企業在為員工部署電腦時,往往會考量到成本,空間限制,而不是每人都可發配一臺電腦時,通常會用設定使用者帳號的方式,來達到多人使用一臺設備的運用。

但這樣一來,被分開的只有使用者的桌面、系統權限,儘管如此,底層的資料夾還是可以互通,資料有可能會被其他人盜竊。

最重要的是,當人員移動到另一裝置上登入,他所面對的將是一臺完全空白的電腦,資料與應用程式也無法直接移到新裝置,如果要正常開始工作,務必要複製資料與重新安裝應用程式,無形之中增加很多建置步驟與時間。

而現在微軟在Windows 8所推出的新功能Windows To Go(WTG),是讓使用者可透過可攜式儲存裝置,在不同電腦均可執行獨立而相同的Windows 8作業環境,使符合自身習慣的工作環境,可以在其他臺足以執行Windows 8的x86電腦上運作。

然而,在Windows 8發表至今,一般人對於Windows To Go功能的看法,大多以為它只不過是一種可將Windows打包進隨身碟的一種工具。但並非如此,它複製到隨身碟中的不是一般的Windows 8作業系統,因為要在不同的裝置上漫遊,整合WTG的儲存裝置不必特定電腦綁定硬體,在不同裝置下就能直接開機。

有別於俗知的以Live USB製作的可開機裝置,要建置Windows To Go可開機裝置,除需要一臺經微軟WTG認證的儲存碟外,實際執行起來的作業環境也與坊間Live USB開機碟不同,像是WTG內建BitLocker磁碟加密技術,可啟用後,保護系統磁碟其中的檔案。

同時,一般的開機碟通常可看到電腦裏頭的所有磁碟,開機碟本身的資料有可能被複製到電腦中,或者電腦中資料被轉移到開機碟本身,而在Windows To Go下,可建立一套獨立的Windows 8作業環境,對於此類情況有效的加以防制。

微軟對於WTG的產品定位主要在於企業,目的是使某些需長期在外駐守以及臨時人員,如出差人員、BYOD、約聘人員,或者是需要共用電腦的使用者,能夠以一支隨身碟,就能夠在不同的電腦用相同的工作環境漫遊,這也是Windows To Go Workspace(WTG工作區)的概念。

WTG環境需在Windows 8企業版下建置
我們如果要建置WTG工作區,企業必須擁有Windows 8企業版才能製作WTG工作區。微軟表示,任何訂閱Windows SA(軟體保證)、VDA(虛擬化授權),或者是租用Windows Intune集中管理雲端服務所囊括的裝置,都能夠享有使用Windows To Go的權利。

此外,如要使用Windows To Go製作開機碟,微軟限定該儲存裝置本身容量需在32GB以上,並且支援Windows To Go要求的相容協定,才可以在Windows 8企業版中的Windows To Go Creator精靈中,被識別為支援的裝置。

另外,它也不只能針對單一種類的儲存裝置作建置,以目前已經過WTG認證的儲存裝置為例,類型就包含了固態硬碟與傳統硬碟,但不支援一般隨身碟,因為WTG的磁碟區需要分割出一塊350MB的磁區作為BitLocker加密用,而一般隨身碟並不支援磁碟分割的功能,所以只要是可分割磁碟區的外接儲存裝置,都可用於製作WTG隨身碟。System Center Configuration Manager支援對WTG裝置的部署

WTG除了能透過一次製作一支的方式,做到可攜式的Windows作業系統與使用者桌面環境外,它也能夠支援System Center Configuration Manager(SCCM),企業可對這些WTG裝置作大量部署及管理。

SCCM對於WTG的部署,是在SCCM 2012的工作順序項目中,點選Windows To Go,此時企業可額外將一些其他需自動安裝的企業應用軟體如ERP、Skype等,加入WTG安裝流程內,藉以進一步擴充建置WTG安裝。

之後,IT人員可再以這工作流程建立的WIM安裝檔,存放在辦公環境內的共用檔案伺服器,員工可從這裡下載所需的WIM映像檔及WTG安裝程式到自己電腦上,再插入WTG隨身碟於設備內,來安裝WTG作業系統。

所以,實際上,SCCM對於WTG的部署是在於使用者端電腦,若要在一臺設備上進行多個WTG隨身碟的建置,需用USB量產工具大量複製。

比起一般PC使用的Windows 8,WTG工作區增加了存取限制
我們以WTG建立精靈來建置出工作區後,實際以此開機後,使用WTG工作區來操作,這環境跟一般的Windows 8有一些差別。

基本上,WTG的作用仍是將一套完整版的Windows 8工作環境,複製到可隨身攜帶的隨身碟或者是行動硬碟上,但是有些附屬功能預設為關閉。很重要的一個原因是,WTG設計為可漫遊於不同裝置間的工作區域,所以像是預設停用電腦中的磁碟機、停用Windows市集等,微軟表示,都是為了能讓WTG更適合用來漫遊於不同電腦間。

其中停用電腦內磁碟機,是為了預防WTG工作區資料被外洩到被使用的電腦內,也防止電腦當中的資料被複製到WTG工作區內。為了資料安全的需求,所以打造兩個完全獨立的作業環境。

但這些措施都是解除的。如果在使用WTG工作區時想與這臺電腦共用資料,仍然可以手動藉由磁碟管理功能,重新掛載電腦硬碟,但這麼做後,也可能為WTG工作區帶來風險,如被傳染隨身碟病毒或被植入惡意程式等。

