windows

• 理解Windows网络_WFP
• 理解Windows事件跟踪_ETW
• wireguard配置
• Windows阻断网络流量获取
• Windows防火墙管理-netsh
• Windows相关资源
• Windows导览
• windows-ipv6管理
• window-message
• Win-to-go

理解Windows网络_WFP

• 理解Windows网络_WFP

理解 Windows 网络

• 理解 Windows 网络

WFP

名词解释

https://learn.microsoft.com/en-us/windows/win32/fwp/object-model https://learn.microsoft.com/en-us/windows/win32/fwp/basic-operation https://learn.microsoft.com/en-us/windows-hardware/drivers/network

callout: A callout provides functionality that extends the capabilities of the Windows Filtering Platform. A callout consists of a set of callout functions and a GUID key that uniquely identifies the callout. callout driver: A callout driver is a driver that registers callouts with the Windows Filtering Platform. A callout driver is a type of filter driver. callout function: A callout function is a function that is called by the Windows Filtering Platform to perform a specific task. A callout function is associated with a callout. filter: A filter is a set of functions that are called by the Windows Filtering Platform to perform filtering operations. A filter consists of a set of filter functions and a GUID key that uniquely identifies the filter. filter engine: The filter engine is the component of the Windows Filtering Platform that performs filtering operations. The filter engine is responsible for calling the filter functions that are registered with the Windows Filtering Platform. filter layer: A filter layer is a set of functions that are called by the Windows Filtering Platform to perform filtering operations. A filter layer consists of a set of filter layer functions and a GUID key that uniquely identifies the filter layer.

Dispatcher队列触发回调是尽快触发形式, 不需要等队列满, 因此可以满足实时性. 当用户回调较慢时, 阻塞的报文会尽可能插入下个队列, 队列上限256. 更多的阻塞报文则由系统缓存, 粗略的测试缓存能力是16500, 系统缓存能力可能随机器性能和配置不同存在差异. 用户回调处理报文时, 存在两份报文实体: 内核报文, 在回调处理完队列后一并释放. 因此回调较慢时, 一次回调执行会最多锁定系统256个报文的缓存能力. 回调中的拷贝, 处理完单个报文后立即释放.

在FwppNetEvent1Callback中对报文进行拷贝组装, 不会操作原始报文, 对业务没有影响.

订阅可以使用模板过滤器, 以减少需要处理的报文:

https://learn.microsoft.com/en-us/windows/win32/api/fwpmtypes/ns-fwpmtypes-fwpm_net_event_enum_template0

filterCondition

An array of FWPM_FILTER_CONDITION0 structures that contain distinct filter conditions (duplicated filter conditions will generate an error). All conditions must be true for the action to be performed. In other words, the conditions are AND’ed together. If no conditions are specified, the action is always performed.

不可使用相同的filter 所有过滤器间的关系是"与", 需要全都满足 微软文档显示支持的过滤器有八种, 实际上支持的过滤器会更多.

FWPM_CONDITION_IP_PROTOCOL

The IP protocol number, as specified in RFC 1700. FWPM_CONDITION_IP_LOCAL_ADDRESS

The local IP address. FWPM_CONDITION_IP_REMOTE_ADDRESS

The remote IP address. FWPM_CONDITION_IP_LOCAL_PORT

The local transport protocol port number. For ICMP, the message type. FWPM_CONDITION_IP_REMOTE_PORT

The remote transport protocol port number. For ICMP, the message code. FWPM_CONDITION_SCOPE_ID

The interface IPv6 scope identifier. Reserved for internal use. FWPM_CONDITION_ALE_APP_ID

The full path of the application. FWPM_CONDITION_ALE_USER_ID

The identification of the local user. 枚举系统已注册的订阅发现已有两个订阅, 查看其sessionKey GUID无法确认由谁注册, 对其进行分析发现两个订阅各自实现了以下功能:

订阅了所有FWPM_NET_EVENT_TYPE_CLASSIFY_DROP的数据包, 统计了所有被丢弃的包. 订阅了所有FWPM_NET_EVENT_TYPE_CLASSIFY_ALLOW的数据包, 可以用来做流量统计 这两个订阅用到的contition filter都是FWPM_CONDITION_NET_EVENT_TYPE(206e9996-490e-40cf-b831-b38641eb6fcb), 说明可以实现过滤的filter不止微软文档中提到的8个.

