Considerações sobre proteção de dados e segurança do Windows To Go
Um dos requisitos mais importantes a ser considerado ao planejar sua implantação do Windows To Go é garantir a proteção e a segurança de dados, conteúdo e recursos com os quais você trabalha no espaço de trabalho do Windows To Go.
Backup e restauração
Desde que você não salve dados na unidade do Windows To Go, não é necessário ter uma solução de backup e restauração para o Windows To Go. Quando você salva dados na unidade e não usa o redirecionamento de pasta nem arquivos offline, é necessário fazer backup de todos os dados em um local de rede, como um armazenamento em nuvem ou um compartilhamento de rede, após cada sessão de trabalho. Examine os recursos novos e aprimorados descritos em Fornecendo suporte a funcionários da área de informações com serviços e armazenamento confiáveis de arquivos para ver soluções diferentes que você pode implementar.
Quando, por algum motivo, ocorre uma falha na unidade USB, o processo padrão para restaurar a funcionalidade da unidade é reformatá-la e reprovisioná-la com o Windows To Go. Dessa forma, todos os dados e personalizações da unidade são perdidos. Esse é outro motivo por que é altamente recomendável usar perfis de usuário móvel, redirecionamento de pasta e arquivos offline com o Windows To Go. Para saber mais, veja Visão geral de Redirecionamento de Pasta, arquivos offline e perfis de usuário móvel.
BitLocker
Recomendamos o uso do BitLocker com suas unidades do Windows To Go para protegê-las em caso de perda ou roubo. Quando o BitLocker está habilitado, o usuário precisa fornecer uma senha para desbloquear a unidade e inicializar o espaço de trabalho do Windows To Go. Isso evita que usuários não autorizados inicializem a unidade e a usem para acessar seus recursos de rede e dados confidenciais. Como as unidades do Windows To Go são feitas para se mover entre computadores, o TPM (Trusted Platform Module) não pode ser usado pelo BitLocker para protegê-as. Em vez disso, você especifica uma senha que é usada pelo BitLocker para criptografar e descriptografar o disco. Por padrão, essa senha deve ser oito caracteres e pode impor requisitos mais rígidos de acordo com os requisitos de complexidade de senha definidos pelo controlador de domínio da organização.
Você pode habilitar o BitLocker ao usar o Assistente do Windows To Go Creator como parte do processo de provisionamento da unidade antes da primeira utilização, ou ele pode ser habilitado depois pelo usuário no espaço de trabalho do Windows To Go.
Dica
Se o Assistente do Windows To Go Creator não conseguir habilitar o BitLocker, veja Por que não consigo habilitar o BitLocker no Windows To Go Creator?
Se você usa um computador host que executa o Windows 7 com o BitLocker habilitado, deverá suspender o BitLocker antes de alterar as configurações do BIOS para inicializar a partir do USB e depois retomar a proteção do BitLocker. Quando o BitLocker não é suspenso primeiro, na próxima inicialização, o computador é iniciado no modo de recuperação.
Descoberta de disco e perda de dados
Recomendamos usar o atributo NoDefaultDriveLetter ao provisionar a unidade USB para evitar a perda acidental de dados. NoDefaultDriveLetter impede que o sistema operacional host atribua uma letra de unidade quando o usuário a conecta a um computador em execução. Isso significa que a unidade não aparece no Windows Explorer e o usuário não vê um prompt de Reprodução Automática. Assim, é menos provável que o usuário final acesse o disco offline do Windows To Go diretamente de outro computador. Quando você usa o Windows To Go Creator para provisionar um espaço de trabalho, esse atributo é definido automaticamente.
Para impedir o vazamento acidental de dados entre o Windows To Go e o sistema host, o Windows 8 tem uma nova política SAN, OFFLINE_INTERNAL - “4”, para impedir que o sistema operacional coloque online qualquer disco conectado internamente de forma automática. A configuração padrão do Windows To Go tem essa política ativada. É altamente recomendável não alterar essa política para permitir a montagem de discos rígidos internos ao inicializar no espaço de trabalho do Windows To Go. Se a unidade interna contiver um sistema operacional Windows 8 em hibernação, a montagem da unidade causará a perda do estado de hibernação e, portanto, do estado do usuário ou de todos os dados do usuário não salvos quando o sistema operacional host for inicializado. Se a unidade interna contiver um sistema operacional Windows 7 ou anterior em hibernação, a montagem da unidade causará corrupção ao inicializar o sistema operacional host.
Para saber mais, veja Configure a política SAN (rede de área de armazenamento) no Windows PE.
Certificações de segurança do Windows To Go
O Windows To Go é uma funcionalidade central do Windows quando ele é implantado na unidade e configurado de acordo com as diretrizes da certificação de segurança aplicável. As soluções criadas usando o Windows To Go podem ser enviadas para certificação adicional pelo provedor da solução, incluindo o ambiente de hardware específico do provedor da solução. Para saber mais sobre as certificações de segurança do Windows, veja os tópicos a seguir.
Tópicos relacionados
Windows To Go: visão geral de recursos
Preparar sua organização para o Windows To Go