Lesen Sie in diesem Beitrag, worin sich die Windows 10 Pro Version von Windows 10 Enterprise unterscheidet, was sich hinter den einzelnen Features verbirgt und welche Version am besten zu Ihrem Unternehmen passt.

Seit Anfang August wird Windows 10 nun ausgeliefert. Das allgemeine Netzecho zum neuen OS von Microsoft ist durchaus positiv und schon vor dem Release war das Interesse von vielen Unternehmen sehr hoch (Studie von Spiceworks). Das neue Betriebssystem kommt bekanntlich in sieben verschiedenen Versionen: Von Home über Enterprise bis IoT (Internet of Things) – für jeden Einsatzzweck gibt es passende Lizenzen. Als IT-Dienstleister sind wir natürlich besonders daran interessiert, unsere Geschäftskunden optimal zu beraten. Deswegen nehmen wir hier einmal die spezifischen Business Features der Pro und Enterprise Version unter die Lupe. Doch schon vorab: Die meisten dieser Features sind nicht wirklich neu, sondern wurden vor allem verbessert oder für Windows 10 angepasst.

Businessfunktionen von Windows 10 im Vergleich. Bildquelle: Microsoft

Businessfunktionen von Windows 10 im Vergleich. Bildquelle: Microsoft

Die Gemeinsamkeiten

Sowohl die Enterprise als auch die Pro Version von Windows sind für den gewerblichen Einsatz gedacht. Sehen wir uns zunächst einmal an, welche Merkmale beide Versionen aufweisen, die über die Standardfunktionen der Home Version hinausgehen.

  • Der Beitritt zu einer Netzwerk-Domäne ist eine essentielle Funktion, um PCs in das Firmennetzwerk zu integrieren und an Dienste wie z.B. Active Directory anzubinden.
    Über die Gruppenrichtlinien-Verwaltung können wie gewohnt Einstellungen, Rechte und Policies für einzelne Nutzergruppen erzwungen werden.
  • Die bekannte Remote Desktop Funktionalität zur Fernwartung, Unterstützung sowie Steuerung des Windows-Clients ist erst ab der Pro Version verfügbar.
  • Mit BitLocker können Festplatten vollständig verschlüsselt werden.
  • Mit Assigned Access 8.1 wird es möglich, in einem Benutzerkonto nur eine einzige, dedizierte App zuzulassen.
  • Über das Business Store für Windows 10 können Administratoren nun größere Stückzahlen an Apps kaufen und diese über Azure Active Directory Identitäten bestimmten Mitarbeitern zuweisen.
  • Windows Pro und Enterprise enthalten Client-Services für ein zentrales Mobile Device Management.
  • Mit der Enterprise Data Protection sollen persönliche von unternehmensrelevanten Daten separiert werden. Hier handelt es sich um eine Integration von AppLocker mit dem Dateisystem EFS (Encrypting File System). Systemadministratoren können so entscheiden, welchen Apps Unternehmensdaten anvertraut werden dürfen und wie auf einen Versuch des unautorisierten Datenaustauschs mit einer nicht vertrauenswürdigen App (z.B. über Copy-Paste) reagiert werden soll.
  • Mit dem Windows Update for Business können Funktionsupdates nun bis zu 8 Monate verzögert werden, was das Risiko von Bugs und Komplikationen während des Live-Betriebs senkt. Die Verteilung kann nach einem initialen Download Peer-to-Peer im eigenen Netzwerk erfolgen. Sicherheitsupdates sind hiervon natürlich ausgenommen, diese werden weiterhin regelmäßig und automatisch installiert.

Bei dieser Betrachtung zeigt sich, dass Windows 10 Pro schon einen guten Grundstock an wichtigen Business-Funktionalitäten mitbringt. Bleibt die Frage, welches Mehr an Funktionalität Windows 10 Enterprise zu bieten hat und was sich im Einzelnen hinter den Features verbirgt. Hier also im Detail: Die wichtigsten Funktionen, die den Unterschied zwischen Pro und Enterprise ausmachen.

