Windows 10 Enterprise
The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments
Overview
How It Works
1. UEFI, Secure Boot & BitLocker
เฟิร์มแวร์ UEFI พร้อม Secure Boot จะตรวจสอบลายเซ็นของ bootloader หากเปิดใช้งาน BitLocker TPM จะปล่อยคีย์ถอดรหัสหลังจากการบูตที่วัดได้ยืนยันว่าไม่มีการดัดแปลงใดๆ บนอุปกรณ์ที่มี การป้องกัน DMA (การป้องกัน DMA ของเคอร์เนล) พอร์ต Thunderbolt จะถูกบล็อกจนกว่าระบบปฏิบัติการจะโหลด
2. Virtualisation‑Based Security (VBS) Initialisation
ไฮเปอร์ไวเซอร์ (Microsoft Hyper-V) โหลดเร็ว ทำให้เกิดคอนเทนเนอร์การจำลองเสมือนแบบแยกส่วน Credential Guard รัน LSA ภายใน VM ที่ปลอดภัย Windows Defender Application Guard (WDAG) เตรียมคอนเทนเนอร์น้ำหนักเบาของตัวเอง ระบบปฏิบัติการหลักทำงานเป็นพาร์ติชั่นรูทพร้อมสิทธิพิเศษที่ลดลง
3. Kernel & Device Guard / WDAC
เคอร์เนลโหลดด้วย Hypervisor‑Protected Code Integrity (HVCI) ไดรเวอร์และโมดูลเคอร์เนลทุกตัวได้รับการตรวจสอบตามนโยบาย (WDAC) ก่อนดำเนินการ มีเพียงไบนารีที่ลงนามโดยผู้เผยแพร่ที่ได้รับอนุญาต (Microsoft องค์กรของคุณ) เท่านั้นที่สามารถทำงานได้ โดยบล็อกรูทคิทและไดรเวอร์ที่ไม่ได้ลงนามได้อย่างมีประสิทธิภาพ
4. DirectAccess & VPN Client
ทันทีที่มีการเชื่อมต่อเครือข่าย ไคลเอ็นต์ DirectAccess จะพยายามสร้างอุโมงค์ IPsec ไปยังเครือข่ายองค์กรโดยใช้ใบรับรองเครื่อง สิ่งนี้จะเกิดขึ้นก่อนที่ผู้ใช้จะเข้าสู่ระบบ ทำให้สามารถจัดการอุปกรณ์ระยะไกลได้ (การปรับใช้แพตช์ การอัปเดตนโยบาย) แม้ว่าจะไม่มีผู้ใช้ลงชื่อเข้าใช้ก็ตาม
5. User Logon with Windows Hello for Business
ที่หน้าจอเข้าสู่ระบบ Windows Hello for Business (ไบโอเมตริกซ์หรือ PIN) จะตรวจสอบสิทธิ์ผู้ใช้กับ Azure AD หรือ Active Directory ภายในองค์กร Remote Credential Guard อนุญาตให้ผู้ใช้เข้าถึงทรัพยากรระยะไกลโดยไม่ต้องส่งข้อมูลประจำตัวไปยังเครื่องเป้าหมาย
6. Group Policy / MDM Refresh & BranchCache
บริการพื้นหลังรีเฟรชวัตถุนโยบายกลุ่ม (GPO) จากตัวควบคุมโดเมนหรือนโยบาย Intune MDM BranchCache ใน 'โหมดแคชแบบกระจาย' จะตรวจสอบแคชเพียร์ในเครื่องสำหรับไฟล์ที่ดาวน์โหลดก่อนหน้านี้ หลีกเลี่ยงการถ่ายโอน WAN ที่ซ้ำซ้อน
7. Windows Defender Application Guard (Optional)
หากผู้ดูแลระบบเปิดใช้งาน Edge ในโหมด Application Guard (หรือผ่านนโยบาย) คอนเทนเนอร์ Hyper-V ใหม่จะเริ่มต้นด้วยอิมเมจ Windows ขั้นต่ำ เบราว์เซอร์ทำงานภายในแซนด์บ็อกซ์นี้ โดยมีคลิปบอร์ดและการเปลี่ยนเส้นทางไฟล์ที่ควบคุมโดยนโยบาย การปิดคอนเทนเนอร์จะละทิ้งการเปลี่ยนแปลงทั้งหมด
8. Microsoft Defender for Endpoint Sensors
เซ็นเซอร์ Defender for Endpoint (`MsSense.exe`) ตรวจสอบการสร้างกระบวนการ การเชื่อมต่อเครือข่าย การเขียนไฟล์ และการเปลี่ยนแปลงรีจิสทรี สัญญาณพฤติกรรมจะถูกส่งไปยังคลาวด์เพื่อการวิเคราะห์ความเสี่ยงแบบเรียลไทม์ หากตรวจพบภัยคุกคาม การดำเนินการตอบสนองอัตโนมัติ (การแยก การกักกันไฟล์) ก็สามารถทริกเกอร์ได้
