Software de nivel de sistema

Al software de nivel de sistema le afecta la existencia de software conflictivo. Los terminales no deben recibir software conflictivo mediante otros métodos de distribución. Si se distribuye un determinado tipo de software de nivel de sistema, como, por ejemplo, un antivirus, con una capa base, no distribuya diferentes versiones del mismo software o software conflictivo mediante otros mecanismos de distribución de software y viceversa.

Incluya las aplicaciones de firewall, antivirus y VPN de la organización y el almacén de controladores en el conjunto de restauración mínimo.

Concesión de licencias de software

Por lo general, la capa base incluye las aplicaciones principales que utiliza una organización, mientras que las aplicaciones más especializadas se distribuyen habitualmente mediante capas de aplicaciones. Compruebe que el software es apto para la distribución masiva y utilice una licencia por volumen que no requiera identificación específica de equipo ni activación manual individual.

Ciertas aplicaciones están protegidas mediante métodos de identificación basada en hardware o una clave de licencia única que reside en el terminal, por ejemplo, en un archivo de licencia, y no se debe distribuir con la capa base o la capa de aplicaciones ni se debe instalar en el equipo de referencia. El usuario sigue pudiendo instalar estas aplicaciones en el terminal o mediante soluciones de distribución de software que tengan como objetivo terminales individuales.

La mayor parte del software para empresas está protegido con una licencia flotante o por volumen que elimina este problema.

Software específico del usuario

En el equipo de referencia instale software como administrador y si existe la opción instale software para todos los usuarios. Excluya los perfiles de usuario en el equipo de referencia de la capa base para que no los distribuya. No distribuya software instalado exclusivamente para un usuario específico, ya que podría no funcionar correctamente.

Por ejemplo, la instalación predeterminada de Google Chrome es para el perfil de usuario actual. Asegúrese de que lo instale para Todos los usuarios si se va a incluir en la capa base.

Para garantizar la presencia de un acceso directo a la aplicación en el escritorio del usuario final o el menú Programas, compruebe que se haya creado correctamente el acceso directo una vez que se haya instalado la aplicación en el equipo de referencia. Si no se ha creado, créelo manualmente en el perfil Todos los usuarios.

Las aplicaciones que configuran y utilizan cuentas de usuarios locales, grupos locales o ambos, podrían no funcionar correctamente en terminales al aplicarles la capa base. Por tanto, debe excluir de la capa base las definiciones de cuentas de usuarios locales y grupos locales.

Software OEM

Muchos proveedores de hardware incluyen software especial para mejorar la experiencia del usuario en sus plataformas. Estas aplicaciones pueden admitir botones de hardware específicos, capacidades de administración de conexión, capacidades de administración de alimentación, etc.

Para incluir software especial como parte de la capa base, utilice la capa base únicamente para el hardware compatible. No preinstale software específico de hardware en una capa base única que quiera utilizar para varias plataformas de hardware.

Utilice capas de aplicaciones para software OEM.

Software de seguridad de terminales

Mirage no distribuye software que cambie el Registro de arranque maestro (Master Boot Record, MBR). El software de cifrado de disco completo modifica por lo general el MBR, de modo que este tipo de software no se puede entregar con una capa base. Este tipo de software se puede instalar aún en terminales individuales mediante un mecanismo de entrega externo o durante el primer aprovisionamiento.

Algunos ejemplos de software de cifrado de disco que utilizan autenticación de prearranque son Full Disk Encryption de Check Point, PGPDisk, SafeGuard de Sophos y Endpoint Encryption de McAfee.

Ciertos productos de software de seguridad toman medidas para proteger su software y no permiten que otros procesos modifiquen sus archivos. El software de este tipo no se puede actualizar mediante Mirage En su lugar, debe utilizar el proceso de actualización recomendado por el proveedor de seguridad para implementar un control y una administración central de dicho software. Mirage no interfiere con el funcionamiento de estos productos de seguridad ni lo manipula y tampoco invalida las medidas de seguridad que proporcionan.

Soporte de BitLocker

Microsoft BitLocker en Windows 7, Windows 8.1 y Windows 10 realiza cifrado de disco completo y es totalmente compatible con Mirage. El estado de BitLocker se mantiene y administra en cada terminal y no se propaga al CVD de Mirage en el centro de datos.

Después de utilizar Boot USB para realizar una restauración completa, el estado de BitLocker no se preserva y la máquina no se cifra.

Puede utilizar escenarios de BitLocker:

• Si BitLocker está habilitado en el terminal de destino. BitLocker permanece habilitado tras la restauración de Mirage, la actualización de la capa base o las operaciones de reorganización, independientemente de la configuración de BitLocker en el terminal original en el que estaba ejecutándose el CVD o en el equipo de referencia desde el que se capturó la capa base.
• Si BitLocker está deshabilitado en el terminal de destino, permanece deshabilitado tras la restauración de Mirage, la actualización de la capa base o las operaciones de reorganización.