Sieben Features für ein Enterprise

Feature 1 – Direct Access Hier handelt es sich um eine mit Windows 7 eingeführte Remote-Lösung für das sichere Arbeiten außerhalb des Firmennetzwerks ohne den Einsatz von expliziten VPN-Verbindungen. Im Gegensatz zu VPN stellt Direct Access automatisch immer dann eine bidirektionale Konnektivität mit dem Unternehmensnetzwerk her, wenn der Client online geht. Das heißt, dass eine manuelle Einwahl nicht mehr notwendig ist. Auch Administratoren können somit einzelne (externe) Computer verwalten – ganz ohne VPN. Der Einsatz von Direct Access bietet sich vor allem in homogenen Microsoft-Infrastrukturen an.

Feature 2 – Windows To Go Creator Ebenfalls seit Windows 7 kann man mit dem Portable Workspace Creator bootfähige Images von Windows auf einem zertifizierten USB-Laufwerk erstellen. Die vertraute Arbeitsumgebung kann dann auf jedem PC oder kompatiblen Device genutzt werden. Die so erstellten Images eignen sich besonders für Homeoffice-Lösungen, können in Bring Your Own Device-Szenarien (BYOD) genutzt oder als Notfallbackups eingesetzt werden.

Feature 3 – AppLocker Seit Windows 7 gibt es den AppLocker,  der nun als wichtiger Bestandteil der Enterprise Data Protection fungiert. Es handelt sich um eine erweiterte Gruppenrichtlinie, mit der bestimmten Nutzern oder Nutzergruppen die Ausführung einzelner Programme erlaubt oder verweigert werden kann. Die Regelbedingungen können an den Dateihash (Signatur), den Pfad und den Software-Herausgeber der zu kontrollierenden App gebunden werden. Ein Überwachungsmodus erlaubt die Überprüfung der Auswirkungen einer bestimmten Regel vor ihrer Erzwingung und das erweiterte Regelmanagement umfasst Import- und Export-Funktionen sowie die Konfigurationsmöglichkeit über Windows PowerShell-Cmdlets. AppLocker ist ein wichtiges Power-Feature für Systemadministratoren größerer Firmen mit vielen unterschiedlichen Nutzer-Rollen. Es bietet volle Kontrolle und verhindert viele Probleme, die durch nicht autorisierte Apps entstehen können. In der Pro Version von Windows 10 muss dennoch nicht komplett auf diese Funktion verzichtet werden. Mit den standardmäßigen Richtlinien für Softwareeinschränkungen können einzelne Apps mit ähnlichem Regelwerk zumindest global kontrolliert werden. Das heißt, hier fehlen zwar granulare Kontrolle und erweitertes Regelmanagement aber einfache Restriktionen sind kein Problem.

Feature 4 – BrancheCache Auch BrancheChache gibt es seit der Einführung von Windows 7 und Windows Server 2008 R2. Über diese Feature kann der Datentransfer zwischen zentralen Firmensitz und Niederlassungen optimiert werden. Angeforderte Daten werden in der Niederlassung entweder zentral (auf einem Server) oder über die Clients verteilt zwischengespeichert. Von dort können sie dann Peer-to-Peer und verschlüsselt abgerufen werden. Dies entlastet die WAN-Verbindung und ist daher vor allem bei größeren Zweigstellen sinnvoll. Die Schlüssel für die BrancheCaches werden dabei zentral über den Server im Hauptsitz verwaltet.

Feature 5 – Granulare UX/UI Kontrolle Neben der Möglichkeit den Startbildschirm aller Clients über Gruppenrichtlinien an das eigene Corporate Design anzupassen, kann in der Enterprise-Version die gesamte Nutzererfahrung (UX) über die Device Management Policies beeinflusst werden. Dies meint die passgenaue Einschränkung und Anpassung des Windows User Interface (UI) an bestimmte Aufgabenbereiche (z.B. an eine Workstation in einer Schalterhalle).

Feature 6 – Device Guard Device Guard ist ein neues und vielversprechendes Sicherheitsfeature. Es soll verhindern, dass nicht vertrauenswürdige Apps (wie z.B. Malware-Programme) auf dem Gerät gestartet werden können. Mit aktivierten Device Guard lassen sich nur noch Apps auf dem Device ausführen, die zuvor durch einen speziellen Microsoft Service signiert wurden. Der Device Guard kann zudem auch im Virtual Secure Mode (VSM) von Windows 10 betrieben werden. Der VSM isoliert hier sensitive Systemprozesse in einem hardwarebasierten Hyper-V Container. Selbst wenn der Rest von Windows also durch Schadsoftware kompromittiert wurde, bleiben der darin enthaltene Systemkernel und seine Prozesse (Trustlets) vollständig geschützt. Für Schadsoftware ist es damit theoretisch unmöglich den Device Guard zu umgehen oder ihn zu manipulieren. Zur Ausführung der Funktion im VSM bedarf es allerdings spezieller physischer Erweiterungen für die Prozessor-Virtualisierung – hier sollte also auf die Spezifikationen der Hardware geachtet werden.