9. Windows Update for Business & Desktop Analytics
Windows Update for Business ใช้นโยบายการเลื่อนออกไป (สูงสุด 365 วันสำหรับการอัปเดตฟีเจอร์) และวงแหวนการอัปเดต การวิเคราะห์เดสก์ท็อป ทำงานร่วมกับเครื่องมือจัดการการกำหนดค่าเพื่อให้ข้อมูลเชิงลึกเกี่ยวกับความพร้อมในการอัพเกรด – ระบุปัญหาความเข้ากันได้ของแอปพลิเคชันก่อนที่จะปรับใช้
Key Features
Credential Guard
การรักษาความปลอดภัยบนระบบเสมือนจริงจะแยก LSASS ออกจากกัน - ป้องกันการโจมตีแบบพาสเดอะแฮชและพาสเดอะทิคเก็ต ต้องใช้ TPM 2.0 และล็อค UEFI
Application Guard for Edge
คอนเทนเนอร์แบบแยกฮาร์ดแวร์สำหรับการท่องเว็บ – เว็บไซต์ที่เป็นอันตรายไม่สามารถประนีประนอมระบบปฏิบัติการของโฮสต์ได้ รองรับการควบคุมคลิปบอร์ดและนโยบายการเปลี่ยนเส้นทางไฟล์
DirectAccess
VPN ที่โปร่งใสและเปิดตลอดเวลาโดยใช้ IPsec เชื่อมต่อก่อนที่ผู้ใช้จะเข้าสู่ระบบ รองรับหลายไซต์ และผสานรวมกับการรับรองความถูกต้องของใบรับรอง
BranchCache
แคชแบบกระจายหรือโฮสต์เนื้อหา SMB/HTTP – ลดแบนด์วิดท์ WAN และเวลาแฝงสำหรับผู้ใช้สำนักงานสาขา
Windows Defender Application Control (WDAC)
ความสมบูรณ์ของโค้ดที่ป้องกันด้วยไฮเปอร์ไวเซอร์ – อนุญาตเฉพาะไฟล์ปฏิบัติการ ไดรเวอร์ และสคริปต์ที่เชื่อถือได้เท่านั้น บล็อกแรนซัมแวร์และมัลแวร์ที่ไม่มีไฟล์ในระดับเคอร์เนล
AppLocker
รายการที่อนุญาตพิเศษของแอปพลิเคชันโหมดผู้ใช้พร้อมคอลเลกชันกฎสำหรับ EXE, MSI, สคริปต์ และแอป Store โหมดการตรวจสอบสำหรับการทดสอบ
Microsoft Defender for Endpoint
EDR ระดับองค์กรเต็มรูปแบบ – เซ็นเซอร์พฤติกรรม, AI บนคลาวด์, การตรวจสอบอัตโนมัติ, การจัดการภัยคุกคามและช่องโหว่ และการดำเนินการตอบสนอง (การแยกตัว การกักกัน)
BitLocker
การเข้ารหัสทั้งดิสก์ด้วย TPM และ PIN Enterprise เพิ่ม BitLocker Network Unlock (บูตจากไดรฟ์ที่เข้ารหัสเมื่อเชื่อมต่อกับเครือข่ายองค์กร) และ Microsoft BitLocker Administration and Monitoring (MBAM)
Windows Hello for Business
การรับรองความถูกต้องด้วยสองปัจจัยโดยใช้ไบโอเมตริกซ์ + TPM แทนที่รหัสผ่านด้วยการตรวจสอบสิทธิ์แบบใช้คีย์หรือแบบใบรับรอง รองรับ Azure AD และ AD ภายในองค์กร
Desktop Analytics
การผสานรวมกับเครื่องมือจัดการการกำหนดค่าเพื่อประเมินความเข้ากันได้ของแอปพลิเคชันกับการอัปเดตฟีเจอร์ของ Windows ให้คำแนะนำนำร่องและข้อมูลเชิงลึกเกี่ยวกับการย้อนกลับ
Windows Update for Business (Advanced)
เลื่อนการอัปเดตฟีเจอร์สูงสุด 365 วัน การอัปเดตคุณภาพสูงสุด 30 วัน สร้างกลุ่มอุปกรณ์ (นำร่อง กว้าง สำคัญ) พร้อมวงแหวนอัปเดต ผสานรวมกับการเพิ่มประสิทธิภาพการจัดส่ง (เพียร์ทูเพียร์)
Universal Print
โซลูชันการพิมพ์บนคลาวด์ – ไม่ต้องใช้เซิร์ฟเวอร์การพิมพ์ รุ่น Enterprise มีการจัดการตัวเชื่อมต่อ Universal Print และโควต้างานพิมพ์ต่อผู้ใช้
Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management
จัดการอุปกรณ์ได้อย่างราบรื่นด้วย MDM บนคลาวด์ (Intune) และ SCCM ภายในองค์กร เปิดใช้งานการเข้าถึงแบบมีเงื่อนไข นโยบายการปฏิบัติตามข้อกำหนด และการดำเนินการระยะไกล (ล้างข้อมูล เลิกใช้ ซิงค์)
