Habilitar BitLocker en un Área de Trabajo de Windows To Go manualmente.

1537_Win8Logo_01_008485DD

Hemos descrito ya 3 de los 4 métodos posibles, y soportados, que hay para aprovisionar un Área de Trabajo de Windows To Go. Instalación manual utilizando el Símbolo del Sistema y DISM, Instalación manual con PowerShell y finalmente, la forma más fácil haciendo uso del Asistente integrado en Windows 8.

Sin embargo, hay varias cosas que aún nos faltan por ver entorno a lo que sigue después de aprovisionar nuestros dispositivos con Windows To Go. Como mencioné en el artículo anterior, trataré de ir cubriendo algunos de los que pueda mostrar bajo mi conocimiento.
Para este post de hoy, y siguiendo un órden quizá lógico, mostraré la forma de cómo después de aprovisionar el dispositivo, podemos sacar provecho del mejorado BitLocker para cifrarlo completamente, así, a parte de dar movilidad, estaremos garantizando seguridad contra uso inadecuado.

BitLocker para Windows To Go, también se puede aprovisionar de diferentes métodos, la forma más fácil, es mediante el asistente para crear un Área de Trabajo de Windows To Go embebido en Windows 8, pero en este artículo, detallaremos la forma manual, utilizando PowerShell, de llegar al mismo resultado. Es importante tener en cuenta, que también se puede usar la herramienta de línea de comandos Manage-bde para cifrar el disco.

*Nota: Este post se enfocará al proceso con PowerShell, en un futuro artículo, trataré de agregar el método con la herramienta de comandos de BitLocker (Manage-bde).
Para ver un poco más de información sobre BitLocker, pueden ver este artículo.

¡Empecemos!

Lo primero que tenemos que hacer, es aprovisionar el dispositivo con Windows To Go, pueden utilizar alguno de los métodos ya descritos y referenciados en artículos anteriores para esto. Después de esto, insertamos el dispositivo nuevamente en el Equipo técnico que tenga en preferencia, Windows 8 instalado y como comportamiento natural, veremos que seguramente, no asignará partición, por lo que la USB no se verá en el Explorador de Windows. Lo que haremos será asignarle primero una letra de unidad a la partición del sistema operativo en el Área de Trabajo de Windows To Go, para luego proceder a cifrarla.

*Nota: Recordemos que no se le asigna letra, porque durante el aprovisionamiento, se le configuró el NODEFAULTDRIVELETTER con valor de Verdadero ($TRUE, ó True).

Desde la Pantalla de Inicio (Windows 8), buscamos PowerShell, clic derecho y Ejecutar como administrador.

Antes que nada, es necesario saber qué ID de Disco tiene asignado el dispositivo USB con Windows To Go, y la cantidad de particiones que contiene. Para ver esta información, desde la Consola de PowerShell, ejecutamos: Get-Partition

Veremos los discos que Windows tiene referenciados, y algunos detalles de las particiones:

BL1

Para este caso, el disco que me interesa, es el que tiene como número “1”, pues por el tamaño, representa la USB con Windows To Go. Lo siguiente es determinar la partición correspondiente al sistema operativo, para este caso, la que está con número “2”.

*Nota: En algunos casos, de acuerdo a como se haya aprovisionado Windows To Go, podría no tener más de una partición, que podría ser la del sistema de archivos de arranque, y de Windows. En ese caso, es la que se referenciaría.

Teniendo el dato exacto del disco y la partición que vamos a utilizar, debemos ejecutar desde PowerShell el siguiente comando:

Set-Partition <DiskNumber> <PartitionNumber> –NewDriveLetter “W”

Donde <DiskNumber> representa el número del disco que tiene Windows To Go (Para este caso, el 1), y <PartitionNumber> es el número de la partición donde está instalado Windows To Go (Para este caso, el 2).

En este orden de ideas, teniendo en cuenta los datos de la primera captura, en mi caso, el comando sería:

Set-Partition 1 2 –NewDriveLetter “W”

image

*Nota: Es importante tener presente que la letra “W” puede ser cualquiera, y de hecho, debe variar si es que ya está asignada a algún otro dispositivo que esté conectado.

Para verificar que fue satisfactorio, basta con que no haya dado errores la consola de PowerShell, y que desde el Explorador de Windows vean la partición.
Lo siguiente será crearle una Contraseña de Recuperación (Recovery Key) al dispositivo, que se usa normalmente cuando por alguna razón, Windows detecta alguna manipulación al disco y lo bloquea hasta que se le de el número completo.