Windows To Go與一般Windows 8的差別

● 與電腦內硬碟無法同時使用。
為了確保WTG工作區的資料安全性,當使用WTG時,電腦內部磁碟為離線狀態。反之,當WTG磁碟插入正在工作中的電腦時,我們也無法從檔案總管中,看到這支已裝入WTG的儲存裝置。
● 預設停用休眠。
當作業系統於休眠狀態,使用者將WTG開機碟拔除後插至另一台電腦上時,因WTG並不知道已換了裝置,因此在重新開啟作業系統,可能會發生作業系統損毀,因此在WTG裏頭,這個功能預設為關閉。
● 無法使用Windows修復功能。
由於WTG的定位在於可攜式的作業系統,因此若要把WTG儲存碟還原到乾淨的情況,就只能以WTG精靈再重新製作一次開機碟。
● 預設停用Windows Store。
因市集的應用程式會綁定硬體進行授權,而WTG是一個可在電腦間漫遊的作業系統,因此WTG停用了對市集的存取。
● 電腦在運行狀態時,使用者如拔除隨身碟,系統會先鎖定約60秒。
如在這60秒前將WTG開機碟插回電腦,電腦會馬上恢復運行,如不施行這個動作,系統也會在60秒後自動關機
● 不使用TPM(信賴平臺模組)。
在使用WTG的BitLocker加密時,所使用的認證措施將不是TPM,而是一組在建置WTG開機碟時所預設的密碼,這是因為TPM會與電腦的主機板綁定,而WTG裝置會在電腦間漫遊,所以不適用這個功能。
資料安全性及控管仍有改進空間

以WTG建置起來的開機磁碟,其資料安全性與一般Windows 8下的磁碟差不多,請記得一定要設置登入密碼。例如我們在WTG建立步驟中設定管理者帳號密碼時,並不會被強制設定密碼,若是管理者建置了無密碼的WTG磁碟,而這隻WTG磁碟又不幸丟失時,其中的機密資料幾乎沒有任何保護。

此外,目前微軟對於WTG並沒有提出專用的資料備份或同步方案,當上述情形發生,使用者將沒有備援方案,資料外洩損失更是難以估計。

目前共有5款可支援Windows To Go的儲存設備
要建置WTG工作區,另一個要考量的是WTG儲存設備的選擇。而目前已通過Windows To Go認證的快閃儲存碟,共有5款產品,包括了金士頓、Imation、Spyrus和Super Talent等廠牌都推出對應裝置,這些裝置在插上電腦後,Windows會顯示為本機磁碟,與一般的隨身碟插上電腦後,會顯示為可卸除式磁碟相比,使用上略有不同。

另外,還有一款外接硬碟,也是通過WTG認證的產品,那就是Western Digital的My Passport Enterprise,傳輸介面一樣支援USB 3.0及2.0,轉速達每分鐘5400轉。雖然讀取速度不比上述的5款USB SSD,但它有著500GB的容量,能儲存更大量的資料。

而這些已通過WTG認證的快閃儲存碟,全部都是USB 3.0的規格,分成32GB~128GB的容量,相對於一般市面上的USB 3.0隨身碟約70~190MB/s的讀取速度,這些支援WTG的儲存碟,標榜了更快的效能,官方公布數據可達190MB/s~250MB/s。

目前製作WTG共有2種方式,第1種是使用Windows 8內建的Windows To Go精靈來製作,這個方法適用於經過微軟認證的儲存裝置。

如果我們使用一般的隨身碟來製作,Windows To Go精靈雖然可以讀取到此類裝置,但會跳出裝置不相容的警告,進而無法跳至下一步驟。

因此對於一般的隨身碟,我們就要用第2種方式,使用Windows AIK自動化安裝套件中的imageX,用純指令的方式來製作可以用USB開機的隨身碟。但以這樣的方式製作出來的Windows開機碟,微軟並不保證百分之百的相容性,當裝置在執行上發生問題時,使用者無法得到微軟原廠的客服支援。

一般的7200轉SATA 3硬碟,1TB容量目前均價在2,000元上下,若以128GB的固態硬碟來比較,平均價也是在3,000~4,000元左右。但以上述Workspace磁碟機來說,同樣128GB容量,市價高達7,000元以上。而這樣的價格,足以買到3TB的傳統硬碟;如果用來購買固態硬碟,也可以買到容量在256GB以上的產品。文⊙陳峪賢

Windows To Go運作架構

目前市面上已支援Windows To Go裝置列表
產品名稱 USB
介面
快閃
儲存
容量
讀取
效能
寫入
效能
磁碟
加密
控制
晶片
保固
年限
Kingston DataTraveler Workspace   USB 3.0 32GB, 64GB, 128GB 250
MB/s
250
MB/s
BitLocker SandForce SATA III Controller 2
years
Super Talent USB 3.0 Express RC8
 
USB 3.0 25GB, 50GB, 100GB 270
MB/s
240
MB/s
BitLocker SandForceTM SSD Controller 5
years
Spyrus Portable Workplace 

 
USB 3.0 32GB, 64GB, 128GB 190
MB/s
190
MB/s
BitLocker N/A N/A
Imation Ironkey Workspace W300
 
USB 3.0 32GB, 64GB, 128GB 300
MB/s
200
MB/s
BitLocker N/A N/A
Western Digital My Passport Enterprise
 
USB 3.0 500GB N/A N/A BitLocker N/A N/A

資料來源:Microsoft,iThome整理,2013年4月


Advertisement

更多 iThome相關內容