Как я могу получить Windows 10 Корпоративная?

Windows 10 Корпоративная доступна только по программам корпоративного лицензирования: Microsoft 365 E3/E5 (подписка на пользователя) или по программе Software Assurance (на устройство). В розницу он не продается. Если вы физическое лицо, вы не можете легально приобрести одну лицензию. Некоторые организации предоставляют корпоративные образы сотрудникам через свой корпоративный портал.

В чем разница между Windows 10 Корпоративная и Windows 10 Pro?

Версия Pro включает базовое управление (групповая политика, BitLocker, хост RDP, Hyper‑V). Enterprise добавляет расширенную безопасность: Credential Guard, Application Guard, DirectAccess, BranchCache, WDAC, Defender для интеграции конечных точек, Universal Print, Desktop Analytics и LTSC. Enterprise предназначен для организаций со специализированными группами ИТ-безопасности и требованиями соответствия.

Windows 10 Education — это то же самое, что Enterprise?

Да, функционально идентичны. Windows 10 Education построена на том же коде, что и Enterprise, и включает в себя все те же функции безопасности и управления. Единственными различиями являются отображаемое название издания, обои по умолчанию и лицензирование (для академических учреждений образование бесплатное). Для неакадемических организаций вам нужен Enterprise.

Что такое канал долгосрочного обслуживания (LTSC)?

LTSC — это специальная версия Windows 10 Enterprise, которая не получает обновлений функций — только обновления безопасности и качества на срок до 10 лет. Он предназначен для специализированных устройств, которые никогда не должны меняться: банкоматов, медицинского оборудования, промышленных контроллеров и киосков. Microsoft не рекомендует использовать LTSC для настольных компьютеров общего назначения или повышения производительности Office.

Включает ли Windows 10 Enterprise приложения Microsoft 365 (Office)?

Нет. Windows 10 Enterprise — это только операционная система. Приложения Microsoft 365 (ранее Office 365 ProPlus) — это отдельная подписка. Однако Microsoft 365 E3/E5 объединяет в себе Windows 10 Enterprise и приложения Microsoft 365.

Могу ли я перейти с Windows 10 Pro на Enterprise без переустановки?

Да. Если у вас есть действующий ключ корпоративного лицензирования Enterprise (MAK или KMS), перейдите в раздел **Настройки → Обновление и безопасность → Активация → Изменить ключ продукта** и введите ключ Enterprise. Обновление продолжится и сохранит все файлы и приложения. Вы не сможете вернуться к версии Pro без чистой установки.

Работает ли Windows 10 Enterprise с Windows Autopilot?

Да. Автопилот поддерживает все выпуски Windows 10 (кроме Домашней). Предприятие можно подготовить через автопилот с присоединением к Azure AD и политиками Intune — автоматическое развертывание для новых устройств.

Каков жизненный цикл поддержки Windows 10 Enterprise?

Версии Semi-Annual Channel (SAC) поддерживаются в течение 18 месяцев после каждого выпуска (например, 21H2 поддерживается до июня 2023 года). Релизы LTSC поддерживаются в течение 10 лет (5 основных + 5 расширенных). Основная поддержка всех выпусков Windows 10 заканчивается **14 октября 2025 г.**, после чего вам необходимо иметь расширенные обновления безопасности (ESU), доступные только в рамках корпоративного лицензирования на срок до 3 лет.

Включен ли Защитник Windows для конечной точки в Windows 10 Корпоративная?

Нет. Windows 10 Enterprise включает **Антивирусную программу Microsoft Defender** и бесплатную версию **Microsoft Defender для конечной точки — план 1** (базовый антивирус). Для полных возможностей EDR (Защитник для конечной точки, план 2) требуется отдельная лицензия, которая обычно включена в Microsoft 365 E5 или продается как надстройка для E3.

Могу ли я использовать Hyper‑V и Credential Guard одновременно?

Да. Оба используют одну и ту же платформу гипервизора. Однако включение VBS (включая Credential Guard) резервирует некоторый объем памяти и может ограничить доступность некоторых функций Hyper‑V (например, вложенной виртуализации) в зависимости от оборудования. В современных системах они прекрасно сосуществуют.

В чем разница между Application Guard в Защитнике Windows и песочницей Windows?

