Windows 10 Enterprise
The most advanced Windows edition – comprehensive security, zero‑trust protection, full device management, and long‑term servicing for large organisations and mission‑critical environments
Overview
How It Works
1. UEFI, Secure Boot & BitLocker
具有安全启动功能的 UEFI 固件可验证引导加载程序签名。如果启用 BitLocker,TPM 仅在测量启动验证没有篡改后才释放解密密钥。在具有 DMA 保护(内核 DMA 保护)的设备上,Thunderbolt 端口将被阻止,直到操作系统加载。
2. Virtualisation‑Based Security (VBS) Initialisation
虚拟机管理程序 (Microsoft Hyper-V) 提前加载,创建隔离的虚拟化容器。 Credential Guard 在安全虚拟机内运行 LSA。 Windows Defender Application Guard (WDAG) 准备了自己的轻量级容器。主操作系统作为根分区运行,权限较低。
3. Kernel & Device Guard / WDAC
内核加载管理程序保护的代码完整性 (HVCI)。每个驱动程序和内核模块在执行之前都会根据策略 (WDAC) 进行验证。只有由授权发布者(Microsoft、您的组织)签名的二进制文件才能运行——有效阻止 Rootkit 和未签名的驱动程序。
4. DirectAccess & VPN Client
一旦网络连接可用,DirectAccess 客户端就会尝试使用计算机证书建立到公司网络的 IPsec 隧道。这发生在用户登录之前,即使没有用户登录也可以启用远程设备管理(补丁部署、策略更新)。
5. User Logon with Windows Hello for Business
在登录屏幕上,Windows Hello 企业版(生物识别或 PIN)向 Azure AD 或本地 Active Directory 对用户进行身份验证。 Remote Credential Guard 允许用户访问远程资源,而无需将其凭据发送到目标计算机。
6. Group Policy / MDM Refresh & BranchCache
后台服务从域控制器或 Intune MDM 策略刷新组策略对象 (GPO)。 “分布式缓存模式”下的 BranchCache 检查本地对等缓存中是否存在先前下载的文件,从而避免冗余的 WAN 传输。
7. Windows Defender Application Guard (Optional)
如果管理员在应用程序防护模式(或通过策略)启动 Edge,新的 Hyper-V 容器会以最小的 Windows 映像启动。浏览器在此沙箱内运行,剪贴板和文件重定向由策略控制。关闭容器将放弃所有更改。
8. Microsoft Defender for Endpoint Sensors
Defender for Endpoint 传感器 (`MsSense.exe`) 监视进程创建、网络连接、文件写入和注册表更改。行为信号被发送到云端进行实时风险分析。如果检测到威胁,可以触发自动响应操作(隔离、文件隔离)。
9. Windows Update for Business & Desktop Analytics
适用于企业的 Windows 更新 使用延迟策略(功能更新最多 365 天)和更新环。 桌面分析 与配置管理器集成,提供升级准备情况洞察 - 在部署之前识别应用程序兼容性问题。
Key Features
Credential Guard
基于虚拟化的安全性隔离了 LSASS – 防止哈希传递和票证传递攻击。需要 TPM 2.0 和 UEFI 锁定。
Application Guard for Edge
用于网页浏览的硬件隔离容器——恶意网站无法危害主机操作系统。支持剪贴板控制和文件重定向策略。
DirectAccess
使用 IPsec 的始终在线、透明 VPN。在用户登录之前进行连接,支持多站点,并与证书身份验证集成。
BranchCache
SMB/HTTP 内容的分布式或托管缓存 – 减少分支机构用户的 WAN 带宽和延迟。
Windows Defender Application Control (WDAC)
受虚拟机管理程序保护的代码完整性 – 仅允许受信任的可执行文件、驱动程序和脚本。在内核级别阻止勒索软件和无文件恶意软件。
AppLocker
用户模式应用程序白名单,包含 EXE、MSI、脚本和商店应用程序的规则集合。用于测试的审核模式。
Microsoft Defender for Endpoint
完整的企业 EDR – 行为传感器、云人工智能、自动调查、威胁和漏洞管理以及响应操作(隔离、隔离)。
BitLocker