Para esto, ejecutamos:

Add-BitLockerKeyProtector W: –RecoveryPasswordProtector

image

*Nota: El número es el que se referencia debajo del paso 1, deben copiarlo desde PowerShell, y pegarlo en un archivo de texto plano dentro de un directorio de confianza. Para copiar, solo hay que seleccionarlo y hacer clic derecho.

Aprovechando las características propias de PowerShell, debemos crear una variable donde se almacene una contraseña para habilitar el trabajo con BitLocker cada que se conecte en un equipo, y luego ciframos el disco completo.

Para crear y guardar la contraseña personalizada en una variable, ejecutamos:

$pwd = ConvertTo-SecureString -String <password> -AsplainText –Force

Donde <password> es la contraseña personalizada que le indiquemos, Por ejemplo, para este post, mi contraseña será “Passw0rd”, por lo que el comando completo quedaría:

$pwd = ConvertTo-SecureString –String Passw0rd –AsPlainText –Force

Por último, para cifrar el dispositivo utilizando esta contraseña, ejecutamos:

Enable-BitLocker W: -PasswordProtector $pwd –UsedSpaceOnly

Los dos cmd-lets anteriores, quedarían así:

BL2

*Nota: El parámetro de –UsedSpaceOnly, habilita la nueva característica de BitLocker y BitLocker To Go en Windows 8, que permite cifrar sólo el espacio del disco que está siendo utilizado, por tanto, el tiempo en que se tome para cifrar, será muchísimo más bajo que en versiones anteriores.
Conforme se vaya guardando más información en Windows To Go, o en general en el dispositivo, BitLocker se encargará de ir cifrando dinámicamente el espacio adicional. Por supuesto, se puede cifrar de una vez todo el disco con tan solo obviar el parámetro de –UsedSpaceOnly al final.

Después de esto, aparecerá la ventana de BitLocker tradicional que nos mostrará el progreso general del cifrado:

image

El tiempo puede ser más o menos, de acuerdo a la velocidad de lectura del dispositivo.

Una vez terminado el proceso, se debe simplemente quitar el dispositivo del Equipo donde se preparó, y arrancar desde Windows To Go en algún otro equipo. Lo normal sería que antes de iniciar el sistema operativo, nos muestre la pantalla azul de BitLocker pidiéndonos la contraseña para dejar arrancar Windows.

Espero sea de utilidad.

Checho

Aprovisionar un Área de trabajo de Windows To Go utilizando PowerShell.

1537_Win8Logo_01_008485DD

Hola a todos,

Ya han sido dos largos meses, y un poco más, desde que escribí mi último artículo en el Blog anunciando y agradecimiento el reconocimiento de MVP. Antes que nada, quiero pedir disculpas por esa larga ausencia, pero debido a la gran cantidad de trabajo que se vino con el lanzamiento, el estudio, y algo de descanso, decidí parar un tiempo para escribir.

Ya estoy de vuelta, y aunque por ahora no con la misma recurrencia, empezaré a compartir con ustedes poco a poco, varios artículos en torno a Windows 8 de algunas experiencias y conocimientos que he ido adquiriendo hasta ahora con la interacción del producto.

Dicho esto, quiero tratar de dedicar los próximos artículos a diferentes escenarios y necesidades a Windows To Go.
Ya vimos que básicamente, Windows To Go (WTG), se trata de instalar Windows 8 Enterprise en un dispositivo USB compatible, que puede ser Memoria de almacenamiento, o bien, un Disco extraible. Las dos formas más comunes para aprovisionar un Windows To Go, es haciéndolo manualmente, o bien, a través del asistente incluido en Windows 8 Enterprise.

Sin embargo, hay una forma adicional de aprovisionar un Área de trabajo de Windows To Go, que incluso, puede ser más utilizada que las dos anteriores. Windows To Go puede ser aprovisionado utilizando el sorprendente PowerShell incluido en Windows. En lo que sigue de este artículo, mostraré el paso a paso para realizar crear nuestro Windows To Go con los parámetros propios de PowerShell.

Requerimientos

– Un Equipo técnico en lo posible, con Windows 8 instalado, desde donde se pueda ejecutar PowerShell y aprovisionar el dispositivo.

– Un medio, o los archivos de instalación de Windows 8 Enterprise. Si aún no disponen de él, pueden descargar una versión de evaluación desde el sitio oficial:
http://technet.microsoft.com/es-ES/evalcenter/hh699156.aspx?ocid=wc-bl-sprblog

– Un dispositivo, o disco duro USB 3.0 y con suficiente espacio para instalar Windows 8.

