Windows 10 Enterprise
The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments
Overview
How It Works
1. UEFI, Secure Boot & BitLocker
Phần sụn UEFI với Khởi động an toàn sẽ xác minh chữ ký của bộ nạp khởi động. Nếu BitLocker được bật, TPM chỉ giải phóng khóa giải mã sau khi quá trình khởi động được đo xác minh rằng không có sự giả mạo. Trên các thiết bị có bảo vệ DMA (Bảo vệ DMA hạt nhân), các cổng Thunderbolt sẽ bị chặn cho đến khi hệ điều hành tải.
2. Virtualisation‑Based Security (VBS) Initialisation
Trình ảo hóa (Microsoft Hyper‑V) tải sớm, tạo ra các vùng chứa ảo hóa biệt lập. Credential Guard chạy LSA bên trong một máy ảo an toàn. Bộ bảo vệ ứng dụng của Bộ bảo vệ Windows (WDAG) chuẩn bị vùng chứa nhẹ của riêng mình. Hệ điều hành chính chạy dưới dạng phân vùng gốc với các đặc quyền bị giảm bớt.
3. Kernel & Device Guard / WDAC
Hạt nhân tải với Tính toàn vẹn mã được bảo vệ bởi Hypervisor (HVCI). Mọi trình điều khiển và mô-đun hạt nhân đều được xác minh theo chính sách (WDAC) trước khi thực thi. Chỉ các tệp nhị phân được ký bởi nhà xuất bản được ủy quyền (Microsoft, tổ chức của bạn) mới có thể chạy – chặn rootkit và trình điều khiển không dấu một cách hiệu quả.
4. DirectAccess & VPN Client
Ngay khi có kết nối mạng, ứng dụng DirectAccess sẽ cố gắng thiết lập đường hầm IPsec tới mạng công ty bằng chứng chỉ máy. Điều này xảy ra trước khi người dùng đăng nhập, cho phép quản lý thiết bị từ xa (triển khai bản vá, cập nhật chính sách) ngay cả khi không có người dùng nào đăng nhập.
5. User Logon with Windows Hello for Business
Ở màn hình đăng nhập, Windows Hello for Business (sinh trắc học hoặc mã PIN) xác thực người dùng với Azure AD hoặc Active Directory tại chỗ. Bảo vệ thông tin xác thực từ xa cho phép người dùng truy cập tài nguyên từ xa mà không cần gửi thông tin xác thực của họ đến máy mục tiêu.
6. Group Policy / MDM Refresh & BranchCache
Dịch vụ nền làm mới các đối tượng Chính sách nhóm (GPO) từ bộ điều khiển miền hoặc chính sách Intune MDM. BranchCache trong 'chế độ bộ đệm được phân phối' kiểm tra bộ đệm ngang hàng cục bộ để tìm các tệp đã tải xuống trước đó, tránh truyền WAN dư thừa.
7. Windows Defender Application Guard (Optional)
Nếu quản trị viên khởi chạy Edge ở chế độ Bảo vệ ứng dụng (hoặc thông qua chính sách), vùng chứa Hyper‑V mới sẽ bắt đầu bằng hình ảnh Windows tối thiểu. Trình duyệt chạy bên trong hộp cát này, với khay nhớ tạm và chuyển hướng tệp được kiểm soát bởi chính sách. Đóng vùng chứa sẽ loại bỏ tất cả các thay đổi.
8. Microsoft Defender for Endpoint Sensors
Cảm biến Defender for Endpoint (`MsSense.exe`) giám sát quá trình tạo, kết nối mạng, ghi tệp và thay đổi sổ đăng ký. Tín hiệu hành vi được gửi tới đám mây để phân tích rủi ro theo thời gian thực. Nếu phát hiện mối đe dọa, các hành động phản hồi tự động (cách ly, cách ly tệp) có thể được kích hoạt.
9. Windows Update for Business & Desktop Analytics
Windows Update for Business sử dụng chính sách trì hoãn (tối đa 365 ngày đối với các bản cập nhật tính năng) và vòng cập nhật. Phân tích máy tính để bàn tích hợp với Trình quản lý cấu hình để cung cấp thông tin chi tiết về mức độ sẵn sàng nâng cấp – xác định các vấn đề về khả năng tương thích của ứng dụng trước khi triển khai.
