Wenn Sie eine Referenzmaschine erstellen, müssen Sie die Kernsoftware, die in den Basis-Layer aufgenommen werden soll, sorgfältig auswählen, da sie mit dem Basis-Layer an alle Endbenutzer verteilt wird.
Überlegungen zur Software gelten für die Abbildverwaltung und besondere Anweisungen für bestimmte Softwarekategorien. Weitere Informationen hierzu finden Sie unter Software und Einstellungen auf der Rerenzmaschine.
Systemsoftware
- Antiviren- und Sicherheitsprodukte
- VPN- oder andere Verbindungssoftware, z. B. iPass
- Firewalls
- Windows-Komponenten und Frameworks, z. B. .NET und Java
- Globale Änderungen an Windows-Konfigurationen und -Einstellungen
Systemsoftware ist konfliktanfällig. Daher ist es wichtig, dass die Endpunkte keine in Konflikt stehende Software über andere Verteilungsmethoden erhalten. Wenn ein bestimmter Typ von Systemsoftware (z. B. ein Antivirenprogramm) mit einem Basis-Layer verteilt wird, verteilen Sie keine unterschiedlichen Versionen derselben Software oder in Konflikt stehende Software über andere Verteilungsmechanismen.
Schließen Sie VPN-, Antiviren- und Firewallanwendungen sowie den Treiberspeicher der Organisation in den minimalen Wiederherstellungssatz ein.
Softwarelizenzierung
Der Basis-Layer umfasst gewöhnlich die von der Organisation verwendeten Kernanwendungen, während speziellere Anwendungen normalerweise mit App-Layern verteilt werden. Überprüfen Sie, ob die Software für die Massenverteilung geeignet ist und eine Volumelizenz verwendet, die keine maschinenspezifische Identifizierung oder manuelle Einzelaktivierung erfordert.
Bestimmte Anwendungen werden von hardwarebasierten Identifizierungsmethoden geschützt oder sind mit einem eindeutigen Lizenzschlüssel gesichert, der beispielsweise in einer Lizenzdatei auf dem Endpunkt vorliegt und nicht mit dem Basis- oder App-Layer verteilt oder auf der Referenzmaschine installiert werden darf. Der Benutzer kann diese Anwendungen trotzdem auf dem Endpunkt installieren. Dies ist unter anderem über Softwareverteilungslösungen möglich, die auf einzelne Endpunkte ausgerichtet sind.
Unternehmenssoftware ist größtenteils durch eine dynamische Lizenz bzw. Volumenlizenz geschützt, wodurch dieses Problem entfällt.
Benutzerspezifische Software
Installieren Sie die Software als Administrator auf der Referenzmaschine und verwenden Sie, sofern vorhanden, die Option zum Installieren der Software für alle Benutzer. Schließen Sie Benutzerprofile auf der Referenzmaschine vom Basis-Layer aus, damit Sie sie nicht verteilen. Verteilen Sie keine Software, die exklusiv für einen bestimmten Benutzer installiert wurde, da sie sonst unter Umständen nicht richtig funktioniert.
Beispielsweise gilt die Google Chrome-Standardinstallation für das aktuelle Benutzerprofil. Stellen Sie sicher, sie für alle Benutzer zu installieren, wenn sie in den Basis-Layer aufgenommen werden soll.
Um sicherzustellen, dass eine Anwendungsverknüpfung auf dem Desktop oder im Menü Programme des Endbenutzers vorhanden ist, überprüfen SIe, ob die Verknüpfung bei der Installation auf der Referenzmaschine richtig erstellt wird. Falls nicht, erstellen Sie die Verknüpfung manuell im Profil „Alle Benutzer“.
Anwendungen, die lokale Benutzerkonten, lokale Gruppen oder beides einrichten und verwenden, funktionieren auf Endpunkten möglicherweise nicht so gut, wenn der Basis-Layer auf sie angewendet wird. Folglich müssen Sie Definitionen von lokalen und Benutzerkonten und lokalen Gruppen vom Basis-Layer ausschließen.
OEM-Software
Viele Hardwareanbieter schließen besondere Software ein, um die Benutzerfreundlichkeit ihrer Plattformen zu verbessern. Diese Anwendungen können bestimmte Hardwaretasten sowie Verbindungs- und Energieverwaltungsfunktionen usw. unterstützen.
Um besondere Software in den Basis-Layer aufzunehmen, verwenden Sie ihn nur für kompatible Hardware. Installieren Sie keine hardwarespezifische Software im Voraus auf einzelnen Basis-Layern, die Sie für mehrere Hardwareplattformen verwenden möchten.
Verwenden Sie App-Layer für OEM-Software.
Software für Endpunktsicherheit
Mirage verteilt keine Software, die den Master Boot Record (MBR) ändert. Full-Disk-Verschlüsselungssoftware ändert gewöhnlich den MBR. Dieser Softwaretyp kann daher nicht mit einem Basis-Layer bereitgestellt werden. Solche Software kann trotzdem über einen externen Bereitstellungsmechanismus oder bei der Erstbereitstellung auf einzelnen Endpunkten installiert werden.
Beispiele für Datenträgerverschlüsselungs-Software, die Preboot-Authentifizierung verwendet, sind Checkpoint Full Disk Encryption, PGPDisk, Sophos SafeGuard und McAfee Endpoint Encryption.
Bestimmte Sicherheitssoftwareprodukte ergreifen Maßnahmen zum Schutz ihrer Software und lassen die Änderung ihrer Dateien durch andere Prozesse nicht zu. Software dieses Typs kann nicht über Mirage aktualisiert werden. Sie müssen stattdessen den vom Sicherheitsanbieter empfohlenen Aktualisierungsprozess verwenden, um zentrale Steuerung und Verwaltung für die betreffende Software zu implementieren. Mirage hat keinerlei Einfluss auf die Funktion dieser Sicherheitsprodukte und setzt keine der von ihnen bereitgestellten Sicherheitsmaßnahmen außer Kraft.
BitLocker-Unterstützung
Microsoft BitLocker führt in Windows 7, Windows 8.1 und Windows 10 eine Full-Disk-Verschlüsselung aus und ist vollständig kompatibel mit Mirage. Der BitLocker-Zustand wird beibehalten und auf den einzelnen Endpunkten verwaltet. Er wird nicht auf den Mirage-CVD im Rechenzentrum übertragen.
Nach einer Bare-Metal-Wiederherstellung mit Boot USB wird der BitLocker-Zustand nicht beibehalten und die Maschine nicht verschlüsselt.
Sie können BitLocker-Szenarien verwenden:
- Wenn BitLocker auf dem Zielendpunkt aktiviert ist, bleibt BitLocker auch nach einer Mirage-Wiederherstellung, einer Basis-Layer-Aktualisierung oder nach Rebase-Vorgängen aktiviert – unabhängig von der BitLocker-Konfiguration auf dem ursprünglichen Endpunkt, auf dem der CVD ausgeführt wurde, oder auf der Referenzmaschine, von der der Basis-Layer erfasst wurde.
- Wenn BitLocker auf dem Zielendpunkt deaktiviert ist, bleibt BitLocker auch nach einer Mirage-Wiederherstellung, einer Basis-Layer-Aktualisierung oder nach Rebase-Vorgängen deaktiviert.