*Nota: Técnicamente, es posible aprovisionar un Windows To Go en un dispositivo USB 2.0, pero la velocidad de escritura será considerablemente más lenta, por lo que la experiencia no sería muy satisfactoria.

Preparando el dispositivo con PowerShell

En el Equipo técnico con Windows 8, desde la Pantalla de Inicio, digitar PowerShell y sobre el resultado de Windows PowerShell, clic derecho y seleccionar “Ejecutar como administrador” en la parte inferior.

*Nota: También se puede ejecutar como administrador con la combinación de teclas: CTRL + SHIFT + ENTER.

Insertar el dispositivo en el que se vaya a preparar Windows To Go, y desde PowerShell, ejecutar: Get-Disk

Esto nos mostrará los discos reconocidos por Windows:

image

Debemos verificar muy bien cuál es el número que corresponde a nuestro disco USB. Para este artículo, por ejemplo, es el número “1”, que tiene como nombre Kingston DT Ultimate USB Device.

Ejecutamos: Clear-Disk <NúmeroDisco> –RemoveData –Confirm:$False

Donde <NúmeroDisco> es el que hace referencial al disco USB que se desea dar formato para aprovisionar Windows To Go. Para mi caso, que el disco tiene como número el “1”, el comando sería:

Clear-Disk 1 -RemoveData –Confirm:$False

image

*Nota: –RemoveData limpiará completamente el disco, y –Confirm:$False, se evitará tener que confirmar la operación para que PowerShell haga la tarea solo.

Ejecutamos: Initialize-Disk <NúmeroDisco> –PartitionStyle MBR

Donde <NúmeroDisco> es el que hace referencial al disco USB que se desea dar formato para aprovisionar Windows To Go. Para mi caso, que el disco tiene como número el “1”, el comando sería:

Initialize-Disk 1 –PartitionStyle MBR

image

Hasta aquí, solo hemos limpiado el disco completamente, y lo hemos inicializado como MBR, el siguiente paso es crear la partición del sistema, y asignarle un espacio para que pueda guardar los archivos de arranque necesarios, para esto, ejecutamos:

$SystemPartition= New-Partition <NúmeroDisco> –Size (350MB) – IsActive

Donde <NúmeroDisco> pertenece al número que Windows le asignó al dispositivo, y como información adicional, estamos creando una variable $SystemPartition para poder hacer referencia siempre a la partición del sistema desde PowerShell.

Para este artículo, que el disco de la USB que es el número “1”, el comando completo sería:

$SystemPartition= New-Partition 1 –Size (350MB) –IsActive

image

Una vez creada la partición del sistema, se debe darle un formato en el que Windows pueda escribir, e instalarse. Para esto, ejecutamos:

Format-Volume –NewFileSystemLabel “System” –FileSystem FAT32 –Partition $SystemPartition

image

*Nota: Con el comando anterior, les pedirá una confirmación para ejecutar la acción, si quieren obviar esto como cuando se limpió el disco en el segundo paso, se debe agregar el mismo parámetro al final: –Confirm:$False

Después de esto, debemos crear y particionar el volumen donde se instalará Windows. Ejecutamos:

$OSPartition= New-Partition <NúmeroDisco> –UseMaximumSize

Donde <NúmeroDisco> corresponde al número del disco que Windows asignó cuando se conectó el dispositivo. Para mi caso, y como lo he utilizando durante todo el artículo, ya que el número de mi USB es el “1”, el comando completo quedaría así:

$OSPartition= New-Partition 1 –UseMaximumSize

image

*Nota: $OSPartition, representa de nuevo una variable de PowerShell que referenciará a la partición donde se instalará Windows, y el parámetro de –UseMaximumSize, nos ayudará a tomar todo el espacio disponible en el disco USB.

Formatiamos la partición para asignarle el sistema de archivos NTFS y poder instalar Windows allí (Podría ser FAT32 también), para esto, ejecutamos:

Format-Volume –NewFileSystemLabel “Windows” –FileSystem NTFS –Partition $OSPartition –Confirm:$False

image

Ahora le asignamos letras a ambas particiones (La del Sistema y la de Windows) para poderlas referenciar más adelante. Para esto, ejecutamos:

Set-Partition –InputObject $SystemPartition –NewDriveLetter “S”

Después, ejecutamos:

Set-Partition –InputObject $OSPartition –NewDriveLetter “W”

image

*Importante: Las letras “S” y “W” corresponden a dos que no se hayan asignado ya en nuestro sistema operativo; si alguna de nuestras particiones o unidades locales ya tiene alguna de estas dos, debemos cambiarlas por otras que no estén siendo usadas en los comandos anteriores.