Key Features
Credential Guard
Bảo mật dựa trên ảo hóa cô lập LSASS – ngăn chặn các cuộc tấn công pass-the-hash và pass-the-ticket. Yêu cầu khóa TPM 2.0 và UEFI.
Application Guard for Edge
Vùng chứa cách ly bằng phần cứng để duyệt web – các trang web độc hại không thể xâm phạm hệ điều hành máy chủ. Hỗ trợ các chính sách kiểm soát clipboard và chuyển hướng tập tin.
DirectAccess
VPN luôn bật, trong suốt sử dụng IPsec. Kết nối trước khi người dùng đăng nhập, hỗ trợ nhiều trang và tích hợp với xác thực chứng chỉ.
BranchCache
Bộ nhớ đệm được phân phối hoặc lưu trữ của nội dung SMB/HTTP – giảm băng thông và độ trễ WAN cho người dùng văn phòng chi nhánh.
Windows Defender Application Control (WDAC)
Tính toàn vẹn của mã được bảo vệ bởi Hypervisor – chỉ cho phép các tệp thực thi, trình điều khiển và tập lệnh đáng tin cậy. Chặn phần mềm ransomware và phần mềm độc hại không có tệp ở cấp độ kernel.
AppLocker
Danh sách trắng ứng dụng ở chế độ người dùng với các bộ sưu tập quy tắc cho EXE, MSI, tập lệnh và ứng dụng Store. Chế độ kiểm toán để thử nghiệm.
Microsoft Defender for Endpoint
EDR toàn diện dành cho doanh nghiệp – cảm biến hành vi, AI đám mây, điều tra tự động, quản lý mối đe dọa & lỗ hổng bảo mật cũng như các hành động ứng phó (cách ly, cách ly).
BitLocker
Mã hóa toàn bộ đĩa bằng TPM và PIN. Enterprise bổ sung Mở khóa mạng BitLocker (khởi động từ ổ đĩa được mã hóa khi kết nối với mạng công ty) và tích hợp Quản trị và giám sát Microsoft BitLocker (MBAM).
Windows Hello for Business
Xác thực hai yếu tố bằng sinh trắc học + TPM. Thay thế mật khẩu bằng xác thực dựa trên khóa hoặc dựa trên chứng chỉ. Hỗ trợ Azure AD và AD tại chỗ.
Desktop Analytics
Tích hợp với Trình quản lý cấu hình để đánh giá khả năng tương thích của ứng dụng với các bản cập nhật tính năng của Windows. Cung cấp các đề xuất thí điểm và thông tin chi tiết về quá trình khôi phục.
Windows Update for Business (Advanced)
Trì hoãn cập nhật tính năng lên tới 365 ngày, cập nhật chất lượng lên tới 30 ngày. Tạo các nhóm thiết bị (thí điểm, rộng, quan trọng) với các vòng cập nhật. Tích hợp với Tối ưu hóa phân phối (ngang hàng).
Universal Print
Giải pháp in dựa trên đám mây – không cần máy chủ in. Phiên bản Enterprise bao gồm quản lý các đầu nối Universal Print và hạn mức lệnh in cho mỗi người dùng.
Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management
Quản lý liền mạch các thiết bị bằng cả MDM đám mây (Intune) và SCCM tại chỗ. Cho phép truy cập có điều kiện, chính sách tuân thủ và các hành động từ xa (xóa, gỡ bỏ, đồng bộ hóa).
Long‑Term Servicing Channel (LTSC)
10 năm cập nhật bảo mật mà không thay đổi tính năng – dành cho các thiết bị có mục đích cố định (ATM, y tế, công nghiệp). Chỉ với Bảo hiểm phần mềm.
Credential Guard & Virtualisation‑Based Security
Cô lập các bí mật khỏi hệ điều hành – ngay cả phần mềm độc hại trong kernel cũng không thể đánh cắp các hàm băm
How Credential Guard Works
Credential Guard sử dụng Bảo mật dựa trên ảo hóa (VBS) để chạy Dịch vụ hệ thống con của Cơ quan bảo mật cục bộ (LSASS) bên trong một máy ảo được cách ly bằng phần cứng. Các quy trình Windows bên ngoài máy ảo bảo mật này không thể truy cập thông tin xác thực đã băm, vé Kerberos hoặc băm NTLM được lưu trữ bên trong. Các cuộc tấn công Pass‑the‑hash và Pass‑the‑ticket trở nên bất khả thi vì các bí mật không bao giờ rời khỏi môi trường biệt lập.