更多调研发现用户态调用接口仅能捕获drop的事件, 非drop事件需要使用内核模式获取, 因此微隔离不能使用FWPM_CONDITION_NET_EVENT_TYPE获取事件.

理解Windows事件跟踪_ETW

• 理解Windows事件跟踪_ETW

理解 ETW

筛除了一些不必要的信息, 完整文档参阅: https://docs.microsoft.com/en-us/windows/win32/etw/event-tracing-portal

理解基础

https://learn.microsoft.com/en-us/windows/win32/etw/about-event-tracing

Session

存在四种 session

工具

• logman
• wevtutil
  • xpath 查询实例: wevtutil qe Security /c:2 /q:"*[System[EventID=5157]]" /f:text
• tracelog
  • 使用 viusal studio 的tracelog工具, 可以在运行时动态的添加和删除 ETW Provider, 以及动态的添加和删除 ETW Session
• mc
• etw-providers-docs

wireguard配置

• wireguard配置

wireguard 配置

防火墙配置

wireguard /installtunnelservice <wg_conf_path>
wg show
Get-NetConnectionProfile
Get-NetAdapter
Get-NetFirewallProfile
Set-NetFirewallProfile -Profile domain,public,private -DisabledInterfaceAliases <wg_config_name>
Set-NetIPInterface -ifindex <interface index> -Forwarding Enabled
New-NetFirewallRule -DisplayName "@wg1" -Direction Inbound  -RemoteAddress 10.66.66.1/24 -Action Allow
New-NetFirewallRule -DisplayName "@wg1" -Direction Outbound -RemoteAddress 10.66.66.1/24 -Action Allow

# 定位拦截原因
auditpol /set /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:disable /failure:enable
wevtutil qe Security /q:"*[System/EventID=5152]" /c:5 /rd:true /f:text
auditpol /set /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable

Windows阻断网络流量获取

• Windows阻断网络流量获取

Windows 阻断网络流量获取

• Windows 阻断网络流量获取
  • 搭建测试工程
  • 通过审计获取 block 事件
    • 获取 provider 信息
    • 构造 block 事件
  • 监控网络事件(NET_EVENT)
  • 监控网络链接(NetConnection)
  • Application Layer Enforcement(ALE)介绍
  • 编码
  • 结论
  • 附录
    • WFP 体系结构
    • 数据流
    • 参考链接

• 需要识别出被阻断的流量, 被阻断的流量包括出站入站方向.
• 阻断的两种形式, 基于链接(connection), 和基于数据包(packet). 数据包的丢弃较为频繁常见, 需要审查丢弃原因, 基于链接的阻断更符合实际需关注的阻断场景.
• 许多正常处理的报文也会被 drop, 因此需要区分 drop 和 block 行为, 我们主要关注 block 的情况.

搭建测试工程

WFP 主要工作在 usermode, 另一部分在 kernalmode, 能力以驱动形式体现, 搭建测试环境的方法比较复杂. 推荐的方法是测试机使用另一台物理机, 开发机编译好后, 发送至测试机远程调试. 受条件限制, 我们也可以直接在本地进行调试.