Para poder reproducir el comportamiento natural de Windows To Go al conectarse a un equipo con un sistema operativo en línea (Desde Windows), e impedir que se le asigne letra de unidad al dispositivo, debemos ejecutar el siguiente comando:

Set-Partition –InputObject $OSpartition –NoDefaultDriveLetter $TRUE

image

*Nota: Este último parámetro prevalece aún después de formatear el dispositivo y querer usarlo como almacenamiento masivo, así que en ese caso, se debe volver a ejecutar el mism, pero con el $FALSE para que Windows le asigne letras de unidad normalmente.

Aprovisionando Windows To Go

Hasta este punto, el dispositivo ya está listo para recibir una instalación de Windows 8, en los siguientes pasos, lo aprovisionaremos desde el medio de Windows 8, y le agregaremos otras configuraciones adicionales para que pueda arrancar bien, y no tenga comunicación con los discos físicos locales.

Para instalar Windows 8 en el dispositivo, ejecutamos:

Dism /Apply-Image /ImageFile<Directorio8>install.wim /Index:1 /ApplyDir:W:

Donde <Directorio8> es la unidad correspondiente al medio que tiene los archivos de instalación de Windows 8, y la referencia a la imagen (.WIM). Por ejemplo, para este caso, que la unidad que tiene los archivos de instalación es la “D”, el comando sería:

Dism /Apply-Image /ImageFile:D:Sourcesinstall.wim /Index:1 /ApplyDir:W:

image

*Nota 1: La letra “W”, corresponde a la unidad que asignamos para Windows utilizando PowerShell en los pasos anteriores, si se le dio otra letra diferente a la que muestra este post, se debe cambiar también en el comando de Dism.

*Nota 2: El procedimiento puede tardar o no, dependiendo del peso de la imagen, y en general, de la velocidad de escritura y lectura del dispositivo USB.

Para que Windows pueda arrancar correctamente en equipos con UEFI, BIOS y diferentes arquitecturas, es necesario copiar los archivos de arranque a la partición que hayamos definido como del Sistem (“System”). Ejecutamos entonces:

W:WindowsSystem32bcdboot W:Windows /f ALL /s S:

image

*Nota: Las letras “W” y “S” pueden variar, de acuerdo a la partición que hayan asignado en los pasos de preparación para el dispositivo.

Finalmente, debemos aplicar la política de SAN a nuestro Windows To Go, para que cada vez que se inicie en un nuevo equipo, no se vean los discos locales predeterminadamente, y que además, estén en estado de Desactivados.

Para esto, básicamente utilizaremos un Archivo de autorespuesta (XML) que se aplicará, y Windows leerá en cada inicio.

Deben descargar el archivo SANPS.zip desde aquí:

Descomprimir el archivo para que tenga la extensión .XML, es decir: SANPS.xml.

Luego, copiar el archivo físico a la partición que corresponde a la de Windows en la raíz del dispositivo USB, en este caso la “W” y ejecutar el siguiente comando:

Dism.exe /Image:W: /Apply-Unattend:W:SANPS.xml

image

¡Todo listo! El siguiente gran paso, es finalmente desconectar de forma segura el dispositivo del equipo donde se aprovisionó, e iniciar desde él en cualquier otro equipo que cumpla con los requisitos mínimos para correr Windows 7 y Windows 8 (Son los mismos).

*Nota: Recordemos que desde Windows 8, se puede iniciar fácilmente desde el Windows To Go con solo buscar el asistente para cambiar las opciones de arranque de Windows To Go desde la Pantalla de Inicio:

image

En equipos que tengan instalado Windows 7 o inferiores, se debe entrar a la BIOS, o utilizar los parámetros de arranque (Normalmente con la tecla F12) y seleccionar el boot desde el dispositivo USB correspondiente a Windows To Go (Donde se instaló).

Al iniciar, podremos verificar que todas las configuraciones se hayan aplicado, como por ejemplo, que no aparezcan las unidades y particiones locales, y sólo se vea la de Windows To Go, con su respectiva etiqueta:

WTG1

*Nota: El tamaño de Windows, está representado por el del dispositivo USB y no del disco local, en este caso, 32 GB (29.4 GB visibles).

En los próximos artículos, exploraremos un poco más en Windows To Go, aprendiendo a cifrarlo con BitLocker manualmente, y agregando personalizaciones más avanzadas a la imagen que se despliega.

Saludos,

Checho