徹底剖析 Windows To Go

企業在為員工部署電腦時，往往會考量到成本，空間限制，而不是每人都可發配一臺電腦時，通常會用設定使用者帳號的方式，來達到多人使用一臺設備的運用。

但這樣一來，被分開的只有使用者的桌面、系統權限，儘管如此，底層的資料夾還是可以互通，資料有可能會被其他人盜竊。

最重要的是，當人員移動到另一裝置上登入，他所面對的將是一臺完全空白的電腦，資料與應用程式也無法直接移到新裝置，如果要正常開始工作，務必要複製資料與重新安裝應用程式，無形之中增加很多建置步驟與時間。

而現在微軟在Windows 8所推出的新功能Windows To Go（WTG），是讓使用者可透過可攜式儲存裝置，在不同電腦均可執行獨立而相同的Windows 8作業環境，使符合自身習慣的工作環境，可以在其他臺足以執行Windows 8的x86電腦上運作。

然而，在Windows 8發表至今，一般人對於Windows To Go功能的看法，大多以為它只不過是一種可將Windows打包進隨身碟的一種工具。但並非如此，它複製到隨身碟中的不是一般的Windows 8作業系統，因為要在不同的裝置上漫遊，整合WTG的儲存裝置不必特定電腦綁定硬體，在不同裝置下就能直接開機。

有別於俗知的以Live USB製作的可開機裝置，要建置Windows To Go可開機裝置，除需要一臺經微軟WTG認證的儲存碟外，實際執行起來的作業環境也與坊間Live USB開機碟不同，像是WTG內建BitLocker磁碟加密技術，可啟用後，保護系統磁碟其中的檔案。

同時，一般的開機碟通常可看到電腦裏頭的所有磁碟，開機碟本身的資料有可能被複製到電腦中，或者電腦中資料被轉移到開機碟本身，而在Windows To Go下，可建立一套獨立的Windows 8作業環境，對於此類情況有效的加以防制。

微軟對於WTG的產品定位主要在於企業，目的是使某些需長期在外駐守以及臨時人員，如出差人員、BYOD、約聘人員，或者是需要共用電腦的使用者，能夠以一支隨身碟，就能夠在不同的電腦用相同的工作環境漫遊，這也是Windows To Go Workspace（WTG工作區）的概念。

WTG環境需在Windows 8企業版下建置
我們如果要建置WTG工作區，企業必須擁有Windows 8企業版才能製作WTG工作區。微軟表示，任何訂閱Windows SA（軟體保證）、VDA（虛擬化授權），或者是租用Windows Intune集中管理雲端服務所囊括的裝置，都能夠享有使用Windows To Go的權利。

此外，如要使用Windows To Go製作開機碟，微軟限定該儲存裝置本身容量需在32GB以上，並且支援Windows To Go要求的相容協定，才可以在Windows 8企業版中的Windows To Go Creator精靈中，被識別為支援的裝置。

另外，它也不只能針對單一種類的儲存裝置作建置，以目前已經過WTG認證的儲存裝置為例，類型就包含了固態硬碟與傳統硬碟，但不支援一般隨身碟，因為WTG的磁碟區需要分割出一塊350MB的磁區作為BitLocker加密用，而一般隨身碟並不支援磁碟分割的功能，所以只要是可分割磁碟區的外接儲存裝置，都可用於製作WTG隨身碟。System Center Configuration Manager支援對WTG裝置的部署

WTG除了能透過一次製作一支的方式，做到可攜式的Windows作業系統與使用者桌面環境外，它也能夠支援System Center Configuration Manager（SCCM），企業可對這些WTG裝置作大量部署及管理。

SCCM對於WTG的部署，是在SCCM 2012的工作順序項目中，點選Windows To Go，此時企業可額外將一些其他需自動安裝的企業應用軟體如ERP、Skype等，加入WTG安裝流程內，藉以進一步擴充建置WTG安裝。

之後，IT人員可再以這工作流程建立的WIM安裝檔，存放在辦公環境內的共用檔案伺服器，員工可從這裡下載所需的WIM映像檔及WTG安裝程式到自己電腦上，再插入WTG隨身碟於設備內，來安裝WTG作業系統。

所以，實際上，SCCM對於WTG的部署是在於使用者端電腦，若要在一臺設備上進行多個WTG隨身碟的建置，需用USB量產工具大量複製。

比起一般PC使用的Windows 8，WTG工作區增加了存取限制
我們以WTG建立精靈來建置出工作區後，實際以此開機後，使用WTG工作區來操作，這環境跟一般的Windows 8有一些差別。

