Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is

Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is rev 4.2 – dec 2015 (Deep Freeze v8.30 - DataIgloo 2.1 - Anti-Virus 3.40 - Cloud)

Doelgroep ICT-coördinatoren Frank Bevers

Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is rev 4.2 – dec 2015 (Deep Freeze v8.30 - DataIgloo 2.1 - Anti-Virus 3.40 - Cloud)

Doelgroep ICT-coördinatoren Frank Bevers

Alle rechten voorbehouden. Behoudens de uitdrukkelijk bij wet bepaalde uitzonderingen mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt, op welke wijze ook, zonder de uitdrukkelijke voorafgaande en schriftelijke toestemming van NEXCO bvba.

Voorwoord Deze cursus werd samengesteld met het oog op nascholing in samenwerking met het VVKSO

Deze nascholing duurt een volledige dag; het is dus onmogelijk om in een kort tijdsbestek alle hoofdstukken te behandelen en de nodige hands-on oefeningen uit te voeren. We zullen ons derhalve beperken tot een introductie van de verschillende aspecten. Wie zich verder wil verdiepen in deze materie, raden wij aan om in te schrijven via http://nascholing.be voor een nascholing op één van de volgende plaatsen:

Deze nascholing staat open voor alle netten Computerklas VVKSO 2de verdieping (paal) Noorderlaan 108 2030 Antwerpen (Kaart)

Computerklas VVKSO Brugge 1 Baron Ruzettelaan 435 8310 Assebroek (Kaart)

Computerklas VVKSO Hasselt Tulpinstraat 75 3500 Hasselt (Kaart)

Computerklas VVKSO Mechelen ColomaPLUS Tervuursesteenweg 2 2800 Mechelen (Kaart)

Computerklas VVKSO Oostakker 3 Sint-Jozefstraat 7 9041 Oostakker (Kaart) Computerklas Sint-Baafshuis – klein (1.02) Biezekapelstraat 2 9000 Gent

Data: 2015-2016 zie: http://nascholing.be/2015-2016/index.aspx?type=16&modID=7414

Inhoud 1

Problematiek ............................................................................................................ 7

1.1 1.2 1.3 1.4

Oplossingen die niet werken ..................................................................................... 8 Schoolreglement ....................................................................................................... 8 Group Policies ........................................................................................................... 8 Imaging (Ghost / Acronis / CloneZilla / TRK etc) ...................................................... 9

2

Oplossing die wel werkt ....................................................................................... 10

3

Deep Freeze technisch concept .......................................................................... 11

3.1 3.2

Reboot to Restore (Herstarten om terug te zetten) ................................................. 11 Block Redirection .................................................................................................... 12

4

Versies.................................................................................................................... 13

4.1 4.2 4.3

Standaard & Enterprise versies .............................................................................. 14 Server versies ......................................................................................................... 15 Mac versie ............................................................................................................... 16

5

Installatie & Configuratie ...................................................................................... 17

5.1 5.2 5.3

Installatie van de Standard versie ........................................................................... 18 Installatie van de Enterprise versie ......................................................................... 19 Een installatie is maar zo goed als de zwakste schakel… ..................................... 20

6

Data Redirection met DataIgloo versie 2.1 ......................................................... 21

7

Integratie met Anti-Virus ...................................................................................... 23

7.1 7.2

Viruscocktail steelt paswoorden en versleutelt bestanden ..................................... 24 Integratie met traditionele Anti-Virus ....................................................................... 25

8

Updates…............................................................................................................... 26

9

Imaging ................................................................................................................... 29

10

Tip ........................................................................................................................... 30

11

Licentiemodel ........................................................................................................ 31

12

Overleg! .................................................................................................................. 32

13

Hands on! ............................................................................................................... 33

14

Opgelet met de Windows Update instellingen! .................................................. 34

15

Windows 10............................................................................................................ 37

15.1 15.2

En wat met de Windows 10 Upgrade ? ................................................................... 38 En wat met problematische Windows 10 Updates?................................................ 38

16

Deep Freeze Standard installeren ....................................................................... 39

16.1 16.2

Werking Deep Freeze Standard testen ................................................................... 42 PC ontdooien........................................................................................................... 43

17

DataIgloo installeren ............................................................................................. 44

17.1 17.2 17.3 17.4

Programmafolder Keepass omleiden met DataIgloo .............................................. 44 Registersleutel omleiden dmv DataIgloo ................................................................ 48 Gebruikersprofiel omleiden dmv DataIgloo ............................................................. 49 Profielen verwijderen op het einde van een schooljaar .......................................... 51

17.5 17.6

Image maken van Master PC met Deep Freeze .................................................... 52 Deep Freeze Standard verwijderen ........................................................................ 53

18

Deep Freeze Enterprise installeren ..................................................................... 54

18.1 18.1.1 18.1.2 18.1.3 18.1.4 18.1.5 18.1.6 18.2 18.3 18.4 18.5 18.6 18.7

Aanmaak van een Deep Freeze Enterprise installer .............................................. 57 Paswoord ................................................................................................................ 57 Te bevriezen drives ................................................................................................ 58 Workstation tasks ................................................................................................... 59 Advanced options ................................................................................................... 67 De configuratie bewaren ......................................................................................... 68 Aanmaak executable .............................................................................................. 69 Uitrol Deep Freeze dmv Workstation Install program ............................................. 70 Uitrol Deep Freeze dmv Workstation seed ............................................................. 72 Beheren van een PC via de Console ..................................................................... 76 Software pushen via de Enterprise console ........................................................... 80 De Enterprise Console ............................................................................................ 81 Wake On Lan utilities .............................................................................................. 82

19

Updaten van populaire software met Ninite Pro................................................ 83

20

Faronics Anti-Virus installeren............................................................................ 88

21

Bijlages .................................................................................................................. 94

21.1 21.2 21.3 21.4 21.5 21.6

Bijlage 1: MCAfee bijwerken met DeepFreeze Batch File taak .............................. 94 Bijlage 2: AVG bijwerken met DeepFreeze Batch File Taak .................................. 94 Bijlage 3: Windows Defender (W8.x) bijwerken met Deep Freeze Batch File taak94 Bijlage 4: Updating Symantec during DeepFreeze maintenance ........................... 94 Bijlage 5: Microsoft Security Essentials updaten zonder maintenance event ........ 95 Bijlage 6: G Data bijwerken met DeepFreeze Thawed Period Taak ...................... 98

22

Addendum: Deep Freeze upgraden .................................................................... 99

23

Addendum: Connecteren met de cloud ........................................................... 103

24

Addendum: Deep Freeze Mobile App ............................................................... 109

25

Addendum: Ninite Pro v3.24 batch files etc ..................................................... 110

26

Contact ................................................................................................................. 123

Problematiek

1 -

ICT-coördinatoren zijn meer bezig met het fiksen van problemen dan met inhoudelijk werk:

- herinstalleren - images terugzetten - updates installeren - Virussen opkuisen -

Met beperkte middelen een alsmaar groeiend & complexer computerpark aan de gang houden met steeds meer te supporteren platformen (tablets, smartphones etc)

-

Eindtermen verlangen steeds meer vaardigheden

-

Sommige leerlingen zijn bijzonder vaardig

-

Leren = dingen verkeerd kunnen doen

-

Lesgevend personeel staat er vaak bij en kijkt er naar

-

Onbegrip & frustratie bij directies & lesgevend personeel

-

Er is behoefte aan een eenvoudige & afdoende oplossing voor “configuratie drift”

Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is pagina 7

1.1 Oplossingen die niet werken 1.2 Schoolreglement -

Het is niet toegelaten nieuwe software/games op de computers te plaatsen en/of de instellingen te wijzigen. Met het oog op het vermijden van virussen mag enkel soft- en hardware van de school gebruikt worden.

1.3 Group Policies -

Met meer dan 3.000 group policy objects in Windows 8 (er kwamen er ongeveer 350 bij in Windows 8) is het vrijwel onmogelijk om een PC dicht te timmeren

-

Dicht timmeren staat haaks op het aanreiken van een leermiddel

-

Group Policies zorgen niet voor: - Verwijderen van tijdelijke bestanden - Herstellen van toolbars, bureaubladen, schermbeveiliging, etc… - Verwijderen van malware - Elimineren van (registry) hacks - Bescherming van het image

-

Complexe aangelegenheid


1.4 Imaging (Ghost / Acronis / CloneZilla / TRK etc) -

Het terugzetten van een image vraagt steeds een interventie van de ICT-co

-

Een image kan je in 1 les “vervuilen”


2

Oplossing die wel werkt

De combinatie van imaging technologie zoals Ghost, Acronis,CloneZilla, TRK etc in combinatie met Deep Freeze. Imaging zorgt voor snelle deployment, Deep Freeze zorgt ervoor dat het image onveranderd blijft; na elke herstart zal de PC/Mac terug in de oorspronkelijk geconfigureerde staat zijn. Deep Freeze bevriest niet enkel partities maar ook het Master Boot Record. Malware die door de mazen van het net glippen van uw Anti-Virus programma en zich nestelen op het MBR van de schijf zal na herstart ook weer verdwenen zijn!


3

Deep Freeze technisch concept 3.1 Reboot to Restore (Herstarten om terug te zetten)

Kernel Mode beveiliging Toepassing schrijft naar Filesysteem Filesystem schrijft naar blok driver Deep Freeze onderschept schrijfopdracht Deep Freeze schrijft naar vrije ruimte Houdt originele & nieuwe data locaties bij in een tabel


3.2 Block Redirection

Block Redirection is belangrijk Elimineert fragmentatie Elimineert performantie problemen gelinkt aan bestands structuren en communicatie in applicatielaag cfr bv Illusion Elimineert compatibiliteitsproblemen op niveau van het filesysteem cfr bv Illusion Werkt in Ring 0 van de kernel zodat malware geen vat heeft Verzekert 100% integriteit van het disk Volume US Patent: 7,539,828


4

Versies

“On Premise” Windows 32 & 64 bit ENTERPRISE

STANDARD

Desktop

Server

Desktop

Server

Mac

“Cloud” Voor nieuwe gebruikers: Pure Cloud Voor bestaande gebruikers: Cloud Connector


4.1 Standaard & Enterprise versies

Windows XP , Vista , 7,8.x , 10 / 32 & 64 bit Standard

Enterprise *

Voor beperkte aantallen (25)

Voor grotere aantallen (25+)

Manueel beheer per PC

Centrale beheersconsole

Geen scheduling

Uitgebreide scheduling Updates Computers uitzetten en tot 25€ per jaar besparen per PC! Thawspaces Command line control Integratie met Faronics AV Kan standalone functioneren ook !

* De naam Enterprise versie is ietwat ongelukkig gekozen en doet denken aan zeer complexe systemen; Netwerk versie was misschien een betere keuze geweest maar dan nog dient u te weten dat de Enterprise versie perfect standalone kan gebruikt worden (dus ook zonder netwerk maar daardoor beschikt u wel over extra features)!


4.2 Server versies W2000 / W2003(R2) / W2008(R2) / W2012

M Thin Client Computing


4.3 Mac versie Compatible tem OS-X El Capitan Ingebouwde data redirection

iPad / Android : niet ondersteund Andere manier van gebruiken Windows tablets: wel ondersteund! (geen Windows RT!)