Long‑Term Servicing Channel (LTSC)
การอัปเดตความปลอดภัย 10 ปีโดยไม่มีการเปลี่ยนแปลงคุณสมบัติ – สำหรับอุปกรณ์ที่ใช้งานประจำ (ATM, การแพทย์, อุตสาหกรรม) ด้วย Software Assurance เท่านั้น
Credential Guard & Virtualisation‑Based Security
แยกความลับออกจากระบบปฏิบัติการ แม้แต่มัลแวร์เคอร์เนลก็ไม่สามารถขโมยแฮชได้
How Credential Guard Works
Credential Guard ใช้ Virtualization‑Based Security (VBS) เพื่อรัน Local Security Authority Subsystem Service (LSASS) ภายในเครื่องเสมือนที่แยกฮาร์ดแวร์ กระบวนการ Windows ภายนอก VM ที่ปลอดภัยนี้ไม่สามารถเข้าถึงข้อมูลประจำตัวที่แฮช ตั๋ว Kerberos หรือแฮช NTLM ที่เก็บไว้ภายใน การโจมตี ส่งผ่านแฮช และ ส่งตั๋ว เป็นไปไม่ได้ เนื่องจากความลับไม่เคยละทิ้งสภาพแวดล้อมที่โดดเดี่ยว
Requirements & Enablement
ต้องใช้ CPU 64 บิต พร้อมด้วย Intel VT‑x (พร้อม Extended Page Tables) หรือ AMD‑V (พร้อม Rapid Virtualization Indexing), การล็อค UEFI และ TPM 2.0 เปิดใช้งานผ่านนโยบายกลุ่ม: `การกำหนดค่าคอมพิวเตอร์ → เทมเพลตการดูแลระบบ → ระบบ → อุปกรณ์ป้องกันอุปกรณ์ → เปิดการรักษาความปลอดภัยบนการจำลองเสมือน` ตั้งค่าเป็น 'เปิดใช้งานด้วย Credential Guard'
Key Protection & Remote Credential Guard
Credential Guard ยังปกป้อง Key Trust (คีย์ที่ผูกกับ TPM) และ Certificate Trust (ใบรับรองสมาร์ทการ์ด) Remote Credential Guard ขยายขอบเขตนี้ไปยังเซสชัน RDP – เมื่อผู้ใช้เชื่อมต่อกับพีซีระยะไกล ข้อมูลประจำตัวของพวกเขาจะไม่ออกจากเครื่องไคลเอนต์ พีซีเป้าหมายจะได้รับตั๋วบริการ Kerberos ไม่ใช่แฮชรหัสผ่านของผู้ใช้
Performance Impact
VBS กำหนดโอเวอร์เฮดเล็กน้อย (2-5% CPU) สำหรับการสลับบริบทระหว่าง VM ที่ปลอดภัยและระบบปฏิบัติการปกติ สำหรับฮาร์ดแวร์ระดับเซิร์ฟเวอร์สมัยใหม่ สิ่งนี้ไม่สำคัญสำหรับปริมาณงานส่วนใหญ่ ไดรเวอร์และแอพพลิเคชั่นรุ่นเก่าบางตัว (โดยเฉพาะซอฟต์แวร์เกมป้องกันการโกง) เข้ากันไม่ได้ และจะบล็อก VBS ไม่ให้เปิดขึ้นมา
Windows Defender Application Guard (WDAG)
การเรียกดูแบบแยกฮาร์ดแวร์ – วิธีที่ปลอดภัยที่สุดในการท่องเว็บไซต์ที่ไม่น่าเชื่อถือ
Hyper‑V Container per Browser Session
WDAG เปิดตัว Microsoft Edge ภายในคอนเทนเนอร์ Hyper-V น้ำหนักเบา คอนเทนเนอร์นี้ใช้สำเนาของระบบปฏิบัติการโฮสต์ แต่ทำงานในเครื่องเสมือนแยกต่างหากโดยไม่มีการเข้าถึงหน่วยความจำ พื้นที่เก็บข้อมูล หรือสแต็กเครือข่ายของโฮสต์ (ยกเว้นผ่านสวิตช์เสมือน) หากเว็บไซต์ใช้ประโยชน์จากเบราว์เซอร์ ผู้โจมตีจะสามารถเข้าถึงคอนเทนเนอร์ได้เท่านั้น โฮสต์จะยังคงไม่ถูกแตะต้องโดยสมบูรณ์
Configuration & Policies
เปิดใช้งานผ่านนโยบายกลุ่มหรือ Intune: `เทมเพลตการดูแลระบบ → ส่วนประกอบของ Windows → Windows Defender Application Guard → เปิด Windows Defender Application Guard` นโยบายควบคุมการเข้าถึงคลิปบอร์ด (อนุญาตให้คัดลอก/วาง), การเปลี่ยนเส้นทางการดาวน์โหลดไฟล์ (บันทึกไปยังโฮสต์หรือไม่) และการพิมพ์จากคอนเทนเนอร์ คุณยังสามารถกำหนดความน่าเชื่อถือของทรัพยากรองค์กรได้ (เช่น ไซต์ SharePoint ภายในที่เปิดใน Edge ปกติ)