使用 TPM 和 PIN 进行全盘加密。 Enterprise 添加了 BitLocker 网络解锁(连接到公司网络时从加密驱动器启动)和 Microsoft BitLocker 管理和监控 (MBAM) 集成。
Windows Hello for Business
使用生物识别技术 + TPM 的双因素身份验证。使用基于密钥或基于证书的身份验证替换密码。支持 Azure AD 和本地 AD。
Desktop Analytics
与配置管理器集成以评估应用程序与 Windows 功能更新的兼容性。提供试点建议和回滚见解。
Windows Update for Business (Advanced)
功能更新最多延迟 365 天,质量更新最多延迟 30 天。使用更新环创建设备组(试点、广泛、关键)。与交付优化集成(点对点)。
Universal Print
基于云的打印解决方案 – 无需打印服务器。企业版包括通用打印连接器和每用户打印作业配额的管理。
Microsoft Endpoint Manager (Intune + ConfigMgr) Co‑management
使用云 MDM (Intune) 和本地 SCCM 无缝管理设备。启用条件访问、合规性策略和远程操作(擦除、停用、同步)。
Long‑Term Servicing Channel (LTSC)
10 年安全更新,无需更改功能 – 适用于固定用途设备(ATM、医疗、工业)。仅具有软件保障。
Credential Guard & Virtualisation‑Based Security
将秘密与操作系统隔离——即使是内核恶意软件也无法窃取哈希值
How Credential Guard Works
Credential Guard 使用基于虚拟化的安全性 (VBS) 在硬件隔离的虚拟机内运行本地安全机构子系统服务 (LSASS)。此安全虚拟机外部的 Windows 进程无法访问存储在其中的哈希凭据、Kerberos 票证或 NTLM 哈希。 传递哈希和传递票证攻击变得不可能,因为秘密永远不会离开隔离的环境。
Requirements & Enablement
需要具有 Intel VT-x(带扩展页表)或 AMD-V(带快速虚拟化索引)、UEFI 锁和 TPM 2.0 的 64 位 CPU。通过组策略启用:“计算机配置 → 管理模板 → 系统 → Device Guard → 打开基于虚拟化的安全性”。设置为“通过 Credential Guard 启用”。
Key Protection & Remote Credential Guard
Credential Guard 还保护密钥信任(TPM 绑定密钥)和证书信任(智能卡证书)。 Remote Credential Guard 将其扩展到 RDP 会话 - 当用户连接到远程 PC 时,他们的凭据永远不会离开客户端计算机。目标 PC 收到 Kerberos 服务票证,而不是用户的密码哈希。
Performance Impact
VBS 为安全虚拟机和普通操作系统之间的上下文切换带来了少量开销(2-5% CPU)。在现代服务器级硬件上,这对于大多数工作负载来说可以忽略不计。一些旧版驱动程序和应用程序(尤其是反作弊游戏软件)不兼容,会阻止 VBS 开启。
Windows Defender Application Guard (WDAG)
硬件隔离浏览 – 浏览不受信任网站的最安全方式
Hyper‑V Container per Browser Session
WDAG 在轻量级 Hyper-V 容器内启动了 Microsoft Edge。该容器使用主机操作系统的副本,但在单独的虚拟机中运行,无法访问主机的内存、存储或网络堆栈(除非通过虚拟交换机)。如果网站利用浏览器,攻击者只能访问容器——主机完全保持不变。
Configuration & Policies
通过组策略或 Intune 启用:“管理模板 → Windows 组件 → Windows Defender 应用程序防护 → 打开 Windows Defender 应用程序防护”。策略控制剪贴板访问(允许复制/粘贴吗?)、文件下载重定向(保存到主机?)以及从容器打印。您还可以定义企业资源信任(例如,在正常 Edge 中打开的内部 SharePoint 网站)。
Performance & User Experience
首次启动需要 5-10 秒来创建容器;由于缓存,后续启动速度更快。一旦进入,浏览就近乎原生。容器不会保留任何数据——当容器关闭时,cookie、下载和浏览历史记录都会被丢弃。用户会看到一个特殊的 UI,表明他们处于“应用程序防护”模式。
Integration with Defender for Endpoint
如果在容器内检测到恶意软件样本,Defender for Endpoint 可以自动收集有效负载并将其提交进行分析。如果检测到可疑行为,容器还可以自动重置为已知良好的状态。
DirectAccess & BranchCache
分布式组织的无缝远程访问和 WAN 优化
DirectAccess – Always On VPN