5

Installatie & Configuratie Een vuilbak blijft een vuilbak…


5.1 Installatie van de Standard versie Mee opnemen in image (Clone flag instellen!) Manueel via USB disk/stick of netwerkshare


5.2 Installatie van de Enterprise versie Mee opnemen in image (Clone flag instellen!) Manueel via USB disk/stick of netwerkshare Remote deployment / GPO dmv MSI packager


5.3 Een installatie is maar zo goed als de zwakste schakel…

BIOS paswoord instellen! BOOT volgorde: HD eerst


Data Redirection met DataIgloo versie 2.1

6

Permanent data bewaren kan op een niet bevrozen partitie, een thawspace (virtuele drive aangemaakt door Deep Freeze Enterprise) of een netwerkshare etc. Door middel van Data Redirection kan je data lokaal bewaren op een transparante manier voor de gebruiker: Je kan bijvoorbeeld de “Mijn Documenten” folder redirecten (omleiden) naar een niet bevrozen partitie of een thawspace. Data redirection doe je met behulp van DataIgloo, een gratis hulpprogramma dat meegeleverd wordt met Deep Freeze. Het laat toe om 3 soorten redirections uit te voeren (zonder enige impact op de snelheid van de computer): -

GebruikersProfielen Folders Registersleutels

Het bijzondere aan dit programma is dat u de redirections allemaal netjes gepresenteerd krijgt in een grafische interface en dat u zich geen zorgen hoeft te maken over het onderliggende operating systeem. Ander mogelijkheden van het programma zijn: - systeemfolders redirecten (folders in de Windows folder of folders in de Program Files folder) - scripts maken voor redirects - silent install uitvoeren van DataIgloo + redirections


Naast het redirecten van gebruikersprofielen & folders, kan je met DataIgloo ook registersleutels redirecten! Hiervoor start DataIgloo een service op. Registersleutels redirecten is nuttig omdat sommige programma’s een aantal zaken in het register wegschrijven die we liefst behouden zien na een herstart. Een voorbeeld hiervan is Microsoft Security Essentials dat in het register de laatste datum van virusupdates bewaart. We komen hier later op terug.


7

Integratie met Anti-Virus Is Anti-Virus nog wel nodig als je met Deep Freeze werkt?

0

Wormen, Macros & Scripts zijn direct actief Meeste andere Malware pas actief na herstart

Standard versie

Enterprise versie

Manueel

Scheduling updates

Data Redirection

Data Redirection Faronics AntiVirus In console! (aparte lic)


7.1 Viruscocktail steelt paswoorden en versleutelt bestanden Samenvatting: Een bezoek aan een website is voldoende om een cocktail van malware op je pc binnen te halen. Het virus steelt al je paswoorden, alvorens het eveneens je bestanden versleutelt.

Een nieuw virus verspreidt zich razendsnel over heel de wereld. De hackers maken gebruik van de pharming-techniek om onschuldige computergebruikers in de val te lokken. Bij deze oplichtingstechniek wordt het internetverkeer naar bepaalde websites ongemerkt omgeleid naar een malafide site. Op deze URL staat het beruchte Angler-virus, welke op zoek gaat naar een kwetsbare applicatie op je toestel. Eenmaal een slecht beveiligde applicatie, zoals Flash, wordt gevonden, sluit de val zich onherroepelijk. Volgens een blogpost van Heimdal Security gebeurt de infectie van het virus in verschillende stadia. In een eerste fase wordt de datadief Pony op je computer losgelaten. Dit virus zal systematisch al je gebruikersnamen en wachtwoorden verzamelen en doorsturen naar servers van de cybercriminelen. De gestolen logingegevens worden hierna misbruikt om de malware op andere websites te injecteren met een grote verspreiding van het virus tot gevolg. Nadat al je logingegevens tot de laatste druppel uit je computer zijn geperst, stort het cryptovirus CryptoWall 4 zich in het gevecht. Deze malware chanteert zijn slachtoffers door het encrypteren van alle bestanden op geïnfecteerde toestellen en het vragen van losgeld voor de sleutel. Voorlopig slagen de meeste antivirusprogramma’s er niet in de malware te herkennen. Er zijn echter enkele richtlijnen die je kan volgen om je toch te wapenen tegen het virus. In de eerste plaats dien je alle applicaties up-to-date te houden. Ook het nemen van frequente backups en het vermijden van vreemde websites kunnen onheil voorkomen. Als laatste zijn het openen van e-mails met spam en het downloaden van bijlages in dergelijke berichten uit den boze. BRON: Datanews 4 dec 2015 http://www.zdnet.be/nieuws/174506/viruscocktail-steelt-paswoorden-en-versleutelt-bestanden/


7.2 Integratie met traditionele Anti-Virus Perfect mogelijk maar scripting vraagt opvolging / beheer: @ECHO OFF

IF EXIST "C:\Program Files\AVG\AVG2012\avgmfapx.exe" "C:\Program files\AVG\AVG2012\avgmfaps.exe /AppMode=UPDATE /source=inet IF EXIST "C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe" "C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe" /AppMode=UPDATE /source=inet


8

Updates… Storend voor de eindgebruiker maar wel nodig (bordboeken, filmpjes etc) Tijdverlies Security issues Oplossing: Windows updates beheren via Deep Freeze Gecoördineerd & gecentraliseerd updaten dmv Ninite PRO



Ninite PRO is een hulpprogramma waarmee u tijdens een Deep Freeze maintenance event alle typische software die op een PC aanwezig is kan bijwerken. Voor een aantal softwares kan u ook de vervelende “update beschikbaar” boodschappen uitschakelen.

Ninite Pro wordt verkocht in de vorm van een abonnement per PC, net zoals het geval is bij AntiVirus programma’s omdat het programma continu wordt bijgewerkt om al de ondersteunde software te kunnen blijven bijwerken. Ninite Pro zorgt ervoor dat enkel updates worden geïnstamlleerd zonder extra toolbars of andere “bloatware” die vaak opgedrongen wordt. Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is pagina 28

9

Imaging

Deep Freeze is compatible met de meeste imaging programma’s zoals Ghost, CloneZilla, TRK, Acronis etc. U dient slechts op 2 zaken te letten: uw master PC moet ontdooid zijn en u moet vlak voor het imagen of syspreppen ervoor zorgen dat u de “Clone Flag” heeft ingesteld. We komen hierop terug in de oefeningen. Als u met de Enterprise versie werkt en Thawspaces wenst te gebruiken dan kan u beter enkel een SEED installeren in uw master image en pas nadat de images zijn uitgerold, Deep Freeze installeren via het netwerk. Het voordeel is dat uw image compact blijft. Sommige imaging programmas kunnen trouwens niet goed overweg met het virtueel disk formaat van Thawspaces waardoor deze thawspaces corrupt zijn na uitrol.


10

Tip

Opmerking: Door SATA drives te vervangen met SSD schijven (Solid State Disks) kan je de “levensduur” van een oude PC aanzienlijk verlengen. Een PC wordt hierdoor plots aanzienlijk sneller en niet alleen mbt het opstarten. CPU kracht is relatief onbelangrijk, RAM is in de meeste gevallen voldoende aanwezig; de bottleneck is de schijf! Deep Freeze is uiteraard compatible met SSD schijven. Gezien je Deep Freeze best implementeert op een clean image is dit misschien het ideale moment om SSD schijven te considereren die zeer goedkoop zijn als je je beperkt tot kleine capaciteiten wat in de meeste gevallen prima is voor gebruik in een school.


11

Licentiemodel

“On premise” Perpetuele licenties (eenmalige aanschaf) ste

1

jaar onderhoud verplicht

Volume licensing Hoe meer u koopt hoe goedkoper Geen volumeprotectie! Upgrades Wie geen onderhoud koopt elk schooljaar heeft al die tijd geen nieuwe versies (die soms broodnodig zijn) en moet uiteindelijk toch een upgrade kopen. Prijs van een upgrade = prijs van 4 jaar onderhoud… Dus het is niet zinvol om geen onderhoud te kopen! Verbrand uzelf niet door overinstallatie of cracks

“Cloud” Subscription (abonnement) Houdt op met werken bij einde abonnement (!)


12

Overleg! Vertel wat je van plan bent Geef de voordelen aan voor de gebruikers (leerkrachten) Vraag naar hun specifieke noden Zelf bordboeken kunnen updaten j/n ? Data bewaren (vb boekhoudprogramma) Etc... Voorkom frustratie = win/win Focus op leerling PC’s niet op administratieve PC’s (evt 2e fase)


13

Hands on!

We werken met Virtualbox virtuele machines: 2 leerling PC’s & 1 ICT-CO PC. Als de fysieke PC voldoende geheugen beschikbaar heeft dan kan u alle 3 de virtuele machines tegelijk opstarten, zoniet beperkt u zich tot 2 machines. VirtualBox is een gratis software; als u hiermee zelf aan de slag gaat zorg dan dat u voor “bridged” netwerk adapters gebruikt (zie screenshot)

Steeds aanloggen als Administrator met paswoord “deepfreeze” Als U paswoorden moet aanmaken tijdens de oefeningen gebruik dan steeds “Test1234” voor de eenvoud. “Test1234” is geen sterk paswoord; gebruik het dus niet in uw dagdagelijkse omgeving! De benodigde software bevindt zich in de Downloads folder van de Administrator. Om een machine terug in haar oorspronkelijke staat te zetten terug naar het snapshot “Clean” gaan en geen snapshot maken van de actuele situatie (afvinken):

Alternatief: Klik in het venster van een opgestarte virtuele machine op de Virtualbox menu-selectie Machine / Close en selecteer “Power off the machine” + vink aan “Restore snapshot...”


14

Opgelet met de Windows Update instellingen!

Vooraleer u Deep Freeze installeert op een PC moet u de Windows Update instellingen wijzigen om zgn bootloops te voorkomen. Zorg er ook voor dat een PC volledig is bijgewerkt en nogmaals herstart is alvorens u er Deep Freeze op installeert want na de installatie van Deep Freeze zal de PC onmiddellijk herstarten in bevrozen modus; als er dan nog Windows Updates zijn waarvan de installatie moet voltooid worden bij de volgende herstart (zgn multipart updates) dan kan deze keuze ervoor zorgen dat u in een zgn bootloop terecht komt waarbij de PC blijft herstarten. Dit is logisch want de PC is reeds terug bevrozen… Er is geen snelle oplossing voor dit probleem: ofwel zet u het image van de PC terug ofwel contacteert u ons voor verdere ondersteuning. U kan tegen hetzelfde “bootloop” probleem aanlopen als u een PC ontdooit; indien de windows update instellingen niet juist ingesteld zijn dan kan er tijdens de ontdooide periode een multipart update “binnensluipen” die dan weer een bootloop veroorzaakt op het moment dat u de PC terug bevriest. Dus ofwel kiest u voor de instelling: “Naar Updates zoeken maar laat mij bepalen of ik ze wil downloaden en installeren” :


Ofwel kiest u voor de instelling: “Nooit zoeken naar updates” en schakelt u boodschappen ivm Windows Update uit in het Onderhoudscentrum (Action center) in controlepaneel om te voorkomen dat gebruikers geen boodschappen te zien krijgen alsof Windows Update niet correct is ingesteld.

Wij raden u aan om de instelling om nooit te zoeken naar updates te gebruiken:


Opmerking voor Deep Freeze Enterprise Als u Windows Update instelt om toch automatisch updates te downloaden dan zal Deep Freeze Enterprise deze instelling “overrulen” indien u een Windows Update taak heeft aangemaakt in de configuration administrator. In bevrozen modus ziet u dan dit:

U zou hierdoor de indruk kunnen krijgen dat alles OK is maar dat is niet waar; als u de PC ontdooit dan geldt weer de oorspronkelijke instelling en kunnen er dus multipart updates “binnensluipen” die een reboot nodig hebben. Als u nadat zo’n update is “binnen geslopen” de PC herstart in bevrozen modus dan komt de PC alsnog terecht in een bootloop.

Ook hier blijft dus de boodschap om Windows Update zo in te stellen dat u bepaalt wanneer er updates worden gedownload & geïnstalleerd of beter nog Windows Update volledig UIT schakelen. Opmerking: Het Antivirus programma AVAST veroorzaakt mogelijke problemen bij de installatie van Deep Freeze dus best uitschakelen vooraleer u Deep Freeze installeert.


