Considérations relatives à la sécurité et à la protection des données pour Windows To Go
Lorsque vous planifiez le déploiement de Windows To Go, il convient principalement de vous assurer que les données, le contenu et les ressources que vous utilisez dans l’espace de travail Windows To Go sont protégés et sécurisés.
Sauvegarde et restauration
Tant que vous n’enregistrez pas des données sur le lecteur Windows To Go, une solution de sauvegarde et de restauration de Windows To Go est inutile. Si vous enregistrez des données sur le lecteur et que vous n’utilisez pas de redirection de dossiers et de fichiers hors connexion, vous devez sauvegarder toutes vos données sur un emplacement réseau, comme un espace de stockage cloud ou un partage réseau, après chaque session de travail. Pour obtenir un panorama des différentes solutions que vous pourriez mettre en œuvre, passez en revue les fonctionnalités nouvelles et améliorées, décrites dans Mise à disposition d’un stockage et de services de fichiers fiables aux travailleurs de l’information.
Si le lecteur USB est défaillant pour une raison quelconque, la procédure standard de restauration opérationnelle consiste à reformater et remettre en service le lecteur avec Windows To Go, afin de supprimer l’ensemble des données et paramètres de personnalisation. C’est également pour cela qu’il est vivement recommandé d’utiliser des profils utilisateur itinérants, la redirection de dossiers et des fichiers hors connexion avec Windows To Go. Pour plus d'informations, consultez Vue d'ensemble de la redirection de dossiers, des fichiers hors connexion et des profils utilisateur itinérants.
BitLocker
Nous vous recommandons d'utiliser BitLocker sur vos lecteurs Windows To Go pour les protéger en cas de perte ou de vol. Lorsque BitLocker est activé, l'utilisateur doit fournir un mot de passe pour déverrouiller le lecteur et ouvrir l'espace de travail Windows To Go. Cela empêche les utilisateurs non autorisés de démarrer le lecteur et d’accéder à vos ressources réseau et à vos données confidentielles. Comme les lecteurs Windows To Go sont censés passer d’un ordinateur à un autre, BitLocker ne peut pas utiliser le module de plateforme sécurisée (TPM) pour protéger le lecteur. À la place, vous devez spécifier le mot de passe à utiliser par BitLocker pour le chiffrement et le déchiffrement de disque. Par défaut, ce mot de passe doit comporter huit caractères mais il peut respecter des critères plus stricts en fonction des exigences de complexité définies par le contrôleur de domaine de votre organisation.
Vous pouvez activer BitLocker pendant l’exécution de l’assistant Windows To Go Creator dans le cadre de la mise en service du lecteur avant sa première utilisation, ou le faire activer ultérieurement par l’utilisateur à partir de l’espace de travail Windows To Go.
Astuce
Si l’Assistant Windows To Go Creator ne peut pas activer BitLocker, voir Pourquoi ne puis-je pas activer BitLocker à partir de Windows To Go Creator ?.
Si vous utilisez un ordinateur hôte Windows 7 sur lequel BitLocker est activé, vous devez suspendre BitLocker avant de modifier les paramètres du BIOS, pour effectuer un démarrage à partir du lecteur USB, puis rétablir la protection BitLocker. Si BitLocker n’est pas suspendu dans un premier temps, le prochain redémarrage de l’ordinateur se fait en mode de récupération.
Fuites de données et de découverte de disque
Nous vous recommandons d'utiliser l’attribut NoDefaultDriveLetter lors de la mise en service du lecteur USB pour empêcher les fuites de données accidentelles. Cet attribut NoDefaultDriveLetter empêche le système d'exploitation hôte d’attribuer une lettre de lecteur si un utilisateur l’insère dans un ordinateur en cours d'exécution. Cela signifie que le lecteur n'apparaît pas dans l'Explorateur Windows et qu’aucune invite de lecture automatique ne s'affiche. Cela réduit le risque qu'un utilisateur final accède au disque Windows To Go hors connexion directement depuis un autre ordinateur. Si vous utilisez Windows To Go Creator pour approvisionner un espace de travail, cet attribut est automatiquement défini.
Pour empêcher les fuites de données accidentelles entre Windows To Go et le système hôte, Windows 8 propose une nouvelle stratégie SAN : OFFLINE_INTERNAL - « 4 » qui bloque automatiquement toute mise en ligne d’un disque connecté en interne par le système d’exploitation. Cette stratégie est activée par défaut dans la configuration de Windows To Go par défaut. Il est fortement recommandé de ne pas modifier cette stratégie pour autoriser le montage de disques durs internes en cas de démarrage dans l’espace de travail Windows To Go. Si le lecteur interne contient un système d’exploitation Windows 8 en veille prolongée, le montage du lecteur entraîne la perte de l’état de veille prolongée et donc de l’état utilisateur, ainsi que des données utilisateur non enregistrées, au redémarrage du système d’exploitation hôte. Si le lecteur interne contient un système d’exploitation Windows 7 ou antérieur en veille prolongée, le montage du lecteur endommage les données lorsque le système d’exploitation hôte est démarré.
Pour plus d’informations, voir Comment configurer la stratégie de réseau SAN (Storage Area Network) sur Windows PE.
Certifications de sécurité pour Windows To Go
Windows To Go est une fonctionnalité de base de Windows lorsqu'elle est déployée sur le lecteur. Elle est configurée selon les instructions de la certification de sécurité applicable. Les solutions conçues avec Windows To Go peuvent être soumises à d’autres certifications par le fournisseur de solutions, concernant l'environnement matériel de ce dernier. Pour plus d'informations sur les certifications de sécurité Windows, consultez les rubriques suivantes.
Rubriques associées
Windows To Go : Vue d’ensemble des fonctionnalités
Préparer votre organisation à Windows To Go