Windows 10 IoT Enterprise für Industrie PCs
Der Nachfolger von Windows 7 FES ist Windows 10 IoT Enterprise, eine Windows 10-Vollversion, die für industrielle Anwendungen und Embedded Systeme konzipiert wurde.
Die Version bietet volle Windows 10-Funktionalität, mehr Sicherheit durch neue Kernel-Struktur und Lockdown Features, steuerbare System-Upgrades, Customizing-Möglichkeiten und ein übersichtliches Lizenzmodell. Zudem ist Windows 10 IoT Enterprise abwärtskompatibel. Somit laufen Windows 7 Applikationen nativ. Dennoch ist es empfehlenswert, die Windows 7-Applikation auf Windows 10 IoT Enterprise zu testen.
Windows 10 IoT Enterprise gibt es in zwei Lizenzierungen – LTSC (Long Term Servicing Channel) und SAC (Semi-Annual Channel). Was ist der Unterschied? Security-Updates und Hotfixes werden bei beiden Versionen laufend automatisch eingespielt. Die SAC-Version beinhaltet Apps wie Windows Store, Kalkulator und Edge. Neue Funktionen und Features werden im halbjährlichen Zyklus upgedatet. Die LTSC-Lizenz hat keine Apps vorinstalliert, Funktionsupdates werden alle zwei bis drei Jahre freigegeben, diese müssen aber nicht installiert werden. Der Support für die jeweilige Versionierung beträgt 10 Jahre – für Windows 10 IoT Enterprise LTSC 2019 besteht demnach Support bis 2029. Der letzte Release, die Versionierung 2021, wird bis 2031 supportet. Windows 10 IoT Enterprise (LTSC) eignet sich vor allem für Unternehmen, die auf funktionale Stabilität Wert legen und wird bevorzugt für industrielle Anwendungen eingesetzt.
Hardware – Was muss man beachten?
Windows 10 IoT erfordert einen Prozessor oder SoC mit mindestens 1 GHz. Die Grafikkarte sollte DirectX 9 oder höher mit dem WDDM 1.0-Treiber unterstützen. Die 32-Bit-Version verlangt 1 GB RAM und 16 GB Speicher, die 64-Bit-Version erfordert 2 GB RAM und 20 GB Speicher. Nach dem Upgrade erkennt Windows 10 IoT die angeschlossenen Geräte, installiert die aktuellen Treiber und sorgt für deren automatische Updates. Sollte ein Gerätetreiber fehlen, lässt sich dies über den Geräte-Manager überprüfen und manuell nachinstallieren. Für ältere Hardware existieren häufig keine Treiber mehr, daher muss man mit dem Windows 10 IoT-Upgrade auch die Hardware neu überdenken.
Pro oder IoT - der Unterschied
Welche Lizenz von Windows 10 kommt für meine Applikation infrage? Windows Professional oder Windows IoT Enterprise? Nebenstehende Grafik zeigt, was die beiden Lizenzen unterscheidet.
1. Keine Update-Pflicht
Die Professional-Lizenz kann die Windows-Funktions- und Sicherheits-Updates nicht deaktivieren, man kann lediglich den Zeitpunkt um maximal 6 Monate verlängern. Dann muss man die Updates installieren oder das Betriebssystem funktioniert nicht mehr. Funktionsupdates werden zweimal jährlich bereitgestellt, Security-Updates und Hotfixes bei Bedarf. Windows 10 IoT Enterprise enthält keine Features (Cortana, Spiele etc.), daher gibt es auch keine Funktions-Updates. Updates, die für die Sicherheit und das Betriebssystem relevant sind, werden heruntergeladen und – je nach Einstellung – automatisch installiert. Es besteht aber auch die Möglichkeit, alle Updates komplett auszuschalten! Dies schließt – auch bei Internet-Verbindung – Betriebsunterbrechungen durch Updates aus, was insbesondere im 24/7-Betrieb eine essentielle Einstellung ist.