基本上，WTG的作用仍是將一套完整版的Windows 8工作環境，複製到可隨身攜帶的隨身碟或者是行動硬碟上，但是有些附屬功能預設為關閉。很重要的一個原因是，WTG設計為可漫遊於不同裝置間的工作區域，所以像是預設停用電腦中的磁碟機、停用Windows市集等，微軟表示，都是為了能讓WTG更適合用來漫遊於不同電腦間。

其中停用電腦內磁碟機，是為了預防WTG工作區資料被外洩到被使用的電腦內，也防止電腦當中的資料被複製到WTG工作區內。為了資料安全的需求，所以打造兩個完全獨立的作業環境。

但這些措施都是解除的。如果在使用WTG工作區時想與這臺電腦共用資料，仍然可以手動藉由磁碟管理功能，重新掛載電腦硬碟，但這麼做後，也可能為WTG工作區帶來風險，如被傳染隨身碟病毒或被植入惡意程式等。

Windows To Go與一般Windows 8的差別

以WTG建置起來的開機磁碟，其資料安全性與一般Windows 8下的磁碟差不多，請記得一定要設置登入密碼。例如我們在WTG建立步驟中設定管理者帳號密碼時，並不會被強制設定密碼，若是管理者建置了無密碼的WTG磁碟，而這隻WTG磁碟又不幸丟失時，其中的機密資料幾乎沒有任何保護。

此外，目前微軟對於WTG並沒有提出專用的資料備份或同步方案，當上述情形發生，使用者將沒有備援方案，資料外洩損失更是難以估計。

目前共有5款可支援Windows To Go的儲存設備
要建置WTG工作區，另一個要考量的是WTG儲存設備的選擇。而目前已通過Windows To Go認證的快閃儲存碟，共有5款產品，包括了金士頓、Imation、Spyrus和Super Talent等廠牌都推出對應裝置，這些裝置在插上電腦後，Windows會顯示為本機磁碟，與一般的隨身碟插上電腦後，會顯示為可卸除式磁碟相比，使用上略有不同。

另外，還有一款外接硬碟，也是通過WTG認證的產品，那就是Western Digital的My Passport Enterprise，傳輸介面一樣支援USB 3.0及2.0，轉速達每分鐘5400轉。雖然讀取速度不比上述的5款USB SSD，但它有著500GB的容量，能儲存更大量的資料。

而這些已通過WTG認證的快閃儲存碟，全部都是USB 3.0的規格，分成32GB～128GB的容量，相對於一般市面上的USB 3.0隨身碟約70～190MB/s的讀取速度，這些支援WTG的儲存碟，標榜了更快的效能，官方公布數據可達190MB/s～250MB/s。

目前製作WTG共有2種方式，第1種是使用Windows 8內建的Windows To Go精靈來製作，這個方法適用於經過微軟認證的儲存裝置。

如果我們使用一般的隨身碟來製作，Windows To Go精靈雖然可以讀取到此類裝置，但會跳出裝置不相容的警告，進而無法跳至下一步驟。

因此對於一般的隨身碟，我們就要用第2種方式，使用Windows AIK自動化安裝套件中的imageX，用純指令的方式來製作可以用USB開機的隨身碟。但以這樣的方式製作出來的Windows開機碟，微軟並不保證百分之百的相容性，當裝置在執行上發生問題時，使用者無法得到微軟原廠的客服支援。

一般的7200轉SATA 3硬碟，1TB容量目前均價在2,000元上下，若以128GB的固態硬碟來比較，平均價也是在3,000～4,000元左右。但以上述Workspace磁碟機來說，同樣128GB容量，市價高達7,000元以上。而這樣的價格，足以買到3TB的傳統硬碟；如果用來購買固態硬碟，也可以買到容量在256GB以上的產品。文⊙陳峪賢

Windows To Go運作架構

產品名稱	USB 介面	快閃 儲存 容量	讀取 效能	寫入 效能	磁碟 加密	控制 晶片	保固 年限
Kingston DataTraveler Workspace	USB 3.0	32GB, 64GB, 128GB	250 MB/s	250 MB/s	BitLocker	SandForce SATA III Controller	2 years
Super Talent USB 3.0 Express RC8	USB 3.0	25GB, 50GB, 100GB	270 MB/s	240 MB/s	BitLocker	SandForceTM SSD Controller	5 years
Spyrus Portable Workplace	USB 3.0	32GB, 64GB, 128GB	190 MB/s	190 MB/s	BitLocker	N/A	N/A
Imation Ironkey Workspace W300	USB 3.0	32GB, 64GB, 128GB	300 MB/s	200 MB/s	BitLocker	N/A	N/A
Western Digital My Passport Enterprise	USB 3.0	500GB	N/A	N/A	BitLocker	N/A	N/A

資料來源：Microsoft，iThome整理，2013年4月