15

Windows 10

Met de komst van Windows 10 heeft de gebruiker veel minder controle over Windows Update. De Home editie laat zelfs niet meer toe om geen Windows Updates te ontvangen (!) Wie niet opteert om zgn “Insider” previews te ontvangen (zeg maar beta versies van toekomstige feature upgrades) bevindt zich in de “Current Branch” distributiekanaal (=default) en ontvangt nieuwe feature upgrades & security updates. Nieuwe feature upgrades kunnen problemen veroorzaken en dat is meteen de reden dat Microsoft probeert om zoveel mogelijk gebruikers die nieuwe features te geven zodat erg breed kan getest worden. Maar een school is natuurlijk geen testomgeving; wie werkt met de Professional, Enterprise, of Education editie van Windows 10 kan daarom de optie “Defer upgrades” / “Upgrades uitstellen” aanvinken. Hierdoor bevindt je Windows configuratie zich in het Current Branch for Business (CBB) distributiekanaal en krijg je enkel security updates en geen nieuwe feature updates. Op een bepaald moment (het is nog niet helemaal duidelijk na welke periode, we zullen dat pas weten nadat de eerste feature upgrade uitkomt) zal je evenwel toch de nieuwe feature upgrades geïnstalleerd krijgen (of moeten installeren) omdat Microsoft geen security updates meer zal uitbrengen voor “oudere” versies van Windows 10 (lees “versies zonder die feature upgrades”) Windows 10 Home (vaak vooraf geïnstalleerd op consumenten PC’s) beschikt niet over de optie om upgrades uit te stellen; enkel dmv een upgrade naar de Professional versie zal je over deze optie kunnen beschikken. Werken met vooraf geïnstalleerde versies van Windows is trouwens weinig aan te raden; het mag dan goedkoop lijken in vergelijking met volume licenties; de konsekwenties voor de ICT-co zijn niet onbelangrijk bv op het vlak van Windows deployment, geen RDC etc. Zag u dat we het hier hadden over upGRADES en upDATES ? Belangrijke nuance!


15.1 En wat met de Windows 10 Upgrade ? -

De gratis upgrade naar Windows 10 is een zgn “in-place” upgrade. Gebruikers die reeds met Deep Freeze werken moeten eerst Deep Freeze verwijderen alvorens de Windows Upgrade uit te voeren en pas daarna weer Deep Freeze installeren. Mogelijk “breekt” u zaken zoals redirections (DataIgloo) , Anti-Virus software en andere software dmv deze upgrade. Het is veel beter -en dat is wat we ten zeerste aanraden- om een “cleane” Windows 10 installatie uit te voeren waarbij u eerst onder andere grondig alle software die u gebruikt, test in die nieuwe versie van Windows. Mogelijk nadeel is dat u bepaalde software eerst moet deactiveren (indien mogelijk) zodat u nadien deze weer kan activeren op de nieuwe Windows installatie Wie snel de stap zet naar Windows 10 zonder veel testen zal daar een prijs voor betalen. Er zijn meer dan 2 maanden na de release van Windows 10 nog behoorlijk wat fabrikanten bezig met aangepaste versies van hun software te maken. De boodschap is dus -zoals altijd- testen, testen, testen....

15.2 En wat met problematische Windows 10 Updates? -

Oorspronkelijk bij de initiële release van Windows 10 was het niet mogelijk om bepaalde updates te verbergen (zodat ze na verwijdering niet opnieuw worden geïnstalleerd) maar Microsoft heeft snel moeten inzien dat dit wel nodig was voor bepaalde gebruikers. Zodoende hebben ze een tool uitgebracht waarmee je slechte updates wel kan verbergen (na ze eerst verwijderd te hebben via Controle Paneel / Programma’s en onderdelen / Geïnstalleerde updates) Zie ook https://support.microsoft.com/en-us/kb/3073930 voor meer uitleg en de utility wushowhide.diagcab Een en ander impliceert wel dat de update je windows installatie al niet heeft “kapot” gedaan natuurlijk...


16

Deep Freeze Standard installeren

We gebruiken de Leerling PC. Systeemvereisten: Dezelfde als voor het OS + minimaal 10% vrije schijfruimte. Dubbelklik op de Deep Freeze Standard installer DFStd en vink aan dat u een evaluatie wil gebruiken. Vervolgens kan u kiezen welke partities u wil bevriezen. Opgelet! Dit is het enige moment waarop u kan kiezen welke partities (schijven) u wil bevriezen. Vink drive E: af en ga verder.

Selecteer welke drives (partities) u wenst te bevriezen (in deze oefening bevriezen we enkel C:) In het volgende scherm geven we aan of we een thawspace (virtuele partitie) willen aanmaken. Dat kan handig zijn om data te bewaren die na een herstart nog aanwezig moet zijn. (in deze oefening maken we geen thawspace aan; we komen daar uitgebreid op terug bij de Enterprise versie)

De PC zal herstarten in bevrozen modus en nadat u weer aanlogt krijgt u een scherm te zien dat u er aan herinnert om een paswoord in te geven:


Na enige tijd verdwijnt dit scherm echter. Let hiervoor op er zorg dat u alsnog een paswoord ingeeft. U kan toegang krijgen tot Deep Freeze door de SHIFT toets in te drukken en te dubbelklikken op het icoontje in het systeemvak of de toetsencombinate SHIFT+CTRL+ALT+F6 Als u nog geen paswoord hebt ingegeven dan klikt u gewoon op OK

In het tabblad “Password” kan u een paswoord ingeven. Gebruik een sterk paswoord

Nadat u een paswoord hebt ingegeven klikt u op OK. De PC (schijf C:) is bevrozen, schijf E: niet.


Activatie Opmerking: Tijdens de cursus gebruiken we een evaluatieversie van Deep Freeze. Als u het programma aankoopt dan krijgt u een licentiecode die u moet ACTIVEREN via het internet.


16.1 Werking Deep Freeze Standard testen We gaan enkele configuratieveranderingen aanbrengen om de werking van Deep Freeze te tonen:

OPGELET: ENKEL EN ALLEEN OP DE VIRTUELE MACHINE…! -

Verander de achtergrond van het bureaublad Cut & Paste alle afbeeldingen in de Pictures folder naar drive E: Wis de folder “Sample Music” in de Music folder & maak de prullenbak leeg Installeer het programma Keepass (een gratis paswoord manager die we u sterk kunnen aanbevelen / zie http://www.keepass.info/ ) In Device Manager de driver voor de netwerkkaart deinstalleren

Herstart de PC en zie hoe deze terug zich in zijn oorspronkelijke staat bevindt. Op drive E: staan nog steeds een copy van de afbeeldingen want schijf E: was niet bevrozen.


16.2 PC ontdooien Log aan in Deep Freeze (SHIFT + dubbelklik op het icoontje in het systeemvak), selecteer “Boot Thawed” & klik vervolgens op Apply & Reboot.

De PC zal nu in ontdooide (thawed) mode opstarten wat u kan zien adhv het icoontje met het kruisje in het systeemvak:

In deze modus kan u onderhoud uitvoeren aan de PC zoals het installeren van nieuwe programma’s of updates van Anti-Virus definities. Meteen worden de beperkingen duidelijk van de Standaard versie: U dient PC per PC onderhoud uit te voeren, niets kan geautomatiseerd verlopen. Wat AntiVirus updates betreft kan je nog wel op een slimme manier met omleidingen werken maar ideaal is het niet. We komen hier later op terug. De keuze “Boot thawed on next xx Restarts” laat u toe om bijvoorbeeld de machine 3 keer te herstarten in thawed mode waarna de machine terug in bevrozen mode zal opstarten. Let hier mee op zodat u niet in een bootloop terecht komt! (zie volgende pagina) In het vakje License Key kan u uw licentiesleutel ingeven of wijzigen. De Set Clone Flag knop zullen we in een latere oefening toelichten.


17

DataIgloo installeren

17.1 Programmafolder Keepass omleiden met DataIgloo Installeer eerst de paswoord manager Keepass Zorg ervoor dat na installatie u het programma weer afsluit. Dubbelklik op de installer “Faronics_IGS” en voer de installatie van DataIgloo uit. Start DataIgloo en selecteer de tab “Folder Redirection”

Klik op “Redirect Folder” & selecteer als source (om te leiden folder) C:\Program Files\Keepass Password Safe 2 Selecteer Drive E: als “Target” en klik vervolgens op “Redirect Folder”


DataIgloo heeft de programmafolder verplaatst naar drive E: maar voor Windows lijkt het alsof het programma nog steeds op drive C: staat. We kunnen die eenvoudig controleren door CMD op te starten en naar C:\Keepass Password Safe 2 te gaan dmv de opdracht: CD\Program Files\Keepass Password Safe 2 De prompt zal inderdaad aangeven dat we ons op drive C: bevinden maar in feite bevinden we ons op drive E:

Nog steeds in CMD typt u volgende opdracht: notepad test.txt en antwoord bevestigend op de vraag of u een nieuw tekstbestand wil aanmaken. Typ wat willekeurige tekst, bewaar & sluit notepad. Start de verkenner en ga naar drive D: en controleer of het bestand TEST.TXT in de folder E:\Keepass Password Safe 2 bestaat. Gebruik de verkenner om ook drive C: te onderzoeken; in plaats van een normaal foldericoontje voor het paswoord manager programma ziet u het icoontje van een shortcut maar het betreft hier geen shortcut; het betreft een junction wat geen fysiek bestand is zoals een shortcut (.lnk bestand) maar een pointer naar een folder die is geregistreerd in het disk operating systeem (NTFS).


Het omleiden van programma folders kan u soms wel voor uitdagingen stellen omdat bijvoorbeeld een bepaald programma of service de folder in gebruik heeft. DataIgloo zal dan een foutboodschap geven en de omleiding niet uitvoeren (klik op Rollback).

Een eenvoudig maar notoir voorbeeld voor dit soort problemen is Adobe Reader: Start Adobe Reader en open de PDF in “c:\users\administrator\downloads\dataigloo” Sluit het PDF document (NIET Adobe Reader zelf) Redirect nu de folder “c:\users\administrator\downloads\dataigloo” folder naar drive E: Omdat Adobe Reader nog een “handle” open heeft naar het inmiddels gesloten document kan de folder NIET verplaatst worden. Laat de foutboodschap staan. Natuurlijk is het niet altijd even makkelijk als in dit voorbeeld om te weten te komen welk programma of service een handle open heeft en dan komt de handige & gratis utility “Unlockit” goed van pas:


Installeer Unlockit en voer het programma uit. Klik op het gele folder icoontje en selecteer de folder “c:\users\administrator\downloads\dataigloo” Unlockit zal nu de processen tonen die een handle open hebben voor deze folder. Klik op “Kill All Processes” en selecteer terug DataIgloo.

Gebruik Alt-Tab om het venster met de “Rescan” knop terug naar voren te toveren en klik op “Rescan” DataIgloo zal nu de redirection uitvoeren. (= “flaw” in DataIgloo) Om de redirection ongedaan te maken selecteert u de betreffende redirection en klikt u op de knop “Remove redirection”

Opmerking: Unlockit werkt enkel op een PC in ontdooide toestand omdat het de Windows debug mode gebruikt die Deep Freeze in bevrozen toestand uitschakelt.


17.2 Registersleutel omleiden dmv DataIgloo Start DataIgloo terug op en selecteer de tab “Registry Key Redirection”. Vink het vakje “Redirect registry keys changes to” aan en geeft E:\Reg op als folder via de Browse knop (nieuwe folder E:\Reg aanmaken)

DataIgloo start een service op die zal instaan voor het redirecten van registersleutels. Laten we als voorbeeld een registersleutel van Acrobat Reader omleiden door op de knop “Select Key from Registry” te klikken: Opm: DataIgloo laat enkel toe om registersleutels om te leiden van HKEY_LOCAL_MACHINE

Noteer dat de omleiding van registersleutels pas effect heeft nadat de computer is herstart. Het verdient aanbeveling om registersleutels naar een verborgen folder of partitie te redirecten. Deep Freeze Enterprise maakt dat makkelijk in die zin dat Deep Freeze Enterprise op een eenvoudige manier verborgen Thawspaces (virtuele disks) kan aanmaken. We komen hier nog op terug.


17.3 Gebruikersprofiel omleiden dmv DataIgloo Selecteer de tab “User Profile Redirection” & selecteer het profiel “Leerling”. Daarna klikt u op de knop “Redirect User Profile” en verwijs naar drive E: of bijvoorbeeld E:\Users (nieuwe folder E:\Users aanmaken in dit geval)

Nadat u op de de knop “Redirect User Profile” heeft geklikt zal DataIgloo het profiel scannen om te zien of er geen bestanden in gebruik zijn en vervolgens de omleiding uitvoeren. Een interessante optie ziet u onderaan: “Redirect any newly created user profiles to” waarmee nieuwe profielen automatisch zullen omgeleid worden!