Windows Sandbox — это легкая временная виртуальная машина для тестирования любого приложения: вы открываете Sandbox, запускаете ненадежный установщик и закрываете его — все изменения исчезают. Application Guard специально предназначен для просмотра веб-страниц Microsoft Edge, интегрирован в браузер и может управляться с помощью политик. Application Guard доступен в версии Enterprise; Песочница Windows находится в версии Pro/Enterprise (но не в LTSC).

Windows 10 Enterprise

The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments

Overview

Windows 10 Enterprise — это операционная система Microsoft, разработанная для средних и крупных организаций, которым требуется высочайший уровень безопасности, контроля и управления. Созданная на той же основе, что и Windows 10 Pro, версия Enterprise содержит комплексный набор передовых технологий безопасности: Windows Defender Credential Guard (изоляция учетных данных на основе виртуализации), Windows Defender Application Guard (аппаратно-изолированный просмотр), Microsoft Defender for Endpoint (корпоративный EDR), DirectAccess (бесшовная VPN), BranchCache (оптимизация глобальной сети), AppLocker (белый список приложений) и BitLocker (полнодисковое шифрование). Он также включает Центр обновления Windows для бизнеса с возможностью расширенной отсрочки, Аналитику рабочего стола для готовности к обновлению и параметр Канал долгосрочного обслуживания (LTSC) для устройств, функциональность которых никогда не меняется (банкоматы, медицинское оборудование, средства промышленного контроля). Windows 10 Enterprise можно управлять с помощью Microsoft Intune (MDM) или локального Configuration Manager (SCCM). Лицензирование на основе подписки через Microsoft 365 E3/E5 обеспечивает регулярные обновления функций, а версия LTSC (доступна только с активным Software Assurance) предлагает 10 лет обновлений безопасности без изменений функций. Благодаря поддержке современных архитектур с нулевым доверием, Windows Hello для бизнеса и безопасности на основе виртуализации Windows 10 Корпоративная защищает конфиденциальные данные даже при доступе из ненадежных сетей. Основная поддержка заканчивается 14 октября 2025 г., при этом расширенные обновления безопасности (ESU) будут доступны по корпоративному лицензированию еще на срок до трех лет.

How It Works

Процесс загрузки Windows 10 Enterprise включает дополнительные уровни безопасности на основе виртуализации и перехватчики корпоративных сетей. Вот полная последовательность действий на управляемом устройстве Enterprise:

1. UEFI, Secure Boot & BitLocker

Прошивка UEFI с безопасной загрузкой проверяет подпись загрузчика. Если BitLocker включен, TPM выдает ключ дешифрования только после того, как измеренная загрузка подтвердит отсутствие несанкционированного доступа. На устройствах с защитой DMA (Kernel DMA Protection) порты Thunderbolt блокируются до тех пор, пока не загрузится ОС.

2. Virtualisation‑Based Security (VBS) Initialisation

Гипервизор (Microsoft Hyper‑V) загружается раньше, создавая изолированные контейнеры виртуализации. Credential Guard запускает LSA внутри защищенной виртуальной машины. Application Guard в Защитнике Windows (WDAG) подготавливает собственный облегченный контейнер. Основная ОС работает как корневой раздел с ограниченными привилегиями.

3. Kernel & Device Guard / WDAC

Ядро загружается с использованием Целостности кода, защищенного гипервизором (HVCI). Каждый драйвер и модуль ядра перед выполнением проверяются на соответствие политике (WDAC). Могут работать только двоичные файлы, подписанные авторизованными издателями (Microsoft, ваша организация), что эффективно блокирует руткиты и неподписанные драйверы.

4. DirectAccess & VPN Client

Как только сетевое подключение становится доступным, клиент DirectAccess пытается установить туннель IPsec в корпоративной сети, используя сертификаты компьютера. Это происходит до входа пользователя в систему, что позволяет удаленно управлять устройствами (развертывание исправлений, обновление политик), даже если ни один пользователь не вошел в систему.

5. User Logon with Windows Hello for Business

На экране входа в систему Windows Hello для бизнеса (биометрический или PIN-код) проверяет подлинность пользователя в Azure AD или локальной Active Directory. Remote Credential Guard позволяет пользователю получать доступ к удаленным ресурсам, не отправляя свои учетные данные на целевой компьютер.