• Microsoft WFP Sample 工程
  • 只关注: Windows-driver-samples\network\trans\WFPSampler
• WFPSampler 工程指导

编译问题:

• 缺失 api-ms-win-net-isolation-l1-1-0
• wfpcalloutsclassreg-not-found

其它问题:

• 驱动程序无法运行
• 如何签名
• 准备部署的测试机

通过审计获取 block 事件

• Auditing 文档
• auditpol 文档

默认情况下，禁用对 WFP 的审核。

• 可以通过组策略对象编辑器 MMC 管理单元、本地安全策略 MMC 管理单元或 auditpol.exe 命令，按类别(category)启用审核。
• 可以通过 auditpol.exe 命令按子类别(subcategory)启用审核。
• 应该使用 guid 进行设置, 否则不同语言系统有本地化的问题.
• 审计使用循环日志, 128KB 不用担心资源消耗

类别https://docs.microsoft.com/en-us/windows/win32/secauthz/auditing-constants

Object Access 子类和对应 GUID https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gpac/77878370-0712-47cd-997d-b07053429f6d

Policy Change 子类和对应 GUID:

# auditpol手册参阅: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/auditpol
# 本段主要关注 'Object Access' 类别
# 获取可查询的字段
# -v 显示GUID, -r显示csv报告
auditpol /list /category /v
auditpol /list /subcategory:* /v
# 获取某个子类别的审计设置
auditpol /get /category:'Object Access' /r | ConvertFrom-Csv| Get-Member
# 查询guid
auditpol /get /category:'Object Access' /r | ConvertFrom-Csv| Format-Table Subcategory,'Subcategory GUID','Inclusion Setting'
# 查找subcategory
auditpol /list /subcategory:"Object Access","Policy Change" -v
# 备份
auditpol /backup /file:d:\audit.bak
# 还原
auditpol /restore /file:d:\audit.bak
# 修改Policy
# **Policy Change**    | {6997984D-797A-11D9-BED3-505054503030}
auditpol /set /category:"{6997984D-797A-11D9-BED3-505054503030}" /success:disable /failure:disable
# Filtering Platform Policy Change | {0CCE9233-69AE-11D9-BED3-505054503030}
auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

# **Object Access**    | {6997984A-797A-11D9-BED3-505054503030}
auditpol /get /category:"{6997984A-797A-11D9-BED3-505054503030}"
auditpol /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /success:disable /failure:disable
# Filtering Platform Packet Drop | {0CCE9225-69AE-11D9-BED3-505054503030}
auditpol /set /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:disable /failure:enable
# Filtering Platform Connection  | {0CCE9226-69AE-11D9-BED3-505054503030}
auditpol /set /subcategory:"{0CCE9226-69AE-11D9-BED3-505054503030}" /success:disable /failure:enable

# 读取日志
$Events = Get-WinEvent -LogName 'Security'
foreach ($event in $Events) {
    ForEach ($line in $($event.Message -split "`r`n")) {
        Write-host $event.RecordId ':' $Line
        break
    }
}

事件说明:

关注的事件详细说明:

• Audit Filtering Platform Packet Drop

  • 这类事件产生量非常大，建议关注5157事件, 它记录了几乎相同的信息, 但是 5157 基于链接记录而不是基于数据包.

  • Failure events volume typically is very high for this subcategory and typically used for troubleshooting. If you need to monitor blocked connections, it is better to use “5157(F): The Windows Filtering Platform has blocked a connection,” because it contains almost the same information and generates per-connection, not per-packet.

  • 5152

  • 5153

• Audit Filtering Platform Connection
  • 建议只关注失败事件, 如被阻止的连接, 按需关注允许的链接.
  • 5031
    • If you don’t have any firewall rules (Allow or Deny) in Windows Firewall for specific applications, you will get this event from Windows Filtering Platform layer, because by default this layer is denying any incoming connections.
  • 5150
  • 5151
  • 5155
  • 5157
  • 5159

获取 provider 信息

# 获取security相关的provider信息
Get-WinEvent -ListProvider "*Security*"  | Select-Object providername,id
# Microsoft-Windows-Security-Auditing                             54849625-5478-4994-a5ba-3e3b0328c30d
# 获取provider提供的task信息
Get-WinEvent -ListProvider "Microsoft-Windows-Security-Auditing"  | Select-Object -ExpandProperty tasks
# SE_ADT_OBJECTACCESS_FIREWALLCONNECTION       12810 Filtering Platform Connection          00000000-0000-0000-0000-000000000000

构造 block 事件

必须非常注意，在构造 block 事件时， 会影响本地其它软件的运行！ 可及时使用.\WFPSampler.exe -clean来清理过滤器.

