Вопросы безопасности и защиты данных в Windows To Go
Защита и безопасность содержимого, которое обрабатывается в рабочем пространстве Windows To Go, является одним из наиболее важных требований при планировании развертывания Windows To Go.
Архивация и восстановление
Пока вы не сохраняете данные на диске Windows To Go, нет необходимости использовать решение для резервного копирования и восстановления для Windows To Go. Если вы сохраняете данные на диске и не используете функцию перенаправления папок и автономные файлы, вам необходимо выполнять архивацию в сетевое местоположение, например в облачное хранилище или в сетевую папку, после каждого рабочего сеанса. Ознакомьтесь с новыми и улучшенными функциями, описанными в разделе Поддержка специалистов по обработке информации при помощи надежных файловых служб и хранилищ, чтобы ознакомиться с различными решениями, которые вы могли бы внедрить.
Если по любой причине произойдет сбой USB-диска, стандартный процесс восстановления диска в рабочее состояние будет заключаться в переформатировании и повторной подготовке решения Windows To Go, так что все данные и настройки на диске будут потеряны. Это еще одна причина для использования переносимых профилей пользователей и автономных файлов в Windows To Go, что нами настоятельно и рекомендуется. Подробнее см. в разделе Перенаправление папок, автономные файлы и профили мобильных пользователей: обзор.
BitLocker
Мы рекомендуем использовать BitLocker с дисками Windows To Go для защиты диска в случае взлома или кражи. При включении BitLocker пользователь должен предоставлять пароль для разблокирования диска и загрузки в рабочее пространство Windows To Go, это позволит предотвратить несанкционированный доступ пользователей к загрузке с диска, сетевым ресурсам и конфиденциальным данным. Поскольку диски Windows To Go предназначены для работы на нескольких компьютерах, BitLocker не может использовать модуль TPM для защиты диска. Вместо этого вы укажете пароль, который будет использоваться BitLocker для шифрования и дешифрования диска. По умолчанию этот пароль должен иметь длину восемь символов; могут быть наложены более строгие требования в зависимости от сложности пароля, определенной на уровне контроллера домена вашей организации.
Вы можете использовать BitLocker при использовании мастера создания Windows To Go в процессе подготовки диска перед первоначальным использованием; или он может быть включен позднее пользователем из рабочего пространства Windows To Go.
Совет
Если Мастер создания Windows To Go не может включить BitLocker, см. раздел Почему не удается включить BitLocker из мастера создания Windows To Go?
Если вы используете главный компьютер с Windows 7, на котором включен BitLocker, вам следует приостановить работу BitLocker перед сменой параметров BIOS для загрузки с USB, после чего нужно восстановить защиту BitLocker. Если BitLocker не приостановить вначале, при следующей загрузке компьютер загрузится в режиме восстановления.
Восстановление диска и утечка данных
Мы рекомендуем использовать атрибут NoDefaultDriveLetter при подготовке USB-накопителя, чтобы предотвратить случайную утечку данных. NoDefaultDriveLetter предотвратит назначение операционной системой главного компьютера буквы диска, если пользователь вставит его в работающий компьютер. Это означает, что диск не будет отображаться в Проводнике Windows и пользователь не получит запроса об автозапуске. Это снижает вероятность того, что пользователь получит доступ к автономному диску Windows To Go при помощи другого компьютера. Если вы используете Windows To Go для подготовки рабочего пространства, этот атрибут будет установлен автоматически.
Чтобы предотвратить случайную утечку данных между Windows To Go и главным компьютером, в Windows 8 имеется политика SAN, OFFLINE_INTERNAL — 4, для предотвращения автоматического включения ОС любого внутреннего подключенного диска. В конфигурации по умолчанию для Windows To Go эта политика включена. Настоятельно рекомендуется не изменять эту политику, разрешая подключение внутренних дисков при загрузке в рабочее пространство Windows To Go. Если внутренний жесткий диск содержит ОС Windows 8 в режиме гибернации, подключение этого диска приведет к потере состояния гибернации и состояния пользователей или несохраненных пользовательских данных при загрузке операционной системы главного компьютера. Если внутренний диск содержит Windows 7 или более раннюю ОС в режиме гибернации, подключение диска приведет к повреждению при загрузке ОС главного компьютера.
Дополнительные сведения см. в разделе Как настраивать политику сети хранения данных в среде Windows PE.
Сертификаты безопасности для Windows To Go
Windows to Go является основной возможностью Windows при развертывании на диске и настройке в соответствии с инструкциями необходимой сертификации безопасности. Решения, созданные с использованием Windows To Go, могут быть переданы для дополнительной сертификации поставщиком решений, который относится к конкретной аппаратной среде поставщика решений. Дополнительные сведения о сертификатах безопасности Windows см. в следующих разделах.
Связанные разделы
Подготовка организации к внедрению Windows To Go