-hash i pass-the-ticket. Wymaga modułu TPM 2.0 i blokady UEFI.

Application Guard for Edge

Izolowany sprzętowo kontener do przeglądania stron internetowych – złośliwe strony internetowe nie mogą naruszyć bezpieczeństwa systemu operacyjnego hosta. Obsługuje kontrolę schowka i zasady przekierowywania plików.

DirectAccess

Zawsze włączona, przejrzysta sieć VPN korzystająca z protokołu IPsec. Łączy się przed zalogowaniem użytkownika, obsługuje wiele witryn i integruje się z uwierzytelnianiem za pomocą certyfikatu.

BranchCache

Rozproszone lub hostowane buforowanie treści SMB/HTTP – zmniejsza przepustowość sieci WAN i opóźnienia dla użytkowników oddziałów firmy.

Windows Defender Application Control (WDAC)

Integralność kodu chroniona przez hypervisor – zezwalaj tylko na zaufane pliki wykonywalne, sterowniki i skrypty. Blokuje oprogramowanie ransomware i bezplikowe złośliwe oprogramowanie na poziomie jądra.

AppLocker

Biała lista aplikacji trybu użytkownika ze zbiorami reguł dla plików EXE, MSI, skryptów i aplikacji ze sklepu. Tryb audytu do testowania.

Microsoft Defender for Endpoint

Pełny system EDR dla przedsiębiorstw – czujniki behawioralne, sztuczna inteligencja w chmurze, zautomatyzowane badanie, zarządzanie zagrożeniami i podatnościami oraz działania reagowania (izolacja, kwarantanna).

BitLocker

Szyfrowanie całego dysku za pomocą modułu TPM i kodu PIN. Enterprise dodaje Odblokowanie sieci funkcją BitLocker (rozruch z zaszyfrowanego dysku po podłączeniu do sieci firmowej) oraz integrację Microsoft BitLocker Administration and Monitoring (MBAM).

Windows Hello for Business

Uwierzytelnianie dwuskładnikowe z wykorzystaniem biometrii + TPM. Zastępuje hasła uwierzytelnianiem opartym na kluczach lub certyfikatach. Obsługuje usługę Azure AD i lokalną usługę AD.

Desktop Analytics

Integracja z Menedżerem konfiguracji w celu oceny zgodności aplikacji z aktualizacjami funkcji systemu Windows. Zapewnia rekomendacje pilotażowe i szczegółowe informacje dotyczące wycofywania zmian.

Windows Update for Business (Advanced)

Odrocz aktualizacje funkcji do 365 dni, aktualizacje jakości do 30 dni. Twórz grupy urządzeń (pilotażowe, ogólne, krytyczne) za pomocą pierścieni aktualizacji. Integruje się z optymalizacją dostarczania (peer-to-peer).

Universal Print

Rozwiązanie do drukowania oparte na chmurze – nie są potrzebne żadne serwery druku. Wersja Enterprise obejmuje zarządzanie złączami Universal Print i limitem zadań drukowania przypadającym na użytkownika.

Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management

Bezproblemowo zarządzaj urządzeniami zarówno za pomocą rozwiązania MDM w chmurze (Intune), jak i lokalnego oprogramowania SCCM. Umożliwia dostęp warunkowy, zasady zgodności i akcje zdalne (czyszczenie, wycofywanie, synchronizacja).

Long‑Term Servicing Channel (LTSC)

10 lat aktualizacji zabezpieczeń bez zmian funkcji – dla urządzeń o przeznaczeniu stacjonarnym (bankomaty, medyczne, przemysłowe). Tylko z pakietem Software Assurance.

Credential Guard & Virtualisation‑Based Security

Izoluj sekrety od systemu operacyjnego – nawet złośliwe oprogramowanie jądra nie jest w stanie ukraść skrótów

How Credential Guard Works

Funkcja Credential Guard wykorzystuje zabezpieczenia oparte na wirtualizacji (VBS) do uruchamiania usługi podsystemu lokalnego urzędu bezpieczeństwa (LSASS) na izolowanej sprzętowo maszynie wirtualnej. Procesy systemu Windows znajdujące się poza tą bezpieczną maszyną wirtualną nie mogą uzyskać dostępu do przechowywanych w niej zaszyfrowanych poświadczeń, biletów Kerberos ani skrótów NTLM. Ataki pass-the-hash i pass-the-ticket stają się niemożliwe, ponieważ sekrety nigdy nie opuszczają izolowanego środowiska.