Opmerkingen: -

Het omleiden van gebruikersprofielen maakt gebruik van de DataIgloo service om registersleutels om te leiden. Het profiel van de aangelogde gebruiker kan niet omgeleid worden Als U met Roaming Profiles werkt dan is het sowieso aan te raden om nieuwe gebruikersprofielen om te leiden zoniet zal het aanloggen telkens zeer lang duren omdat na een herstart alles weer verdwenen is tgv de werking van Deep Freeze Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is pagina 49

-

Voor Windows 7 was het eenvoudigweg mogelijk om een profiel te copiëren naar het default profiel van een PC. Wanneer u nu in Windows 7 of 8 gebruik maakt van (oude) utilities zoals WindowsEnabler dan onstaan er o.a. problemen bij het redirecten van nieuwe gebruikersprofielen dmv DataIgloo. De enige officiële manier is om gebruik te maken van Sysprep maar dat is relatief complex. Met de gratis utility DefProf kan u echter net hetzelfde bereiken en deze utility doet wel alles volgens de regels van de kunst. Hebt u bijvoorbeeld een gebruiker “setup” aangemaakt en wenst u het profiel van die gebruiker als default profiel in te stellen dan type je gewoon in de command line:

defprof c:\users\setup waarna de utility het profiel “setup” zal copiëren naar het default profiel. DefProf kan u downloaden via deze link: https://www.forensit.com/support-downloads.html#DefProf


17.4 Profielen verwijderen op het einde van een schooljaar We zagen hiervoor hoe u op een gemakkelijke manier profielen kan omleiden maar na afloop van een schooljaar staan er natuurlijk een hele hoop profielen op elke PC van de diverse gebruikers tijdens het schooljaar.U mag deze profielen niet zomaar gewoon wissen want dan geraakt Windows het noorden kwijt (veroorzaakt problemen met register) Opnieuw is er een erg handige gratis tool om dit op te lossen: DelProf2

Door gebruik te maken van deze eenvoudige opdrachtregel: DelProf2.exe /u /ed:Leerkracht /ed:Administrator verwijdert u alle profielen behalve het profiel “Leerkracht” & “Administrator” Voor meer details kan u terecht op de site van de maker: http://helgeklein.com/free-tools/delprof2-user-profile-deletion-tool/


17.5 Image maken van Master PC met Deep Freeze Eén van de manieren om Deep Freeze uit te rollen over een groot aantal PC’s is dmv imaging. Deep Freeze is compatible met de meeste imaging programma’s zoals Ghost, CloneZilla, TRK, Acronis etc. U dient er enkel voor te zorgen dat de PC die u gaat imagen zich in “thawed” mode bevindt en dat u de Clone flag heeft ingesteld.

De Clone Flag is niets meer dan een vlag in het register; als u een image op een nieuwe PC plaatst en dit voor de eerste keer opstart dan zal Deep Freeze nagaan of deze vlag is ingesteld. Is de vlag ingesteld dan zal Deep Freeze nazien hoe groot de schijf is waarop u het image heeft geplaatst. Het is namelijk mogelijk (afhankelijk van het door u gebruikte imaging programma) om images op een kleinere of grotere disk te zetten en Deep Freeze weet natuurlijk graag hoe groot die schijf is want Deep Freeze schrijft enkel in het ongebruikte gedeelte van een schijf.

Opgelet als U Deep Freeze Enterprise gebruikt en u images uitrolt via WDS: Windows Deployment Services gaat niet correct om met Thawspaces en zal deze corrupt maken bij het deployen. Oplossing in dit geval is om enkel een workstation seed of core agent te installeren op de master PC en pas nadien als de images zijn uitgerold, Deep Freeze te installeren via de Enterprise console. We komen hier later op terug in de oefeningen. Bovendien zorgt deze methode ervoor dat uw images compact blijven want Thawspaces kunnen al snel uw images enkele gigabyte groter maken.


17.6 Deep Freeze Standard verwijderen De installatie van Deep Freeze kan niet zomaar ongedaan gemaakt worden: dit zou voorbijschieten aan de opzet van het programma… U dient 2 stappen uit te voeren: de PC ontdooien & daarna de installer opnieuw uitvoeren. In de plaats van een “Install” knop zal u een “Uninstall” knop zien:

Zorg ervoor dat U Deep Freeze deinstalleert zodat we straks kunnen aanvangen met de Enterprise versie! Omdat we in een virtuele omgeving werken kan u eventueel ook via VirtualBox het “Clean” snapshot terugzetten (verwijderen hoeft dan niet)

Alternatief: Klik op de Virtualbox menu-selectie Machine / Close en selecteer “Power off the machine” + vink aan “Restore snapshot...”


18

Deep Freeze Enterprise installeren

Systeemvereisten: Dezelfde als voor het OS + minimaal 10% vrije schijfruimte Deep Freeze Enterprise bestaat uit 2 componenten: een console + een configuration administrator die typisch op een server worden geïnstalleerd alhoewel u net zo goed de installatie kan uitvoeren op bijvoorbeeld een gewoon werkstation. Met de console beheert u de computers waarop Deep Freeze is geïnstalleerd, met de Configuration Administrator maakt u installers aan van Deep Freeze Enterprise om te installeren op de leerling PC’s. U kan zo installers aanmaken afgestemd op de diverse behoeften van verschillende klassen, afdelingen etc. De Enterprise console kan ook “op afstand” bediend worden dwz u kunt perfect de console installeren op een server en vervolgens ook een installatie uitvoeren (van enkel het userinterface gedeelte van de console) op bijvoorbeeld uw laptop, dat dan zal communiceren met de feitelijke console op de server. Dit is een meer geavanceerde manier van werken die we hier even buiten beschouwing laten maar het is goed om te weten dat het kan. De installatie op een server (of een PC die 24/24 aan staat) geniet de voorkeur omdat de console bijvoorbeeld ook kan gebruikt worden om ’s nachts PC’s dmv Wake On Lan (WOL) aan te zetten om daarna bijvoorbeeld Windows Update of Ninite Pro uit te voeren. We voeren de installatie uit op de ICT-CO PC Dubbelklik op de Deep Freeze Enterprise installer DFEnt.exe, Geef de licentiecode in of vink aan dat u een evaluatie wil gebruiken en laat de installer verderlopen. De installatie neemt slechts enkele seconden in beslag:

Nadat u op OK geklikt heeft krijgt u een scherm waarin u gevraagd wordt om een customisatie code in te geven; dit is een code waarmee al de software componenten verleuteld worden zodat er “rogue” installaties geen invloed hebben op uw netwerk (bijvoorbeeld een leerling die een trial zou installeren van Deep Freeze Enterprise…) Gebruik een sterke customisatie code net als u doet voor.

Om te vermijden dat iedereen elkaars PC’s zal zien tijdens de cursus is het belangrijk dat iedere deelnemer een eigen customisatiecode gebruikt. Gebruik daarom de volgende code: “Test1234-xx” waarbij “xx” staat voor uw volgnummer op de aanwezigheidslijst. Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is pagina 54

In het volgende scherm krijgt u de gelegenheid om de customisatie code af te drukken; het is aangeraden om dit te doen en de afdruk op een veilige plaats te bewaren want de customisatie code kan achteraf niet achterhaald worden (ook niet door Faronics) TIP: U zou de code bijvoorbeeld ook kunnen bewaren in de Keepass Password manager. TIP: gebruik als customisatiecode bijvoorbeeld uw master paswoord; de kans dat u dat vergeet is eerder klein.

Met behulp van het hulpprogramma DFINIT kan u de customisatiecode eventueel veranderen (Opgelet hiermee!)

Wanneer u op Finish klikt is de installatie afgerond. Er werden 2 programma’s geïnstalleerd:


Het console programma zal starten en indien u een licentiecode heeft ingegeven dan zal u zien dat er een “Cloud” knop bij is geïnstalleerd: Console in trial versie zonder “cloud connector” knop:

Console met Deep Freeze licentiecode & “cloud connector” knop:

Op aanvraag kan u een utility downloaden die een trial console voorziet van een cloud connector:

Het gebruik van de cloud (connector) wordt later besproken.


18.1 Aanmaak van een Deep Freeze Enterprise installer Vooraleer we met het console programma aan de slag kunnen om PC’s te beheren, hebben we natuurlijk PC’s nodig om te kunnen beheren en op die PC’s moet natuurlijk Deep Freeze Enterprise geïnstalleerd zijn… Start alvast de leerling PC’s op (W7 & W8.1) Terwijl de leerling PC’s opstarten gaan we alvast aan de slag met de Deep Freeze Configuration Administrator:

De Deep Freeze Configuration Administrator is in feite een hulpmiddel om executables van Deep Freeze Enterprise aan te maken. Deze executables zal u later installeren op de leerling PC’s. Al naargelang de klas of de afdeling kan u verschillende executables maken met verschillende eigenschappen. Het aanmaken van een Deep Freeze Enterprise executable komt neer op het aflopen van een aantal tabbladen en de nodige instellingen te doen. Laten we eenvoudig beginnen:

18.1.1 Paswoord In de paswoord tab geven we een paswoord in (cfr het paswoord in Deep Freeze standaard)

We raden u aan om paswoord als eerste paswoord uw “master / algemeen” paswoord te gebruiken dat u aan niemand toevertrouwt. Nadien kan u nog 14 extra paswoorden ingeven wat handig is als u er bijvoorbeeld een stagiair bij krijgt. We komen hierop terug. Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is pagina 57

18.1.2 Te bevriezen drives

Deselecteer alle drives en selecteer nadien enkel drive C: zodat drive E: van de leerling PC’s niet bevrozen wordt en we er permanent data op kunnen bewaren. Als u op school niet beschikt over leerling PC’s met 2 of meer partities dan kan u in dit scherm tot max 8 virtuele drives aanmaken (zgn Thawspaces) Bij wijze van oefening maken we er 2 aan van 100 Mb: drive T: die zichtbaar zal zijn in de windows verkenner en drive U: die onzichtbaar zal zijn. Een onzichtbare thawspace is bijvoorbeeld handig om registersleutels naar te redirecten / om te leiden. Noteer wel dat u best pas nadien een thawspace verbergt nadat u met DataIgloo de redirection hebt uitgevoerd want het dialoogvenster in DataIgloo waarmee u een disk moet kiezen, kan geen verborgen disks zien. Het zichtbaar of onzichtbaar maken kan u rechtstreeks in Deep Freeze op de Leerling PC (of de master PC)


18.1.3 Workstation tasks

In dit tabblad kan u diverse taken definiëren die in de executable zullen worden “gebakken”. Wndows Update taak: Als deze taak wordt uitgevoerd zal de PC ontdooid worden en Windows Update uitgevoerd worden. Nadat de taak is afgelopen zal de PC weer bevrozen opstarten. Een Windows Update taak laat u bijvoorbeeld op woensdagnamiddag lopen want Microsoft geeft meestal zijn updates vrij op een dinsdag (patch Tuesday) Voeg een Windows Update taak bij:


Het volgende tabblad (Windows Update) zal automatisch geselecteerd worden:

Geef aan dat u wenst dat de updates gecached worden. Deze manier van werken heeft als voordeel dat de PC Windows updates zal downloaden op een random tijdstip en bewaren in de speciale thawspace die Deep Freeze hiervoor voorziet. Het voordeel van deze manier van werken (in tegenstelling tot de keuze “Do not cache Windows updates”) is dat niet alle PC’s tegelijk de updates gaan downloaden als de taak gestart wordt want dan kan u een bandbreedte probleem krijgen… Voor Windows 10 raden we u aan altijd gebruik te maken van deze cache! Opmerkingen: - Deep Freeze installeert enkel security & critical updates tenzij u met een WSUS server werkt want dan kunnen alle door u goedgekeurde updates geïnstalleerd worden. - Let erop dat u ruim meer dan 5 GB vrije ruimte hebt op een Leerling PC zoniet kan de thawspace niet aangemaakt worden! Een sterk gefragmenteerde PC heeft mogelijk wel meer dan 5 GB vrij maar toch kan het zijn dat dan de thawspace niet kan aangemaakt worden waardoor de installatie mislukt. - De geïnstalleerde updates verschijnen in de Windows Update historiek & in een apart logbestand: (Het logbestand bevat informatie over het verloop van de Windows Update sessie zelf en geeft meer informatie dan enkel het overzicht van geïnstalleerde updates via het controlepaneel) Voor 32bit systemen: C:\Program Files\Faronics\Deep Freeze\Install C-0\DFWuLogfile.log Voor 64bit systemen: C:\Program Files (x86)\Faronics\Deep Freeze\Install C-0\DFWuLogfile.log Opmerking: Windows Update taken en Batch file taken ontdooien eerst de PC, voeren dan de feitelijke taak uit (Windows Update of de Batch file) en daarna wordt de PC weer bevrozen.