6. Group Policy / MDM Refresh & BranchCache

Фоновые службы обновляют объекты групповой политики (GPO) с контроллеров домена или политик Intune MDM. BranchCache в «режиме распределенного кэша» проверяет локальный одноранговый кэш на наличие ранее загруженных файлов, избегая избыточной передачи по глобальной сети.

7. Windows Defender Application Guard (Optional)

Если администратор запускает Edge в режиме Application Guard (или с помощью политики), новый контейнер Hyper-V запускается с минимальным образом Windows. Браузер работает внутри этой песочницы, а буфер обмена и перенаправление файлов контролируются политикой. Закрытие контейнера отменяет все изменения.

8. Microsoft Defender for Endpoint Sensors

Датчик Защитник для конечной точки (`MsSense.exe`) отслеживает создание процессов, сетевые подключения, запись файлов и изменения в реестре. Поведенческие сигналы отправляются в облако для анализа рисков в режиме реального времени. При обнаружении угрозы могут быть инициированы автоматические ответные действия (изоляция, карантин файлов).

9. Windows Update for Business & Desktop Analytics

Центр обновления Windows для бизнеса использует политики отсрочки (до 365 дней для обновлений компонентов) и циклы обновлений. Аналитика рабочего стола интегрируется с Configuration Manager, чтобы предоставить информацию о готовности к обновлению, выявляя проблемы совместимости приложений перед развертыванием.

Key Features

Credential Guard

Безопасность на основе виртуализации изолирует LSASS — предотвращает атаки типа «передача хэша» и «передача билета». Требуется TPM 2.0 и блокировка UEFI.

Application Guard for Edge

Аппаратно-изолированный контейнер для просмотра веб-страниц — вредоносные веб-сайты не смогут поставить под угрозу операционную систему хоста. Поддерживает управление буфером обмена и политики перенаправления файлов.

DirectAccess

Постоянно работающая прозрачная VPN с использованием IPsec. Подключается перед входом пользователя в систему, поддерживает работу с несколькими сайтами и интегрируется с проверкой подлинности с помощью сертификата.

BranchCache

Распределенное или размещенное кэширование содержимого SMB/HTTP — снижает пропускную способность глобальной сети и задержку для пользователей филиалов.

Windows Defender Application Control (WDAC)

Целостность кода, защищенная гипервизором — разрешайте только доверенные исполняемые файлы, драйверы и сценарии. Блокирует программы-вымогатели и бесфайловые вредоносные программы на уровне ядра.

AppLocker

Белый список приложений пользовательского режима с наборами правил для EXE-файлов, MSI-файлов, сценариев и приложений из Магазина. Режим аудита для тестирования.

Microsoft Defender for Endpoint

Полная корпоративная EDR — поведенческие датчики, облачный искусственный интеллект, автоматическое расследование, управление угрозами и уязвимостями, а также ответные действия (изоляция, карантин).

BitLocker

Полнодисковое шифрование с помощью TPM и PIN-кода. Enterprise добавляет Сетевую разблокировку BitLocker (загрузка с зашифрованного диска при подключении к корпоративной сети) и интеграцию Администрирование и мониторинг Microsoft BitLocker (MBAM).

Windows Hello for Business

Двухфакторная аутентификация с использованием биометрии + TPM. Заменяет пароли аутентификацией на основе ключей или сертификатов. Поддерживает Azure AD и локальный AD.

Desktop Analytics

Интеграция с Configuration Manager для оценки совместимости приложений с обновлениями функций Windows. Предоставляет пилотные рекомендации и информацию об откате.

Windows Update for Business (Advanced)

Откладывать обновления функций до 365 дней, качественные обновления — до 30 дней. Создавайте группы устройств (пилотные, общие, критические) с кольцами обновлений. Интегрируется с оптимизацией доставки (одноранговая сеть).

Universal Print

Облачное решение для печати — серверы печати не нужны. Версия Enterprise включает управление соединителями Universal Print и квотой заданий печати для каждого пользователя.

Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management

Легко управляйте устройствами с помощью облачного MDM (Intune) и локального SCCM. Включает условный доступ, политики соответствия и удаленные действия (очистка, удаление, синхронизация).

Long‑Term Servicing Channel (LTSC)

10 лет обновлений безопасности без изменения функций – для устройств фиксированного назначения (банкоматы, медицинские, промышленные). Только с Software Assurance.