Requirements & Enablement
Yêu cầu CPU 64 bit có Intel VT‑x (với Bảng trang mở rộng) hoặc AMD‑V (với Lập chỉ mục ảo hóa nhanh), khóa UEFI và TPM 2.0. Kích hoạt thông qua Chính sách nhóm: `Cấu hình máy tính → Mẫu quản trị → Hệ thống → Bảo vệ thiết bị → Bật bảo mật dựa trên ảo hóa`. Đặt thành 'Đã bật với Trình bảo vệ thông tin xác thực'.
Key Protection & Remote Credential Guard
Credential Guard cũng bảo vệ Key Trust (khóa gắn với TPM) và Certificate Trust (chứng chỉ thẻ thông minh). Bảo vệ thông tin xác thực từ xa mở rộng tính năng này cho các phiên RDP – khi người dùng kết nối với PC từ xa, thông tin xác thực của họ sẽ không bao giờ rời khỏi máy khách. PC mục tiêu nhận được phiếu dịch vụ Kerberos chứ không phải hàm băm mật khẩu của người dùng.
Performance Impact
VBS áp dụng một mức tiêu hao nhỏ (2‑5% CPU) để chuyển đổi ngữ cảnh giữa VM an toàn và hệ điều hành thông thường. Trên phần cứng cấp máy chủ hiện đại, điều này không đáng kể đối với hầu hết khối lượng công việc. Một số trình điều khiển và ứng dụng cũ (đặc biệt là phần mềm trò chơi chống gian lận) không tương thích và sẽ chặn VBS bật.
Windows Defender Application Guard (WDAG)
Duyệt web riêng biệt bằng phần cứng – cách an toàn nhất để lướt các trang web không đáng tin cậy
Hyper‑V Container per Browser Session
WDAG ra mắt Microsoft Edge bên trong thùng chứa Hyper‑V nhẹ. Vùng chứa này sử dụng một bản sao của Hệ điều hành máy chủ nhưng chạy trong một máy ảo riêng biệt không có quyền truy cập vào bộ nhớ, bộ lưu trữ hoặc ngăn xếp mạng của máy chủ (ngoại trừ thông qua một bộ chuyển mạch ảo). Nếu một trang web khai thác trình duyệt, kẻ tấn công chỉ có quyền truy cập vào vùng chứa – máy chủ vẫn hoàn toàn không bị ảnh hưởng.
Configuration & Policies
Kích hoạt thông qua Chính sách nhóm hoặc Intune: `Mẫu quản trị → Cấu phần Windows → Bộ bảo vệ ứng dụng của Bộ bảo vệ Windows → Bật Bộ bảo vệ ứng dụng của Bộ bảo vệ Windows`. Các chính sách kiểm soát quyền truy cập vào khay nhớ tạm (cho phép sao chép/dán?), chuyển hướng tải xuống tệp (lưu vào máy chủ?) và in từ vùng chứa. Bạn cũng có thể xác định độ tin cậy của tài nguyên doanh nghiệp (ví dụ: các trang SharePoint nội bộ mở trong Edge thông thường).
Performance & User Experience
Lần khởi chạy đầu tiên mất 5–10 giây để tạo vùng chứa; các lần khởi chạy tiếp theo nhanh hơn do bộ nhớ đệm. Khi đã vào bên trong, việc duyệt web gần như tự nhiên. Vùng chứa không lưu giữ bất kỳ dữ liệu nào - cookie, nội dung tải xuống và lịch sử duyệt web sẽ bị loại bỏ khi vùng chứa đóng lại. Người dùng nhìn thấy một giao diện người dùng đặc biệt cho biết họ đang ở chế độ 'Bảo vệ ứng dụng'.
Integration with Defender for Endpoint
Nếu phát hiện mẫu phần mềm độc hại bên trong vùng chứa, Defender for Endpoint có thể tự động thu thập tải trọng và gửi đi phân tích. Vùng chứa cũng có thể được tự động đặt lại về trạng thái đã biết tốt nếu phát hiện thấy hành vi đáng ngờ.