Requirements & Enablement

Wymaga 64-bitowego procesora z procesorem Intel VT-x (z rozszerzonymi tabelami stron) lub AMD-V (z szybkim indeksowaniem wirtualizacji), blokadą UEFI i modułem TPM 2.0. Włącz poprzez zasady grupy: `Konfiguracja komputera → Szablony administracyjne → System → Ochrona urządzeń → Włącz zabezpieczenia oparte na wirtualizacji`. Ustaw na „Włączone z funkcją Credential Guard”.

Key Protection & Remote Credential Guard

Credential Guard chroni także Key Trust (klucze powiązane z modułem TPM) i Certificate Trust (certyfikaty kart inteligentnych). Remote Credential Guard rozszerza to na sesje RDP – gdy użytkownik łączy się ze zdalnym komputerem, jego dane uwierzytelniające nigdy nie opuszczają komputera klienckiego. Docelowy komputer otrzymuje bilet usługi Kerberos, a nie skrót hasła użytkownika.

Performance Impact

VBS nakłada niewielki narzut (2–5% procesora) na przełączanie kontekstu między bezpieczną maszyną wirtualną a normalnym systemem operacyjnym. Na nowoczesnym sprzęcie klasy serwerowej jest to nieistotne w przypadku większości obciążeń. Niektóre starsze sterowniki i aplikacje (szczególnie oprogramowanie do gier chroniących przed oszustwami) są niekompatybilne i uniemożliwiają włączenie VBS.

Windows Defender Application Guard (WDAG)

Przeglądanie izolowane sprzętowo — najbezpieczniejszy sposób przeglądania niezaufanych witryn internetowych

Hyper‑V Container per Browser Session

WDAG uruchamia Microsoft Edge w lekkim kontenerze Hyper-V. Kontener ten korzysta z kopii systemu operacyjnego hosta, ale działa na osobnej maszynie wirtualnej bez dostępu do pamięci hosta, magazynu ani stosu sieciowego (z wyjątkiem przełącznika wirtualnego). Jeśli witryna internetowa wykorzystuje przeglądarkę, osoba atakująca uzyskuje dostęp jedynie do kontenera – host pozostaje całkowicie nietknięty.

Configuration & Policies

Włącz za pomocą zasad grupy lub usługi Intune: `Szablony administracyjne → Składniki systemu Windows → Windows Defender Application Guard → Włącz Windows Defender Application Guard`. Zasady kontrolują dostęp do schowka (dozwolone kopiowanie/wklejanie?), przekierowywanie pobierania plików (zapisywanie na hoście?) i drukowanie z kontenera. Możesz także zdefiniować zaufanie do zasobów przedsiębiorstwa (np. wewnętrzne witryny SharePoint otwarte w normalnym Edge).

Performance & User Experience

Utworzenie kontenera po pierwszym uruchomieniu zajmuje 5–10 sekund; kolejne uruchomienia są szybsze dzięki buforowaniu. Po wejściu do środka przeglądanie jest niemal natywne. Kontener nie przechowuje żadnych danych – pliki cookie, pliki do pobrania i historia przeglądania są usuwane po zamknięciu kontenera. Użytkownicy widzą specjalny interfejs użytkownika wskazujący, że znajdują się w trybie „Application Guard”.

Integration with Defender for Endpoint

Jeśli w kontenerze zostanie wykryta próbka złośliwego oprogramowania, Defender for Endpoint może automatycznie pobrać ładunek i przesłać go do analizy. Kontener można także automatycznie zresetować do znanego dobrego stanu w przypadku wykrycia podejrzanego zachowania.

