Windows To Go 的安全和数据保护注意事项
确保你在 Windows To Go 工作区中处理的数据、内容和资源受到保护并保持安全是你在规划 Windows To Go 部署时所需要考虑的最重要的要求之一。
备份和还原
只要你不打算在 Windows To Go 驱动器上保存数据,则无需 Windows To Go 的备份和还原解决方案。如果你打算在驱动器上保存数据且不使用文件夹重定向和离线文件,则应在每个工作会话后将所有数据备份到网络位置,例如云存储或网络共享。对于你可以实现的不同解决方案,请查看使用可靠的文件服务和存储支持信息工作者中所述的新的和改进的功能。
如果由于任何原因导致 USB 驱动器失败,则将该驱动器还原到工作条件的标准过程是使用 Windows To Go 重新格式化驱动器并重新预配其位置,因此驱动器上的所有数据和自定义将丢失。这是为何强烈建议将漫游用户配置文件、文件夹重定向和离线文件与 Windows To Go 一起使用的另一个原因。有关详细信息,请参阅文件夹重定向、脱机文件和漫游用户配置文件概述。
BitLocker
我们建议你将 BitLocker 用于你的 Windows To Go 驱动器,以保护驱动器在丢失或被盗时免受危害。当启用 BitLocker 时,用户必须提供一个密码用于解锁和启动 Windows To Go 工作区,这有助于防止未经授权的用户启动驱动器并使用它获取你的网络资源和机密数据的访问权限。由于 Windows To Go 驱动器是为了在计算机之间漫游,因此受信任的平台模块 (TPM) 无法由 BitLocker 用于保护驱动器。相反,你将指定 BitLocker 用于磁盘加密和解密的密码。默认情况下,此密码长度必须为八个字符,并且可根据组织的域控制器所定义的密码复杂度要求强制执行更严格的要求。
你可以在使用 Windows To Go 创建者向导时启用 BitLocker,作为首次使用前的驱动器设置过程的一部分;或者之后可以由用户从 Windows To Go 工作区内启用它。
提示
如果 Windows To Go 创建者向导无法启用 BitLocker,请参阅为何无法从 Windows To Go 创建者启动 BitLocker?
如果你使用的是运行已启用 BitLocker 的 Windows 7 的主计算机,则应在将 BIOS 设置更改为从 USB 启动前暂停 BitLocker,然后恢复 BitLocker 保护。如果未首先暂停 BitLocker,则下一次启动计算机时它将启动到恢复模式。
磁盘发现和数据泄露
在预配 USB 驱动器以帮助防止意外数据泄露时,我们建议你使用 NoDefaultDriveLetter 属性。如果用户将其插入正在运行的计算机,则 NoDefaultDriveLetter 将阻止主操作系统分配驱动器号。这意味着该驱动器不会显示在 Windows 资源管理器中,并且不会向用户显示自动播放提示。这将降低最终用户从另一台计算机直接访问脱机 Windows To Go 磁盘的可能性。如果你使用 Windows To Go 创建者预配工作区,将自动为你设置此属性。
为了防止 Windows To Go 和主机系统之间的意外数据泄露,Windows 8 具有新的 SAN 策略 - OFFLINE_INTERNAL -“4”,用于防止操作系统自动使任何内部连接的磁盘联机。 Windows To Go 的默认配置已启用此策略。强烈建议你不要将此策略更改为在启动到 Windows To Go 工作区时允许装载内部硬盘驱动器。如果内部驱动器包含休眠的 Windows 8 操作系统,则装载该驱动器将在启动主机操作系统时导致休眠状态丢失,从而丢失用户状态或任何未保存的用户数据。如果内部驱动器包含休眠的 Windows 7 或更高版本的操作系统,装载该驱动器将在启动主机操作系统时导致损坏。
有关详细信息,请参阅如何在 Windows PE 中配置存储区域网络 (SAN) 策略。
Windows To Go 的安全证书
当 Windows to Go 部署在驱动器上并按照适用的安全认证指南进行配置时,它是 Windows 的核心功能。解决方案提供商可以为其他认证提交使用 Windows To Go 生成的解决方案,该解决方案涵盖解决方案提供商的特定硬件要求。有关 Windows 安全认证的更多详细信息,请参阅以下主题。