系统级软件

系统级软件对冲突软件比较敏感。请勿通过其他分发方法向端点分发相互冲突的软件。如果您随 Base Layer 分发了某个类型的系统级软件（例如防病毒软件），则请勿通过其他软件分发机制分发同一软件的不同版本或与之存在冲突的软件，反之亦然。

在最小还原集中加入组织 VPN、防病毒软件、防火墙应用程序和驱动程序存储区。

软件许可

Base Layer 内通常包含组织使用的核心应用程序，而更具专门性的应用程序则通常随应用程序层分发。验证软件是否适合大规模分发、是否使用不需要特定计算机专用标识且不需要单独进行手动激活的卷许可证。

某些应用程序由基于硬件的标识方法或驻留在端点上的唯一许可证密钥（例如在许可证文件中）进行保护，不能随 Base Layer 或应用程序层分发或安装在参考机上。用户仍然可以在端点上或通过针对单个端点的软件分发解决方案安装这些应用程序。

大部分企业软件通过浮动许可证或卷许可证进行保护，从而可解决此问题。

特定用户专用软件

在参考机上以管理员身份安装软件，并为所有用户安装软件（如果存在此选项）。将参考机上的用户配置文件从 Base Layer 中排除，不对其进行分发。不要分发专门为特定用户安装的软件，因为其可能无法正常运行。

例如，Google Chrome 默认安装是针对当前用户配置文件的。如果要将其包含在 Base Layer 中，请确保为“所有用户”安装。

要确保最终用户的桌面或程序菜单上有应用程序的快捷方式，请验证在参考机上安装应用程序时是否正确创建了快捷方式。如果未创建，请在“所有用户”配置文件中手动创建快捷方式。

设置和使用本地用户帐户和/或本地组的应用程序在应用 Base Layer 时可能无法在端点上正常运行。因此，您必须从 Base Layer 中排除本地用户帐户和本地组的定义。

OEM 软件

为了提高其平台的用户体验，很多硬件供应商都会在产品中加入特殊软件。这些应用程序可支持特定的硬件按钮、连接管理功能和电源管理功能等。

要将特殊软件包含在 Base Layer 中，请仅对兼容硬件使用 Base Layer。不要为计划用于多个硬件平台的 Base Layer 预安装特定硬件专用的软件。

为 OEM 软件使用应用程序分层。

端点安全性软件

Mirage 不会分发能够更改主启动记录 (MBR) 的软件。使用完整磁盘加密技术的软件通常会修改 MBR，因此这一类型的软件不能通过 Base Layer 提交。此类软件仍然可以通过外部提交机制或在首次部署过程中安装在单个端点上。

使用预启动身份验证的磁盘加密软件有 Checkpoint Full Disk Encryption、PGPDisk、Sophos SafeGuard 和 McAfee Endpoint Encryption 等。

某些安全性软件产品会采取措施保护其软件，不允许其他进程修改其文件。此类型的软件无法通过 Mirage 更新。而您必须使用安全性供应商推荐的更新流程对此类软件进行集中控制和管理。Mirage 不会干扰或操纵这些安全性产品的运行，也不会撤消它们的安全措施。

BitLocker 支持

在 Windows 7、Windows 8.1 和 Windows 10 中，Microsoft BitLocker 执行完整磁盘加密并与 Mirage 完全兼容。BitLocker 的状态会在各个端点上进行保持和管理，不会传播到数据中心内的 Mirage CVD。

在您使用启动 USB 执行裸机还原后，BitLocker 状态不会保留，且计算机不会被加密。

您可以使用 BitLocker 的情况：

• 如果在目标端点上启用了 BitLocker，则 BitLocker 将在 Mirage 还原、Base Layer 更新或 Rebase 操作后保持启用状态，无论运行 CVD 的原端点中或捕获 Base Layer 的参考机上的 BitLocker 配置如何。
• 如果在目标端点上禁用了 BitLocker，则它将在 Mirage 还原、Base Layer 更新或 Rebase 操作后保持禁用状态。