Windows To Go: je pc op ‘n stick

3 mei 2013

Een van de minder bekende nieuwe eigenschappen van Windows 8 is Windows To Go – letterlijk vertaald ‘Windows om mee te nemen’. Het is de ultieme vorm van Bring Your Own Device: het complete besturingssysteem, favoriete applicaties, alle bedrijfsinstellingen en persoonlijke data staan op een geheugenstick van minimaal 32 gigabyte. Er is slechts één maar: op de plaats van bestemming moet een gast-pc met vrij toegankelijke USB-aansluiting beschikbaar zijn.

Microsoft heeft bij de introductie van Windows 8 in oktober vorig jaar weinig ruchtbaarheid gegeven aan deze nieuwe voorziening, die nog niet in Windows 7 zat. Ook in de media is veel meer aandacht besteed aan bijvoorbeeld de omstreden nieuwe gebruikersinterface met zijn veelkleurige tegels, ‘live apps’ en bediening via het aanraakscherm.

Toch zou Windows To Go voor sommige bedrijven weleens een doorslaggevende reden kunnen zijn om op Windows 8 over te stappen. Het levert een mobiele werkplek op die veel flexibiliteit biedt, goed beveiligd is, de aanschaf van een laptop overbodig kan maken en eenvoudig centraal te beheren is.

Besturingssysteem gast-pc is niet actief

Hoe het werkt? Je stopt de geheugenstick met daarop de complete versie van Windows 8 in de USB-aansluiting van een pc. Het besturingssysteem van die gastmachine wordt niet gebruikt, wel bepaalde mogelijkheden van de hardware en de internetaansluiting. Na het opstarten vanaf de stick krijgt de gebruiker zijn vertrouwde Windows-werkplek in beeld en kan – als dat door de beheerder zo is ingesteld – ook gebruik maken van het aanwezige bedrade of draadloze netwerk.

Standaard is toegang tot de lokale harde schijven uitgeschakeld. Andersom heeft de lokale harddisk geen toegang tot de stick en kan eventuele malware de stick dus ook niet infecteren. De gebruiker kan desgewenst wel lokale harddisks als volumes toevoegen. Lokale randapparatuur zoals printers is standaard toegankelijk.

De eerste keer dat de stick vanaf een bepaalde pc opstart, wordt een hardwareprofiel aangemaakt van die computer en installeert Windows To Go de nodige stuurprogramma’s (drivers). De volgende keer gaat het opstarten op dezelfde gast-pc wat sneller doordat alle interne en externe devices al zijn herkend en niet opnieuw drivers geïnstalleerd hoeven te worden.

Een Windows To Go-stick is door middel van BitLocker op schijfniveau versleuteld. De authenticatie van de gebruiker vindt uitsluitend plaats met een wachtwoord. Het gaat om een minder sterke beveiliging dan wanneer BitLocker kan samenwerken met de Trusted Platform Module (TPM), een beveiligingschip in pc’s met een Intel vPro-chipset. In veel gevallen zal de gast-pc echter niet over zo’n TMP-chip beschikken.

Ook alle data zoals documenten, spreadheets en e-mails worden met BitLocker versleuteld op de stick opgeslagen. Na gedane arbeid moet Windows To Go eerst volledig worden afgesloten voordat de stick mag worden verwijderd. Er blijft daarna geen enkel spoor van de bezoeker achter op de gastcomputer.

Vier gebruiksscenario’s

Microsoft en onderzoeksbureaus als Gartner en Forrester zien verschillende gebruiksscenario’s voor Windows To Go weggelegd. De al aangestipte mogelijkheid om mobiele medewerkers geen notebooks maar USB-sticks te geven is er daar één van. Als laptopvervanger is het wel een oplossing met flinke beperkingen. Zo heeft de gebruiker niets aan zo’n stick als er geen pc in de buurt is, bijvoorbeeld tijdens een lange vlucht of op een hotelkamer. De voordelen zitten in het veel kleinere formaat en gewicht en lagere hardwarekosten, al zijn de speciale sticks nog behoorlijk prijzig (zie kader).

Een tweede scenario is dat van de thuiswerker. Met Windows To Go kun je op de privécomputer werken alsof het een bedrijfsdesktop is. Het voordeel is ook hier dat alle applicaties die voor het werk worden gebruikt al op de stick staan en dat geen (vertrouwelijke) bedrijfsgegevens op de privécomputer achterblijven.