操作步骤:

1. 打开 Filtering Platform Connection 的审计开关, auditpol /set /subcategory:"{0CCE9226-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

2. 打开 Event Viewer, 构造一个 Custom View, 创建过滤器, 我们暂只关注 5155, 5157, 5159 三个事件.

3. 构造一个过滤器, 我们使用WFPSampler.exe来构造过滤器, 阻止监听本地的80端口, .\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_LISTEN_V4 -iplp 80

4. 使用一个第三方(非 IIS)的 http server, 这里使用的 nginx, 默认监听 80 端口, 双击启动启动则触发 5155 事件

5. 还原过滤器, .\WFPSampler.exe -clean

6. 还原审计开关, auditpol /set /category:"{0CCE9226-69AE-11D9-BED3-505054503030}" /success:disable /failure:disable

# 5155 blocked an application or service from listening on a port for incoming connections
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_LISTEN_V4
# 5157 blocked a connection
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_CONNECT_V4
# 5159, blocked a bind to a local port
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4

# Other
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4_DISCARD
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4_DISCARD
.\WFPSampler.exe -s BASIC_ACTION_BLOCK -l FWPM_LAYER_ALE_AUTH_CONNECT_V4_DISCARD

# To find a specific Windows Filtering Platform filter by ID, run the following command:
netsh wfp show filters
# To find a specific Windows Filtering Platform layer ID, you need to execute the following command:
netsh wfp show state

监控网络事件(NET_EVENT)

• 网络事件支持枚举查找, 支持订阅.
• 枚举方式支持定制过滤条件, 获取一段时间内的网络事件.
• 订阅方式可以注入一个 callback 函数, 实时反馈.

支持的事件种类:

typedef enum FWPM_NET_EVENT_TYPE_ {
  FWPM_NET_EVENT_TYPE_IKEEXT_MM_FAILURE = 0,
  FWPM_NET_EVENT_TYPE_IKEEXT_QM_FAILURE,
  FWPM_NET_EVENT_TYPE_IKEEXT_EM_FAILURE,
  FWPM_NET_EVENT_TYPE_CLASSIFY_DROP,
  FWPM_NET_EVENT_TYPE_IPSEC_KERNEL_DROP,
  FWPM_NET_EVENT_TYPE_IPSEC_DOSP_DROP,
  FWPM_NET_EVENT_TYPE_CLASSIFY_ALLOW,
  FWPM_NET_EVENT_TYPE_CAPABILITY_DROP,
  FWPM_NET_EVENT_TYPE_CAPABILITY_ALLOW,
  FWPM_NET_EVENT_TYPE_CLASSIFY_DROP_MAC,
  FWPM_NET_EVENT_TYPE_LPM_PACKET_ARRIVAL,
  FWPM_NET_EVENT_TYPE_MAX
} FWPM_NET_EVENT_TYPE;

支持的过滤条件(FWPM_NET_EVENT_ENUM_TEMPLATE):

非 driver 调用的方式只能获得普通的 drop 事件.

监控网络链接(NetConnection)

相较监控网络事件, 监控链接需要更高权限. callback 方式

The caller needs FWPM_ACTRL_ENUM access to the connection objects’ containers and FWPM_ACTRL_READ access to the connection objects. See Access Control for more information.

暂未能成功监控网络链接.

查到同样问题, Receiving in/out traffic stats using WFP user-mode API, 和我调研中遇到的现象一样, 订阅函数收不到任何上报, 得不到任何事件, 没有报错. 开审计, 提权都没有成功. 有人提示非内核模式只能得到 drop 事件的上报, 这不能满足获取阻断事件的需求.

