Microsoft heeft er een handje van om technische oplossingen te bedenken voor problemen waar slechts een klein deel van de gebruikers last van heeft. Windows to Go was een voorbeeld daarvan: de behoefte aan dit middel bestond in 2011 nauwelijks. Zes jaar later lijkt het alsof Microsoft simpelweg zijn tijd te ver vooruit was, nu meer mensen een oplossing als Windows to Go zoeken.

Windows to Go is zoals je waarschijnlijk weet een volledige Windows-installatie op een usb-apparaat. Steek een usb-stick in een pc, boot vanaf usb en je eigen Windows-installatie, inclusief je programma's, bestanden en zakelijke resources, kun je op elke computer gebruiken. Als je klaar bent, schakel je het systeem uit, trek je de usb-stick eruit en klaar is kees. Het is in feite een portable versie van Windows.

Meer controles

Het wordt aantrekkelijk nu iedereen die met elektronica op reis gaat een beveiligingsrisico vormt. Je herinnert je vast wel hoe de VS een laptopban overwoog voor zelfs ESTA-landen als Nederland. Dit is (voor nu) van de baan, maar Amerika is nog steeds bezig met strengere controles voor zowel interne als internationale vluchten.

Dat betekent dat de kans bestaat dat we binnenkort laptops enkel nog in de ingecheckte bagage mogen vervoeren, als ze überhaupt nog meegenomen mogen worden. Ook Groot-Brittannië overweegt zulke maatregelen. Daarnaast neemt de kans toe dat bij douanes binnen en buiten Europa apparaten als laptops, tablets, of smartphones worden gecontroleerd - mogelijk zelfs grondig en op inhoud. Dat maakt het allemaal aantrekkelijker om je systeem op een usb-stick mee te nemen.

Laptops onbeheerd achterlaten

Het is duidelijk wat de gevolgen hiervan zijn voor IT-afdelingen. Veel organisaties hebben een beveiligingsbeleid dat verbiedt dat werknemers hun zakelijke laptops uit het oog verliezen. Veel bedrijven versleutelen de harde schijven nog steeds niet. (Dat is vanuit beveiligingsoogpunt duidelijk een vereiste vandaag de dag.) Verder sturen veel bedrijven werknemers naar onbetrouwbare plekken met waardevolle bedrijfs-assets en intellectueel eigendom in digitale vorm.

Zulke organisaties lopen tegen een nieuwe realiteit aan waarbij het waarschijnlijk wordt dat werknemers hun laptops onbeheerd moeten achterlaten of zelfs dat apparaten worden doorzocht. Dat zijn grote bedrijfsrisco's waar op moet worden geanticipeerd. Het beste is het advies om laptops bij reizen niet meer mee te nemen. Dan is er dus behoefte aan een mechanisme waarop ze wel gebruik kunnen maken van hun applicaties en bestanden en daar komt Windows to Go van pas.

Op de volgende pagina: de verschillen tussen Windows op een vaste pc en Windows to Go.

De optie bestaat sinds Windows 8 als een alternatief voor virtuele desktops. In de portable Windows-omgeving zit het besturingssysteem, documenten, VPN, persoonlijke instellingen, programma's, achtergronden en alles wat je gewend bent van je Windows pc. Als DirectAccess is geconfigureerd, kan de Windows-kopie toegang zoeken via een internetverbinding en beheerde instellingen, configuraties, policy's en meer binnenhalen.

Alles op gastsysteem

Alles wat je opslaat en doet, staat op het usb-apparaat en niet op het hostsysteem. (Zie hieronder voor meer details). Nadat je het usb-apparaat hebt losgetrokken, is er niets van je sessie over op de host. Er zijn, in de standaardconfiguratie, een paar verschillen tussen Windows to Go en de versie die op een vast systeem is geïnstalleerd:

  • De harde schijf van de hostcomputer is standaard verborgen. Dat zorgt ervoor dat lokaal geïnstalleerde rotzooi je Windows to Go-drive niet kan bereiken zodat je veilig je eigen bestanden kan opslaan en gebruiken. Je kunt deze feature uitschakelen, maar het is veiliger om hem ingeschakeld te laten.
  • Booten vanaf de stick is gemakkelijk, maar niet zo snel. De eerste keer dat je hem opstart vanaf een nieuwe host, wordt de hardware daarvan geïdentificeerd en benodigde drivers opgehaald en geïnstalleerd. Dat kan een paar reboots opleveren voordat Windows klaar is voor gebruik.
  • Als je de stick tijdens de sessie lostrekt, detecteert Windows to Go dat en wordt de host na 60 seconden uitgeschakeld, tenzij het usb-apparaat weer wordt verbonden. Dat is een goede beveiligingsmaatregel. Stel dat je op een terminal op het vliegveld Windows to Go gebruikt en de gebruiker plots vertrekt. Als data dan zou achterblijven, zou iemand daar nog bij kunnen. De 60 seconden zijn vervolgens een goede interval voor als mensen per ongeluk hun stick verwijderen en de sessie niet direct wordt gesloten.
  • Toegang tot de Windows Store is standaard uitgeschakeld, maar door een Group Policy aan te passen, kun je dit weer aanzetten.