一旦设备可以访问互联网,DirectAccess 就会提供自动、透明、始终在线的 IPsec 隧道连接到公司网络。无需用户输入(无需点击连接)——它使用机器证书进行身份验证。用户可以像在本地一样访问内部资源(文件共享、Intranet 站点),甚至可以在 NAT 和防火墙后面。 DirectAccess 还支持多站点部署,并与网络访问保护 (NAP)(旧版)集成。
DirectAccess vs Traditional VPN
传统VPN需要用户手动连接,空闲后可以断开连接,并且在用户登录之前不起作用。 DirectAccess 在登录前自动连接,无限期地保持连接,并支持强制隧道(所有互联网流量通过公司网络路由)或分割隧道。它非常适合远程管理笔记本电脑和持续访问内部资源。
BranchCache – Reduce WAN Traffic
BranchCache 在本地客户端 PC 或现场托管缓存服务器上缓存来自远程文件服务器(SMB 共享)和 HTTP(Web)服务器的内容。在分布式缓存模式中,每个客户端缓存内容并通过本地 LAN 发现 (WS-Discovery) 与对等客户端共享。在托管缓存模式中,专用的 Windows Server 充当中央缓存。对同一文件的后续请求由本地缓存提供服务,从而大大减少延迟和 WAN 利用率。
BranchCache Security
数据使用 SHA-256 进行加密和完整性检查。客户端仅接收他们请求的文件部分,并且缓存被分段以防止未经授权的重建。 BranchCache 通过 HTTP 和 SMB 协议工作,与 Windows 文件服务器无缝集成。
Windows Defender Application Control (WDAC) & AppLocker
零信任应用程序白名单 – 仅运行经过批准的软件
WDAC – Hypervisor‑Protected Code Integrity
WDAC(以前称为 Device Guard)允许管理员准确指定哪些可执行文件、驱动程序、脚本和 MSI 是可信的。规则基于文件路径、发布者(数字证书)或文件哈希。该策略由虚拟机管理程序 (HVCI) 强制执行,并且内核模式恶意软件无法绕过。 WDAC 不仅可以阻止已知的恶意软件,还可以阻止攻击者使用的“本地”二进制文件(例如 PowerShell、wmic)。
WDAC vs AppLocker
AppLocker 是企业版(和专业版)中提供的用户模式策略解决方案 - 更易于管理,但可以被内核驱动程序绕过。 WDAC 是一种内核模式、受虚拟机管理程序保护的解决方案 - 更强大,但需要仔细规划和测试。许多组织同时使用 WDAC 来保护关键系统,AppLocker 来限制用户应用程序。
Creating WDAC Policies
在参考 PC 上使用“ConfigCI”PowerShell 模块。 “New-CIPolicy”扫描系统并生成所有当前安装的应用程序和驱动程序的允许列表。 `ConvertFrom-CIPolicy` 转换为二进制格式。通过组策略或 MDM 进行部署。您可以最初在 审核模式 下运行以记录将被阻止的内容,而无需实际阻止它。
AppLocker Rulesets for Enterprises
AppLocker 支持五种规则集合:可执行文件(.exe、.com)、Windows 安装程序(.msi、.msp)、脚本(.ps1、.bat、.vbs、.js)、DLL 和打包应用程序(商店应用程序)。可以针对每个用户组应用策略。例如:允许所有用户从“C:\Program Files”和“C:\Program Files (x86)”运行程序,但拒绝从“%USERPROFILE%\Downloads”或“%TEMP%”运行。
Microsoft Defender for Endpoint (formerly ATP)
具有自动化调查和响应功能的企业 EDR
Next‑Generation Protection
行为传感器、云人工智能和机器学习模型分析进程行为、网络连接和注册表更改。 攻击面减少规则(例如,阻止 Office 创建子进程、阻止来自电子邮件客户端的可执行内容)可防止常见的感染媒介。
Endpoint Detection & Response (EDR)
深入了解端点:可疑行为警报、跨机器调查以及进程树的时间线视图。安全运营中心 (SOC) 可以查询长达 6 个月的原始遥测数据(取决于许可证)。
Automated Investigation & Remediation
触发警报时,Defender for Endpoint 可以自动调查事件:确定根本原因,将受影响的计算机与网络隔离(使用 Microsoft Intune 集成),并删除恶意工件(文件、注册表项、计划任务)。
Threat & Vulnerability Management (TVM)
TVM 不断发现缺失的安全更新、错误配置(例如薄弱的防火墙规则)和易受攻击的软件版本。它提供基于风险的优先级——基于利用可能性和资产暴露的“补丁优先”建议。
Long‑Term Servicing Channel (LTSC)
10 年安全更新,无需更改功能 – 适用于固定用途设备
What is LTSC?