DirectAccess & BranchCache
Truy cập từ xa liền mạch và tối ưu hóa mạng WAN cho các tổ chức phân tán
DirectAccess – Always On VPN
DirectAccess cung cấp đường hầm IPsec tự động, minh bạch, luôn bật cho mạng công ty ngay khi thiết bị có quyền truy cập Internet. Không cần người dùng nhập (không cần nhấp để kết nối) – nó sử dụng chứng chỉ máy để xác thực. Người dùng truy cập tài nguyên nội bộ (chia sẻ tệp, trang mạng nội bộ) như thể họ đang ở tại chỗ, thậm chí sau NAT và tường lửa. DirectAccess cũng hỗ trợ triển khai multi‑site và tích hợp với Network Access Protection (NAP) (cũ).
DirectAccess vs Traditional VPN
VPN truyền thống yêu cầu người dùng kết nối thủ công, có thể ngắt kết nối sau khi không hoạt động và không hoạt động trước khi người dùng đăng nhập. DirectAccess kết nối tự động trước khi đăng nhập, duy trì kết nối vô thời hạn và hỗ trợ đường hầm bắt buộc (tất cả lưu lượng truy cập internet được định tuyến qua mạng công ty) hoặc đường hầm phân chia. Đó là lý tưởng để quản lý máy tính xách tay từ xa và truy cập liên tục vào tài nguyên nội bộ.
BranchCache – Reduce WAN Traffic
BranchCache lưu vào bộ nhớ đệm nội dung từ các máy chủ tệp từ xa (chia sẻ SMB) và máy chủ HTTP (web) trên các PC khách cục bộ hoặc máy chủ bộ nhớ đệm được lưu trữ tại chỗ. Trong Chế độ bộ nhớ đệm phân tán, mỗi máy khách sẽ lưu nội dung vào bộ nhớ đệm và chia sẻ nội dung đó với các máy khách ngang hàng thông qua tính năng khám phá mạng LAN cục bộ (WS-Discovery). Trong Chế độ bộ đệm được lưu trữ, Máy chủ Windows chuyên dụng đóng vai trò là bộ đệm trung tâm. Các yêu cầu tiếp theo cho cùng một tệp được cung cấp từ bộ nhớ đệm cục bộ, giúp giảm đáng kể độ trễ và mức sử dụng mạng WAN.
BranchCache Security
Dữ liệu được mã hóa và kiểm tra tính toàn vẹn bằng SHA‑256. Khách hàng chỉ nhận được các phần của tệp mà họ yêu cầu và bộ nhớ đệm được phân đoạn để ngăn chặn việc tái tạo trái phép. BranchCache hoạt động trên các giao thức HTTP và SMB, được tích hợp liền mạch với Windows File Server.
Windows Defender Application Control (WDAC) & AppLocker
Danh sách trắng ứng dụng không tin cậy – chỉ chạy phần mềm được phê duyệt
WDAC – Hypervisor‑Protected Code Integrity
WDAC (trước đây là Device Guard) cho phép quản trị viên chỉ định chính xác tệp thực thi, trình điều khiển, tập lệnh và MSI nào đáng tin cậy. Các quy tắc dựa trên đường dẫn tệp, nhà xuất bản (chứng chỉ kỹ thuật số) hoặc hàm băm tệp. Chính sách này được thực thi bởi bộ điều khiển ảo hóa (HVCI) và phần mềm độc hại ở chế độ nhân không thể vượt qua được. WDAC có thể chặn không chỉ phần mềm độc hại đã biết mà còn cả các tệp nhị phân 'sống ngoài đất liền' (ví dụ: PowerShell, wmic) mà kẻ tấn công sử dụng.
WDAC vs AppLocker
AppLocker là giải pháp chính sách chế độ người dùng có sẵn trong Enterprise (và Pro) – dễ quản lý hơn nhưng có thể bị trình điều khiển hạt nhân bỏ qua. WDAC là một giải pháp được bảo vệ bằng bộ ảo hóa, chế độ kernel – mạnh hơn nhiều nhưng yêu cầu phải lập kế hoạch và thử nghiệm cẩn thận. Nhiều tổ chức sử dụng cả hai: WDAC để bảo vệ hệ thống quan trọng, AppLocker để hạn chế ứng dụng của người dùng.
