Überlegungen zu Sicherheit und Datenschutz für Windows To Go
Eine der wichtigsten zu berücksichtigen Anforderungen beim Planen der Windows To Go-Bereitstellung ist die Sicherstellung, dass die Daten, Inhalte und Ressourcen, die Sie im Windows To Go-Arbeitsbereich verwenden, geschützt und sicher sind.
Sichern und Wiederherstellen
Solange Sie keine Daten auf dem Windows To Go-Laufwerk speichern, ist für Windows To Go keine Sicherungs- und Wiederherstellungslösung erforderlich. Wenn Sie Daten auf dem Laufwerk speichern und keine Ordnerumleitung und Offlinedateien nutzen, sollten Sie alle Daten nach jeder Arbeitssitzung unter einer Netzwerkadresse sichern, z. B. in einem Cloudspeicher oder auf einer Netzwerkfreigabe. Informieren Sie sich über die neuen und verbesserten Features, die unter Unterstützen von Büroanwendern mit zuverlässigen Dateidiensten und Speichertechnologien beschrieben sind und für verschiedene Lösungen gelten, die Sie implementieren können.
Falls für das USB-Laufwerk aus irgendeinem Grund ein Fehler auftritt, ist das Standardverfahren zum Wiederherstellen der Betriebsbereitschaft des Laufwerks die Neuformatierung und erneute Bereitstellung des Laufwerks mit Windows To Go. Alle Daten und Anpassungen auf dem Laufwerk gehen also verloren. Dies ist ein weiterer Grund, warum die Nutzung von Roamingbenutzerprofilen, der Ordnerumleitung und von Offlinedateien mit Windows To Go dringend zu empfehlen ist. Weitere Informationen finden Sie unter Übersicht über Ordnerumleitung, Offlinedateien und Roamingbenutzerprofile.
BitLocker
Wir empfehlen Ihnen, BitLocker für Ihre Windows To Go-Laufwerke zu verwenden, um ihren Schutz zu gewährleisten, wenn sie verloren gehen oder gestohlen werden. Bei Aktivierung von BitLocker muss der Benutzer ein Kennwort angeben, um das Laufwerk zu entsperren und den Windows To Go-Arbeitsbereich zu starten. So wird verhindert, dass unbefugte Benutzer das Laufwerk starten und verwenden, um Zugriff auf Ihre Netzwerkressourcen und vertraulichen Daten zu erhalten. Da Windows To Go-Laufwerke für das Roaming zwischen Computern bestimmt sind, kann das Trusted Platform Module (TPM) von BitLocker nicht zum Schützen des Laufwerks verwendet werden. Stattdessen geben Sie ein Kennwort an, das von BitLocker für die Ver- und Entschlüsselung des Datenträgers verwendet wird. Standardmäßig muss dieses Kennwort acht Zeichen lang sein. Hierfür können auch strengere Anforderungen festgelegt werden. Dies richtet sich nach der geforderten Komplexität des Kennworts, die vom Domänencontroller Ihrer Organisation definiert wird.
Sie können BitLocker aktivieren, während Sie den Windows To Go-Ersteller-Assistenten vor der ersten Nutzung im Rahmen der Laufwerkbereitstellung verwenden. BitLocker kann vom Benutzer aber auch später über den Windows To Go-Arbeitsbereich aktiviert werden.
Tipp
Falls BitLocker mit dem Windows To Go-Ersteller-Assistenten nicht aktiviert werden kann, helfen Ihnen die Informationen unter Warum kann ich BitLocker mit dem Windows To Go-Ersteller nicht aktivieren? weiter.
Wenn Sie einen Hostcomputer mit Windows 7 verwenden, für den BitLocker aktiviert ist, sollten Sie BitLocker anhalten, bevor Sie in den BIOS-Einstellungen das Starten per USB festlegen. Anschließend können Sie den BitLocker-Schutz wieder aktivieren. Wenn Sie BitLocker vorher nicht anhalten, wird der Computer beim nächsten Startvorgang im Wiederherstellungsmodus gestartet.
Datenträgerermittlung und Datenlecks
Wir empfehlen Ihnen die Verwendung des NoDefaultDriveLetter-Attributs, wenn Sie das USB-Laufwerk bereitstellen, um versehentliche Datenlecks zu vermeiden. Mit NoDefaultDriveLetter wird verhindert, dass das Hostbetriebssystem einen Laufwerkbuchstaben zuweist, wenn es von einem Benutzer an einen eingeschalteten Computer angeschlossen wird. Dies bedeutet, dass das Laufwerk in Windows-Explorer nicht angezeigt wird und dass dem Benutzer keine Eingabeaufforderung für die automatische Wiedergabe angezeigt wird. Dies reduziert die Wahrscheinlichkeit, dass ein Endbenutzer von einem anderen Computer direkt auf das im Offlinezustand befindliche Windows To Go-Laufwerk zugreift. Wenn Sie den Windows To Go-Ersteller zum Bereitstellen eines Arbeitsbereichs verwenden, wird dieses Attribut automatisch für Sie festgelegt.
Um versehentliche Datenlecks zwischen Windows To Go und dem Hostsystem zu verhindern, verfügt Windows 8 über eine neue SAN-Richtlinie: OFFLINE_INTERNAL – „4“. Hiermit wird ausgeschlossen, dass das Betriebssystem intern verbundene Datenträger automatisch in den Onlinezustand versetzt. In der Standardkonfiguration für Windows To Go ist diese Richtlinie aktiviert. Es wird dringend empfohlen, diese Richtlinie nicht zu ändern, um das Einbinden interner Festplatten zu ermöglichen, wenn das Starten des Windows To Go-Arbeitsbereichs durchgeführt wird. Falls das interne Laufwerk ein Windows 8-Betriebssystem im Ruhezustand enthält, führt das Einbinden des Laufwerks zu einem Verlust des Ruhezustands. Daher gehen auch der Benutzerstatus und alle nicht gespeicherten Daten verloren, wenn das Hostbetriebssystem gestartet wird. Wenn das interne Laufwerk ein Windows 7-Betriebssystem (oder eine frühere Version) im Ruhezustand enthält, führt das Einbinden des Laufwerks zu einer Beschädigung, wenn das Hostbetriebssystem gestartet wird.
Weitere Informationen finden Sie unter Konfigurieren einer SAN-Richtlinie (Storage Area Network) in Windows PE.
Sicherheitszertifizierungen für Windows To Go
Windows To Go ist bei Bereitstellung auf dem Laufwerk eine Hauptfunktion von Windows und wird gemäß der geltenden Sicherheitszertifizierung konfiguriert. Lösungen, die mit Windows To Go erstellt werden, können vom Lösungsanbieter für weitere Zertifizierungen eingereicht werden, mit denen die spezielle Hardwareumgebung des Lösungsanbieters abgedeckt wird. Weitere Informationen zu Windows-Sicherheitszertifizierungen finden Sie in den folgenden Themen.
Verwandte Themen
Windows To Go: Übersicht über die Features
Vorbereiten Ihrer Organisation für Windows To Go