참조 시스템을 구축하는 경우 핵심 소프트웨어가 기본 계층과 함께 모든 최종 사용자에게 배포되므로 기본 계층에 포함할 핵심 소프트웨어를 신중하게 선택해야 합니다.
소프트웨어 고려 사항은 특정 소프트웨어 범주에 대한 이미지 관리 및 특별한 지침에 적용됩니다. 참조 시스템 소프트웨어 및 설정 항목을 참조하십시오.
시스템 수준 소프트웨어
- 바이러스 백신 및 보안 제품
- VPN 또는 다른 연결 소프트웨어(예: iPass)
- 방화벽
- Windows 구성 요소 및 프레임워크(예: .NET, Java)
- 글로벌 Windows 구성 및 설정 변경 사항
시스템 수준 소프트웨어는 충돌하는 소프트웨어에 민감합니다. 끝점에서 다른 배포 방식을 통해 충돌하는 소프트웨어가 수신되어서는 안 됩니다. 특정 유형의 시스템 수준 소프트웨어(예: 바이러스 백신)가 기본 계층과 함께 배포되는 경우 다른 소프트웨어 배포 메커니즘을 통해 충돌하는 소프트웨어나 다른 버전의 동일한 소프트웨어를 배포해서는 안 되며 그 반대도 마찬가지입니다.
조직 VPN, 바이러스 백신, 방화벽 애플리케이션, 드라이버 저장소를 최소 복원 집합에 포함합니다.
소프트웨어 라이센싱
기본 계층에는 일반적으로 조직에서 사용하는 핵심 애플리케이션이 포함되지만 더 특수한 애플리케이션은 일반적으로 애플리케이션 계층과 함께 배포됩니다. 소프트웨어가 대량 배포에 적합하며 시스템별 ID 또는 개별 수동 활성화가 필요하지 않은 볼륨 라이센스를 사용하는지 확인하십시오.
특정 애플리케이션은 하드웨어 기반 ID 방식이나 끝점에 상주하는 고유한 라이센스 키(예: 라이센스 파일)를 통해 보호되기 때문에 기본 또는 애플리케이션 계층과 함께 배포되거나 참조 시스템에 설치되지 않아야 합니다. 사용자는 계속 이러한 애플리케이션을 끝점에 설치하거나 개별 끝점을 대상으로 소프트웨어 배포 솔루션을 통해 설치할 수 있습니다.
대부분의 엔터프라이즈 소프트웨어는 유동 또는 볼륨 라이센스의 보호를 통해 이 문제를 해결합니다.
사용자별 소프트웨어
참조 시스템에서 관리자로서 소프트웨어를 설치하고, 해당 옵션이 있을 경우 시스템 내의 모든 사용자가 사용할 수 있도록 소프트웨어를 설치합니다. 참조 시스템의 사용자 프로파일은 배포하지 않도록 기본 계층에서 제외합니다. 특정 사용자 전용으로 설치된 소프트웨어는 제대로 작동하지 않을 수도 있으므로 배포하지 마십시오.
예를 들어, Google Chrome 기본 설정은 현재 사용자 프로파일을 대상으로 합니다. 기본 계층에 포함해야 하는 경우 모든 사용자가 사용할 수 있도록 설치해야 합니다.
최종 사용자의 바탕 화면이나 프로그램 메뉴에 애플리케이션 바로 가기가 있는지 확인하려면 해당 애플리케이션이 참조 시스템에 설치될 때 바로 가기가 올바르게 생성되었는지 확인합니다. 바로 가기가 올바르게 생성되지 않았을 경우 바로 가기를 모든 사용자 프로파일에서 수동으로 생성합니다.
로컬 사용자 계정이나 로컬 그룹 또는 둘 다를 설정하고 사용하는 애플리케이션은 기본 계층이 적용될 경우 끝점에서 제대로 작동하지 않을 수도 있습니다. 따라서 로컬 사용자 계정 및 로컬 그룹의 정의를 기본 계층에서 제외해야 합니다.
OEM 소프트웨어
수많은 하드웨어 벤더가 자신이 제공하는 플랫폼의 사용자 환경을 향상하기 위해 특수 소프트웨어를 포함하고 있습니다. 이러한 애플리케이션은 특정 하드웨어 버튼, 연결 관리 기능, 전원 관리 기능 등을 지원할 수 있습니다.
특수 소프트웨어를 기본 계층의 일부로 포함하려면 호환되는 하드웨어에만 기본 계층을 사용합니다. 여러 하드웨어 플랫폼에 사용할 단일 기본 계층에 하드웨어 관련 소프트웨어를 미리 설치하지 마십시오.
OEM 소프트웨어에 애플리케이션 계층화를 사용합니다.
끝점 보안 소프트웨어
Mirage 에서는 MBR(마스터 부트 레코드)을 변경하는 소프트웨어를 배포하지 않습니다. 전체 디스크 암호화 소프트웨어는 대개 MBR을 수정하므로 이 유형의 소프트웨어는 기본 계층과 함께 제공될 수 없습니다. 이러한 소프트웨어를 그래도 설치하려면 외부 제공 메커니즘을 통해서나 첫 번째 프로비저닝 중에 개별 끝점에 설치될 수 있습니다.
Pre-Boot 인증을 사용하는 디스크 암호화 소프트웨어의 예로는 Checkpoint Full Disk Encryption, PGPDisk, Sophos SafeGuard 및 McAfee Endpoint Encryption을 들 수 있습니다.
특정 보안 소프트웨어 제품에는 해당 소프트웨어를 보호하고 다른 프로세스를 통해 해당 파일이 수정되지 않도록 하는 기능이 있습니다. 이 유형의 소프트웨어는 Mirage를 통해 업데이트할 수 없습니다. 대신 보안 벤더 권장 업데이트 프로세스를 통해 해당 소프트웨어의 중앙 제어 및 관리를 구현해야 합니다. Mirage은 이러한 보안 제품의 작업을 방해하거나 조작하지 않으며 해당 제품의 보안 대책을 재정의하지 않습니다.
BitLocker 지원
Windows 7, Windows 8.1 및 Windows 10의 Microsoft BitLocker는 전체 디스크 암호화를 수행하고 Mirage와 완벽하게 호환됩니다. BitLocker의 상태는 각 끝점에서 유지 및 관리되며 데이터 센터의 Mirage CVD에 전파되지 않습니다.
부트 USB를 사용하여 완전 복원을 수행한 후에는 BitLocker 상태가 보존되지 않으며 시스템이 암호화되지 않습니다.
다음 BitLocker 시나리오를 사용할 수 있습니다.
- BitLocker가 대상 끝점에서 사용하도록 설정된 경우. CVD가 실행되고 있던 원래 끝점 또는 기본 계층이 캡처된 참조 시스템의 BitLocker 구성에 관계없이 Mirage 복원, 기본 계층 업데이트 또는 작업 기본 재배치 후에 BitLocker가 계속 사용하도록 설정됩니다.
- BitLocker가 대상 끝점에서 사용하지 않도록 설정된 경우에는 Mirage 복원, 기본 계층 업데이트 또는 작업 기본 재배치 후에 계속 사용하지 않도록 설정됩니다.