2. Features für die Sicherheit und Individualisierung
Windows 10 IoT Enterprise bietet zusätzlich die Lockdown-Features. Dahinter verbergen sich eine Reihe nützlicher Funktionen. Im unteren Abschnitt finden Sie einen Überblick über die Funktionen, die vor allem im industriellen Umfeld sehr nützlich sind.
Aktuelle Windows 10 Industrie-PCs
Nützliche Lockdown-Features
Unified Write Filter: Die UWF-Funktion schützt die Festplatte vor ungewollten Änderungen. Wird er aktiviert, werden neue Daten nur in den Arbeitsspeicher und nicht auf die HDD/SSD geschrieben. Die Änderungen sind nach dem Neustart weg. Bestimmte Bereiche (Dateien oder Ordner) der Festplatte können per Definition vom Filter ausgeschlossen werden. Wichtig: Wird der Rechner ausgeschaltet (Notaus, Anlage aus etc.), hat dies keinen negativen Einfluss auf das Betriebssystem.
Shell Launcher: Mit dem Shell Launcher kann man ein Gerät konfigurieren, das eine Anwendung als Benutzeroberfläche ausführt. Die Windows-Bedienoberfläche bleibt verborgen. Nach Systemstart starten nur die voreingestellten Anwendungen, das Betriebssystem ist für den Nutzer nicht zugänglich. Dies ist zum Beispiel für Kiosk-Anwendungen oder Bank-Terminals relevant.
Device Guard: Dies ist eine Kombination aus vielen Sicherheitsfunktionen, die Microsoft in der Vergangenheit entwickelt hat und dient zum Schutz vor Schadsoftware und nicht vertrauenswürdiger Software oder zum Blockieren von Anwendungen. Der Device Guard speichert ein Zertifikat in der Firmware und Windows wird nur Anwendungen ausführen, die mit diesem Zertifikat signiert wurden.
USB Device Policy: Mit dieser Funktion ist es möglich, ein System vor USB-Geräten (über die Geräte-ID) und USB-Geräteklassen zu schützen, z. B. Bluetooth-Dongle oder generell alle Wechseldatenträger. Die Richtlinie kann für Administratoren umgangen werden, sodass sie jedes Gerät mit dem System verbinden können.
Unbranded Boot: Mit dem Feature kann man die Windows-Merkmale Bootlogo, Status-Ring und Status-Text während des Bootens ausblenden; entweder einzeln oder alle zusammen. Wenn der PC UEFI-fähig ist, kann das eigene Logo hinterlegt werden, sodass es angezeigt wird bis der Anmelde-Bildschirm erscheint
AppLocker: Diese Funktion blockiert/erlaubt Anwendungen, die in einer Black- oder Whitelist definiert werden und welche Benutzer oder Benutzergruppen diese Apps ausführen dürfen.
BitLocker: Die BitLocker-Laufwerksverschlüsselung ist ein in das Betriebssystem integriertes Feature, das Daten vor Bedrohungen durch Datendiebstahl oder durch Offenlegung verlorener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer schützt. Es gibt verschiedene Möglichkeiten den BitLocker zu verwenden: Der Verschlüsselungsschlüssel kann im TPM-Chip gespeichert werden – dann funktioniert die Festplatte nur auf diesem speziellen Gerät. Wenn jemand die Festplatte entfernt, ist sie komplett verschlüsselt. Im Gerät bootet es aber normal. Alternativ kann der Verschlüsselungsschlüssel auch auf einem Wechseldatenträger abgelegt werden. Das Gerät bootet nur, wenn der Wechseldatenträger ebenfalls angeschlossen ist. BitLocker unterstützt auch die Eingabe einer PIN während des Bootvorgangs – dies ist jedoch keine embedded-freundliche Option, da die Geräte nicht mehr unbeaufsichtigt booten.
Language Packs: Die Funktion unterstützt über 30 verschiedene Sprachpakete. Jedem Benutzer kann eine eigene Systemsprache zugewiesen werden. Die ist insbesondere für multinationale Anwendungen ein Plus.