Taken worden enkel uitgevoerd als... de PC bevrozen is (!) Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is pagina 60

Voorbeeld van wat u in het bestand DFWuLogFile.log te zien krijgt: 2013-03-13 14:05:35 :: :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 2013-03-13 14:05:35 :: Deep Freeze is starting Windows Updates session ... 2013-03-13 14:05:35 :: Randomized delay = 10 min 2013-03-13 14:15:35 :: Windows Update Agent (WUA) Initialization SUCCEEDED. 2013-03-13 14:15:35 :: Major version of WUA API = 8 2013-03-13 14:15:35 :: Minor version of WUA API = 0 2013-03-13 14:15:35 :: Product version = 7.8.9200.16451 2013-03-13 14:15:35 :: Searching = Microsoft Windows Update Site 2013-03-13 14:15:35 :: Server Selection = Microsoft Windows Update Site 2013-03-13 14:15:35 :: Searching Critical and Security Categories Software Updates 2013-03-13 14:15:42 :: Result Code = Succeeded 2013-03-13 14:15:42 :: 0 ==> warning(s)/exception(s) during searching. 2013-03-13 14:15:42 :: Search ==> Found 5 update(s). 2013-03-13 14:15:42 :: Search [1]: KB2807986: Beveiligingsupdate voor Windows 8 voor x64systemen [UpdateClassification : Security Updates, Product : Windows 8] 2013-03-13 14:15:42 :: Search [2]: KB2812822: Update voor Windows 8 voor x64-systemen [UpdateClassification : Critical Updates, Product : Windows 8] 2013-03-13 14:15:42 :: Search [3]: KB2809289: Cumulatieve beveiligingsupdate voor Internet Explorer 10 voor Windows 8 voor x64-systemen [UpdateClassification : Security Updates, Product : Windows 8] 2013-03-13 14:15:42 :: Search [4]: Update voor Internet Explorer Flash Player voor Windows 8 voor x64-systemen (KB2824670) [UpdateClassification : Critical Updates, Product : Windows 8] 2013-03-13 14:15:42 :: Search [5]: KB2811660: Update voor Windows 8 voor x64-systemen [UpdateClassification : Critical Updates, Product : Windows 8] 2013-03-13 14:15:42 :: Downloading [1]: KB2807986: Beveiligingsupdate voor Windows 8 voor x64systemen 2013-03-13 14:15:56 :: Result Code = Succeeded 2013-03-13 14:15:56 :: Downloading [2]: KB2812822: Update voor Windows 8 voor x64-systemen 2013-03-13 14:16:16 :: Result Code = Succeeded 2013-03-13 14:16:16 :: Downloading [3]: KB2809289: Cumulatieve beveiligingsupdate voor Internet Explorer 10 voor Windows 8 voor x64-systemen 2013-03-13 14:17:14 :: Result Code = Succeeded 2013-03-13 14:17:14 :: Downloading [4]: Update voor Internet Explorer Flash Player voor Windows 8 voor x64-systemen (KB2824670) 2013-03-13 14:17:25 :: Result Code = Succeeded 2013-03-13 14:17:25 :: Downloading [5]: KB2811660: Update voor Windows 8 voor x64-systemen 2013-03-13 14:18:40 :: Result Code = Succeeded 2013-03-13 14:18:40 :: Installing [1]: KB2807986: Beveiligingsupdate voor Windows 8 voor x64systemen 2013-03-13 14:19:09 :: Result Code = Succeeded 2013-03-13 14:19:09 :: Installing [2]: KB2812822: Update voor Windows 8 voor x64-systemen 2013-03-13 14:19:22 :: Result Code = Succeeded 2013-03-13 14:19:22 :: Installing [3]: KB2809289: Cumulatieve beveiligingsupdate voor Internet Explorer 10 voor Windows 8 voor x64-systemen 2013-03-13 14:19:48 :: Result Code = Succeeded 2013-03-13 14:19:48 :: Installing [4]: Update voor Internet Explorer Flash Player voor Windows 8 voor x64-systemen (KB2824670) 2013-03-13 14:19:58 :: Result Code = Succeeded 2013-03-13 14:19:58 :: Installing [5]: KB2811660: Update voor Windows 8 voor x64-systemen 2013-03-13 14:21:11 :: Result Code = Succeeded 2013-03-13 14:21:11 :: Installed Updates = 5 2013-03-13 14:21:11 :: ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::


Schakel terug naar het tabblad “Workstation Tasks” en voeg een Shutdown taak toe zoals getoond:

Deze taak zal uw directie bijzonder gelukkig maken; door een PC konsekwent uit te schakelen in plaats van de hele nacht / weekend / vakantie te laten aan staan kan u makkelijk 25€ per PC en per jaar besparen aan elektriciteit (!) Alleen al door deze feature betaalt Deep Freeze zich terug in minder dan een jaar! U kan meerdere shutdown taken instellen (bv om op woensdag om 13 uur de PC’s uit te zetten)

De andere types taken die u kan instellen zijn: Restart Met een restart taak - bijvoorbeeld tussen de middag- zorgt u ervoor dat een PC weer clean klaar staat voor de lessen in de namiddag want herstarten van een PC waarop Deep Freeze is geïnstalleerd, betekent de PC weer terug in zijn oorspronkelijke “cleane” staat brengen. Idle Time Wat te doen na een periode van inactiviteit? De PC uitzetten? De PC opnieuw opstarten? Het kan allemaal met een “Idle Time” taak! Opmerking: de “Idle Ttime” timer begint pas te lopen na initiële activiteit zoals toetsaanslag of muisbeweging (!) Batch File Tijdens een Batch File taak kan u bijvoorbeeld Anti-Virus definities bijwerken oor middel van een… Batch File! In de bijlages vindt u diverse voorbeelden voor typische third party Anti-Virus programma’s. Die batch files zijn natuurlijk maar goed zolang de Anti-Virus fabrikant niet iets verandert waardoor ze niet meer werken en dat is meteen het nadeel om te werken met een traditionele Anti-Virus. Faronics Anti-Virus heeft dit nadeel niet omdat Faronics perfect controle heeft over waar/wat wordt weggeschreven door zijn eigen Anti-Virus, iets wat onmogelijk is voor de vele andere Anti-Virus pakketten die op de markt zijn om nog maar te zwijgen van de diverse versies die men in gebruik heeft...


Thawed Period Dit is handig als u bijvoorbeeld op regelmatige tijdstippen onderhoud uitvoert; de thawed period zal ervoor zorgen dat uw PC’s klaar staan in ontdooide modus zodat u bijvoorbeeld software kan pushen via active directory. Let wel op dat u toetsenbord en muis vergrendeld zodat een toevallige gebruiker de PC niet kan bedienen tijdens deze thawed period!


Wake On Lan (WOL) Ondertussen zal u zich misschien afvragen hoe bijvoorbeeld een Windows Update taak kan uitgevoerd worden op woensdagmiddag om 13:00 als de leerlingen de PC’s reeds zouden hebben uitgezet? Daarvoor gebruiken we de console (die is geïnstalleerd op een PC die 24/24 aan staat) waarmee we een Wake On Lan pakket kunnen sturen over het netwerk (niet over een WLAN netwerk) We komen hier later op terug.

De leerling PC’s moeten natuurlijk zo geconfigureerd zijn dat ze mogen wakker gemaakt worden en in de BIOS moet WOL natuurlijk enabled zijn...

Opmerkingen & tips: -

Als een PC uit staat dan moeten de groene & oranje led’s aan de ethernet connector flitsen zoniet betekent dit dat de ethernet kaart geen spanning krijgt en dan is WOL sowieso onmogelijk: controleer dan de bios instellingen. Laptops hebben vaak geen ethernet connector met led’s.

-

Managed netwerkswitches laten vaak een WOL broadcast niet door by default (herconfiguratie nodig)

-

Deep Freeze gebruikt broadcasting en directed IP packets om het WOL magic packet tot bij de wakker te maken computer te krijgenen gebruikt de volgende poorten (TCP & UDP): 7725 (Deep Freeze 7.x Port) 1971 (Deep Freeze 5.x Port) 9 (Discard Port) 21 (FTP) 7 (Echo) 65535 (Dynamic Port)

-

de

Beperk Wake On Lan tot magic packets (het 3 vinkje in de afbeelding hierboven) om te voorkomen dat PC’s “zo maar” opstarten door Windows Explorer/Verkenner broadcasts van bv een server.


-

Sommige PC’s hebben een Deep Sleep mode hebben in hun BIOS die u moet uitschakelen om Wake On Lan mogelijk te maken:

-

Laptops beschikken vaak niet over een Wake On Lan mogelijkheid.

-

In sommige omstandigheden kan het ook nodig zijn om de netwerkdriver van uw netwerkkaart bij te werken ook al zegt Windows Update dat alles OK is; Windows installeert namelijk zgn referentie drivers of zeg maar standaard drivers. Als u echter gaat kijken op de website van de fabrikant van de netwerkkaart dan zijn er meestal veel recentere drivers beschikbaar met veel meer instelmogelijkheden en meestal ook een betere ondersteuning van Wake On Lan.

Microsoft “referentie” driver Intel driver -

Intel driver

Sommige PC’s hebben in hun BIOS een feature om de PC op bepaalde dagen/uren automatisch op te starten (afhankelijk van merk, type & versie BIOS)


-

Voor desktops kan u soms ook een oplossing vinden door een PCI netwerkkaart te gebruiken als dan niet voorzien van een speciaal Wake On Lan kabeltje dat de kaart voorziet van voedingsspanning als de PC uitgeschakeld is.(Zonder dat kabeltje kan een PCI kaart in vele gevallen ook onder spanning blijven in tegenstelling tot de ingebouwde netwerkkaart op het motherboard.

Wake On Lan is een standaard maar ook weer geen; het is dus een behoorlijk rommeltje en het vraagt best wat inspanning om het aan de praat te krijgen maar het loont beslist de moeite; u kan dan bv met 1 klik een volledige klas aanzetten en uiteraard alle Deep Freeze taken ’s nachts laten lopen! Zo heeft Microsoft de ondersteuning voor Wake On Lan naar verluid beperkt tot wakker maken vanuit slaapstand (vanaf W8.x) zie https://support.microsoft.com/en-us/kb/2776718 maar afhankelijk van hardware merk/type , netwerkkaart type etc is het toch mogelijk om het wel te gebruiken vanuit uitgeschakelde toestand ook op Windows 8.x.

Een beetje Googlen zal u heel veel elkaar tegensprekende en verwarrende informatie bezorgen. Deep Freeze doet in ieder geval een maximale poging om een magic packet tot bij uw computers te krijgen: via broadcast & directed IP pakketten (deze info kan nuttig zijn voor de beheerders van uw switches)


18.1.4 Advanced options We laten de Batch File tab even voor wat ie is en selecteren meteen de Advanced options tab. Network Options We laten de netwerk opties op LAN staan; hierdoor zal een leerling PC met Deep Freeze Enterprise er op een pakket uitzenden over het netwerk dat opgevangen wordt door de console (servergedeelte). Nadeel is dat het even duurt vooraleer alle PC’s in een netwerk zichtbaar zijn bij het opstarten van de console (servergedeelte). Indien we de LAN/WAN optie zouden nemen dan dient u een vast IP adres of DNS naam in te geven waarnaar de leerling PC’s kunnen rapporteren (de PC met de console (servergedeelte) er op geïnstalleerd). Disable command line options Hiermee schakelt u de command line opties van Deep Freeze uit en kan u dus Deep Freeze niet beheren via de opdrachtregel. Enable Deep Freeze local policies Hiermee schakelt Deep Freeze de volgende lokale policies uit ivm een verhoogde veiligheid: Debuggen van programma’s, Firmware aanpassingen en systeemtijd aanpassen Allow user to change clock Opgelet hiermee want zo kan een taak “uitgelokt” worden! Manage Secure channel password Dit wordt uitvoerig in de handleiding beschreven / belangrijk in een domein structuur. Best aangevinkt laten. Restart on logoff De “Restart on logoff” optie is standaard niet geselecteerd; deze optie is handig als u er zeker wil van zijn dat na het afloggen van een gebruiker de PC weer helemaal clean is. Protect Master Boot Record (MBR) Best laten aanstaan; Deep Freeze zal dan niet alleen partities bevriezen maar ook het MBR! Malware die door de mazen van het net glipt van uw Anti-Virus oplossing en zich nestelt op het MBR zal hierdoor bij de volgende herstart weer verdwenen zijn!