Credential Guard & Virtualisation‑Based Security

Изолируйте секреты от операционной системы — даже вредоносное ПО ядра не может украсть хэши

How Credential Guard Works

Credential Guard использует Безопасность на основе виртуализации (VBS) для запуска службы подсистемы локального органа безопасности (LSASS) внутри аппаратно изолированной виртуальной машины. Процессы Windows за пределами этой защищенной виртуальной машины не могут получить доступ к хешированным учетным данным, билетам Kerberos или хешам NTLM, хранящимся внутри. Атаки Pass-the-hash и Pass-the-ticket становятся невозможными, поскольку секреты никогда не покидают изолированную среду.

Requirements & Enablement

Требуется 64-разрядный ЦП с Intel VT-x (с расширенными таблицами страниц) или AMD-V (с быстрой индексацией виртуализации), блокировкой UEFI и TPM 2.0. Включите через групповую политику: «Конфигурация компьютера → Административные шаблоны → Система → Device Guard → Включить безопасность на основе виртуализации». Установите значение «Включено с Credential Guard».

Key Protection & Remote Credential Guard

Credential Guard также защищает Key Trust (ключи, привязанные к TPM) и Certificate Trust (сертификаты смарт-карт). Remote Credential Guard распространяется на сеансы RDP: когда пользователь подключается к удаленному ПК, его учетные данные никогда не покидают клиентский компьютер. Целевой компьютер получает билет службы Kerberos, а не хэш пароля пользователя.

Performance Impact

VBS требует небольших затрат (2‑5 % ЦП) на переключение контекста между защищенной виртуальной машиной и обычной ОС. На современном оборудовании серверного класса это незначительно для большинства рабочих нагрузок. Некоторые устаревшие драйверы и приложения (особенно программное обеспечение для защиты от мошенничества) несовместимы и блокируют включение VBS.

Windows Defender Application Guard (WDAG)

Аппаратно-изолированный просмотр — самый безопасный способ просмотра ненадежных веб-сайтов

Hyper‑V Container per Browser Session

WDAG запускает Microsoft Edge в легком контейнере Hyper-V. Этот контейнер использует копию ОС хоста, но работает на отдельной виртуальной машине без доступа к памяти, хранилищу или сетевому стеку хоста (кроме как через виртуальный коммутатор). Если веб-сайт использует браузер, злоумышленник получает доступ только к контейнеру — хост остается совершенно нетронутым.

Configuration & Policies

Включите через групповую политику или Intune: «Административные шаблоны → Компоненты Windows → Application Guard в Защитнике Windows → Включить Application Guard в Защитнике Windows». Политики контролируют доступ к буферу обмена (разрешено копирование/вставка?), перенаправление загрузки файлов (сохранить на хост?) и печать из контейнера. Вы также можете определить доверие к корпоративным ресурсам (например, внутренние сайты SharePoint, открытые в обычном Edge).

Performance & User Experience

При первом запуске создание контейнера занимает 5–10 секунд; последующие запуски происходят быстрее за счет кэширования. Оказавшись внутри, просмотр становится почти естественным. В контейнере не сохраняются никакие данные: файлы cookie, загрузки и история просмотров удаляются при закрытии контейнера. Пользователи видят специальный пользовательский интерфейс, указывающий, что они находятся в режиме Application Guard.

Integration with Defender for Endpoint

Если внутри контейнера обнаружен образец вредоносного ПО, Defender for Endpoint может автоматически собрать полезную нагрузку и отправить ее на анализ. Контейнер также можно автоматически вернуть в заведомо хорошее состояние при обнаружении подозрительного поведения.

DirectAccess & BranchCache

Беспрепятственный удаленный доступ и оптимизация WAN для распределенных организаций

DirectAccess – Always On VPN

DirectAccess обеспечивает автоматический, прозрачный и постоянно активный туннель IPsec к корпоративной сети, как только устройство получает доступ к Интернету. Никакого пользовательского ввода (нет подключения одним нажатием) — для аутентификации используются машинные сертификаты. Пользователи получают доступ к внутренним ресурсам (общим папкам, сайтам интрасети), как если бы они находились локально, даже за NAT и брандмауэрами. DirectAccess также поддерживает развертывание на нескольких площадках и интегрируется с Защитой доступа к сети (NAP) (устаревшей версии).

