Gostaríamos de usar o Windows-To-Go em nossa empresa.
Eu o instalei em uma chave USB com certificação Windows-To-Go.
Eu realmente amo isso, mas estou um pouco preocupado com o acesso ao sistema de arquivos.
Gostaríamos de dar essa chave aos usuários para que eles possam trabalhar em casa. (Eles o usam para iniciar uma sessão VPN e se conectar a uma sessão do Windows VMware VDI)
Para inicializar, eles precisam preencher o PIN de criptografia.
Quando o Windows é inicializado, eles podem efetuar login com uma conta de usuário local.
Daqui eles não têm permissão de administrador e não podem modificar arquivos de sistema.
Tudo é bom!
Minha preocupação é quando eles inicializam o PC como normalmente fazem e conectam o dispositivo USB à sua própria sessão do Windows.
Eles são solicitados a digitar um PIN (já que o sistema de arquivos está criptografado), mas infelizmente esse PIN é conhecido porque eles precisam ser inicializados a partir do USB.
A partir daqui, eles podem acessar e modificar todos os arquivos do sistema !!
Então, minha pergunta é:
Como podemos garantir que um usuário sem permissão de administrador não possa acessar os arquivos do sistema?
Infelizmente, não há uma maneira de proteger o dispositivo USB além do uso do bitlocker. Como o usuário tem a senha, ele pode ser montado em sua máquina e ter acesso aos arquivos. Sempre que alguém tem acesso físico, há sempre esse tipo de problema.
Você pode querer examinar uma solução de Área de Trabalho Remota se precisar de controle total. Visão geral dos serviços de área de trabalho remota link