DirectAccess & BranchCache

Bezproblemowy dostęp zdalny i optymalizacja sieci WAN dla rozproszonych organizacji

DirectAccess – Always On VPN

Funkcja DirectAccess zapewnia automatyczny, przejrzysty i zawsze aktywny tunel IPsec do sieci firmowej, gdy tylko urządzenie uzyska dostęp do Internetu. Bez udziału użytkownika (bez kliknięcia, aby połączyć) – do uwierzytelnienia wykorzystywane są certyfikaty maszynowe. Użytkownicy uzyskują dostęp do zasobów wewnętrznych (udziałów plików, witryn intranetowych) tak, jakby znajdowały się lokalnie, nawet za NAT i zaporami sieciowymi. DirectAccess obsługuje także wdrażanie w wielu lokalizacjach i integruje się z Network Access Protection (NAP) (starsza wersja).

DirectAccess vs Traditional VPN

Tradycyjna sieć VPN wymaga od użytkownika ręcznego połączenia, może rozłączyć się po bezczynności i nie działa przed zalogowaniem użytkownika. DirectAccess łączy się automatycznie przed zalogowaniem, pozostaje połączony przez czas nieokreślony i obsługuje wymuszone tunelowanie (cały ruch internetowy kierowany przez sieć firmową) lub tunelowanie dzielone. Idealnie nadaje się do zdalnego zarządzania laptopami i stałego dostępu do zasobów wewnętrznych.

BranchCache – Reduce WAN Traffic

BranchCache buforuje zawartość ze zdalnych serwerów plików (udziały SMB) i serwerów HTTP (internetowych) na lokalnych komputerach klienckich lub na lokalnym serwerze pamięci podręcznej. W Trybie rozproszonej pamięci podręcznej każdy klient buforuje zawartość i udostępnia ją klientom równorzędnym poprzez wykrywanie lokalnej sieci LAN (WS-Discovery). W Trybie hostowanej pamięci podręcznej dedykowany serwer Windows działa jako centralna pamięć podręczna. Kolejne żądania tego samego pliku są obsługiwane z lokalnej pamięci podręcznej, co drastycznie zmniejsza opóźnienia i wykorzystanie sieci WAN.

BranchCache Security

Dane są szyfrowane i sprawdzane pod kątem integralności przy użyciu algorytmu SHA-256. Klienci otrzymują tylko żądaną część pliku, a pamięć podręczna jest segmentowana, aby zapobiec nieautoryzowanej rekonstrukcji. BranchCache działa poprzez protokoły HTTP i SMB, płynnie integrując się z serwerem plików Windows.

Windows Defender Application Control (WDAC) & AppLocker

Biała lista aplikacji o zerowym zaufaniu – działa tylko zatwierdzone oprogramowanie

WDAC – Hypervisor‑Protected Code Integrity

WDAC (dawniej Device Guard) umożliwia administratorom dokładne określenie, które pliki wykonywalne, sterowniki, skrypty i pliki MSI są zaufane. Reguły opierają się na ścieżce pliku, wydawcy (certyfikacie cyfrowym) lub skrótu pliku. Polityka jest egzekwowana przez hypervisor (HVCI) i nie może zostać ominięta przez złośliwe oprogramowanie działające w trybie jądra. WDAC może blokować nie tylko znane złośliwe oprogramowanie, ale także „żywe” pliki binarne (np. PowerShell, wmic), których używają atakujący.

WDAC vs AppLocker

AppLocker to rozwiązanie zasad trybu użytkownika dostępne w wersji Enterprise (i Pro) – łatwiejsze w zarządzaniu, ale można je ominąć za pomocą sterowników jądra. WDAC to rozwiązanie działające w trybie jądra i chronione przez hiperwizor – znacznie silniejsze, ale wymaga starannego planowania i testowania. Wiele organizacji korzysta z obu rozwiązań: WDAC do krytycznej ochrony systemu i AppLocker do ograniczania aplikacji użytkownika.