添加 security descriptor 示例: https://docs.microsoft.com/en-us/windows/win32/fwp/reserving-ports

Application Layer Enforcement(ALE)介绍

• ALE 包含一系列在内核模式下的过滤器, 支持状态过滤.
• ALE 层的过滤器可授权链接的创建, 端口分配, 套接字管理, 原始套接字创建, 和混杂模式接收.
• ALE 层过滤器的分类基于链接(connection), 或基于套接字(socket), 其它层的过滤器只能基于数据包(packet)进行分类.
• ALE 过滤器参考 ale-layers
  • 更多过滤器参考 filtering-layer-identifiers

编码

大多数 WFP 函数都可以从用户模式或内核模式调用。 但是，用户模式函数返回表示 Win32 错误代码的 DWORD 值，而内核模式函数返回表示 NT 状态代码的 NTSTATUS 值。 因此，函数名称和语义在用户模式和内核模式之间是相同的，但函数签名则不同。 这需要函数原型的单独用户模式和内核模式特定标头。 用户模式头文件名以"u"结尾，内核模式头文件名以"k"结尾。

结论

需求仅需要知道事件发生, 不需要即时处理事件, 另外开发驱动会带来更大的风险, 因此决定使用事件审计, 监控日志生成事件的方式来获得阻断事件.
新开一个线程来使用NotifyChangeEventLog来监控日志记录事件.

附录

WFP 体系结构

WFP(Windows Filter Platform)

数据流

Data flow:

1. A packet comes into the network stack.
2. The network stack finds and calls a shim.
3. The shim invokes the classification process at a particular layer.
4. During classification, filters are matched and the resultant action is taken. (See Filter Arbitration.)
5. If any callout filters are matched during the classification process, the corresponding callouts are invoked.
6. The shim acts on the final filtering decision (for example, drop the packet).

参考链接

• 过滤器种类
• 过滤器的附加条件
• error code
• WFP error code

Windows防火墙管理-netsh

• Windows防火墙管理-netsh

Windows 防火墙管理-netsh

管理工具

netsh advfirewall

# 导出防火墙规则
netsh advfirewall export advfirewallpolicy.wfw

# 导入防火墙规则
netsh advfirewall import advfirewallpolicy.wfw

# 查看防火墙状态
netsh advfirewall show allprofiles state

# 查看防火墙默认规则
netsh advfirewall show allprofiles firewallpolicy
# netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
# netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

# 查看防火墙设置
netsh advfirewall show allprofiles settings

# 启用防火墙
netsh advfirewall set allprofiles state on

# 禁用防火墙
netsh advfirewall set allprofiles state off

# 查看防火墙规则
netsh advfirewall firewall show rule name=all

# 查看防火墙状态
netsh advfirewall monitor show firewall

netsh firewall(deprecated)

# 查看防火墙状态
netsh firewall show state

netsh mbn(Mobile Broadband network)

netsh wfp

# 查看防火墙状态
netsh wfp show state

# 查看防火墙规则
netsh wfp show filters

Windows相关资源

• Windows相关资源

Windows 资源整理

• Windows 资源整理
  • 工具篇
    • 监控&分析
    • AntiRootkit 工具
    • PE 工具
    • 逆向&调试
    • 注入工具
    • 网络
    • 压测工具
    • 其他
  • 代码篇
    • 操作系统
    • 内核封装
    • VT 技术
    • 其他
  • CTF 资源
  • 渗透相关
  • 专利免费查询

这里只列举了一些 Windows 上调试，排查问题以及测试的一些常用工具，其他的加壳脱壳，加密解密，文件编辑器以及编程工具不进行整理了。

工具篇

监控&分析

AntiRootkit 工具

PE 工具

逆向&调试

注入工具

网络

压测工具

其他

代码篇

操作系统

内核封装

VT 技术

其他

CTF 资源

渗透相关

专利免费查询

Windows导览

• Windows 导览

Windows

• [Win-to-go]
• [理解Windows文件系统]
• [理解Windows进程]
• [Windows相关资源]
• [Windows管理进阶]
• [Windows防火墙管理-netsh]
• [Windows阻断网络流量获取]
• [Windows麻烦问题]
• [理解Windows事件跟踪_ETW]
• [理解Windows网络_WFP]
• [windows-ipv6管理]
• [Windows桥接时的IPv6问题]
• [wireguard配置]