Performance & User Experience
การเปิดตัวครั้งแรกจะใช้เวลา 5–10 วินาทีในการสร้างคอนเทนเนอร์ การเปิดตัวครั้งต่อไปจะเร็วขึ้นเนื่องจากการแคช เมื่อเข้าไปข้างในแล้ว การท่องเว็บก็ทำได้ใกล้เคียงกัน คอนเทนเนอร์ไม่คงข้อมูลใดๆ ไว้ คุกกี้ การดาวน์โหลด และประวัติการเรียกดูจะถูกละทิ้งเมื่อคอนเทนเนอร์ปิด ผู้ใช้เห็น UI พิเศษที่ระบุว่าอยู่ในโหมด 'Application Guard'
Integration with Defender for Endpoint
หากตรวจพบตัวอย่างมัลแวร์ภายในคอนเทนเนอร์ Defender for Endpoint จะสามารถรวบรวมเพย์โหลดและส่งไปวิเคราะห์ได้โดยอัตโนมัติ นอกจากนี้ คอนเทนเนอร์ยังสามารถรีเซ็ตเป็นสถานะที่ทราบได้โดยอัตโนมัติหากตรวจพบพฤติกรรมที่น่าสงสัย
DirectAccess & BranchCache
การเข้าถึงระยะไกลที่ราบรื่นและการเพิ่มประสิทธิภาพ WAN สำหรับองค์กรแบบกระจาย
DirectAccess – Always On VPN
DirectAccess มอบช่องทาง IPsec อัตโนมัติ โปร่งใส และเปิดตลอดเวลาให้กับเครือข่ายองค์กรทันทีที่อุปกรณ์มีการเข้าถึงอินเทอร์เน็ต ไม่มีการป้อนข้อมูลจากผู้ใช้ (ไม่ต้องคลิกเพื่อเชื่อมต่อ) – ใช้ใบรับรองเครื่องสำหรับการตรวจสอบสิทธิ์ ผู้ใช้เข้าถึงทรัพยากรภายใน (พื้นที่แชร์ไฟล์ ไซต์อินทราเน็ต) เสมือนอยู่ในองค์กร แม้จะอยู่เบื้องหลัง NAT และไฟร์วอลล์ก็ตาม DirectAccess ยังรองรับการปรับใช้งาน หลายไซต์ และทำงานร่วมกับ Network Access Protection (NAP) (แบบเดิม)
DirectAccess vs Traditional VPN
VPN แบบดั้งเดิมต้องการให้ผู้ใช้เชื่อมต่อด้วยตนเอง สามารถยกเลิกการเชื่อมต่อได้หลังจากไม่ได้ใช้งาน และจะไม่ทำงานก่อนที่ผู้ใช้จะเข้าสู่ระบบ DirectAccess เชื่อมต่อโดยอัตโนมัติก่อนเข้าสู่ระบบ เชื่อมต่ออย่างไม่มีกำหนด และรองรับ force tunneling (การรับส่งข้อมูลอินเทอร์เน็ตทั้งหมดที่กำหนดเส้นทางผ่านเครือข่ายองค์กร) หรือ split tunneling เหมาะอย่างยิ่งสำหรับการจัดการแล็ปท็อปจากระยะไกลและการเข้าถึงทรัพยากรภายในอย่างต่อเนื่อง
BranchCache – Reduce WAN Traffic
BranchCache แคชเนื้อหาจากเซิร์ฟเวอร์ไฟล์ระยะไกล (การแชร์ SMB) และเซิร์ฟเวอร์ HTTP (เว็บ) บนพีซีไคลเอนต์ในเครื่องหรือเซิร์ฟเวอร์แคชที่โฮสต์ในสถานที่ ใน โหมดแคชแบบกระจาย ไคลเอนต์แต่ละตัวจะแคชเนื้อหาและแบ่งปันกับไคลเอนต์เพียร์ผ่านการค้นพบ LAN ภายในเครื่อง (WS-Discovery) ใน โหมดโฮสต์แคช Windows Server เฉพาะจะทำหน้าที่เป็นแคชกลาง คำขอที่ตามมาสำหรับไฟล์เดียวกันจะให้บริการจากแคชในเครื่อง ซึ่งช่วยลดเวลาแฝงและการใช้งาน WAN ได้อย่างมาก
BranchCache Security
ข้อมูลได้รับการเข้ารหัสและตรวจสอบความสมบูรณ์โดยใช้ SHA-256 ลูกค้าจะได้รับเฉพาะส่วนของไฟล์ที่ร้องขอ และแคชจะถูกแบ่งส่วนเพื่อป้องกันการสร้างใหม่โดยไม่ได้รับอนุญาต BranchCache ทำงานบนโปรโตคอล HTTP และ SMB ซึ่งผสานรวมกับ Windows File Server ได้อย่างราบรื่น
Windows Defender Application Control (WDAC) & AppLocker
รายการที่อนุญาตพิเศษของแอปพลิเคชัน Zero-trust – รันเฉพาะซอฟต์แวร์ที่ได้รับอนุมัติเท่านั้น