DirectAccess vs Traditional VPN

Традиционная VPN требует, чтобы пользователь подключался вручную, может отключаться после простоя и не работает до входа пользователя в систему. DirectAccess подключается автоматически перед входом в систему, остается на связи в течение неопределенного времени и поддерживает принудительное туннелирование (весь интернет-трафик направляется через корпоративную сеть) или раздельное туннелирование. Он идеально подходит для удаленного управления ноутбуками и постоянного доступа к внутренним ресурсам.

BranchCache – Reduce WAN Traffic

BranchCache кэширует содержимое с удаленных файловых серверов (общих ресурсов SMB) и HTTP (веб-) серверов на локальных клиентских ПК или локальном сервере кэширования. В режиме распределенного кэша каждый клиент кэширует контент и передает его другим клиентам через обнаружение в локальной сети (WS-Discovery). В режиме размещенного кэша выделенный сервер Windows выступает в качестве центрального кэша. Последующие запросы к тому же файлу обрабатываются из локального кэша, что значительно снижает задержку и использование глобальной сети.

BranchCache Security

Данные шифруются и проверяются на целостность с помощью SHA-256. Клиенты получают только те части файла, которые они запрашивают, а кеш сегментируется для предотвращения несанкционированного восстановления. BranchCache работает по протоколам HTTP и SMB и легко интегрируется с файловым сервером Windows.

Windows Defender Application Control (WDAC) & AppLocker

Белый список приложений с нулевым доверием: запускается только одобренное программное обеспечение.

WDAC – Hypervisor‑Protected Code Integrity

WDAC (ранее Device Guard) позволяет администраторам точно указать, каким исполняемым файлам, драйверам, сценариям и MSI можно доверять. Правила основаны на пути к файлу, издателе (цифровом сертификате) или хеше файла. Эта политика применяется гипервизором (HVCI), и ее невозможно обойти вредоносным ПО режима ядра. WDAC может блокировать не только известные вредоносные программы, но и «существующие» двоичные файлы (например, PowerShell, wmic), которые используют злоумышленники.

WDAC vs AppLocker

AppLocker — это решение политики пользовательского режима, доступное в версиях Enterprise (и Pro), которым проще управлять, но его можно обойти драйверами ядра. WDAC — это решение, работающее в режиме ядра и защищенное гипервизором. Оно намного надежнее, но требует тщательного планирования и тестирования. Многие организации используют оба варианта: WDAC для критической защиты системы и AppLocker для ограничения пользовательских приложений.

Creating WDAC Policies

Используйте модуль PowerShell ConfigCI на эталонном ПК. New-CIPolicy сканирует систему и создает список разрешенных всех установленных на данный момент приложений и драйверов. `ConvertFrom-CIPolicy` преобразует в двоичный формат. Развертывание с помощью групповой политики или MDM. Вы можете сначала запустить Режим аудита, чтобы зарегистрировать то, что будет заблокировано, но не блокировать его фактически.

AppLocker Rulesets for Enterprises

AppLocker поддерживает пять коллекций правил: исполняемые файлы (.exe, .com), установщики Windows (.msi, .msp), сценарии (.ps1, .bat, .vbs, .js), библиотеки DLL и упакованные приложения (приложения из магазина). Политики могут применяться к каждой группе пользователей. Например: разрешить всем пользователям запускать программы из `C:\Program Files` и `C:\Program Files (x86)`, но запретить запуск из `%USERPROFILE%\Downloads` или `%TEMP%`.

Microsoft Defender for Endpoint (formerly ATP)

Корпоративный EDR с автоматизированным расследованием и реагированием

Next‑Generation Protection

Поведенческие датчики, облачный искусственный интеллект и модели машинного обучения анализируют поведение процессов, сетевые подключения и изменения в реестре. Правила уменьшения поверхности атаки (например, блокировать Office от создания дочерних процессов, блокировать исполняемый контент из почтового клиента) предотвращают распространенные векторы заражения.

Endpoint Detection & Response (EDR)

Глубокая прозрачность конечных точек: оповещения о подозрительном поведении, исследования на разных машинах и представление временной шкалы деревьев процессов. Центры управления безопасностью (SOC) могут запрашивать необработанные данные телеметрии на срок до 6 месяцев (в зависимости от лицензии).

Automated Investigation & Remediation

При срабатывании оповещения Defender for Endpoint может автоматически расследовать инцидент: определить основную причину, изолировать затронутые компьютеры от сети (с помощью интеграции Microsoft Intune) и удалить вредоносные артефакты (файлы, ключи реестра, запланированные задачи).