18.1.5 De configuratie bewaren Al wat we totnogtoe hebben gedaan is een configuratie ingesteld. We kunnen deze bewaren dmv een RDX bestand (klik op de knop Save As) en geef een betekenisvolle naam:

Dit RDX bestand is een puur configuratiebestand, nog steeds hebben we geen executable. Het is een goed idee om een versienummer in de naam op te nemen want u kan nadien een installatie herconfigureren met zo’n RDX bestand (push via console); in de console ziet u dan de naam van het rdx bestand van elke PC. Als u steeds dezelfde naam gebruikt dan is het niet meer duidelijk welke configuratie op een PC staat. Voeg dus steeds een versie toe aan de naam bv: “LOK1A-v3”


18.1.6 Aanmaak executable Daarvoor klikt u op de “Create” knop, selecteert u “Create Workstation Install program” en weerom geeft u een betekenisvollenaam aan de executable, liefst in lijn met de naam van het RDX configuratiebestand:

U kan in feite zoveel executables maken als u wil; afgestemd op de typische noden van een klas, afdeling etc. De aangemaakte executable gaan we nu “uitrollen” op de leerling PC’s of installeren op de master PC om er later een image van te maken.


18.2 Uitrol Deep Freeze dmv Workstation Install program Als u met de Enterprise console werkt is uitrol in feite het installeren van software op traditionele manier: -

PC per PC via USB stick of netwerk share Via group policy als MSI pakket mbv de MSI packager die bij Deep Freeze zit Via software distrubutie software zoals bijvoorbeeld Altiris Via RDC Via workstation seed Etc…

In deze oefing gaan we manueel werken en gebruiken we de virtualbox shared folder. Copieer de Deep Freeze executable die u net heeft aangemaakt en bewaard in de default locatie C:\Program Files\Faronics\Deep Freeze 7 Enterprise\Install Programs naar de netwerkdrive F: Start de Leerling PC op mocht u dit nog niet gedaan hebben en installeer Deep Freeze Enterprise adhv de executable in de netwerkdrive F: (de virtualbox shared folder)

De PC zal automatisch herstarten. In bevrozen mode.


Keer terug naar de ICT-co PC en start de Enterprise Console op: Klik op ”Entire Network” en na enkele seconden zal u de leerling PC zien verschijnen in de console:

Versie 7.7 toont diverse extra kolommen met informatie over uw leerling PC’s in vergelijking met vorige versies. Dit is een voorbeeld van de constante evolutie van het produkt. Wie actief onderhoud heeft, kan altijd de meest courante versie van het programma downloaden en zo mee genieten van de steeds verbeterende functionaliteit. Faronics is een klant gedreven bedrijf dus ook uw input/suggestie kan vroeg of laat in het produkt geraken! Wij staan in nauw contact met de ontwikkelaars dus zend ons aub uw suggesties!


18.3 Uitrol Deep Freeze dmv Workstation seed Start de Configuration administrator op vanuit de console via Tools / Configuration Administrator Klik op de “Create” knop en selecteer “Worksation seed” en bewaar deze direct in de virtualbox shared folder:

Een workstation seed is in feite een stukje communicatiesoftware dat enkel en alleen instaat voor de communicatie met de console (servergedeelte).

Start de Leerling 2 PC (W8.1) op mocht u dit nog niet gedaan hebben en installeer de seed adhv de executable in de netwerkdrive F: (de virtualbox shared folder)


De PC zal automatisch herstarten. Keer terug naar de ICT-co PC. Open de Enterprise console en wacht totdat u ook de W8.1 PC ziet verschijnen in het overzicht:

Het icoontje geeft aan dat de LEERLING-2 PC een zgn “Target” machine is; gereed om Deep Freeze op te installeren vanuit de console. Rechtsklik op de PC en selecteer “Install”


Blader naar de locatie waar u de Deep Freeze Enterprise installer heeft bewaard en selecteer de executable:

Deep Freeze zal worden geinstalleerd op de Target PC en na een tijdje zal ook die PC verschijnen in de console met het Frozen icoontje:


Deze manier van werken is bijvoorbeeld nuttig in die gevallen waar uw imaging software niet overweg kan met Thawspaces of wanneer u uw images compact wil houden.


18.4 Beheren van een PC via de Console Als u rechtsklikt op een PC in de console dan krijgt u meteen een overzicht van de beheersmogelijkheden die u ter beschikking heeft. U kan ahw vanop uw laptop PC’s in een klas gaan beheren. We overlopen de verschillende mogelijkheden:


Een krachtige feature is het updaten van de configuratie: u krijgt er bijvoorbeeld een stagiair bij en wenst hem of haar een eigen paswoord te geven voor het beheer van Deep Freeze, of u wenst de PC’s op een ander tijdstip uit te schakelen. Voor het ingeven van een extra paswoord start u de Configuration Administrator en opent u het RDX bestand of de executable die u eerder heeft aangemaakt en geeft u een extra paswoord in eventueel met een timeout als de stagiair bijvoorbeeld maar tot 31/12/2013 blijft.

Klik op de “Save As” knop en geef een betekenisvolle naam (vb DepFrz config 2.rdx): Schakel terug naar de console, rechtsklik op een PC in het overzicht en selecteer “Update Configuration” De nieuwe configuratie wordt gepushed naar de geselecteerde PC(‘s)

Vergewis u ervan dat het nieuwe paswoord aanvaard wordt op de geselecteerde PC door lokaal op die PC aan te loggen in Deep Freeze. (Shift + Dubbelklik op icoontje) Opmerking: Een configuration update kan zowel op een bevrozen als een niet bevrozen PC.


Een handige feature sinds versie 7.7 is dat u nieuwe configuraties kan aanmaken in de console en deze daar bewaren net zoals groepen:

Rechtsklik op Deep Freeze en selecteer “Create new configuration” waarna u de configuration administrator in licht verschillende uitvoering ziet verschijnen:

Maak een configuratie aan, klik op OK en geef een naam bv “test”


U kan nu een PC updaten met de nieuwe configuratie “test”

Het handige aan deze feature is dat u de configuratie kan kiezen en meteen alle PC’s ziet die van die configuratie werden voorzien: (in de kolommen van de console kan u ook de naam van de configuratie zien)


18.5 Software pushen via de Enterprise console U kan op 2 manieren te werk gaan: Een MSI of EXE pakket dat u ter beschikking hebt op de Console PC pushen naar de clients en daar installeren (= Remote Push & Launch) Opgelet: er geldt een beperking van 50 Mb voor het te installeren bestand! Demo met ProPhototools.msi of een MSI of EXE pakket dat beschikbaar is op een share uitvoeren om te installeren (geen 50Mb beperking): Demo met GeoGebra.msi

In het voorbeeld hierboven staat het pakket GeoGebra.msi op de share \\vboxsrv\vboxshare Zie ook de geoGebra website http://wiki.geogebra.org/en/Reference:GeoGebra_Mass_Installation:


18.6 De Enterprise Console In de Enterprise console kan u gemakkelijk groepen aanmaken om het beheer te vereenvoudigen. Bijvoorbeeld per klas:

Om een PC(‘s) in een groep toe te voegen sleept u deze uit het algemene overzicht van de console naar de respectievelijke groep. In de Console kan u ook taken gaan inplannen: bijvoorbeeld om de PC’s in een klas wakker te maken dmv Wake On Lan. U kan groepen of individuele PC’s naar in de taak slepen. Let er op dat u een Wake On Lan taak een tijdje vóór een eventueel maintenance event laat starten zodat alle PC’s zeker opgestart zijn en het maintenance event doorgang kan vinden! (15 minuten)


18.7 Wake On Lan utilities Het is makkelijk om vooraleer u aan de slag gaat met Wake On Lan schedules in Deep Freeze na te gaan of Wake On Lan wel degelijk werkt in uw netwerk. Met deze 2 eenvoudige & gratis utilities komt u al een heel eind: WOLsniffer http://www.profshutdown.com/download/wolsniffer.zip utility om te kijken of WOL pakket aankomt op uw pc WakeMeOnLan http://www.nirsoft.net/utils/wake_on_lan.html utility om WOL pakket te sturen Voer WekeMeOnLan uit op de console PC en voeg een leerling PC toe dmv zijn MAC adres en naam (of scan uw netwerk dmv de knop met het groene pijltje):

Het magic packet dat werd verstuurd naar de leerling PC wordt getoond als u de WOLsniffer uitvoert op de leerling PC.

Als het Wake On Lan magic Packet aankomt op de leerling PC dan weet u dat uw switch de Wake On Lan broadcast niet tegenhoudt. Zet vervolgens de leerling PC uit gedurende minimaal 30 minuten en probeer dan de leerling PC opnieuw wakker te maken. Indien dit niet lukt dan houdt uw switch de Wake On Lan broadcast pakketten wel tegen en moet u deze instelling (laten) veranderen. De reden dat het wel werkt terwijl uw PC aan staat en tot 30 minuten na uitzetten is dat managed switches een zgn ARP cache tabel bijhouden en zodoende weten welk mac adres op welke poort zit.


19

Updaten van populaire software met Ninite Pro

Het up to date houden van een Windows PC vraagt heel wat werk; Deep Freeze komt u hier al een heel eind in tegemoet door Windows Updates te cachen en te installeren tijdens een Windows Update taak. Maar wat met alle extra software zoals Flash, Java, Adobe Reader, Chrome, FireFox ? Onbegonnen werk! Tenzij u gebruik maakt van een Deep Freeze Batch file taak in combinatie met NinitePRO! Gebruik de Enterprise console om de Leerling PC te ontdooien (of doe dit manueel op de Leerling PC zelf) Schakel naar de leerling PC en copieer vervolgens het programma “ninitepro.exe” uit de downloads folder naar de folder C:\nnp (folder aanmaken) Maak een shortcut naar ninitepro.exe aan en neem vervolgens de eigenschappen van de shortcut en wijzig de target door er een demo licentiecode aan toe te voegen: /license [email protected]

Dubbelklik op de shortcut en het programma zal starten. Er is geen installatie nodig (portable applicatie) De shortcut aanmaken moet u NIET doen onder normale omstandigheden als u Ninite Pro zou wensen te gebruiken in uw school. De shortcut dient hier enkel om u Ninite Pro op een interactieve manier te tonen. In combinatie met Deep Freeze werkt Ninite Pro namelijk in de silent (unattended) mode en dan wordt de licentiecode via een batch parameter meegegeven.


Een overzicht van de software die automatisch kan bijgewerkt worden door NinitePRO verschijnt: Klik op de link “Select updates” en scroll een beetje naar beneden. NinitePro heeft vastgesteld dat er 2 programma’s dienen bijgewerkt te worden en selecteert deze (Flash & Reader)

Door nu op de “Install” knop te drukken (NIET DOEN AUB) zou u de betreffende programma’s manueel kunnen bijwerken. Het is echter de bedoeling om deze programma’s tijdens een Batch File taak vanuit Deep Freeze te laten bijwerken. Opmerking: In de titelbalk van het Ninite Pro venster ziet u “Ninite One” als naam van het programma; dit is een historisch iets. Op een goede dag zal dit hernoemd worden naar Ninite Pro. Dat zal automatisch gebeuren want Ninite Pro werkt zichzelf automatisch bij telkens het wordt opgestart.