Creating WDAC Policies
Sử dụng mô-đun PowerShell `ConfigCI` trên PC tham chiếu. `New-CIPolicy` quét hệ thống và tạo danh sách cho phép gồm tất cả các ứng dụng và trình điều khiển hiện được cài đặt. `ConvertFrom-CIPolicy` chuyển đổi sang định dạng nhị phân. Triển khai thông qua Chính sách nhóm hoặc MDM. Ban đầu, bạn có thể chạy trong Chế độ kiểm tra để ghi lại những gì sẽ bị chặn mà không thực sự chặn nó.
AppLocker Rulesets for Enterprises
AppLocker hỗ trợ năm bộ sưu tập quy tắc: Tệp thực thi (.exe, .com), Trình cài đặt Windows (.msi, .msp), Tập lệnh (.ps1, .bat, .vbs, .js), DLL và Ứng dụng đóng gói (Ứng dụng cửa hàng). Chính sách có thể được áp dụng cho mỗi nhóm người dùng. Ví dụ: cho phép tất cả người dùng chạy các chương trình từ `C:\Program Files` và `C:\Program Files (x86)`, nhưng từ chối chạy từ `%USERPROFILE%\Downloads` hoặc `%TEMP%`.
Microsoft Defender for Endpoint (formerly ATP)
EDR doanh nghiệp với tính năng điều tra và phản hồi tự động
Next‑Generation Protection
Cảm biến hành vi, AI đám mây và mô hình học máy phân tích hành vi của quy trình, kết nối mạng và thay đổi đăng ký. Quy tắc giảm bề mặt tấn công (ví dụ: chặn Office tạo tiến trình con, chặn nội dung thực thi từ ứng dụng email) ngăn chặn các vectơ lây nhiễm phổ biến.
Endpoint Detection & Response (EDR)
Khả năng hiển thị sâu về các điểm cuối: cảnh báo về các hành vi đáng ngờ, điều tra trên các máy và chế độ xem dòng thời gian của cây quy trình. Các trung tâm điều hành an ninh (SOC) có thể truy vấn dữ liệu đo từ xa thô trong tối đa 6 tháng (tùy thuộc vào giấy phép).
Automated Investigation & Remediation
Khi cảnh báo được kích hoạt, Defender for Endpoint có thể tự động điều tra sự cố: xác định nguyên nhân cốt lõi, cách ly các máy bị ảnh hưởng khỏi mạng (sử dụng tích hợp Microsoft Intune) và xóa các thành phần độc hại (tệp, khóa đăng ký, tác vụ đã lên lịch).
Threat & Vulnerability Management (TVM)
TVM liên tục phát hiện các bản cập nhật bảo mật bị thiếu, cấu hình sai (ví dụ: quy tắc tường lửa yếu) và các phiên bản phần mềm dễ bị tấn công. Nó cung cấp mức độ ưu tiên dựa trên rủi ro – khuyến nghị 'Bản vá đầu tiên' dựa trên khả năng khai thác và khả năng tiếp cận tài sản.
Long‑Term Servicing Channel (LTSC)
10 năm cập nhật bảo mật mà không thay đổi tính năng – dành cho các thiết bị có mục đích cố định
What is LTSC?
Kênh cung cấp dịch vụ dài hạn (trước đây là LTSB) là phiên bản đặc biệt của Windows 10 Enterprise không nhận các bản cập nhật tính năng. Nó chỉ bao gồm các bản cập nhật chất lượng và bảo mật trong tối đa 10 năm (5 năm chính + 5 năm mở rộng). Lý tưởng cho các thiết bị không bao giờ thay đổi chức năng: ATM, thiết bị y tế (máy quét MRI, CT), hệ thống điều khiển công nghiệp (SCADA), ki-ốt và hệ thống nhúng.
What’s Missing in LTSC
LTSC được cung cấp mà không có Microsoft Edge (chỉ phiên bản cũ, không phải Chrome), Windows Store, Cortana, ứng dụng Inbox (Thư, Lịch, Máy tính), OneDrive và các tính năng hiện đại như Dòng thời gian và Bộ. Nó cũng không hỗ trợ các bản cập nhật tính năng nửa năm một lần của Windows 10 (ví dụ: 21H2, 22H2). Điều này làm cho LTSC không tương thích với phần cứng mới (trình điều khiển có thể yêu cầu các bản dựng Windows mới hơn).