长期服务频道(以前称为 LTSB)是 Windows 10 企业版的特殊版本,不接收功能更新。它仅包含长达 10 年的安全和质量更新(5 年主流 + 5 年延长)。非常适合永远不会改变功能的设备:ATM、医疗设备(MRI、CT 扫描仪)、工业控制系统 (SCADA)、信息亭和嵌入式系统。
What’s Missing in LTSC
LTSC 出厂时不带 Microsoft Edge(仅限旧版本,不包括 Chromium)、Windows 应用商店、Cortana、收件箱应用程序(邮件、日历、计算器)、OneDrive 以及时间轴和集等现代功能。它还不支持 Windows 10 的半年度功能更新(例如 21H2、22H2)。这使得 LTSC 与新硬件不兼容(驱动程序可能需要更新的 Windows 版本)。
Licensing & Availability
LTSC 仅提供给拥有有效软件保障(批量许可)或通过 Microsoft 365 E3/E5 的客户(没有 LTSC - 您需要 SA)。每个新的 LTSC 版本的支持期限为自发布之日起 10 年(例如,Windows 10 Enterprise LTSC 2019 的支持期限为 2029 年,LTSC 2021 的支持期限为 2031 年)。如果没有全新安装,则无法从一个 LTSC 版本升级到另一版本。
LTSC vs Semi‑Annual Channel (SAC)
大多数企业设备应使用半年频道 (SAC) – 每年获得两次新功能。 LTSC 是一款适用于关键基础设施的专用工具,无法容忍 UI 更改或重新启动以进行功能更新。 Microsoft 建议不要将 LTSC 用于通用桌面、Office 或开发计算机。
Pros
- ✓无与伦比的安全性 – Credential Guard、Application Guard、WDAC 和 Defender for Endpoint 提供深度防御
- ✓DirectAccess 消除了面向用户的 VPN – 无缝远程访问管理
- ✓BranchCache 显着改善了文件服务器和 Web 应用程序的分支机构体验
- ✓完整的设备管理 – Intune、ConfigMgr、组策略和共同管理
- ✓适用于企业的 Windows 更新,延迟 1 年 – 按您的时间表计划更新
- ✓长期服务通道 (LTSC) 适用于监管或稳定性关键环境
- ✓AppLocker + WDAC – 从内核到用户模式强制执行零信任应用程序策略
- ✓Microsoft Defender for Endpoint 无需第三方代理即可提供企业 EDR
- ✓桌面分析利用真实的兼容性数据降低升级风险
- ✓Remote Credential Guard 在 RDP 会话期间保护凭据
- ✓通用打印降低了打印服务器的复杂性
- ✓支持 Windows 10 S 模式 – 仅锁定 Microsoft Store 应用程序,适用于极其受限的环境
Cons
- ✗不可零售 – 需要批量许可协议(Microsoft 365 E3/E5 或软件保障)
- ✗比 Pro 版成本更高 – 每用户/每设备订阅费(作为 Microsoft 365 的一部分,通常为每用户每月 7-14 美元)
- ✗复杂性 – 许多功能(WDAC、Credential Guard、Application Guard)需要仔细规划和测试
- ✗硬件要求 – VBS 功能需要 TPM 2.0、UEFI 和最新的 CPU;较旧的设备可能不支持它们
- ✗应用程序兼容性问题 – WDAC 可以阻止合法软件; Credential Guard 破坏了一些第三方身份验证模块
- ✗性能开销 – VBS(Credential Guard,HVCI)可能会将性能降低 2‑8%,在高 I/O 或游戏工作负载中尤为明显
- ✗DirectAccess 需要 Windows Server 基础设施(DirectAccess 服务器、PKI、DNS 和 IPv6 转换技术)
- ✗BranchCache 需要 Windows Server 文件服务器和仔细调整缓存大小
- ✗支持将于 2025 年 10 月 14 日结束 – 与所有 Windows 10 版本相同(尽管特定版本的 LTSC 将于 2031 年结束)
- ✗没有消费者功能 – Cortana、Windows 应用商店(可以禁用)、消费者云体验已被策略关闭(可能会让期待它们的用户感到困惑)
- ✗LTSC 缺乏现代浏览器和应用程序商店 – 如果没有解决方法,则无法安装 Microsoft Teams、新 Edge 或 Store 应用程序
Use Cases
Hidden & Useful Shortcuts
Master Windows 10 with these time‑saving keyboard shortcuts
Open Start Menu (Cortana disabled by default on Enterprise)
Open Action Centre
Show desktop
Open File Explorer
Open Settings
Lock workstation – secure against physical access
Open Run – use `secpol.msc` (local security), `gpedit.msc` (group policy), `wdagtool.exe` (Application Guard CLI)
Open Quick Link menu – includes Windows Terminal (if installed), Disk Management, Event Viewer
Open Search (Cortana disabled but search works)
Task View – virtual desktops (useful for separating classified and unclassified work)
New virtual desktop
Close current virtual desktop
Switch between virtual desktops
Open Game Bar (if not removed by policy)
Open Snip & Sketch for custom screenshots
Open clipboard history (if enabled by policy)
Emoji panel
Open Task Manager – can view VBS status (Performance → Virtualisation)
Open System Properties (shows 'Windows 10 Enterprise')