windows-ipv6管理

• windows-ipv6管理

windows-ipv6 管理

# 查看ipv6地址, 过滤locallink地址, 过滤Loopback地址
Get-NetIPAddress -AddressFamily IPv6 | Where-Object {$_.IPAddress -notlike "fe80*" -and $_.IPAddress -notlike "::1"} | Format-Table -AutoSize

# 查看ipv6路由
Get-NetRoute -AddressFamily IPv6

# 查看ipv6邻居
Get-NetNeighbor -AddressFamily IPv6

# 查看interface
Get-NetAdapter

# 使能临时ipv6地址
Set-NetIPv6Protocol -UseTemporaryAddress Enabled

# 获取interface 信息
Get-NetIPInterface -AddressFamily IPv6 -ifAlias Ethernet | Select-Object -Property *
Get-NetIPv6Protocol

# 设置interface 信息, 解决Windows IPv6地址不更新的问题
Set-NetIPInterface -AddressFamily IPv6 -ifAlias Ethernet -Dhcp Disabled
Set-NetIPInterface -AddressFamily IPv6 -ifAlias Ethernet -AdvertiseDefaultRoute Disabled
Set-NetIPInterface -AddressFamily IPv6 -ifAlias Ethernet -IgnoreDefaultRoutes Enabled
# 手动恢复ipv6访问
# Set-NetIPInterface -AddressFamily IPv6 -ifAlias Ethernet -RouterDiscovery Disabled
# Set-NetIPInterface -AddressFamily IPv6 -ifAlias Ethernet -RouterDiscovery Enabled

Set-NetIPv6Protocol -DhcpMediaSense Disabled
Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled
Set-NetIPv6Protocol -MaxTemporaryDesyncTime 0:3:0
Set-NetIPv6Protocol -MaxTemporaryPreferredLifetime 0:10:0
Set-NetIPv6Protocol -MaxTemporaryValidLifetime 0:30:0
Set-NetIPv6Protocol -TemporaryRegenerateTime 0:0:30

window-message

• window-message

windows-message

• All windows messages as C# enum (github.com)
• List Of Windows Messages - WineHQ Wiki
• pinvoke.net: WM (Constants)
• pinvoke.net: WindowsMessages (Enums)
• Window Notifications

Win-to-go

===

Windows To Go 的优点在于移动便携性, 缺点在于经典 Windows系统的数个功能受到限制.

• 前言
• Windows To Go Overview
• Windows To Go 和传统 Windows 安装方式的区别
• 使用 Windows To Go 来移动工作
• 准备安装 Windows To Go
• 硬件要求
• USB 硬盘或 U盘
• 载体机器(Host computer)
• 检查载体 PC 和 Windows To Go 盘的架构兼容性
• Windows To Go 的常见问题

前言

Windows To Go出现很多年了, 可是百度到的中文文档却如此少, 不禁为国内IT技术的发展而担忧.作者J参加工作时间不长, 能力有限, 但工作中接触大量英文开发文档, 因此仍希望能做一点基础的铺路工作, 方便后来者查阅, 有不当之处也请读者不吝指出. Windows To Go有详尽的官方文档, 有英文阅读能力的可以直接跳转到微软官方文档. 链接如下:

• Windows To Go Overview
• Best practice recommendations for Windows To Go
• Deployment considerations for Windows To Go
• Prepare your organization for Windows To Go
• Security and data protection considerations for Windows To Go
• Windows To Go: frequently asked questions

本文主要会介绍 Overview, 和一些常见问题, 大部分内容为翻译, 少量作者的提醒以[J]来标注直至句号结束, 以确保不误导读者.