Licensing & Availability
LTSC chỉ được cung cấp cho khách hàng có Bảo hiểm phần mềm đang hoạt động (cấp phép số lượng lớn) hoặc thông qua Microsoft 365 E3/E5 (không có LTSC ở đó – bạn cần SA). Mỗi bản phát hành LTSC mới được hỗ trợ trong 10 năm kể từ ngày phát hành (ví dụ: Windows 10 Enterprise LTSC 2019 được hỗ trợ đến năm 2029, LTSC 2021 đến năm 2031). Bạn không thể nâng cấp từ bản phát hành LTSC này sang bản phát hành LTSC khác nếu không cài đặt sạch.
LTSC vs Semi‑Annual Channel (SAC)
Hầu hết các thiết bị Doanh nghiệp nên sử dụng Kênh nửa năm một lần (SAC) – nhận các tính năng mới hai lần mỗi năm. LTSC là một công cụ chuyên dụng dành cho cơ sở hạ tầng quan trọng không thể chịu đựng được những thay đổi về giao diện người dùng hoặc khởi động lại để cập nhật tính năng. Microsoft khuyên bạn không nên sử dụng LTSC cho máy tính để bàn, Office hoặc máy phát triển có mục đích chung.
Pros
- ✓Bảo mật chưa từng có – Credential Guard, Application Guard, WDAC và Defender for Endpoint cung cấp khả năng bảo vệ chuyên sâu
- ✓DirectAccess loại bỏ VPN đối mặt với người dùng – quản lý truy cập từ xa liền mạch
- ✓BranchCache cải thiện đáng kể trải nghiệm văn phòng chi nhánh cho máy chủ tệp và ứng dụng web
- ✓Quản lý thiết bị đầy đủ – Intune, ConfigMgr, Chính sách nhóm và đồng quản lý
- ✓Windows Update for Business với thời gian hoãn 1 năm – lập kế hoạch cập nhật theo lịch trình của bạn
- ✓Kênh cung cấp dịch vụ dài hạn (LTSC) dành cho các môi trường có quy định hoặc yêu cầu ổn định cao
- ✓AppLocker + WDAC – thực thi các chính sách ứng dụng không tin cậy từ kernel đến chế độ người dùng
- ✓Bộ bảo vệ Microsoft dành cho điểm cuối cung cấp EDR cho doanh nghiệp mà không cần tác nhân bên thứ ba
- ✓Phân tích máy tính để bàn giảm rủi ro nâng cấp bằng dữ liệu tương thích trong thế giới thực
- ✓Bảo vệ thông tin xác thực từ xa bảo vệ thông tin xác thực trong các phiên RDP
- ✓Universal Print giảm độ phức tạp của máy chủ in
- ✓Hỗ trợ Windows 10 ở chế độ S – chỉ khóa đối với các ứng dụng Microsoft Store, dành cho môi trường cực kỳ hạn chế
Cons
- ✗Không có sẵn để bán lẻ – yêu cầu thỏa thuận cấp phép số lượng lớn (Microsoft 365 E3/E5 hoặc Bảo hiểm phần mềm)
- ✗Chi phí cao hơn so với Pro – phí đăng ký cho mỗi người dùng/mỗi thiết bị (thường là $7–$14 mỗi người dùng/tháng như một phần của Microsoft 365)
- ✗Độ phức tạp – nhiều tính năng (WDAC, Credential Guard, Application Guard) yêu cầu lập kế hoạch và thử nghiệm cẩn thận
- ✗Yêu cầu về phần cứng – Các tính năng của VBS cần TPM 2.0, UEFI và CPU mới; các thiết bị cũ hơn có thể không hỗ trợ chúng
- ✗Vấn đề tương thích ứng dụng – WDAC có thể chặn phần mềm hợp pháp; Credential Guard phá vỡ một số mô-đun xác thực của bên thứ ba
- ✗Tiêu hao hiệu năng – VBS (Credential Guard, HVCI) có thể giảm hiệu suất 2‑8%, đáng chú ý trong khối lượng công việc chơi game hoặc I/O cao
- ✗DirectAccess yêu cầu cơ sở hạ tầng Windows Server (Máy chủ DirectAccess, công nghệ chuyển tiếp PKI, DNS và IPv6)
- ✗BranchCache yêu cầu máy chủ tệp Windows Server và định cỡ bộ đệm cẩn thận
- ✗Hỗ trợ kết thúc vào ngày 14 tháng 10 năm 2025 – giống như tất cả các phiên bản Windows 10 (mặc dù LTSC sẽ chuyển sang năm 2031 đối với các bản phát hành cụ thể)
- ✗Không có tính năng dành cho người tiêu dùng – Cortana, Windows Store (có thể bị tắt), trải nghiệm đám mây dành cho người tiêu dùng bị tắt theo chính sách (có thể gây nhầm lẫn cho những người dùng đang mong đợi chúng)
- ✗LTSC thiếu trình duyệt và cửa hàng ứng dụng hiện đại – không thể cài đặt ứng dụng Microsoft Teams, Edge mới hoặc Store nếu không có cách giải quyết
Use Cases
Hidden & Useful Shortcuts
Master Windows 10 with these time‑saving keyboard shortcuts
