Sicherheits- und Datenschutzüberlegungen für Windows To GoSecurity and data protection considerations for Windows To Go

Betrifft:Applies to

  • Windows 10Windows10

Wichtig

Windows to go wird in den Betriebssystemen Windows 10, Version 2004 und höher entfernt.Windows To Go is removed in Windows 10, version 2004 and later operating systems. Das Feature unterstützt keine Feature-Updates und ermöglicht es Ihnen daher nicht, diesbezüglich auf dem neuesten Stand zu bleiben.The feature does not support feature updates and therefore does not enable you to stay current. Außerdem ist dafür eine bestimmte Art von USB-Anschluss erforderlich, der von vielen Originalgeräteherstellern nicht mehr unterstützt wird.It also requires a specific type of USB that is no longer supported by many OEMs.

Eine der wichtigsten Anforderungen, die Sie bei der Planung Ihrer Windows to go-Bereitstellung beachten sollten, besteht darin, sicherzustellen, dass die Daten, Inhalte und Ressourcen, mit denen Sie im Windows to go-Arbeitsbereich arbeiten, geschützt und sicher sind.One of the most important requirements to consider when you plan your Windows To Go deployment is to ensure that the data, content, and resources you work with in the Windows To Go workspace is protected and secure.

Sichern und WiederherstellenBackup and restore

Solange Sie keine Daten auf dem Windows to go-Laufwerk speichern, besteht keine Notwendigkeit für eine Sicherungs-und Wiederherstellungslösung für Windows to go.As long as you are not saving data on the Windows To Go drive, there is no need for a backup and restore solution for Windows To Go. Wenn Sie Daten auf dem Laufwerk speichern und keine Ordnerumleitung und Offlinedateien verwenden, sollten Sie alle Ihre Daten an einem Netzwerkspeicherort sichern, beispielsweise in einem Cloud-Speicher oder einer Netzwerkfreigabe nach jeder Arbeitssitzung.If you are saving data on the drive and are not using folder redirection and offline files, you should back up all of your data to a network location, such as cloud storage or a network share after each work session. Überprüfen Sie die neuen und verbesserten Features, die unter unterstützen von Informationen Mitarbeitern mit zuverlässigen Dateidiensten und Speicher für verschiedene Lösungen beschrieben sind, die Sie implementieren könnten.Review the new and improved features described in Supporting Information Workers with Reliable File Services and Storage for different solutions you could implement.

Wenn das USB-Laufwerk aus irgendeinem Grund fehlschlägt, ist der Standardprozess zum Wiederherstellen des Betriebszustands des Laufwerks, um das Laufwerk mit Windows to go neu zu formatieren und bereitzustellen, damit alle Daten und Anpassungen auf dem Laufwerk verloren gehen.If the USB drive fails for any reason, the standard process to restore the drive to working condition is to reformat and re-provision the drive with Windows To Go, so all data and customization on the drive will be lost. Dies ist ein weiterer Grund, warum die Verwendung von Roaming-Benutzerprofilen, Ordnerumleitung und Offlinedateien mit Windows to go dringend empfohlen wird.This is another reason why using roaming user profiles, folder redirection and offline files with Windows To Go is strongly recommended. Weitere Informationen finden Sie unter Übersicht über Ordnerumleitung, Offline Dateien und Server gespeicherte Benutzerprofile.For more information, see Folder Redirection, Offline Files, and Roaming User Profiles overview.

BitLockerBitLocker

Wir empfehlen, BitLocker für Ihre Windows to Go-Laufwerke zu verwenden, um das Laufwerk vor Beschädigungen zu schützen, wenn das Laufwerk verloren geht oder gestohlen wird.We recommend that you use BitLocker with your Windows To Go drives to protect the drive from being compromised if the drive is lost or stolen. Wenn BitLocker aktiviert ist, muss der Benutzer ein Kennwort angeben, um das Laufwerk zu entsperren und den Windows to go-Arbeitsbereich zu starten, wodurch verhindert wird, dass nicht autorisierte Benutzer das Laufwerk booten und verwenden, um Zugriff auf Ihre Netzwerkressourcen und vertraulichen Daten zu erhalten.When BitLocker is enabled, the user must provide a password to unlock the drive and boot the Windows To Go workspace, this helps prevent unauthorized users from booting the drive and using it to gain access to your network resources and confidential data. Da Windows to Go-Laufwerke für das Roaming zwischen Computern vorgesehen sind, kann das Trusted Platform Module (TPM) nicht von BitLocker zum Schützen des Laufwerks verwendet werden.Because Windows To Go drives are meant to be roamed between computers, the Trusted Platform Module (TPM) cannot be used by BitLocker to protect the drive. Stattdessen geben Sie ein Kennwort ein, das BitLocker für die Datenträgerverschlüsselung und-Entschlüsselung verwendet.Instead, you will be specifying a password that BitLocker will use for disk encryption and decryption. Standardmäßig muss dieses Kennwort acht Zeichen lang sein und abhängig von den Anforderungen an die Kennwortkomplexität, die vom Domänencontroller Ihrer Organisation definiert sind, strengere Anforderungen erzwingen.By default, this password must be eight characters in length and can enforce more strict requirements depending on the password complexity requirements defined by your organizations domain controller.

Sie können BitLocker aktivieren, während Sie den Windows to go Creator-Assistenten als Teil des Bereitstellungsprozesses für die Bereitstellung vor der ersten Verwendung verwenden; oder es kann anschließend vom Benutzer im Windows to go-Arbeitsbereich aktiviert werden.You can enable BitLocker while using the Windows To Go Creator wizard as part of the drive provisioning process before first use; or it can be enabled afterward by the user from within the Windows To Go workspace.