Windows To Go Overview

Windows To Go 是 Windows 企业版和教育版上的功能, 大多数家庭用户使用的家庭版没有此功能. 它使我们能创建从U盘或硬盘启动的便携Windows系统. Windows To Go 并不是创造出来取代传统工作工具的. 它的主要目的是为了使具有经常切换工作空间需求的人更有效率. 在开始使用 Windows To Go 之前, 使用者必须了解以下注意事项:

• Windows To Go 和传统 Windows 安装方式的区别;
• 使用 Windows To Go 来移动工作;
• 准备安装 Windows To Go;
• 硬件要求.

Windows To Go 和传统 Windows 安装方式的区别

Windows To Go 的工作环境和传统 Windows 几乎一样, 只有以下几点不同:

• 除了使用中的U盘, 机器的其它硬盘默认为离线状态. 即在文件管理器里不可见, 这是为了保护数据的安全. [J]但你仍然有方法可以使其它硬盘出现, 并修改里边的文件.
• TPM 信任平台模块不可用. TPM 模块会绑定到特定某台电脑, 以保护商业数据. [J]多数民用电脑没有TPM模块, 但如果你的商用电脑已经加入了公司的域, 最好不要尝试在该电脑上使用 Windows To Go, 否则建议您先准备好下份工作的简历.
• Windows To Go的休眠默认被禁用, 但仍可以通过组策略来打开. [J]很多机器在休眠会断开和USB设备的连接, 导致不能从休眠中恢复, 这很好理解, 微软已经替我们考虑到了这点, 所以没必要去修改这个设置.
• Windows 的恢复(Restore)功能被禁用. 如果系统出现问题, 只能重装Windows了.
• 恢复到出厂设置不可用, 重置Windows不可用.
• 升级不可用. Windows 只能停留在安装时的版本, 不能从Windows 7 升到8, 也不能从 Windows 10 Red Stone 1 升级到 Red Stone 2.

使用 Windows To Go 来移动工作

Windows To Go 可以在多台机器之间切换, 系统会自动决定设备启动需要的驱动程序. 有一些和系统硬件强关联的应用可能无法运行. [J]比如Thinkpad触控板的设置程序, 指纹识别设置程序等.

准备安装 Windows To Go

可以使用 System Center Configuration Manager, 或者 Windows 的标准部署工具, 例如 DiskPart, Deployment Image Servicing and Management (DISM). 需要注意以下问题:

• 是否有需要注入到 Windows To Go 镜像的驱动?
• 在不同机器上移动工作时时, 怎样合适的存储及同步数据?
• 32位还是64位? [J]新的机器都支持64位, 64位处理器的机器也能运行32位系统, 32位处理器不能运行64位的系统, 64位系统运行时占用更大的硬盘空间和内存空间. 如果你需要迁移使用的机器处理器架构有只支持32位的处理器, 或者机器内存少于4G, 建议你使用32位系统.
• 从协作网络以外的网络远程连接时的分辨率应该设为多少?

硬件要求

USB 硬盘或 U盘

Windows To Go针对以下列出的设备已做出了特别优化来满足需求, 包括

• 优化USB设备的高随机读写, 以使日常操作更流畅.
• 在已认证的设备上可以启动Windows 7及后续系统.
• 即使运行Windows To Go, USB设备也享受原厂保修支持. [J]没说插U盘的电脑会享受保修.

没有通过认证的 USB 设备, 不支持使用 Windows To Go. [J]能不能使用试试就知道了, 不行也知道是为什么. [J]同时网上有修改 U 盘厂商和型号来达到强制支持的另类方法, 不做赘述.

载体机器(Host computer)

• 认证支持Windows 7及后续系统.
• 运行Windows RT系统的电脑不受支持.
• 苹果Mac电脑不受支持. [J]尽管网络上遍布谈Windows To Go在Mac上运行的体验, 但官方文档明确说了, 不支持Mac的使用场景.

以下列出载体电脑的最低配置.

检查载体 PC 和 Windows To Go 盘的架构兼容性

Windows To Go 的常见问题

Windows To Go: frequently asked questions