WDAC – Hypervisor‑Protected Code Integrity
WDAC (เดิมเรียกว่า Device Guard) ช่วยให้ผู้ดูแลระบบระบุได้อย่างชัดเจนว่าไฟล์ปฏิบัติการ ไดรเวอร์ สคริปต์ และ MSI ใดบ้างที่เชื่อถือได้ กฎจะขึ้นอยู่กับเส้นทางของไฟล์ ผู้เผยแพร่ (ใบรับรองดิจิทัล) หรือแฮชของไฟล์ นโยบายนี้บังคับใช้โดยไฮเปอร์ไวเซอร์ (HVCI) และไม่สามารถข้ามโดยมัลแวร์โหมดเคอร์เนลได้ WDAC สามารถบล็อกไม่เพียงแต่มัลแวร์ที่รู้จักเท่านั้น แต่ยังบล็อกไบนารี 'ที่อยู่นอกพื้นที่' (เช่น PowerShell, wmic) ที่ผู้โจมตีใช้อีกด้วย
WDAC vs AppLocker
AppLocker เป็นโซลูชันนโยบายโหมดผู้ใช้ที่มีอยู่ใน Enterprise (และ Pro) ซึ่งง่ายต่อการจัดการ แต่ไดรเวอร์เคอร์เนลสามารถข้ามได้ WDAC เป็นโซลูชันโหมดเคอร์เนลที่มีการป้องกันไฮเปอร์ไวเซอร์ ซึ่งแข็งแกร่งกว่ามาก แต่ต้องมีการวางแผนและการทดสอบอย่างรอบคอบ องค์กรจำนวนมากใช้ทั้งสองอย่าง: WDAC สำหรับการปกป้องระบบที่สำคัญ, AppLocker สำหรับข้อจำกัดแอปของผู้ใช้
Creating WDAC Policies
ใช้โมดูล `ConfigCI` PowerShell บนพีซีอ้างอิง `New-CIpolicy` จะสแกนระบบและสร้างรายการที่อนุญาตของแอปพลิเคชันและไดรเวอร์ที่ติดตั้งอยู่ทั้งหมดในปัจจุบัน `ConvertFrom-CIPolicy` แปลงเป็นรูปแบบไบนารี ปรับใช้ผ่านนโยบายกลุ่มหรือ MDM คุณสามารถเรียกใช้ โหมดตรวจสอบ ในตอนแรกเพื่อบันทึกสิ่งที่จะถูกบล็อกโดยไม่ได้บล็อกจริงๆ
AppLocker Rulesets for Enterprises
AppLocker รองรับคอลเลกชันกฎห้าชุด: ไฟล์ปฏิบัติการ (.exe, .com), โปรแกรมติดตั้ง Windows (.msi, .msp), สคริปต์ (.ps1, .bat, .vbs, .js), DLL และแอพแพ็คเกจ (แอพ Store) สามารถใช้นโยบายต่อกลุ่มผู้ใช้ได้ ตัวอย่างเช่น อนุญาตให้ผู้ใช้ทั้งหมดเรียกใช้โปรแกรมจาก `C:\Program Files` และ `C:\Program Files (x86)` แต่ปฏิเสธการเรียกใช้จาก `%USERPROFILE%\Downloads` หรือ `%TEMP%`
Microsoft Defender for Endpoint (formerly ATP)
EDR ระดับองค์กรพร้อมการตรวจสอบและตอบสนองอัตโนมัติ
Next‑Generation Protection
เซ็นเซอร์พฤติกรรม, AI บนคลาวด์ และโมเดลการเรียนรู้ของเครื่องวิเคราะห์พฤติกรรมของกระบวนการ การเชื่อมต่อเครือข่าย และการเปลี่ยนแปลงรีจิสทรี กฎการลดพื้นที่การโจมตี (เช่น บล็อก Office จากการสร้างกระบวนการลูก บล็อกเนื้อหาที่ปฏิบัติการได้จากไคลเอนต์อีเมล) ป้องกันพาหะการติดไวรัสทั่วไป
Endpoint Detection & Response (EDR)
การมองเห็นจุดสิ้นสุดในเชิงลึก: การแจ้งเตือนเกี่ยวกับพฤติกรรมที่น่าสงสัย การตรวจสอบทั่วทั้งเครื่องจักร และมุมมองไทม์ไลน์ของแผนผังกระบวนการ ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) สามารถสืบค้นการวัดและส่งข้อมูลทางไกลแบบดิบได้นานถึง 6 เดือน (ขึ้นอยู่กับใบอนุญาต)
Automated Investigation & Remediation
เมื่อมีการกระตุ้นการแจ้งเตือน Defender for Endpoint สามารถตรวจสอบเหตุการณ์ได้โดยอัตโนมัติ: ระบุสาเหตุที่แท้จริง แยกเครื่องที่ได้รับผลกระทบออกจากเครือข่าย (โดยใช้การผสานรวม Microsoft Intune) และลบสิ่งที่เป็นอันตราย (ไฟล์ รีจิสตรีคีย์ งานที่กำหนดเวลาไว้)