En als je de stick thuis gebruikt, waarom dan eigenlijk ook niet op kantoor? In dit scenario schaft een organisatie sommige of alle persoonsgebonden werkplekken af en vervangt deze door flexibele pc’s, in Microsoft-jargon shared pc’s. Elke medewerker krijgt een Windows To Go-stick en schuift daarmee aan bij een vrije pc. Zulke flexplekken kunnen ook een alternatief zijn voor de Virtual Desktop Infrastructure (VDI) die sommige bedrijven nu gebruiken, met thin clients op de bureaus en de verwerkingskracht en opslag in het datacenter.

Een vierde gebruiksscenario is het beschikbaar stellen van de sticks aan tijdelijk personeel. Bedrijven krijgen steeds meer te maken met inhuurkrachten, zzp’ers, consultants en dergelijke die op projectbasis tijdelijk over de vloer komen. Olivier van Noort, Windows-specialist bij Microsoft Nederland: “Die mensen nemen vaak al hun eigen laptop mee. Wat bedrijven nu vaak doen is deze mensen nóg maar een laptop geven, of ze krijgen toegang tot de server-based computingomgeving van het bedrijf. Een USB-stick met Windows To Go biedt dan meer flexibiliteit.”

Enkel Windows 8 Enterprise

Windows To Go zit alleen in Windows 8 Enterprise en is dus hoofdzakelijk voor grote ondernemingen met een volumelicentie of Software Assurance-contract weggelegd. Klanten met zo’n contract hebben het recht om zelf Windows To Go-sticks aan te maken met het bedrijfsimage dat alle specifieke instellingen en applicaties bevat. Hiervoor is in Windows 8 Enterprise een tooltje opgenomen; de sticks zijn niet kant-en-klaar met een generiek Windows-image te koop. Grote organisaties kunnen het ‘vullen’ van de sticks in grote aantallen eventueel uitbesteden aan de fabrikant.

Wat die licenties betreft zit er wel een addertje onder het gras. Zolang het gaat om eigen medewerkers voor wie al een licentie is betaald, is er niets aan de hand. Ook als zij onder het motto BYOD hun eigen laptops meebrengen naar kantoor of de stick thuis in hun privécomputer gebruiken. Maar als een IT-afdeling ook sticks aan inhuurkrachten zoals consultants wil uitreiken, moeten voor hen wel aanvullende Windows-licenties worden aangeschaft. Ook als ze zelf een laptop meebrengen waar al een gelicenseerde versie van Windows op staat.

Faciliteren als een laptops

Essentieel is dat de IT-afdeling Windows To Go volledig configureert als een gemanagede werkplek met alles erop en eraan, zoals toegang tot het bedrijfsnetwerk van buitenaf via Direct Access, ‘joinen’ van het bedrijfsdomein, toegang tot Active Directory en beveiliging met BitLocker. Van Noort: “Ons advies is om vooraf goed na te denken over hoe je als bedrijf laptops zou faciliteren. Precies zo moet je te werk gaan voor Windows To Go.”

Wat wel eens over het hoofd wordt gezien is dat het beheer van de sticks ook additionele beheerkosten in de vorm van softwarelicenties met zich meebrengt, zoals een Client Access-licentie voor System Center Configuration Manager. Dat geldt overigens net zo goed voor beheerde laptops.

Windows To Go stelt aan de gast-pc geen erg hoge eisen. Een willekeurige Windows-pc of Mac met een AMD/Intel x86-processor voldoet, ook als daar geen Windows 8 Enterprise maar een ander besturingssysteem zoals Windows 7, Linux of Mac OS X op is geïnstalleerd. De pc moet wel aan de minimale hardware-eisen voor Windows 8 voldoen. Dat betekent onder andere minstens een 1 GHz-processor en 1 GB (32-bits) of 2 GB (64-bits) werkgeheugen. Op een stick van 32 GB blijft ongeveer 18 GB over voor applicaties en gegevens.

BIOS moet toegankelijk zijn

In principe zou Windows To Go ook moeten werken in bijvoorbeeld een internetcafé of andere publieke werkplek, maar er zijn wel enkele randvoorwaarden. De USB-poort mag niet fysiek ontoegankelijk zijn – sommige bedrijven blokkeren deze aansluitingen of lijmen ze zelfs dicht om besmetting met malware of het stelen van bedrijfsgegevens te verhinderen.