Creating WDAC Policies

Użyj modułu `ConfigCI` PowerShell na komputerze referencyjnym. `New-CIPolicy` skanuje system i generuje listę dozwolonych wszystkich aktualnie zainstalowanych aplikacji i sterowników. `ConvertFrom-CIPolicy` konwertuje do formatu binarnego. Wdróż za pomocą zasad grupy lub MDM. Możesz początkowo uruchomić w Trybie audytu, aby zarejestrować, co zostanie zablokowane, bez faktycznego blokowania tego.

AppLocker Rulesets for Enterprises

AppLocker obsługuje pięć kolekcji reguł: pliki wykonywalne (.exe, .com), instalatory Windows (.msi, .msp), skrypty (.ps1, .bat, .vbs, .js), biblioteki DLL i aplikacje spakowane (aplikacje ze sklepu). Zasady można stosować dla każdej grupy użytkowników. Na przykład: zezwól wszystkim użytkownikom na uruchamianie programów z `C:\Program Files` i `C:\Program Files (x86)`, ale zabronij uruchamiania z `%USERPROFILE%\Downloads` lub `%TEMP%`.

Microsoft Defender for Endpoint (formerly ATP)

Enterprise EDR z automatycznym badaniem i reagowaniem

Next‑Generation Protection

Czujniki behawioralne, modele sztucznej inteligencji w chmurze i modele uczenia maszynowego analizują zachowania procesów, połączenia sieciowe i zmiany w rejestrze. Zasady ograniczania powierzchni ataku (np. blokuj pakietowi Office możliwość tworzenia procesów potomnych, blokuj zawartość wykonywalną w kliencie poczty e-mail) zapobiegaj częstym wektorom infekcji.

Endpoint Detection & Response (EDR)

Dogłębny wgląd w punkty końcowe: alerty dotyczące podejrzanych zachowań, badania na różnych maszynach i widoki osi czasu drzew procesów. Centra operacji bezpieczeństwa (SOC) mogą wysyłać zapytania do nieprzetworzonych danych telemetrycznych przez okres do 6 miesięcy (w zależności od licencji).

Automated Investigation & Remediation

Po wyzwoleniu alertu Defender for Endpoint może automatycznie zbadać incydent: określić główną przyczynę, odizolować dotknięte komputery od sieci (przy użyciu integracji z Microsoft Intune) i usunąć złośliwe artefakty (pliki, klucze rejestru, zaplanowane zadania).

Threat & Vulnerability Management (TVM)

TVM stale wykrywa brakujące aktualizacje zabezpieczeń, błędne konfiguracje (np. słabe reguły zapory sieciowej) i podatne wersje oprogramowania. Zapewnia priorytetyzację opartą na ryzyku – rekomendacje typu „najpierw popraw” w oparciu o prawdopodobieństwo wykorzystania exploitów i ekspozycję zasobów.

Long‑Term Servicing Channel (LTSC)

10 lat aktualizacji zabezpieczeń bez zmian funkcji – dla urządzeń o stałym przeznaczeniu

What is LTSC?

Kanał obsługi długoterminowej (dawniej LTSB) to specjalna edycja systemu Windows 10 Enterprise, która nie otrzymuje aktualizacji funkcji. Obejmuje wyłącznie aktualizacje zabezpieczeń i jakości na okres do 10 lat (5 lat głównego nurtu + 5 lat przedłużenia). Idealny do urządzeń, które nigdy nie mogą zmieniać funkcjonalności: bankomaty, sprzęt medyczny (skanery MRI, tomografia komputerowa), przemysłowe systemy sterowania (SCADA), kioski i systemy wbudowane.

What’s Missing in LTSC

LTSC jest dostarczany bez przeglądarki Microsoft Edge (tylko starsza wersja, nie Chromium), Sklepu Windows, Cortany, aplikacji Inbox (Poczta, Kalendarz, Kalkulator), OneDrive i nowoczesnych funkcji, takich jak Oś czasu i Zestawy. Nie obsługuje także półrocznych aktualizacji funkcji systemu Windows 10 (np. 21H2, 22H2). To sprawia, że LTSC jest niekompatybilny z nowym sprzętem (sterowniki mogą wymagać nowszych kompilacji systemu Windows).