Voor de rest gedraagt Windows to Go zich precies als Windows dat op een vaste pc is geïnstalleerd. En je kunt het gebruiken op meerdere systemen zonder dat je bang hoeft te zijn dat je wordt besmet met malware van die vreemde pc's.

Hierna: Hoe je Windows to Go als IT'er beschikbaar stelt voor gebruikers en welke hosts geschikt zijn.

Het is niet zoveel meer werk om Windows to Go uit te rollen dan het is om een basisimage te naken van elke andere versie van Windows, wat je kunt doen met tools die je al gebruikt, zoals DISM en ImageX. Het enige dat je nodig hebt is de juiste usb-hardware (zie hieronder), een image van Windows Enterprise en de Windows Enterprise host die Windows to GO naar de usb-stick schrijft.

Installatiegids

Het is mogelijk om het uitrolproces te schalen met PowerShell-scripts waar je meerdere sticks in één keer mee kunt maken. Op TechNet van Microsoft vind je deze gids over het uitrollen van usb-sticks met Windows to Go, inclusief deze PS-scripts. Het is aan te bevelen om dit proces van te voren in zijn geheel te bekijken, zodat je weet welke stappen je tegenkomt als je de usb-sticks gaat inzetten.

Nadat de sticks zijn gemaakt, kun je ze uitdelen aan gebruikers met instructies hoe het werkt en hoe ze opstarten vanaf usb op een vreemde pc. (Vooral dingen als het meerdere malen herstarten op een niet eerder gekoppeld systeem kan gebruikers die dit niet zien aankomen in paniek laten raken.) Qua hosts heb je een aantal opties:

  • Een bare-metal laptop, dus eentje waarop geen besturingssysteem staat geïnstalleerd. Als een andere gebruiker de laptop start, lopen bedrijfsgegevens geen enkel risico omdat het een geïsoleerde omgeving is. Als een Windows to Go-gebruiker het apparaat later opnieuw gebruikt, kan hij of zij direct weer verder.
  • Een voorgeïnstalleerde laptop met Linux of Windows werkt om die reden ook prima.
  • Een publieke pc, zoals je aantreft bij businesscenters, hotels, conferenties en vliegvelden. Omdat het systeem boot naar een eigen, onafhankelijke omgeving, hoef je je geen zorgen te maken over keyloggers of andere malware die op runtime start. Waarschuw gebruikers wel voor hardwarematige keyloggers. Als je die een onacceptabel risico acht, ga dan voor een uitgeklede laptop.
  • Pc's die worden beheerd door deelkantoren elders. Je moet waarschijnlijk voor locaties van partners of andere kantoren per gebruiker een inschatting maken van de potentiële risico's.
  • Je kunt burner-apparatuur leveren of die op locatie laten aanschaffen. Je kunt een laptop die in staat is om Windows to Go te draaien voor een prikkie bij diverse retailers kopen. Een paar honderd euro is waarschijnlijk een goede investering als je het afzet tegen de risico's van andere opties.
Op de laatste pagina: hoe het zit met licenties.

Microsoft heeft deze lijst van usb-apparaten die officieel worden ondersteund. Ik heb hands-on ervaring met IronKey Workspace W300, W500 en W700 en kan deze aanraden vanwege extra beveiligingsfeatures als zelfvernietigende opties en bootwachtwoorden. De Kingston DataTraveler die genoemd is zou ik vermijden. Hij werd gloeiend heet bij mijn tests na minder dan een uur Windows to Go-gebruik.

Licentie hangt af van aantal factoren

De usb-apparaten en wegwerplaptops kunnen nog wel eens de laagste kosten zijn van de inzet van Windows to Go. Je moet namelijk ook voldoen aan de licentiëring van Microsoft. Windows to Go is onderdeel van Software Assurance, de licentiebundel met ondersteuning die je krijgt als je 33 tot 40 procent meer betaalt bovenop de licentie in kwestie.

Dat kan oplopen tot een euro of 300 per licentie, maar het totaal hangt natuurlijk mede af van de volumekorting en aantal licenties die in je huidige contract zijn opgenomen. De voordelen van SA verschillen of je licentie voor een consumentensysteem of een server is en of je serverapplicaties of bedrijfsapplicaties als Office gebruikt.

Per gebruiker of per apparaat

Omdat het een OS-licentie betreft, valt het onder een Windows SA-pakket. Je eerste beslissing is of je licenties per apparaat of per gebruiker wilt. Per apparaat betekent dat je Windows to Go op elke externe pc kunt gebruiken en per gebruiker betekent voor elk apparaat, van het bedrijf zelf of niet en op locatie of intern. Beide vormen geven je Windows to Go ook op een persoonlijk apparaat, maar niet per se als je je op het bedrijfsterrein bevindt.

Windows to Go was voorheen niet zo populair, maar met deze nieuwe zakelijke realiteit begint het interessant te worden voor bijvoorbeeld IT-beveiligers die elektronica die de organisatie verlaten te beschermen. Daarbij is het voor de reis een stuk makkelijker om een stick mee te nemen dan een heel apparaat. Als het straks allemaal mee blijkt te vallen met douanecontroles en banpogingen, is Windows to Go ook weer eenvoudiger uit te faseren.