Threat & Vulnerability Management (TVM)
TVM ค้นพบการอัปเดตความปลอดภัยที่ขาดหายไป การกำหนดค่าที่ไม่ถูกต้อง (เช่น กฎไฟร์วอลล์ที่ไม่รัดกุม) และเวอร์ชันซอฟต์แวร์ที่มีช่องโหว่อย่างต่อเนื่อง โดยให้คำแนะนำในการจัดลำดับความสำคัญตามความเสี่ยง – 'แพทช์ก่อน' โดยพิจารณาจากโอกาสในการใช้ประโยชน์และการเปิดเผยสินทรัพย์
Long‑Term Servicing Channel (LTSC)
การอัปเดตความปลอดภัย 10 ปีโดยไม่มีการเปลี่ยนแปลงคุณสมบัติ – สำหรับอุปกรณ์ที่มีวัตถุประสงค์เฉพาะ
What is LTSC?
ช่องทางการให้บริการระยะยาว (เดิมเรียกว่า LTSB) เป็นรุ่นพิเศษของ Windows 10 Enterprise ที่ไม่ ไม่ รับการอัปเดตฟีเจอร์ ประกอบด้วยการอัปเดตความปลอดภัยและคุณภาพสูงสุด 10 ปี (กระแสหลัก 5 ปี + ขยายเวลา 5 ปี) เหมาะสำหรับอุปกรณ์ที่ต้องไม่เปลี่ยนแปลงฟังก์ชันการทำงาน: ตู้เอทีเอ็ม อุปกรณ์ทางการแพทย์ (MRI, เครื่องสแกน CT), ระบบควบคุมอุตสาหกรรม (SCADA), ตู้คีออสก์ และระบบฝังตัว
What’s Missing in LTSC
LTSC จัดส่งโดยไม่มี Microsoft Edge (เวอร์ชันดั้งเดิมเท่านั้น ไม่ใช่ Chromium), Windows Store, Cortana, แอป Inbox (Mail, ปฏิทิน, เครื่องคิดเลข), OneDrive และฟีเจอร์สมัยใหม่ เช่น Timeline และชุด นอกจากนี้ยังไม่รองรับการอัปเดตฟีเจอร์รายครึ่งปีของ Windows 10 (เช่น 21H2, 22H2) สิ่งนี้ทำให้ LTSC เข้ากันไม่ได้กับฮาร์ดแวร์ใหม่ (ไดรเวอร์อาจต้องใช้ Windows รุ่นใหม่กว่า)
Licensing & Availability
LTSC เท่านั้น พร้อมใช้งานสำหรับลูกค้าที่มี Software Assurance (volume licensing) ที่ใช้งานได้ หรือผ่าน Microsoft 365 E3/E5 (ไม่มี LTSC ที่นั่น – คุณต้องมี SA) LTSC ใหม่แต่ละรุ่นได้รับการสนับสนุนเป็นเวลา 10 ปีนับจากวันวางจำหน่าย (เช่น รองรับ Windows 10 Enterprise LTSC 2019 จนถึงปี 2029, LTSC 2021 จนถึงปี 2031) คุณไม่สามารถอัปเกรดจากรุ่น LTSC หนึ่งไปยังอีกรุ่นหนึ่งได้หากไม่มีการติดตั้งใหม่ทั้งหมด
LTSC vs Semi‑Annual Channel (SAC)
อุปกรณ์ระดับองค์กรส่วนใหญ่ควรใช้ตัวเลือกรายครึ่งปี (SAC) – รับฟีเจอร์ใหม่ปีละสองครั้ง LTSC เป็นเครื่องมือพิเศษสำหรับโครงสร้างพื้นฐานที่สำคัญซึ่งไม่สามารถทนต่อการเปลี่ยนแปลง UI หรือรีบูตสำหรับการอัปเดตคุณสมบัติ Microsoft ไม่แนะนำให้ใช้ LTSC สำหรับเดสก์ท็อปอเนกประสงค์ Office หรือเครื่องพัฒนา
Pros
- ✓การรักษาความปลอดภัยที่ไม่มีใครเทียบ – Credential Guard, Application Guard, WDAC และ Defender for Endpoint ให้การป้องกันในเชิงลึก
- ✓DirectAccess กำจัด VPN ที่ต้องติดต่อกับผู้ใช้ – การจัดการการเข้าถึงระยะไกลที่ราบรื่น
- ✓BranchCache ปรับปรุงประสบการณ์สำนักงานสาขาอย่างมากสำหรับเซิร์ฟเวอร์ไฟล์และเว็บแอป
- ✓การจัดการอุปกรณ์เต็มรูปแบบ – Intune, ConfigMgr, Group Policy และการจัดการร่วม
- ✓Windows Update for Business โดยเลื่อนออกไป 1 ปี – วางแผนการอัปเดตตามกำหนดการของคุณ
- ✓ช่องทางการให้บริการระยะยาว (LTSC) สำหรับสภาพแวดล้อมด้านกฎระเบียบหรือเสถียรภาพที่สำคัญ
- ✓AppLocker + WDAC – บังคับใช้นโยบายแอปพลิเคชันแบบ Zero-trust จากเคอร์เนลไปยังโหมดผู้ใช้