Threat & Vulnerability Management (TVM)

TVM постоянно обнаруживает отсутствующие обновления безопасности, неправильные настройки (например, слабые правила брандмауэра) и уязвимые версии программного обеспечения. Он обеспечивает расстановку приоритетов на основе рисков — рекомендации «Сначала обновите» на основе вероятности эксплойта и подверженности активам.

Long‑Term Servicing Channel (LTSC)

10 лет обновлений безопасности без изменения функций — для устройств фиксированного назначения

What is LTSC?

Канал долгосрочного обслуживания (ранее LTSB) — это специальный выпуск Windows 10 Корпоративная, который не получает обновления функций. Он включает только обновления безопасности и качества на срок до 10 лет (5 лет основной версии + 5 лет продления). Идеально подходит для устройств, функциональность которых никогда не должна изменяться: банкоматы, медицинское оборудование (МРТ, компьютерные томографы), системы промышленного управления (SCADA), киоски и встраиваемые системы.

What’s Missing in LTSC

LTSC поставляется без Microsoft Edge (только устаревшая версия, а не Chromium), Магазина Windows, Cortana, приложений «Входящие» (Почта, Календарь, Калькулятор), OneDrive и современных функций, таких как временная шкала и наборы. Он также не поддерживает полугодовые обновления функций Windows 10 (например, 21H2, 22H2). Это делает LTSC несовместимым с новым оборудованием (для драйверов могут потребоваться более новые сборки Windows).

Licensing & Availability

LTSC доступен только клиентам с активным Software Assurance (корпоративное лицензирование) или через Microsoft 365 E3/E5 (LTSC здесь нет — вам нужен SA). Каждый новый выпуск LTSC поддерживается в течение 10 лет с даты его выпуска (например, Windows 10 Enterprise LTSC 2019 поддерживается до 2029 года, LTSC 2021 — до 2031 года). You cannot upgrade from one LTSC release to another without a clean install.

LTSC vs Semi‑Annual Channel (SAC)

Большинству корпоративных устройств следует использовать Semi-Annual Channel (SAC) — получать новые функции дважды в год. LTSC — это специализированный инструмент для критически важной инфраструктуры, который не допускает изменений пользовательского интерфейса или перезагрузки для обновления функций. Microsoft не рекомендует использовать LTSC для настольных компьютеров общего назначения, Office или компьютеров для разработки.

Pros

✓Непревзойденная безопасность — Credential Guard, Application Guard, WDAC и Defender for Endpoint обеспечивают глубокую защиту.
✓DirectAccess устраняет необходимость использования VPN для пользователя — эффективное управление удаленным доступом
✓BranchCache значительно улучшает работу филиалов с файловыми серверами и веб-приложениями.
✓Полное управление устройствами — Intune, ConfigMgr, групповая политика и совместное управление.
✓Центр обновления Windows для бизнеса с отсрочкой на 1 год: планируйте обновления по своему расписанию.
✓Канал долгосрочного обслуживания (LTSC) для нормативных или критически важных сред
✓AppLocker + WDAC — применение политик приложений с нулевым доверием от режима ядра до пользовательского режима.
✓Microsoft Defender для конечной точки обеспечивает корпоративное EDR без сторонних агентов.
✓Аналитика компьютеров снижает риск обновления благодаря реальным данным о совместимости.
✓Remote Credential Guard защищает учетные данные во время сеансов RDP.
✓Universal Print упрощает работу сервера печати.
✓Поддерживает Windows 10 в S-режиме — доступно только для приложений Microsoft Store, для сред с ультра-ограничениями.

