Lorsque vous créez une machine de référence, vous devez sélectionner avec précaution le logiciel principal à inclure dans la couche de base, car il est distribué avec cette couche à tous les utilisateurs finaux.
La gestion des images implique de tenir compte de certains aspects concernant les logiciels et de suivre des instructions spéciales pour certaines catégories de logiciels. Reportez-vous à Logiciels et paramètres de la machine de référence.
Logiciels de niveau système
- Produits antivirus et de sécurité
- VPN ou autres logiciels de connectivité, par exemple iPass
- Pare-feu
- Composants et Frameworks Windows, tels que .NET et Java
- Modifications globales de la configuration et des paramètres Windows
Les logiciels de niveau système sont sensibles aux conflits de logiciels. Les points de terminaison ne doivent pas recevoir des logiciels susceptibles d'engendrer de tels conflits via d'autres méthodes de distribution. Si un certain type de logiciel de niveau système, par exemple un antivirus, est distribué avec une couche de base, ne distribuez pas différentes versions du même logiciel ou de logiciels entrant en conflit avec lui via d'autres mécanismes de distribution et vice-versa.
Incluez le VPN, l'antivirus, les applications de pare-feu et le magasin de pilotes de l'organisation dans l'ensemble de restauration minimal.
Licences de logiciel
La couche de base inclut généralement les applications essentielles utilisées par une organisation, alors que les applications plus spécialisées sont le plus souvent distribuées avec les couches d'application. Vérifiez que le logiciel convient à la distribution en masse et utilise une licence en volume qui ne requiert pas d'identification spécifique d'une machine ni d'activation manuelle individuelle.
Certaines applications sont protégées par des méthodes d'identification basées sur le matériel ou par une clé de licence unique qui réside sur le point de terminaison, par exemple dans un fichier de licence. Elles ne doivent pas être distribuées avec la couche de base ou d'application ni être installées sur la machine de référence. L'utilisateur peut toujours installer ces applications sur le point de terminaison ou via des solutions de distribution de logiciels qui ciblent des points de terminaison spécifiques.
La plupart des logiciels d'entreprise sont protégés par une licence flottante ou en volume, éliminant ainsi ce problème.
Logiciels spécifiques de l'utilisateur
Sur la machine de référence, installez les logiciels en tant qu'administrateur et, si l'option existe, installez les logiciels pour tous les utilisateurs. Excluez de la couche de base les profils d'utilisateurs de la machine de référence afin de ne pas les distribuer. Ne distribuez pas de logiciels installés exclusivement pour un utilisateur spécifique car ils risquent de ne pas fonctionner correctement.
Par exemple, l'installation par défaut de Google Chrome s'effectue sur le profil d'utilisateur actuel. Veillez à installer ce logiciel pour tous les utilisateurs s'il doit être inclus dans la couche de base.
Pour garantir la présence d'un raccourci d'application sur le bureau ou dans le menu Programmes de l'utilisateur final, vérifiez que le raccourci est correctement créé une fois l'application installée sur la machine de référence. Si tel n'est pas le cas, créez le raccourci manuellement dans le profil Tous les utilisateurs.
Les applications qui configurent et utilisent des comptes d'utilisateurs locaux, des groupes locaux, ou les deux, risquent de ne pas fonctionner correctement sur les points de terminaison lorsque la couche de base est appliquée à ces derniers. En conséquence, vous devez exclure de la couche de base les définitions des comptes d'utilisateurs locaux et des groupes locaux.
Logiciels OEM
De nombreux constructeurs de matériel fournissent des logiciels spéciaux visant à améliorer l'expérience de l'utilisateur sur leurs plates-formes. Ces applications peuvent prendre en charge des boutons matériels spécifiques, ainsi que des fonctionnalités particulières de gestion de la connexion et de l'alimentation, etc.
Pour inclure des logiciels spéciaux dans la couche de base, n'utilisez celle-ci que pour le matériel compatible. Ne préinstallez pas de logiciels spécifiques du matériel sur une couche de base unique que vous voulez utiliser pour plusieurs plates-formes matérielles.
Utilisez la fonctionnalité de couche d'application pour les logiciels OEM.
Logiciels de sécurité de point de terminaison
Mirage ne distribue pas de logiciels qui modifient l'enregistrement de démarrage principal (MBR). Les logiciels de chiffrement complet du disque modifient généralement le MBR. Ils ne peuvent donc pas être fournis avec une couche de base. Il est toujours possible de les installer sur des points de terminaison individuels via un mécanisme de fourniture externe ou pendant le premier approvisionnement.
Comme exemples de logiciels de chiffrement de disque qui utilisent l'authentification de prédémarrage, citons Checkpoint Full Disk Encryption, PGPDisk, Sophos SafeGuard et McAfee Endpoint Encryption.
Certains produits logiciels de sécurité prennent des mesures visant à se protéger eux-mêmes et ne permettent pas à d'autres processus de modifier leurs fichiers. Les logiciels de ce type ne peuvent pas être mis à jour via Mirage. Dans ce cas, vous devez utiliser le processus de mise à jour recommandé par le fournisseur de sécurité pour implémenter le contrôle et la gestion centralisés du logiciel. Mirage n'entrave pas le fonctionnement de ces produits de sécurité et ne neutralise pas les mesures de sécurité qu'ils fournissent.
Prise en charge de BitLocker
Sous Windows 7, Windows 8.1 et Windows 10, Microsoft BitLocker effectue le chiffrement complet du disque et est entièrement compatible avec Mirage. L'état de BitLocker est géré sur chaque point de terminaison et ne se propage pas au CVD Mirage dans le centre de données.
Une fois que vous avez exécuté Boot USB pour effectuer une restauration complète, l'état de BitLocker n'est pas conservé et la machine n'est pas chiffrée.
Vous pouvez utiliser les scénarios BitLocker :
- Si BitLocker est activé sur le point de terminaison cible. BitLocker reste dans cet état après la restauration de Mirage, la mise à jour de la couche de base ou les opérations de Rebase, quelle que soit sa configuration sur le point de terminaison initial sur lequel le CVD était exécuté ou sur la machine de référence à partir de laquelle la couche de base a été capturée.
- Si BitLocker est désactivé sur le point de terminaison cible, il reste dans cet état après la restauration de Mirage, la mise à jour de la couche de base ou les opérations de Rebase.