使用BitLocker保护Windows To Go驱动器

日期: 2014-12-28 作者:Robert Sheldon翻译:杨旭 来源:TechTarget中国 英文

随着Windows 8企业版的发布,微软同时推出了Windows To Go支持,允许你在可引导的USB驱动器上设置一个Windows工作区。Windows To Go驱动器包含了完整的Windows 8或者Windows 8.1镜像,可以在任何有Windows 7/8认证的笔记本或桌面上运行。 IT可以允许员工通过手机来管理他们的桌面,同时保持敏感数据与个人信息隔离。但是,在开始提供Windows To Go驱动器之前,你首先应该意识到其中的潜在风险,以及如何使用Windows 8 Bitlocker。

使用BitLocker保护Windows To Go驱动器 如果Windows To G……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

随着Windows 8企业版的发布,微软同时推出了Windows To Go支持,允许你在可引导的USB驱动器上设置一个Windows工作区。Windows To Go驱动器包含了完整的Windows 8或者Windows 8.1镜像,可以在任何有Windows 7/8认证的笔记本或桌面上运行。

IT可以允许员工通过手机来管理他们的桌面,同时保持敏感数据与个人信息隔离。但是,在开始提供Windows To Go驱动器之前,你首先应该意识到其中的潜在风险,以及如何使用Windows 8 Bitlocker。

使用BitLocker保护Windows To Go驱动器


如果Windows To Go设备丢失或被盗,敏感数据和网络资源可能处于危险之中。幸运的是,你可以通过BitLocker保护Windows To Go驱动器。BitLocker是Windows 7和Windows 8内置的全盘加密功能。BitLocker使用进阶加密标准算法保护128位或256位加密卷。

通常情况下,BitLocker依赖可信平台模块标准认证来引导路径和保护加密密钥。因为这种方法是不支持Windows To Go驱动器,BitLocker使用用户定义的密码来加密和解密磁盘。用户必须提供驱动器的解锁密码并引导到Windows To Go工作区。只要密码本身是安全的,未经授权的用户通常不能访问受保护的数据或安全的网络资源。

如果你计划部署Windows To Go驱动器,提供这些支持的设备应该启用BitLocker。但是这并不总是可行的。举个例子,如果你提供多个驱动器,你可能想使用USB驱动器复印器来简化这个过程,不幸的是,BitLocker驱动器不能进行复制。这意味着你必须首先提供驱动器,然后为其配置Windows 8特性。

如果你正在使用许多驱动器——使用复印器时可能出现的情况,你可能想要通过BitLocker将数据给你的用户。这个过程本身是很容易的。桌面版本为Windows 8和Windows 8.1的用户可以简单地遵循BitLocker安装向导中的步骤。

更大的技巧是确保你的用户真正实现了BitLocker。因为没有办法确认Windows To Go是否已经被保护,只有你可以确保你的用户妥善保护了自己的密码。

Windows To Go数据泄漏


Windows 8包括一个新的SAN策略设置——OFFLINE_INTERNAL - "4"——阻止操作系统自动安装主机的内部驱动器。启用此策略时,用户无法看到Windows To Go环境中的内部驱动器。这可以帮助防止Windows To Go环境和本地计算机之间的意外数据泄漏。该策略也有助于阻止他人使用Windows To Go驱动器作为窃听设备获得内部磁盘访问权限。

然而,即使应用了该策略,其他人也可以利用Windows To Go内置的diskmgmt.msc工具重载默认行为并安装内部驱动器。当然,用户仍将不得不面对主机系统上文件夹和文件的安全性。

然而,许多文件方便访问,可以轻松地从Windows To Go环境传输给一个未加密的设备。此外,在主机系统处于休眠模式时安装内部驱动器可能会导致数据丢失或主机操作系统受损。

还需要关心的是是谁将Windows To Go驱动器插入到正在运行的机器上。通常来说,微软不建议这么做。如果电脑已经被攻破,磁盘也会受威胁。然而IT还没有办法阻止这种行为。

IT应确保Windows To Go驱动器启用了NoDefaultDriveLetter属性。该属性在当驱动器插入运行中的机器时防止主机为其分配驱动器号。因此,驱动器将无法从主机上的Windows Explorer查看,从而阻止系统之间的意外数据泄漏。不幸的是,用户可以再次使用diskmgmt.msc——这次是在主机上——自动为Windows To Go驱动器分配驱动器号。

从USB设备引导


根据微软,Windows To Go驱动器应该只用于Windows 7或8认证的主机。原因之一是这些计算机支持引导USB驱动器。注意,主机系统的固件启动设置(如BIOS)再引导过程中通常需要进行特殊配置。

管理主机的IT管理员应该将该设置作为初始设置或管理过程的一部分。对于用户来说,则必须手动启用USB启动,可以通过固件的启动设置或者在Windows 8中使用Windows To Go启动选项功能。

不管以什么方式启用USB启动,用户和管理员应该意识到这样做会产生的影响。例如,一个包含恶意软件的USB驱动器可能会插入一个USB端口。电脑启动时,其将尝试从该驱动器启动,从而感染主机并造成严重损害。

此外,如果同时插入两个USB驱动程序,会发生引导冲突。IT无法控制用户如何处理Windows To Go驱动器或主机电脑。

充分利用Windows To Go


显然,在移动计算时代,Windows To Go对于IT所面临的安全问题来说不是灵丹妙药。如果驱动没有加密,将带来严重的安全风险。另外,用户操作会导致数据泄漏,破坏资源并感染系统。

然而与大多数其他设备相比,Windows To Go的风险更低。如果为移动工作者提供一台笔记本电脑,你仍然会依赖该工作者对敏感数据保护做出聪明的决定。事实上,IT必须比以往任何时候都依靠用户采取适当的措施来维护Windows 8安全。

桌面管理员不仅可以通过提供足够的指导和训练来帮助用户,还可以提供服务来保证数据存储和管理是无缝的和安全的。Windows To Go驱动器相比其他设备有很大的优势。

相关推荐

  • 可以使用Windows To Go提供桌面应用吗?

    在Windows To Go镜像中安装桌面应用程序是可以实现的,前提是它们足够小,能够满足USB驱动器容量,并且可以在本地运行。

  • 如何在Windows Server 2012中使用BitLocker

    BitLocker是所有Windows Server 2012版本中的加密特性,可以保护你放在PC和硬盘上的数据。你应该学习如何安装并使用它。

  • 解决Windows To Go常见的三大挑战

    Windows 8企业版为员工和业务用户提供了另外一种选项——从USB闪存驱动器或外部硬盘驱动器启动一个完整的标准化的Windows 8镜像。

  • 掌握BitLocker加密技术

    Windows Server 2012的所有版本以及Windows 8专业版和企业版中都配有BitLocker功能。本期《掌握BitLocker加密技术》技术手册详细介绍了Windows Server 2012和Windows 8中的BitLocker新功能、BitLocker的安装配置要求及最佳实践。