Open de RDX file van de oorspronkelijke configuratie in de configuration administrator en selecteer de Batch File tab:

Definieer een batch file c:\nnp\ninitepro.exe /license [email protected] /silent /updateonly /disableshortcuts /disableautoupdate

.>>c:\nnp\report.txt

/outputformat

verbose

Als we deze CMD file laten uitvoeren tijden een Deep Freeze Maintenance Batch File taak dan zal NinitePRO ervoor zorgen dat geïnstalleerde programma’s waarvoor updates beschikbaar zijn, bijgewerkt worden (/updateonly) zonder dat er interactie nodig is met de gebruiker (de /silent parameter zorgt ervoor dat NinitePro akkoord gaat met licenties en op “Volgende” drukt etc). Automatische updates worden gedisabled (/disableautoupdate) zodat de gebruikers geen vervelende boodschappen krijgen (“Update beschikbaar”). Er worden ook geen shortcuts aangemaakt op bijvoorbeeld de desktop (/disableshortcuts) Ninite Pro zorgt er ook voor dat er geen extra software wordt geïnstalleerd ter gelegenheid van een update; vaak krijgt u extra toolbars of andere software opgedrongen maar Ninite Pro rekent daar meteen mee af; u krijgt enkel de pure update! Klik op de ”Add Batch File Task” en maak een taak aan die over 5 minuten start en 15 minuten later (de minimum periode) mag beeindigd worden. Dus als het nu 15.00 uur is dan mag de taak starten om 15:05 en eindigen om 15:20

Zie ook Addendum voor meer uitgebreide informatie ivm Ninite Pro!


Bewaar de nieuwe configuratie dmv de “Save As” knop en geef ze de bijvoorbeeld de naam “DepFrz config 3.rdx”

Vervolgens gaan we de configuratie van de leerling PC updaten (rechtsklik op de PC en selecteer Update configuration) dmv dit bestand “DepFrz config 3.rdx”

Hou vervolgens de leerling PC in het oog en zie hoe op het aangeduide uur de PC zal herstarten (de batch file wordt onzichtbaar uitgevoerd) en 15 minuten later zal de PC nogmaals herstarten in bevrozen modus. Updaten van typische software zoals Flash, Reader, Java etc was nog nooit zo eenvoudig! Nadat de PC is herstart in bevrozen modus kan u aanloggen en ninitepro evt lokaal uitvoeren (shortcut met licentiecode nodig): u zal merken dat er geen programma’s meer in aanmerking komen om bijgewerkt te worden. In de folder c:\nnp ziet u een bestand report.txt waarin een summier verslag staat van de update werkzaamheden.


Sluit de Enterprise Console af:

Als u de Enterprise console op een server heeft geïnstalleerd (of een PC die overdag altijd aanstaat) dan neemt u best de voorgestelde keuze als default. Bij het opnieuw starten van de console zal u zo snel alle PC’s weer te zien krijgen. Dit is ook nodig in geval u met een remote console werkt op bijvoorbeeld uw laptop. De Enterprise console langere tijd laten open staan is af te raden, na een bepaalde tijd zal de console zich vergrendelen moet u met een OTP (One Time Password) de zaak ontgrendelen. Mogelijk dient u hiervoor beroep te doen op onze support.


20

Faronics Anti-Virus installeren

Vanaf Deep Freeze Enterprise versie 7.7 kan u met de Enterprise console ook Faronics Anti-Virus beheren. Het grote voordeel van Faronics Anti-Virus is dat u niet met scripts of maintenance events moet werken om de Anti-Virus bij te werken. Faronics Anti-Virus is dus met andere woorden altijd up-to-date zonder dat u er omzien naar heeft. Door het competitieve landschap is de prijs van Faronics Anti-Virus trouwens volledig in lijn met die van andere pakketten. Start de Enterprise console weer op. Neem de menu-selectie “Tools / Licensing / Faronics Anti-Virus license” in de Enterprise console:

Copy / Paste de trial licentiecode die u kreeg in het veld License Key en klik op “Update License” Sluit (Close) en de 32 & 64 bit versies van Faronis Anti-Virus zullen worden geïnstalleerd zodat u ze kan installeren op naar de Leerling PC’s via het netwerk.


U merkt dat er een tab “Anti-Virus” is bijgekomen en dat er een default Anti-Virus policy is aangemaakt. Door te rechts te klikken op deze default Anti-Virus policy kan u deze editeren.

Ontdooi een Leerling PC (‘s)


selecteer daarna (rechts klikken) “Faronics Anti-Virus” gevolgd door “Install Faronics Anti-Virus”

Er verschijnt een dialoogvenster om u de mogelijkheid te geven evt reeds aanwezige Anti-Virus produkten te verwijderen. In principe is het ondanks deze feature nooit geen goed idee om zo tewerk te gaan. Indstallatie op cleane machines geniet duidelijk de voorkeur. Voor Windows 8 wordt de ingebouwde Defender automatisch disabled (want kan niet verwijderd worden) als onderdeel van de default Anti-Virus policy.


Selecteer de tab “Anti-Virus” in de console en zie hoe de status van Anti-Virus op de Leerling PC evolueert van “Protecting” naar “Protected”

Vervolgens kan u vanuit de console PC’s gaan scannen, quarantaine bekijken etc.


U kan een test doen door de EICAR test file in de downloads folder te editeren zoals aangegeven in het tekst document en dit te bewaren ALS een .EXE. Faronics Anti-Virus zal het bestand onmiddellijk blokkeren.


Naast bescherming tegen Malware krijgt u met faronics Anti-Virus ook een eenvoudige oplossing om bepaalde websites te blokkeren!


21

Bijlages

21.1 Bijlage 1: MCAfee bijwerken met DeepFreeze Batch File taak Enter the following in the Batch File field on the Maintenance tab: IF EXIST "C:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe" "C:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe" IF EXIST "C:\Program Files (x86)\McAfee\VirusScan Enterprise\mcupdate.exe" "C:\Program Files (x86)\McAfee\VirusScan Enterprise\mcupdate.exe"

21.2 Bijlage 2: AVG bijwerken met DeepFreeze Batch File Taak Enter the following in the Batch File field on the Maintenance tab: IF EXIST "C:\Program Files\AVG\AVG2012\avgmfapx.exe" "C:\Program Files\AVG\AVG2012\avgmfaps.exe" /AppMode=UPDATE /source=inet IF EXIST "C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe" "C:\Program Files (x86)\AVG\AVG2012\avgmfapx.exe" /AppMode=UPDATE /source=inet

21.3 Bijlage 3: Windows Defender (W8.x) bijwerken met Deep Freeze Batch File taak Enter the following in the Batch File field on the Maintenance tab: IF EXIST "C:\Program Files\Windows Defender\MPCMDRUN.EXE" "C:\Program Files\Windows Defender\MPCMDRUN.EXE" -signatureupdate IF EXIST "C:\Program Files (x86)\ Windows Defender\MPCMDRUN.EXE" "C:\Program Files\Windows Defender\MPCMDRUN.EXE" -signatureupdate

21.4 Bijlage 4: Updating Symantec during DeepFreeze maintenance Enter the following in the Batch File field on the Maintenance tab: IF EXIST "C:\Program Files\Symantec\LiveUpdate\LUALL.EXE" "C:\Program Files\Symantec\LiveUpdate\LUALL.EXE" /S IF EXIST "C:\Program Files (x86)\Symantec\LiveUpdate\LUALL.EXE" "C:\Program Files (x86)\Symantec\LiveUpdate\LUALL.EXE" /S


21.5 Bijlage 5: Microsoft Security Essentials updaten zonder maintenance event Als je weet in welke folders een Anti-Virus programma zich installeert en van welke registersleutels het gebruik maakt dan kan je met wat omleidingen ervoor zorgen dat je op een bevrozen PC toch Anti-Virus updates kan doen zonder dat deze verloren gaan bij een herstart en zonder dat een maintenance event nodig is! De hele idee is om VOOR dat u het Anti-Virus pakket installeert u de folders waarin het zich typisch installeert (weet u door eens een testinstallatie te doen) reeds aan te maken en vervolgen dmv DataIgloo deze om te leiden naar een niet bevrozen partitie of thawspace. Vervolgens ook nog de nodige registry keys omleiden met behulp van DataIgloo en klaar! Dit is voor gevorderde gebruikers. Het nadeel van deze methode is dat wanneer een Anti-Virus fabrikant tijdens één van zijn updates beslist om plots een andere of een extra folder te gaan gebruiken - of registersleutel(s) – u dat ook moet weten en eventueel uw installatie aan moet passen… In het hierna volgend voorbeeld gebruiken we Microsoft Security Essentials (MSE). Dit zou je ook voor andere AV kunnen doen; kwestie van de folders te kennen & registry keys. We gaan uit van een configuratie met Deep Freeze Enterprise met verborgen Thawspace (drive T:)) gehost op drive C: Microsoft Security Essentials nog niet geïnstalleerd. Open Deep Freeze en Selecteer “Boot Thawed” (ontdooide modus)

Selecteer de tab Thawspace en maak de thawspace zichtbaar, klik op Apply & reboot


Na herstart DataIgloo installeren dmv de executable Faronics_IGS.exe Maak een folder “Microsoft Security Client” in “C:\Program Files” of “C:\Program Files (x86)” (64 bit) Maak een folder “Microsoft Security Client” in de verborgen map “C:\Documents & Settings\All users\Application data\Microsoft” (XP) of “C:\Programdata\Microsoft” (Vista & W7) Maak een folder “Microsoft Antimalware” in de verborgen map “C:\Documents & Settings\All users\Application data\Microsoft” (XP) of “C:\Programdata\Microsoft” (Vista & W7) Maak een Folder T:\Reg Gebruik DataIgloo folder redirection om de aangemaakte folders om te leiden naar de thawspace T: Installeer Security Essentials. Omdat de directories waarin Security Essentials zich normaal in installeert, reeds bestaan hoeft Security Essentials ze niet meer aan te maken en installeert het programma zich correct. Alleen hebben we dankzij DataIgloo ervoor gezorgd dat de directories niet echt op drive C: staan maar op drive T: (onze Thawspace waar Deep Freeze geen vat op heeft als de PC bevrozen wordt) Hierdoor kunnen er permanent updates binnenkomen op een bevrozen machine) We zijn echter nog niet helemaal klaar. Met DataIgloo moeten we nu nog ervoor zorgen dat de registersleutels van Security Essentials ook worden omgeleid naar T:\Reg


Eventueel kan u ervoor opteren om de menukeuze “DataIgloo” te verwijderen, U kan er steeds aan in de Faronics folders in Program Files of Program Files (x86) Vervolgens de Thawspace (drive T:) weer verbergen in Deep Freeze en de PC bevriezen:

Klik op Apply and Reboot en de configuratie is klaar!

Opmerking: Microsoft Security Essentials mag niet gebruikt worden in het onderwijs conform de Microsoft licentievoorwaarden. We gebruiken het hier enkel bij wijze van voorbeeld. Met de komst van Windows 8 is Security Essentials verdwenen en vervangen door Windows Defender dat standaard zit ingebouwd.


21.6 Bijlage 6: G Data bijwerken met DeepFreeze Thawed Period Taak Het G Data Anti-Virus programma heeft een optie om een dagelijkse update te doen op een welbepaald uur dat u kan instellen. Het volstaat daarom om een “Thawed period” taak te voorzien in Deep Freeze.


22

Addendum: Deep Freeze upgraden

Deep Freeze upgraden komt gewoon neer op de installer uitvoeren “over” de bestaande installatie heen en nadien de werkstations via de console upgraden. Indien u bijvoorbeeld versie 7.70 heeft geïnstalleerd en u wil versie 8.20 installeren dan moet u eerst aanloggen op Faronics Labs (http://www2.faronics.com/en/login.aspx) en daar de installer en bijhorende licentiecode downloaden. De licentiecode verandert bij elke “punt release” U hebt dus in het geval wanneer u van versie 7.70 naar versie 8.20 gaan een nieuwe code nodig. In het geval u bijvoorbeeld van versie 8.20 naar versie 8.22 gaat hebt u geen nieuwe code nodig.


Eerst voeren we een upgrade uit op de console PC waarbij de Enterprise console & Configuration administrator zullen worden geupgrade dmv de executable DFEnt. Zorg er voor dat u de Enterprise console & Configuration administrator eerst afsluit.