- ✓Microsoft Defender for Endpoint มอบ EDR ระดับองค์กรโดยไม่ต้องใช้ตัวแทนบุคคลที่สาม
- ✓การวิเคราะห์เดสก์ท็อป ช่วยลดความเสี่ยงในการอัปเกรดด้วยข้อมูลความเข้ากันได้ในโลกแห่งความเป็นจริง
- ✓Remote Credential Guard ปกป้องข้อมูลประจำตัวระหว่างเซสชัน RDP
- ✓Universal Print ช่วยลดความซับซ้อนของเซิร์ฟเวอร์การพิมพ์
- ✓รองรับ Windows 10 ในโหมด S – ล็อคไว้เฉพาะแอป Microsoft Store เท่านั้น สำหรับสภาพแวดล้อมที่จำกัดเป็นพิเศษ
Cons
- ✗ไม่มีจำหน่ายปลีก – ต้องมีข้อตกลง Volume Licensing (Microsoft 365 E3/E5 หรือ Software Assurance)
- ✗ค่าใช้จ่ายสูงกว่า ค่าธรรมเนียมการสมัครใช้งาน Pro ต่อผู้ใช้/ต่ออุปกรณ์ (โดยทั่วไปคือ $7–$14 ต่อผู้ใช้/เดือน โดยเป็นส่วนหนึ่งของ Microsoft 365)
- ✗ความซับซ้อน – คุณสมบัติหลายอย่าง (WDAC, Credential Guard, Application Guard) จำเป็นต้องมีการวางแผนและการทดสอบอย่างรอบคอบ
- ✗ข้อกำหนดด้านฮาร์ดแวร์ – คุณสมบัติ VBS ต้องการ TPM 2.0, UEFI และ CPU ล่าสุด อุปกรณ์รุ่นเก่าอาจไม่รองรับ
- ✗ปัญหาความเข้ากันได้ของแอปพลิเคชัน – WDAC สามารถบล็อกซอฟต์แวร์ที่ถูกกฎหมายได้ Credential Guard ทำลายโมดูลการรับรองความถูกต้องของบุคคลที่สามบางส่วน
- ✗ค่าใช้จ่ายด้านประสิทธิภาพ – VBS (Credential Guard, HVCI) สามารถลดประสิทธิภาพลง 2-8% ซึ่งสังเกตได้ชัดเจนในเวิร์กโหลด I/O สูงหรือการเล่นเกม
- ✗DirectAccess ต้องการโครงสร้างพื้นฐานของ Windows Server (เซิร์ฟเวอร์ DirectAccess, PKI, DNS และเทคโนโลยีการเปลี่ยนผ่าน IPv6)
- ✗BranchCache ต้องใช้เซิร์ฟเวอร์ไฟล์ Windows Server และการกำหนดขนาดแคชอย่างระมัดระวัง
- ✗การสนับสนุนสิ้นสุดในวันที่ 14 ตุลาคม 2025 – เช่นเดียวกับ Windows 10 ทุกรุ่น (แม้ว่า LTSC จะไปจนถึงปี 2031 สำหรับบางรุ่น)
- ✗ไม่มีฟีเจอร์สำหรับผู้บริโภค – Cortana, Windows Store (สามารถปิดใช้งานได้), ประสบการณ์คลาวด์สำหรับผู้บริโภคถูกปิดตามนโยบาย (อาจทำให้ผู้ใช้สับสนที่คาดหวัง)
- ✗LTSC ขาดเบราว์เซอร์และ App Store ที่ทันสมัย – ไม่สามารถติดตั้งแอป Microsoft Teams, Edge ใหม่ หรือ Store ได้หากไม่มีวิธีแก้ไขปัญหาเฉพาะหน้า
Use Cases
Hidden & Useful Shortcuts
Master Windows 10 with these time‑saving keyboard shortcuts
Open Start Menu (Cortana disabled by default on Enterprise)
Open Action Centre
Show desktop
Open File Explorer
Open Settings
Lock workstation – secure against physical access
Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)
Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer
Open Search (Cortana disabled but search works)
Task View – virtual desktops (useful for separating classified and unclassified work)
New virtual desktop
Close current virtual desktop
Switch between virtual desktops
Open Game Bar (if not removed by policy)
Open Snip & Sketch for custom screenshots
Open clipboard history (if enabled by policy)
Emoji panel
Open Task Manager – can view VBS status (Performance → Virtualisation)