Cons

✗Недоступно для розничной продажи — требуется соглашение о корпоративном лицензировании (Microsoft 365 E3/E5 или Software Assurance)
✗Более высокая стоимость, чем у Pro — плата за подписку за пользователя/за устройство (обычно 7–14 долларов США за пользователя в месяц в рамках Microsoft 365).
✗Сложность – многие функции (WDAC, Credential Guard, Application Guard) требуют тщательного планирования и тестирования.
✗Требования к оборудованию. Для функций VBS необходимы TPM 2.0, UEFI и последние процессоры; старые устройства могут их не поддерживать
✗Проблемы совместимости приложений – WDAC может блокировать законное программное обеспечение; Credential Guard ломает некоторые сторонние модули аутентификации
✗Издержки производительности – VBS (Credential Guard, HVCI) может снизить производительность на 2‑8 %, что заметно при высоких нагрузках ввода-вывода или игровых нагрузках.
✗Для DirectAccess требуется инфраструктура Windows Server (сервер DirectAccess, PKI, DNS и технологии перехода IPv6)
✗BranchCache требует файловых серверов Windows Server и тщательного определения размера кэша.
✗Поддержка заканчивается 14 октября 2025 г. — как и во всех выпусках Windows 10 (хотя для некоторых выпусков LTSC действует до 2031 г.)
✗Нет потребительских функций – Кортана, Магазин Windows (можно отключить), потребительские облачные возможности отключены политикой (может сбить с толку пользователей, ожидающих их)
✗В LTSC отсутствуют современные браузеры и магазин приложений — невозможно установить Microsoft Teams, новые приложения Edge или Store без обходных путей.

Use Cases

Крупное предприятие с более чем 5000 устройствами — централизованное управление с помощью Intune и ConfigMgr, Defender для конечной точки для SOC, WDAC для блокировки несанкционированного программного обеспечения.Финансовые услуги/банковское дело – Credential Guard и безопасность на основе виртуализации для соответствия нормативным требованиям (PCI-DSS, SOX, GDPR)Здравоохранение — защитите данные пациентов с помощью BitLocker и Defender; LTSC для медицинских устройств (МРТ, аппараты искусственной вентиляции легких), характеристики которых не могут быть измененыПравительство и оборона – WDAC и Application Guard для защиты секретных сетей; DirectAccess для безопасного удаленного доступаРозничная торговля/гостиничный бизнес – режим киоска с ограниченным доступом и универсальной печатью; BranchCache для кэширования файлового сервера на уровне магазина.Производство/промышленность – LTSC на заводских ПК под управлением систем SCADA; никаких незапланированных перезагрузок или изменений пользовательского интерфейсаУдаленная/мобильная рабочая сила — DirectAccess обеспечивает беспрепятственный доступ к внутренним ресурсам кафе и отелей без взаимодействия с пользователем.Студия разработки программного обеспечения – Windows Sandbox и Hyper‑V для тестирования; WDAC в режиме аудита для создания списков разрешенных приложенийИнформационные технологии в сфере образования для персонала и администраторов – не для студенческих лабораторий, а для преподавателей и административных устройств, которым требуется полная корпоративная безопасность

Hidden & Useful Shortcuts

Master Windows 10 with these time‑saving keyboard shortcuts

Win

Open Start Menu (Cortana disabled by default on Enterprise)

WinA

Open Action Centre

WinD

Show desktop

WinE

Open File Explorer

WinI

Open Settings

WinL

Lock workstation – secure against physical access

WinR

Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)

WinX

Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer

WinS

Open Search (Cortana disabled but search works)

WinTab

Task View – virtual desktops (useful for separating classified and unclassified work)

WinCtrlD

New virtual desktop

WinCtrlF4

Close current virtual desktop

WinCtrlLeft/Right

Switch between virtual desktops

WinG

Open Game Bar (if not removed by policy)

WinShiftS

Open Snip & Sketch for custom screenshots

WinV

Open clipboard history (if enabled by policy)

Win.

Emoji panel

CtrlShiftEsc

Open Task Manager – can view VBS status (Performance → Virtualisation)

WinPause/Break

Open System Properties (shows 'Windows 10 Enterprise')

WinK

Open Connect (wireless displays) – may be disabled via policy

WinH

Open dictation (if not disabled)

WinR, then `tpm.msc`

Check TPM status (required for Credential Guard)

WinR, then `msinfo32`

System Information – see 'Virtualisation‑Based Security' status

WinR, then `control userpasswords2`

Advanced user account management

WinR, then `compmgmt.msc`

Computer Management – Local Users, Disk Management, Services

WinR, then `wf.msc`

Windows Firewall with Advanced Security

Technical Specifications

Architecture	64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit
Processor	1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation)
RAM	4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB)
Storage	64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI
Graphics	DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU)
Display	Minimum 800x600; recommended 1920x1080 or higher
TPM	TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only
Virtualisation	Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V
Secure Boot	Required for VBS features; strongly recommended for all Enterprise deployments
Memory for VBS	At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers)
Internet	Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features
DirectAccess Infrastructure	Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later