Indien u een licentie heeft gekocht geef dan hier ook de licentiecode in want anders eindigt u met een trial versie


Bij een upgrade zullen automatisch de RDX & EXE bestanden in de folder C:\Program Files\Faronics\Deep Freeze Enterprise\Install Programs worden bijgewerkt:

De Enterprise console zal starten en u zal merken dat de PC’s met een oudere versie Deep Freeze in het rood worden aangegeven: (het voorbeeld toont een upgrade van v 7.61 naar 7.71)

Om een PC te upgraden rechtsklikt u en selecteert u “Update” , de PC(‘s) die u wenst te upgraden hoeft zelfs niet (maar mag wel) ontdooid te zijn.


Als u uw RDX & EXE bestanden niet bewaard heeft in de folder C:\Program Files\Faronics\Deep Freeze Enterprise\Install Programs, dan kan u deze bijwerken/updaten door ze te openen in de nieuwe versie van de configuration administrator en ze daarna weer te bewaren. RDX bestanden van een oudere versie zijn niet compatible met die van een nieuwe versie; u kan ze wel openen met de configuration administrator maar niet pushen naar werkstations die een hogere versie van Deep Freeze Enterprise draaien.


23

Addendum: Connecteren met de cloud

Klik op de “cloud connector” knop en geef uw customisatiecode & cloud credentials in:

Login op http://deepfreeze.com


Selecteer de tab “Deep Freeze On Demand”

Dit is het equivalent van de “on premise” console. Het voordeel is dat u via deze cloud console meerdere sites (scholen) in één enkel scherm kan beheren. Daarnaast kan u ook diverse diensten/services gebruiken:





Opmerking: De cloud connector is een apart product dat in de vorm van een subscription (abonnement net als bij een Anti-Virus programma) wordt aangeboden. Klanten met een Deep Freeze Enterprise licentie kunnen de dienst 30 dagen gratis uitproberen. De diensten/service die inbegrepen zijn in de “cloud connector premium” zijn: Data Igloo, WinSelect, Anti-Executable, Software Updater & Usage Stats. De andere diensten/services zoals Anti-Bullying (anti-pesterijen) , Anti-Virus, Power-Save & Deep Freeze Mac zijn opties die u kan verkrijgen tegen extra betaling.

De cloud connector is vooral interessant voor klanten die reeds investeerden in Deep Freeze Enterprise. Voor nieuwe klanten die liever geen “on-premise” versie meer aankopen kunnen meteen de zgn “pure cloud” versie aankopen.


24

Addendum: Deep Freeze Mobile App

De cloud versie vormt het onderwerp van een aparte cursus.


25

Addendum: Ninite Pro v3.24 batch files etc

NinitePro.exe Ninite Pro is a portable application so you can save it anywhere you like. Recommended folder is C:\NNP If you want to deploy it to your network use the supplied MSI file which will copy the NinitePro executable in C:\NNP and create an entry in the list of installed programs (Control Panel / Programs & Features). NinitePro.msi Use this to remotely deploy Ninite Pro to your network. The Ninite Pro executable will be copied in C:\NNP and an entry in the list of installed programs (Control Panel / Programs & Features) will be created. Additional MSI files with different target directories (C:\NinitePro , C:\Ninite Pro , C:\Program Files\Ninite Pro or C:\Program Files (x86)\Ninite Pro) are supplied for your convenience. A good tutorial on how to deploy an MSI file using GPO (Active Directory Group Policy) can be found here: http://www.advancedinstaller.com/user-guide/tutorial-gpo.html EnableRemote.exe Run this program on your workstations (or on the workstation you are using to create a master image from) to adjust the settings in order to enable remote use of Ninite Pro. The following settings will be adjusted: - File & Printer sharing will be enabled (including firewall rule to allow File & Printer sharing) - Simple File Sharing will be disabled - Remote UAC will be disabled


Generally speaking as of Windows Vista the only setting that must be enabled in order for Ninite Pro’s Remote Options to work in a default Windows setup is File & Printer sharing. If that is the case you probably don’t need EnableRemote. Also make sure that your workstations are discoverable if you want to use Ninite Pro’s Remote Options in a workgroup environment. (Turn on network discovery) We generally recommend not using a Public network profile as the firewall settings for that profile may block Ninite Pro’s remote options. Also, the remote computer has to be accessed through an administrator account that has a password set (it won't work with an empty password). If you're using Active Directory, please make sure you are running the NinitePro.exe itself as a domain administrator instead of passing the credentials to Ninite. According to Microsoft TCP ports 139 and 445 and UDP ports 137 and 138 should be accessible for Ninite remote to function. If you get an error "Failed - Not enough server storage is available to process the command. 8107" you can fix it by increasing the IRPStackSize value. BatchFileDeepFreeze.txt (Dutch) / BatchFileDeepFreeze_EN.txt (English) Copy/paste the contents of this file in the Batch File Contents field of the Deep Freeze Configuration Administrator. If you rename the file from .txt to .bat or .cmd you may use the import button as an alternative to copy/paste. You will need to edit the file with your license key etc as documented in the file.

NiniteProTask.bat (Dutch) / NiniteProtask_EN.bat (English) NiniteProTask.msi & NiniteProTask_EN.msi (for automatic deployment) Copy this batch file in the same folder where you copied ninitepro.exe (by default C:\NNP) , edit it with your license key etc as documented in the file and execute it from Windows Task Scheduler. If you want to run it manually by clicking on it then you will need to be logged on as Administrator. NinitePro.bat (Dutch) / NinitePro_EN.bat (English) NiniteProBAT.msi & NiniteProBAT_EN.msi (for automatic deployment) Copy this batch file in the same folder where you copied ninitepro.exe (by default C:\NNP) , edit it with your license key etc as documented in the file and remote launch it from within the Deep Freeze Enterprise console.


UNPACK & PACK folder: msi2xml.exe utility used to extract msi xml2msi.exe utility used to repackage msi unpack.bat utility to extract msi file contents pack.bat utility to repack extracted msi file contents Copy these 4 files in a temporary folder + the .msi file you want to unpack, edit it’s contents & repack. If you extract a .msi file using the unpack.bat then a .XML file will be created that you may edit for example to change the install path of the contained program. The contents itself will be extracted in the subfolder “UNPACKED” In case the contents is a batch file you may edit that batch file. After editing you can repack the edited batch file & then deploy re repacked .msi file.


Local use of Ninite Pro If you want to run NinitePro.exe locally (for example to execute Ninite Pro on your PC or in order to use the remote options) you must create a shortcut to the program and edit the "target" property of the shortcut to supply your license key.

If you run Ninite Pro locally then it must be run by an Administrator (there is no need for a standard user to ever run Ninite Pro anyway)


Remote use of Ninite Pro If you have created a shortcut to run Ninite Pro on your local workstation you can also select the “Show remote options” link in order to audit, install or update supported applications on remote workstations in your network.


Using Ninite Pro with Faronics Deep Freeze Enterprise If you are using Ninite Pro in a Deep Freeze Enterprise Batch File Task then the only thing you need to do on the client workstations (or on the workstation you use to create a master image from) is to copy ninitepro.exe onto your workstations in the C:\NNP folder. Also make sure that you give ample time to the batch file task: We recommend 2 hours to avoid early endings. The /ENDTASK feature in Deep Freeze v8.20 (or higher) will end the task as soon as the batch file execution ends and avoids wasting energy (If “Shutdown after task” has been selected)

You may want to use the supplied MSI file to deploy Ninite Pro on your workstations via GPO or via the “Push and Launch” menu option in the Deep Freeze v8.20 (or higher) console:


The contents of the BatchFileDeepFreeze.txt we provide must be copied & pasted into the Deep Freeze Configuration Administrator program (Batch File Contents section of the Batch File tab) If you rename the file from .txt to .bat or .cmd you may use the import button as an alternative to copy/paste.

You need to edit the batch file so that it contains your Deep Freeze Command Line Password, Ninite Pro folder (default = C:\NNP) & your Ninite Pro license key. Ninite Pro is a “hybrid” application: 1 part takes care of communicating with the Ninite Pro servers and the other part loads from the Ninite Servers every time it is being executed so it is always up to date. The version of the program refers to the communication part of the program and therefore rarely changes. In the event you have problems communicating with the Ninite servers when running the program you may want to verify if you are running the latest version. Batch file V3.24 (current as of march 26th 2015):


Batch file v3.00 (legacy): If you are using the older batch file v3.00 we’ve been providing then you only need to supply your license key in that batch file as indicated below. The batch file refers to the default folder C:\NNP but you may change that according to the folder in which you have copied the ninitepro.exe file. Make sure you allow the batch file to run for at least 2 hours.

If you are using Deep Freeze v8.20 or higher we recommend that you use the latest version of the batch file (3.23 or higher) to take advantage of the /ENDTASK feature in Deep Freeze Enterprise v8.20 or higher. The /ENDTASK feature will end the task when all lines in the batch file have been executed and also saves energy. (If “Shutdown after task” has been selected) If you are using batch file version 3.23 (or higher) as supplied in this ZIP file any Workstation Install Program (EXE) or Deep Freeze Configuration File (RDX) you create in the Deep Freeze Configura* tion Administrator should have the following options set in order to enable the /ENDTASK feature in the batch file:

1. A command line password (we suggest you use the same as the Deep Freeze workstation password):

2. Command line options enabled by UNchecking the option “Disable command line options” : Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is pagina 117

*

The /ENDTASK feature is available in Deep Freeze Enterprise v8.20 and higher. Running batch file v3.23 or higher with a Deep Freeze Enterprise version lower than v8.20 will work but the task will only end at the end time as configured in the Deep Freeze Configuration Administrator.

Using Ninite Pro with Windows Task Scheduler On workstations where you do not use Deep Freeze you may want to run Ninite Pro automatically using the Windows Task Scheduler to keep your workstations up to date. (By the way: Did you know that over 60% of malware infections are caused by using unpatched/outdated software?!) Simply create a task (NOT a basic task) that executes the NiniteProtask.bat file at Startup and runs as “SYSTEM” with the highest privileges.



You can leave the settings in the “Conditions” & “Settings” to their default setting.

Note that after a long period of inactivity (e.g. after a holiday period) this approach may impact the startup speed of the computer as most probably a lot of updates will be available. You may therefore choose to delay the task.


Using Ninite Pro with Windows Deep Freeze Remote Launch (v8.20 & higher) Workstations that cannot be started via Wake On Lan (WOL) such as laptops that are connected to your network via a wireless connection can be easily updated in the following way. Make sure that you copied the supplied ninitepro.exe & ninitepro.bat file into c:\nnp on your workstation(s) (or any other folder). Edit the ninitepro.bat file in notepad to enter the following data:

-

Your Ninite Pro license key The folder in which you copied ninitepro.exe (default = c:\nnp) The Deep Freeze Command Line password as configured in the Deep Freeze Configuration Administrator

Select the workstations(s) our Group(s) that you want to update in the Deep Freeze Enterprise console and next right-click “Reboot Thawed-Locked”

When the selected workstations are thawed (no more exclamation mark in front of the icon) rightclick again and select “Remote Launch”. Enter “c:\nnp\ninitepro.bat” (if you copied the “ninitepro.bat” file in some other folder than c:\nnp then adjust accordingly) , click OK & confirm. The “ninitepro.bat” file will be executed on the selected workstation(s)


As a bonus you can supply the Command Line Parameter “/WU” (without the quotes) to run Windows Update as well.

Please keep in mind that if you have configured Deep Freeze to cache windows updates and you have no scheduled Windows Update task in Deep Freeze that the 5 Gb cache may run out of space. We recommend you remote launch the batch file frequently enough to avoid this situation (at least once a month).

Ninite Pro Command Line reference If you want to use other / more features of Ninite Pro than the default features (/updateonly /disableshortcuts /disableautoupdate) we provide in the batch files files then here’s a complete reference to the Ninite Pro command line switches: https://ninite.com/help/features/switches.html


26

Contact

Voor meer informatie, offertes & ondersteuning: Frank Bevers (Faronics Certified & Preferred partner) [email protected] NEXCO bvba Kievitlaan 3 B2960 Brecht (St-Job ) Tel: 03/636.42.44 www.nexco.be

Op ons Youtube kanaal kan u een aantal getuigenissen van collega’s bekijken:


Deep Freeze & Ninite Pro: iedere reboot een zuivere PC die up to date is

Recommend Documents