Tipp Wenn der Windows to go Creator-Assistent BitLocker nicht aktivieren kann, lesen Sie Warum kann ich BitLocker nicht von Windows to go Creator aktivieren?Tip If the Windows To Go Creator wizard is not able to enable BitLocker, see Why can't I enable BitLocker from Windows To Go Creator?

Wenn Sie einen Hostcomputer mit Windows7 verwenden, auf dem BitLocker aktiviert ist, sollten Sie BitLocker anhalten, bevor Sie die BIOS-Einstellungen ändern, um von USB zu booten, und dann den BitLocker-Schutz fortsetzen.If you are using a host computer running Windows7 that has BitLocker enabled, you should suspend BitLocker before changing the BIOS settings to boot from USB and then resume BitLocker protection. Wenn BitLocker nicht zuerst angehalten wird, startet das nächste Mal, wenn der Computer gestartet wird, den Wiederherstellungsmodus.If BitLocker is not suspended first, the next time the computer is started it will boot into recovery mode.

Datenträger Ermittlung und DatenverlustDisk discovery and data leakage

Wir empfehlen, dass Sie beim Bereitstellen des USB-Laufwerks das NoDefaultDriveLetter -Attribut verwenden, um versehentliche Datenverluste zu vermeiden.We recommend that you use the NoDefaultDriveLetter attribute when provisioning the USB drive to help prevent accidental data leakage. NoDefaultDriveLetter verhindert, dass das Hostbetriebssystem einen Laufwerkbuchstaben zuweist, wenn ein Benutzer es in einen ausgeführten Computer einfügt.NoDefaultDriveLetter will prevent the host operating system from assigning a drive letter if a user inserts it into a running computer. Das bedeutet, dass das Laufwerk nicht im Windows-Explorer angezeigt wird und dem Benutzer keine Ansage für die automatische Wiedergabe angezeigt wird.This means the drive will not appear in Windows Explorer and an AutoPlay prompt will not be displayed to the user. Dadurch wird die Wahrscheinlichkeit verringert, dass ein Endbenutzer auf die Offline-Windows-Diskette direkt von einem anderen Computer aus zugreifen kann.This reduces the likelihood that an end-user will access the offline Windows To Go disk directly from another computer. Wenn Sie den Windows to go-Ersteller zum Bereitstellen eines Arbeitsbereichs verwenden, wird dieses Attribut automatisch für Sie festgesetzt.If you use the Windows To Go Creator to provision a workspace, this attribute will automatically be set for you.

Um zu verhindern, dass versehentliche Datenverluste zwischen Windows to go auftreten, und das Hostsystem Windows8 eine neue SAN-Richtlinie hat – Offline \ _INTERNAL-"4", um zu verhindern, dass das Betriebssystem automatisch einen intern verbundenen Datenträger online bringt.To prevent accidental data leakage between Windows To Go and the host system Windows8 has a new SAN policy—OFFLINE_INTERNAL - “4” to prevent the operating system from automatically bringing online any internally connected disk. Die Standardkonfiguration für Windows to go hat diese Richtlinie aktiviert.The default configuration for Windows To Go has this policy enabled. Es wird dringend empfohlen, diese Richtlinie nicht so zu ändern, dass die Montage Interner Festplatten beim Booten im Windows to go-Arbeitsbereich zulässig ist.It is strongly recommended you do not change this policy to allow mounting of internal hard drives when booted into the Windows To Go workspace. Wenn das interne Laufwerk ein im Ruhezustand Windows8-Betriebssystem enthält, führt die Montage des Laufwerks zu einem Verlust des Ruhezustands und damit des Benutzerstatus oder aller nicht gespeicherten Benutzerdaten, wenn das Betriebssystem des Hosts gestartet wird.If the internal drive contains a hibernated Windows8 operating system, mounting the drive will lead to loss of hibernation state and, therefore, user state or any unsaved user data when the host operating system is booted. Wenn das interne Laufwerk über einen überwinterten Windows7 oder ein früheres Betriebssystem verfügt, führt die Montage des Laufwerks zu einer Beschädigung, wenn das Betriebssystem des Hosts gestartet wird.If the internal drive contains a hibernated Windows7 or earlier operating system, mounting the drive will lead to corruption when the host operating system is booted.

Weitere Informationen finden Sie unter Konfigurieren der San-Richtlinie (Storage Area Network) in Windows PE.For more information, see How to Configure Storage Area Network (SAN) Policy in Windows PE.

Sicherheitszertifizierungen für Windows to goSecurity certifications for Windows To Go

Windows to go ist eine Kernfunktion von Windows, wenn es auf dem Laufwerk bereitgestellt wird und gemäß den Richtlinien für die entsprechende Sicherheitszertifizierung konfiguriert ist.Windows to Go is a core capability of Windows when it is deployed on the drive and is configured following the guidance for the applicable security certification. Lösungen, die mit Windows to go erstellt wurden, können vom Lösungsanbieter für zusätzliche Zertifizierungen übermittelt werden, die die spezifische Hardwareumgebung des Lösungsanbieters abdecken.Solutions built using Windows To Go can be submitted for additional certifications by the solution provider that cover the solution provider’s specific hardware environment. Weitere Informationen zu Windows-Sicherheitszertifizierungen finden Sie in den folgenden Themen.For more details about Windows security certifications, see the following topics.

Verwandte ThemenRelated topics

Windows To Go: Übersicht über die FeaturesWindows To Go: feature overview

Vorbereiten der Organisation auf Windows To GoPrepare your organization for Windows To Go

Bereitstellungsüberlegungen für Windows To GoDeployment considerations for Windows To Go

Windows To Go: Häufig gestellte FragenWindows To Go: frequently asked questions