Feature 7 – Long Term Service Branch Ein letztes Alleinstellungsmerkmal der Enterprise Version betrifft deren Updatefunktionalität. Es steht nun neben dem Current Branch for Business ein weiterer Verteilungsring zur Verfügung – der sogenannte Long Term Servicing Branch (LTSB). Der LTSB enthält ausschließlich hochvalidierte Security-Patches die automatisch aufgespielt werden. Es gibt in diesem Update-Modus also keine Updatepflicht für die  einzelnen Funktionen von Windows 10 und auch keine unumgehbaren, funktionalen Erweiterungen. Der LTSB garantiert daher eine besonders zuverlässige Systemstabilität.

 

Zusammenfassung und Empfehlungen

Inwieweit Windows 10 die Sicherheit und Effizienz von IT-Infrastrukturen in Unternehmen verbessern kann, muss auch bei Trans4mation in unterschiedlichen Kundenszenarien abgewogen und nach der Realisierung geprüft werden. Fest steht: Pro und Enterprise Versionen von Windows 10 können dank Enterprise Data Protection noch besser abgesichert werden als ihre Vorgänger. Vor dem Hintergrund, dass der Erwerb von Windows 10 Enterprise Volumenlizenzen und der obligatorische Abschluss einer Software-Assurance (SA) ein höheres Investment in das eigene IT-System darstellen, sollte die Entscheidung zwischen Pro- und Enterprise-Version wohlüberlegt sein. Als eine kleine „Entscheidungshilfe“ legt Microsoft für neue SA-Abschlüsse mit der Enterprise Version neuerdings das Microsoft Desktop Optimization Pack (MDOP) oben drauf. Wirklich Sinn macht Windows 10 Enterprise allerdings erst für größere Unternehmen mit vielen Benutzerrollen und/oder mehreren Niederlassungen. Auch in Firmen und Agenturen mit vermehrten BYOD-Szenarien und für Unternehmen, die sehr spezifische Nutzungsszenarien mit maßgenschneiderten Windows Desktops benötigen, ist die Enterprise Version die richtige Wahl. Zudem wird sie überall dort gut platziert sein, wo sehr hohe Stabilitäts- und Sicherheitsanforderungen an die IT-Systeme gestellt werden (z.B. bei Steuerungssystemen von Produktionsanlagen, öffentlichen Terminals, Behörden- oder Bankeninfrastrukturen). Für einfache, gewerbliche Nutzungsszenarien in kleineren und überschaubaren Unternehmen genügt sehr wahrscheinlich Windows 10 Pro. Die meisten der Enterprise-Features sind in solch einem Szenario eher unnötiger Overhead. Als kompetenter Microsoft-Partner beraten wir Sie hier im Zweifel natürlich gern weiter.

Ausblick

In der Fortführung unserer Reihe zum neuen Windows 10 beschäftigen wir uns im nächsten Beitrag mit dem Risikopotenzialen des Betriebssystems beim Datenschutz und der IT-Sicherheit aus Unternehmenssicht.

  1. Das Windows 10 Upgrade
  2. Business-Funktionen von Windows 10
  3. Datenschutz mit Windows 10
  4. Windows 10 GUI & Usability
  5. Microsoft Cloud-Dienste für Windows 10
  6. IT-Sicherheit und Virtualisierung mit Windows 10

Weiterführende Quellen:

Große Nachfrage nach Windows 10 in Unternehmen (wparea.de)
Weiterführende Informationen zur Windows 10 Enterprise Data Protection (cmswire.com)
Diskussion über das Für und Wider hinsichtlich Direct Access (windowspro.de)
Weitere Informationen zu Windows To Go (microsoft.com)
Systemanforderungen des Device Guard im Virtual Secure Mode (microsoft.com)
Weitere Informationen zum Microsoft Desktop Optimization Pack (MDOP, microsoft.com)
Weiterführende Informationen zum Windows Update for Business (betanews.com)

Views: 320