Open Start Menu (Cortana disabled by default on Enterprise)
Open Action Centre
Show desktop
Open File Explorer
Open Settings
Lock workstation – secure against physical access
Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)
Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer
Open Search (Cortana disabled but search works)
Task View – virtual desktops (useful for separating classified and unclassified work)
New virtual desktop
Close current virtual desktop
Switch between virtual desktops
Open Game Bar (if not removed by policy)
Open Snip & Sketch for custom screenshots
Open clipboard history (if enabled by policy)
Emoji panel
Open Task Manager – can view VBS status (Performance → Virtualisation)
Open System Properties (shows 'Windows 10 Enterprise')
Open Connect (wireless displays) – may be disabled via policy
Open dictation (if not disabled)
Check TPM status (required for Credential Guard)
System Information – see 'Virtualisation‑Based Security' status
Advanced user account management
Computer Management – Local Users, Disk Management, Services
Windows Firewall with Advanced Security
Technical Specifications
| Architecture | 64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit |
| Processor | 1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation) |
| RAM | 4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB) |
| Storage | 64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI |
| Graphics | DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU) |
| Display | Minimum 800x600; recommended 1920x1080 or higher |
| TPM | TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only |
| Virtualisation | Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V |
| Secure Boot | Required for VBS features; strongly recommended for all Enterprise deployments |
| Memory for VBS | At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers) |
| Internet | Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features |
| DirectAccess Infrastructure | Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later |
Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education
| Feature | enterprise | pro | education |
|---|---|---|---|
| Availability | Volume licensing (M365 E3/E5, SA) | Retail / OEM | Academic VL / Azure for Education (free) |
| Credential Guard | Yes | No | Yes (same as Enterprise) |
| Application Guard for Edge | Yes | No (consumer version only) | Yes |
| DirectAccess | Yes | No | Yes |
| BranchCache | Yes | No | Yes |
| WDAC (Hypervisor Code Integrity) | Yes (fully configurable) | Yes (but limited policies) | Yes (full) |
| AppLocker | Yes (full) | Yes (via GPO) | Yes |
| Microsoft Defender for Endpoint (ATP) | Yes (requires separate licence) | No | Yes (through M365 A5) |
| Long‑Term Servicing Channel (LTSC) | Yes (with SA) | No | No (only via VL, not free) |
| Desktop Analytics | Yes (with ConfigMgr) | No | Yes (with ConfigMgr) |
| Universal Print | Yes (full management) | Basic (client only) | Yes (with A3/A5) |
| Remote Desktop Host | Yes | Yes | Yes |
| Hyper‑V | Yes | Yes | Yes |
| Group Policy / MDM | Full (Intune + ConfigMgr co‑management) | Local + domain | Full (with appropriate licences) |
| Cortana | Disabled by default (can enable) | Enabled | Disabled by default |
| Max RAM (64‑bit) | 2 TB | 2 TB | 2 TB |
Frequently Asked Questions
Related Resources
- Tổng quan về Windows 10 Enterprise (Microsoft)
- So sánh Microsoft 365 E3/E5
- Tài liệu bảo vệ thông tin xác thực
- Bảo vệ ứng dụng của Bộ bảo vệ Windows
- Hướng dẫn triển khai DirectAccess
- Tổng quan về BranchCache
- Hướng dẫn tạo WDAC (Device Guard)
- Bộ bảo vệ Microsoft dành cho Điểm cuối
- Tài liệu LTSC của Windows 10