Licensing & Availability

LTSC jest tylko dostępne dla klientów z aktywnym pakietem Software Assurance (licencje zbiorcze) lub za pośrednictwem Microsoft 365 E3/E5 (nie ma tam LTSC – potrzebujesz pakietu SA). Każda nowa wersja LTSC jest obsługiwana przez 10 lat od daty wydania (np. Windows 10 Enterprise LTSC 2019 będzie obsługiwany do 2029 r., LTSC 2021 do 2031 r.). Nie można dokonać aktualizacji z jednej wersji LTSC do innej bez czystej instalacji.

LTSC vs Semi‑Annual Channel (SAC)

Większość urządzeń dla przedsiębiorstw powinna korzystać z półrocznego kanału (SAC) — nowe funkcje można uzyskać dwa razy w roku. LTSC to wyspecjalizowane narzędzie dla infrastruktury krytycznej, które nie toleruje zmian w interfejsie użytkownika ani ponownego uruchamiania w celu aktualizacji funkcji. Firma Microsoft odradza używanie LTSC w przypadku komputerów stacjonarnych ogólnego przeznaczenia, pakietu Office lub maszyn programistycznych.

Pros

✓Niezrównane bezpieczeństwo – Credential Guard, Application Guard, WDAC i Defender for Endpoint zapewniają dogłębną ochronę
✓DirectAccess eliminuje VPN skierowany do użytkownika – płynne zarządzanie zdalnym dostępem
✓BranchCache radykalnie poprawia komfort pracy oddziałów firmy w zakresie serwerów plików i aplikacji internetowych
✓Pełne zarządzanie urządzeniami – Intune, ConfigMgr, zasady grupy i współzarządzanie
✓Windows Update dla firm z rocznym odroczeniem — planuj aktualizacje zgodnie ze swoim harmonogramem
✓Long-Term Servicing Channel (LTSC) dla środowisk regulacyjnych lub o krytycznym znaczeniu dla stabilności
✓AppLocker + WDAC – wymuszanie zasad aplikacji o zerowym zaufaniu od trybu jądra do trybu użytkownika
✓Microsoft Defender for Endpoint zapewnia korporacyjny system EDR bez agentów innych firm
✓Desktop Analytics zmniejsza ryzyko aktualizacji dzięki rzeczywistym danym dotyczącym zgodności
✓Remote Credential Guard chroni dane uwierzytelniające podczas sesji RDP
✓Universal Print zmniejsza złożoność serwera druku
✓Obsługuje system Windows 10 w trybie S – zablokowany tylko dla aplikacji Microsoft Store, w środowiskach z bardzo ograniczonymi ograniczeniami

Cons

✗Niedostępne w sprzedaży detalicznej – wymaga umowy licencji zbiorczej (Microsoft 365 E3/E5 lub Software Assurance)
✗Wyższy koszt niż Pro – opłaty subskrypcyjne za użytkownika/urządzenie (zwykle 7–14 USD za użytkownika/miesiąc w ramach Microsoft 365)
✗Złożoność – wiele funkcji (WDAC, Credential Guard, Application Guard) wymaga starannego planowania i testowania
✗Wymagania sprzętowe – funkcje VBS wymagają modułu TPM 2.0, UEFI i najnowszych procesorów; starsze urządzenia mogą ich nie obsługiwać
✗Problemy ze zgodnością aplikacji – WDAC może blokować legalne oprogramowanie; Credential Guard psuje niektóre moduły uwierzytelniające innych firm
✗Narzut wydajności – VBS (Credential Guard, HVCI) może obniżyć wydajność o 2–8%, co jest zauważalne przy dużym obciążeniu we/wy lub grach
✗DirectAccess wymaga infrastruktury Windows Server (technologie przejścia serwera DirectAccess, PKI, DNS i IPv6)
✗BranchCache wymaga serwerów plików Windows Server i starannego doboru wielkości pamięci podręcznej
✗Wsparcie kończy się 14 października 2025 r. – tak samo jak w przypadku wszystkich wersji systemu Windows 10 (choć w przypadku określonych wydań LTSC obowiązuje do roku 2031)
✗Brak funkcji konsumenckich – Cortana, Windows Store (można wyłączyć), środowiska chmury konsumenckiej są wyłączone zgodnie z zasadami (może dezorientować oczekujących ich użytkowników)
✗LTSC nie ma nowoczesnych przeglądarek i sklepu z aplikacjami – nie można zainstalować aplikacji Microsoft Teams, nowej wersji Edge ani aplikacji Store bez obejścia