Open Connect (wireless displays) – may be disabled via policy
Open dictation (if not disabled)
Check TPM status (required for Credential Guard)
System Information – see 'Virtualisation‑Based Security' status
Advanced user account management
Computer Management – Local Users, Disk Management, Services
Windows Firewall with Advanced Security
Technical Specifications
| Architecture | 64‑bit (x86‑64) – 32‑bit available but deprecated; LTSC includes 32‑bit |
| Processor | 1 GHz or faster with 2 or more cores; supports up to 2 physical sockets (like Pro, not Workstation) |
| RAM | 4 GB minimum; maximum 2 TB for 64‑bit (same as Pro); Hyper‑V and VBS require additional memory overhead (~500 MB-2 GB) |
| Storage | 64 GB or larger drive (SSD strongly recommended); BitLocker requires TPM and UEFI |
| Graphics | DirectX 12 compatible with WDDM 2.0 driver; Application Guard requires GPU with Hyper‑V integration (any modern GPU) |
| Display | Minimum 800x600; recommended 1920x1080 or higher |
| TPM | TPM 2.0 required for Credential Guard and Device Guard; TPM 1.2 for BitLocker only |
| Virtualisation | Intel VT-x with EPT / AMD-V with RVI required for VBS, Credential Guard, Application Guard, and Hyper‑V |
| Secure Boot | Required for VBS features; strongly recommended for all Enterprise deployments |
| Memory for VBS | At least 8 GB RAM recommended if enabling Credential Guard or Application Guard (4 GB minimum, but performance suffers) |
| Internet | Required for initial setup, updates, DirectAccess, and Defender for Endpoint cloud features |
| DirectAccess Infrastructure | Requires Active Directory, PKI (smart card or machine certificates), and DirectAccess server running Windows Server 2016 or later |
Windows 10 Enterprise vs Windows 10 Pro vs Windows 10 Education
| Feature | enterprise | pro | education |
|---|---|---|---|
| Availability | Volume licensing (M365 E3/E5, SA) | Retail / OEM | Academic VL / Azure for Education (free) |
| Credential Guard | Yes | No | Yes (same as Enterprise) |
| Application Guard for Edge | Yes | No (consumer version only) | Yes |
| DirectAccess | Yes | No | Yes |
| BranchCache | Yes | No | Yes |
| WDAC (Hypervisor Code Integrity) | Yes (fully configurable) | Yes (but limited policies) | Yes (full) |
| AppLocker | Yes (full) | Yes (via GPO) | Yes |
| Microsoft Defender for Endpoint (ATP) | Yes (requires separate licence) | No | Yes (through M365 A5) |
| Long‑Term Servicing Channel (LTSC) | Yes (with SA) | No | No (only via VL, not free) |
| Desktop Analytics | Yes (with ConfigMgr) | No | Yes (with ConfigMgr) |
| Universal Print | Yes (full management) | Basic (client only) | Yes (with A3/A5) |
| Remote Desktop Host | Yes | Yes | Yes |
| Hyper‑V | Yes | Yes | Yes |
| Group Policy / MDM | Full (Intune + ConfigMgr co‑management) | Local + domain | Full (with appropriate licences) |
| Cortana | Disabled by default (can enable) | Enabled | Disabled by default |
| Max RAM (64‑bit) | 2 TB | 2 TB | 2 TB |