Verder moet de gebruiker de computer kunnen herstarten en daarna eenmalig toegang tot het BIOS kunnen krijgen om in te stellen dat de pc vanaf een USB-stick moet booten. Het is namelijk niet mogelijk Windows To Go vanaf de stick op te starten zolang het besturingssysteem van de gast-pc actief is.

Een laptop van een paar kilo zie je niet zo makkelijk over het hoofd, een USB-stick wel. Met Windows To Go wordt het risico van vergeten, zoekraken of zelfs diefstal groter. Van Noort adviseert dan ook om mobiele werkplekken zodanig in te richten dat data al tijdens het werken worden gesynchroniseerd naar een back-endsysteem. Dat kan het bedrijfsnetwerk zijn, maar ook een oplossing in de cloud zoals SkyDrive Pro en Office 365. Het is overigens wel mogelijk geheel offline met Windows To Go te werken, alle data worden dan alleen op de stick opgeslagen en later gesynchroniseerd.

Veel ervaring met Windows To Go in de praktijk is er nog niet. In Nederland zijn enkele organisaties met evaluaties van Windows To Go bezig, maar zij willen nog niet naar buiten treden. De internationaal bekende voorbeelden zijn deels nogal exotisch. Luchtvaartmaatschappij Emirates Airlines bijvoorbeeld gebruikt Windows To Go in combinatie met HP Elitepad 900-tablets om vluchtinformatie onder cabinepersoneel te verspreiden. Er is ook een defensie-organisatie die onderzoekt of Windows To Go een oplossing is om snel alle geheime informatie uit de computer van een onklaar geraakte tank te halen. De computer zelf kan dan gerust achterblijven op het slagveld.

De ene stick is de andere niet

Microsoft ondersteunt Windows To Go niet op elke willekeurige USB-geheugenstick (‘thumb drive’ in het Engels). Het bedrijf certificeert alleen geheugensticks die aan strenge specificaties voldoen en een serie tests succesvol hebben doorlopen.

De drives moeten onder meer de hoge schrijf- en leessnelheden bieden waardoor Windows soepel loopt, zegt Microsoft. Ze bevatten hetzelfde type flashgeheugenchips die ook in solid state drives (SSD’s) zitten. Een ander bijzonder kenmerk is dat ze meerdere partities kunnen bevatten, wat nodig is om Windows 8 vanaf de stick te kunnen opstarten.

Goedgekeurde sticks moeten kunnen opstarten vanaf een breed scala aan pc’s. Fabrikanten garanderen de vlekkeloze werking van hun gecertificeerde sticks. Microsoft certificeert alleen USB 3.0-sticks, maar een USB 2.0-aansluiting op de gast-pc volstaat. Een snellere poort heeft wel de voorkeur.

Kort na de introductie van Windows 8 voldeden maar een paar sticks aan de eisen. Dit aantal is sinds kort wat groter. Op dit moment (begin april) zijn de volgende sticks en een enkele externe harddisk door Microsoft gecertificeerd.

  • Imation IronKey Workspace W300 (32, 64, 128 GB)
  • Kingston DataTraveler Workspace (32, 64, 128 GB)
  • Spyrus Portable Workplace (32, 64, 128 GB)
  • Spyrus Secure Portable Workplace (32, 64, 128 GB)
  • Super Talent RC4 (32, 64, 128, 256 GB)
  • Super Talent RC8 (64, 128 GB)
  • WD My Passport Enterprise (500 GB)

De sticks zijn al gauw 3 tot 4 keer zo duur dan ‘gewone’ geheugensticks. Het 32 GB-model van Kingston bijvoorbeeld kost gemiddeld 85 euro, maar die van Imation komt al op zo’n 145 euro. Ze zijn vaak niet op voorraad en moeten dus speciaal worden besteld.

Wat heb je nodig?

  • Windows 8 Enterprise-licentie
  • Bedrijfs-image van Windows + applicaties • Beheeromgeving voor desktops
  • Gecertificeerde USB 3.0-stick (min. 32 GB)
  • Gast-pc met Intel/AMD x86-processor die vanaf USB kan opstarten (instelbaar in het BIOS)
  • Toegankelijke USB-poort (2.0 of 3.0)

Meer weten over Windows To Go?

Kijk opautomatiseringgids.nl/windowstogo

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!