Use Cases

Duże przedsiębiorstwo z ponad 5000 urządzeniami – scentralizowane zarządzanie poprzez Intune i ConfigMgr, Defender for Endpoint for SOC, WDAC do blokowania nieautoryzowanego oprogramowaniaUsługi finansowe / bankowość – Credential Guard i Virtualization-Based Security spełniające wymogi regulacyjne (PCI-DSS, SOX, RODO)Opieka zdrowotna – chroń dane pacjentów za pomocą funkcji BitLocker i Defender; LTSC dla urządzeń medycznych (MRI, respiratorów), w przypadku których nie można zmieniać funkcjiRząd i obrona – WDAC i Application Guard do ochrony sieci tajnych; DirectAccess zapewniający bezpieczny dostęp zdalnyRetail / hotelarstwo – tryb kioskowy z Assigned Access i Universal Print; BranchCache do buforowania serwera plików na poziomie sklepuProdukcja / przemysł – LTSC na fabrycznych komputerach PC z systemami SCADA; żadnych nieplanowanych restartów i zmian w interfejsie użytkownikaPracownicy zdalni/mobilni – DirectAccess zapewnia płynny dostęp do zasobów wewnętrznych z kawiarni i hoteli bez interakcji użytkownikaDom programistyczny – Windows Sandbox i Hyper-V do testów; WDAC w trybie audytu do tworzenia list dozwolonych aplikacjiInformatyka edukacyjna dla personelu/administratora – nie dla laboratoriów studenckich, ale dla wykładowców i urządzeń administracyjnych wymagających pełnego bezpieczeństwa przedsiębiorstwa

Hidden & Useful Shortcuts

Master Windows 10 with these time‑saving keyboard shortcuts

Win

Open Start Menu (Cortana disabled by default on Enterprise)

WinA

Open Action Centre

WinD

Show desktop

WinE

Open File Explorer

WinI

Open Settings

WinL

Lock workstation – secure against physical access

WinR

Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)

WinX

Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer

WinS

Open Search (Cortana disabled but search works)

WinTab

Task View – virtual desktops (useful for separating classified and unclassified work)

WinCtrlD

New virtual desktop

WinCtrlF4

Close current virtual desktop

WinCtrlLeft/Right

Switch between virtual desktops

WinG

Open Game Bar (if not removed by policy)

WinShiftS

Open Snip & Sketch for custom screenshots

WinV

Open clipboard history (if enabled by policy)

Win.

Emoji panel

CtrlShiftEsc

Open Task Manager – can view VBS status (Performance → Virtualisation)

WinPause/Break

Open System Properties (shows 'Windows 10 Enterprise')

WinK

Open Connect (wireless displays) – may be disabled via policy

WinH

Open dictation (if not disabled)

WinR, then `tpm.msc`

Check TPM status (required for Credential Guard)

WinR, then `msinfo32`

System Information – see 'Virtualisation‑Based Security' status

WinR, then `control userpasswords2`

Advanced user account management

WinR, then `compmgmt.msc`

Computer Management – Local Users, Disk Management, Services

WinR, then `wf.msc`

Windows Firewall with Advanced Security

Technical Specifications

Architecture	64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit
Processor	1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation)
RAM	4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB)
Storage	64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI
Graphics	DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU)
Display	Minimum 800x600; recommended 1920x1080 or higher
TPM	TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only
Virtualisation	Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V
Secure Boot	Required for VBS features; strongly recommended for all Enterprise deployments
Memory for VBS	At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers)
Internet	Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features
DirectAccess Infrastructure	Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later