Open System Properties (shows 'Windows 10 Enterprise')
Open Connect (wireless displays) – may be disabled via policy
Open dictation (if not disabled)
Check TPM status (required for Credential Guard)
System Information – see 'Virtualisation‑Based Security' status
Advanced user account management
Computer Management – Local Users, Disk Management, Services
Windows Firewall with Advanced Security
Technical Specifications
| Architecture | 64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit |
| Processor | 1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation) |
| RAM | 4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB) |
| Storage | 64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI |
| Graphics | DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU) |
| Display | Minimum 800x600; recommended 1920x1080 or higher |
| TPM | TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only |
| Virtualisation | Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V |
| Secure Boot | Required for VBS features; strongly recommended for all Enterprise deployments |
| Memory for VBS | At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers) |
| Internet | Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features |
| DirectAccess Infrastructure | Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later |
Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education
| Feature | enterprise | pro | education |
|---|---|---|---|
| Availability | Volume licensing (M365 E3/E5, SA) | Retail / OEM | Academic VL / Azure for Education (free) |
| Credential Guard | Yes | No | Yes (same as Enterprise) |
| Application Guard for Edge | Yes | No (consumer version only) | Yes |
| DirectAccess | Yes | No | Yes |
| BranchCache | Yes | No | Yes |
| WDAC (Hypervisor Code Integrity) | Yes (fully configurable) | Yes (but limited policies) | Yes (full) |
| AppLocker | Yes (full) | Yes (via GPO) | Yes |
| Microsoft Defender for Endpoint (ATP) | Yes (requires separate licence) | No | Yes (through M365 A5) |
| Long‑Term Servicing Channel (LTSC) | Yes (with SA) | No | No (only via VL, not free) |
| Desktop Analytics | Yes (with ConfigMgr) | No | Yes (with ConfigMgr) |
| Universal Print | Yes (full management) | Basic (client only) | Yes (with A3/A5) |
| Remote Desktop Host | Yes | Yes | Yes |
| Hyper‑V | Yes | Yes | Yes |
| Group Policy / MDM | Full (Intune + ConfigMgr co‑management) | Local + domain | Full (with appropriate licences) |
| Cortana | Disabled by default (can enable) | Enabled | Disabled by default |
| Max RAM (64‑bit) | 2 TB | 2 TB | 2 TB |