Windows to Go: USB-Laufwerke mit Windows 8 BitLocker schützen

Mit Windows to Go lässt sich Windows 8.1 Enterprise auf einem USB-Laufwerk installieren und starten. Admins sollten aber die Schwachstellen kennen.

Dieser Artikel behandelt

MDM

ÄHNLICHE THEMEN

Microsoft hat Windows to Go mit Windows 8 Enterprise eingeführt, eine Funktion, mit der sich ein kompletter Windows-8-Arbeitsplatz...

auf einem bootfähigen USB-Speichergerät unterbringen lässt. Damit lässt sich ein Desktop oder Notebook starten, um dem Nutzer eine fertige Umgebung mit Windows 8 oder Windows 8.1 zur Verfügung zu stellen.

IT-Abteilungen können solche USB-Sticks an mobile Mitarbeiter oder Dienstleister ausgeben. So greifen sie nur mit einer verwalteten, kontrollierten Umgebung auf Firmensysteme zu, während sie eigene Hardware nutzen können. So lassen sich Firmendaten von privaten Informationen trennen. Bevor ein Team mit Windows-to-Go-Laufwerken ausgestattet wird, sollten Sie allerdings die Sicherheitsrisiken kennen und wissen, wie man Windows 8 BitLocker nutzt.

Schützen Sie Windows to Go mit BitLocker

Geht ein Laufwerk mit Windows to Go verloren oder wird es gestohlen, können sensible Daten oder Netzwerkzugänge in die falschen Hände gelangen. Glücklicherweise lassen sich Windows-to-Go-Laufwerke mit Hilfe von BitLocker schützen, einer in Windows 7 und Windows 8.1 integrierten Methode zum Verschlüsseln ganzer Laufwerke. BitLocker nutzt den Advanced Encryption Standard (AES) um ein Laufwerk mit 128  oder 256 Bit zu schützen.

Normalerweise setzt BitLocker auf ein Trusted Plattform Module (TPM), um den Bootvorgang zu überprüfen und die notwendigen Schlüssel zu beschützen. Da dieser Ansatz bei der Verwendung von Windows to Go nicht möglich ist, setzt BitLocker auf ein vom Nutzer vergebenes Passwort, um Daten zu verschlüsseln oder zugänglich zu machen. Der Nutzer muss dieses Kennwort während des Boot-Vorgangs eingeben, damit der Arbeitsplatz entsperrt wird. Solange das Passwort selbst nicht kompromittiert wird, können unautorisierte Anwender Windows to Go nicht starten.

Wenn Sie also Windows to Go ausrollen möchten, sollten diese Laufwerke zwingend eine BitLocker-Verschlüsselung nutzen. Das ist allerdings nicht immer möglich. Wenn sie beispielsweise eine große Anzahl von Laufwerken ausgeben möchten, nutzen Sie dafür wahrscheinlich eine Kopierstation für USB Laufwerke. Allerdings kann BitLocker nicht mit solchen Laufwerken zusammenarbeiten. Das bedeutet, dass sie die Laufwerke erst ausrollen müssen, um sie anschließend zu konfigurieren.

Wenn Sie mit vielen Laufwerken arbeiten, macht es Sinn, die BitLocker-Einrichtung an den Nutzer auszulagern. Der Prozess selbst ist einfach genug. Wie bei der Desktop-Version von Windows 8 oder Windows 8.1 folgt der Nutzer einem einfachen Assistenten.

Schwieriger ist es allerdings sicherzustellen, dass die Nutzer BitLocker auch wirklich verwenden. Ohne eine Art von Bestätigungsprozess können Sie nicht sicher sein, dass die Windows-to-Go-Laufwerke wirklich von BitLocker geschützt werden.

Mögliche Datenlecks bei Windows to Go

Windows 8 bringt eine neue SAN-Richtlinie mit: -- OFFLINE_INTERNAL – „4“. Dieses Setting verhindert, dass das Betriebssystem automatisch die internen Laufwerke des Host Computers einbindet. Ist diese Funktion aktiv, sehen Nutzer von Windows to Go die eigentlichen Laufwerke des PCs nicht. In erster Linie soll diese Funktion unbeabsichtigte Datenlecks verhindern, etwa in dem der Nutzer bearbeiteten Dateien versehentlich auf der falschen Festplatte ablegt. Zudem verhindert sie die Nutzung des Windows to Go Laufwerks als Hacking-Tool, mit dem sich Angreifer Zugriff auf einen PC verschaffen können. Wirklich versierte Angreifer werden sich davon aber nicht bremsen lassen, vor allem, weil sie genügend Linux-Livesysteme zur Verfügung haben.

Wichtig: Selbst wenn die Richtlinie aktiv ist, können Nutzer integrierte Windows-Funktionen wie etwa diskmgmt.msc nutzen, um die Sperre zu umgehen und Laufwerke per Hand einzubinden. Dabei muss der Anwender allerdings immer noch Sicherheitsmechanismen des Host-Systems umgehen. Viele Dateien lassen sich einfach öffnen und von oder auf ein Windows to Go Laufwerk kopieren. Eine andere Gefahrenquelle: Wird ein Laufwerk eingebunden, während sich das Host-System im Ruhezustand befindet, können Dateien beschädigt werden.

Microsoft rät davon ab, ein Windows-to-Go-Laufwerk während des Betriebs des Host Systems anzustecken. Falls der Rechner kompromittiert wurde, kann die Malware auch das Windows-to-Go-Laufwerk infizieren. Leider hat die IT-Abteilung kaum Möglichkeiten, dieses Vorgehen zu verhindern. Eine Maßnahme ist es, das NoDefaultDriveLetter-Attribut eines Windows-to-Go-Laufwerks zu aktivieren. Dieser Wert verhindert, dass ein Computer diesem Laufwerk einen entsprechenden Buchstaben zuweist, wenn es in eine laufende Maschine eingebunden wird. Entsprechend ist es im Host-System nicht sichtbar. Allerdings können Nutzer auch hier mit Hilfe von diskmgmt.msc die Sperre umgehen und dem USB-Laufwerk manuell einen Buchstaben zuweisen.

Vom USB-Laufwerk starten

Microsoft empfiehlt den Einsatz von Windows to Go nur auf Host-Computern, die für den Einsatz von Windows 7 und Windows 8 zertifiziert wurden. Eine der Gründe dafür ist, dass diese Computer den Start von USB-Laufwerken garantiert unterstützen. Auch hier muss aber meist das BIOS des Computers so geändert werden, dass es vom USB-Stick statt dem internen Laufwerk startet.

Falls die IT den Host-Computer verwaltet, kann diese Regelung Teil der internen Vorgaben oder des Verwaltungsprozesses sein. Falls es sich um einen privaten Rechner handelt, muss der Nutzer selbst die Starteinstellungen ändern. Das klappt wahlweise über die BIOS-Einstellungen oder die Windows-to-Go-Einstellungen in Windows 8.

Egal wie der USB-Boot-Modus aktiviert wird, Nutzer sollten sich über die Auswirkungen im Klaren sein: Ein USB-Laufwerk könnte beispielsweise einen Virus enthalten, der dann automatisch den Rechner infiziert. Zudem kann es zu Problemen kommen, wenn zwei USB-Laufwerke angeschlossen sind.

Eine mögliche Alternative ist es, den Boot-Modus für nur einen Startvorgang zu ändern. Das klappt meist über ein temporäres Boot-Menü, dass sich oft über die Taste F12 beim Rechnerstart aufrufen lässt.

Windows to Go ausreizen

Klar, Windows to Go ist kein Allheilmittel für alle Sicherheitsbedenken der IT-Abteilung. Vor allem wenn eine Verschlüsselung fehlt, kann es bei Verlust oder Diebstahl der Laufwerke zu Problemen kommen. Zudem können Nutzerfehler potentiell für Datenverlust, kompromittierte Systeme oder den Zugriff auf interne System sorgen.

Dennoch stellt ein Windows to Go Laufwerk wahrscheinlich keine größere Bedrohung dar als sowieso von einem klassischen System ausgeht. Wenn Sie ein Notebook oder ein anderes mobiles System ausrollen, müssen Sie auch hier sicherstellen, dass Nutzer keinen Unfug treiben und sensible Daten schützen. Tatsächlich muss die IT immer mehr Vertrauen in die Fähigkeiten der Anwender stecken.

Administratoren können hier helfen, indem sie nicht nur Anleitungen und Training anbieten, oder zudem Dienste offerieren, die Speicherung und Verwaltung von Daten vereinfachen sowie sicherer machen. Windows to Go hat hier einen klaren Vorteil gegenüber Laptops: Sie sind einfacher auszurollen und die entsprechenden Laufwerke kosten deutlich weniger.

Artikel wurde zuletzt im März 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Mobile-Device-Management (MDM)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close