Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Elke nacht een (schoon) image naar alle werkstations

Pagina: 1
Acties:

  • ashwin.kempen
  • Registratie: Oktober 2013
  • Laatst online: 16-10 15:42
Hallo,

Ik gebruik Microsoft Windows Server 2003 R2 en ongeveer 33 computers zijn lid van het domein.
Veel verschillende personen gebruiken de computers, hierdoor zijn deze computers snel geïnfecteerd met virussen en andere infecties.

Mijn vraag:

Is het mogelijk om elke nacht een nieuw (schoon) image naar alle werkstations te sturen?
Alle werkstations gebruiken AVG 9.0 Business en zijn connected met de (AVG) server, de AVG applicatie en licentie moeten dus ook meegenomen worden in het image.
Ook de netwerk drive mappings van de werkstations moeten meegenomen worden.
Is dit allemaal mogelijk?

Tot slot hoor ik graag welke image software aan te bevelen is en waarmee goede ervaringen zijn.
Een optie is Windows Deployment System (WDS).

Bij voorbaat dank!

Ashwin

  • Fietsbel
  • Registratie: April 2000
  • Niet online

Fietsbel

¯\_(ツ)_/¯

Wat heb je zelf gevonden? want er zijn genoeg mogelijkheden om dit te doen.

39


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Zou je niet beter de oorzaak van de infecties kunnen voorkomen, ipv ze naderhand opruimen? Je doet nu namelijk aan symptoombestrijding in plaats van je daadwerkelijke probleem op te lossen.
  • Waarom raken die pc's geinfecteerd met virussen
  • Waarom houdt de anti-virus software deze niet tegen
  • Kennelijk hebben de gebruikers redelijk veel rechten op de werkstations, waarom?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • ashwin.kempen
  • Registratie: Oktober 2013
  • Laatst online: 16-10 15:42
.

[ Voor 99% gewijzigd door ashwin.kempen op 04-10-2013 20:58 ]


  • w4rguy
  • Registratie: November 2009
  • Laatst online: 20-05 12:23

w4rguy

Team Manager NAB Racing

ashwin.kempen schreef op vrijdag 04 oktober 2013 @ 20:41:
Nou.. het gaat namelijk over een instantie, daar worden veel dingen gedownload, sommige virussen/infecties komen vanaf externe apparaten. Hier zien we voor die instantie toch de beste oplossing om elke nacht een nieuw image uit te rollen
Wacht even. Een instantie (overheid(?)) die het downloaden van potentieel virus-bevattende gegevens toestaat!? En dat denk je op te lossen door élke nacht correctief een image terug te schrijven!? Dat is een tikkende tijdbom! In de tijd dat je geïnfecteerd bent kun je al bedrijfsgegevens verliezen. En wat als je domaincontroller besmet wordt!? Regel je maatregel preventief!

Ik zou eens contact opnemen met het NCSC (Nationaal Cyber Security Centrum) en advies opvragen hoe zij hier over denken. Dit lijkt me een álles behalve veilige en acceptabele oplossing. No offence maar, dit kan niet.

All-Round nerd | iRacing Profiel


  • _Dune_
  • Registratie: September 2003
  • Nu online

_Dune_

Moderator Harde Waren

RAID is geen BACKUP

w4rguy schreef op vrijdag 04 oktober 2013 @ 20:45:
[...]
Wacht even. Een instantie (overheid(?)) die het downloaden van potentieel virus-bevattende gegevens toestaat!? En dat denk je op te lossen door élke nacht correctief een image terug te schrijven!? Dat is een tikkende tijdbom! In de tijd dat je geïnfecteerd bent kun je al bedrijfsgegevens verliezen. En wat als je domaincontroller besmet wordt!? Regel je maatregel preventief!

Ik zou eens contact opnemen met het NCSC (Nationaal Cyber Security Centrum) en advies opvragen hoe zij hier over denken. Dit lijkt me een álles behalve veilige en acceptabele oplossing. No offence maar, dit kan niet.
Zonder dat TS meer informatie geeft over de omgeving en wat er exact gedaan wordt op dit netwerk en deze server en met welke andere netwerken het in verbinding staat, kun je weinig zeggen, maar wat w4rguy hier aangeeft is het eerste wat ook bij mij op komt... dit kan niet! Bij geen enkele organisatie.

Maar ja je zou elke nacht een nieuw image kunnen plaatsen of zoek eens op reborn kaarten, die kunnen ervoor zorgen dat je na een reboot een geheel schoon systeem hebt zonder een kompleet image terug te zetten als ik het goed heb. maar de wijzigingen ongedaan maken.

[ Voor 11% gewijzigd door _Dune_ op 04-10-2013 21:09 ]

Sinds 1999@Tweakers | Bij IT-ers gaat alles automatisch, maar niets vanzelf. | https://www.go-euc.com/


  • ashwin.kempen
  • Registratie: Oktober 2013
  • Laatst online: 16-10 15:42
Bovenstaande informatie is incorrect.
Verder was dit niet mijn vraag.

Evengoed bedankt

  • JJ Le Funk
  • Registratie: Januari 2004
  • Niet online

JJ Le Funk

:twk

In het jaar 2000 gebruikte ik norton ghost en ghostwalker om workstations te verversen.
Win95 was op die manier beter te beheersen.

d:)b :henk d:)b


  • ashwin.kempen
  • Registratie: Oktober 2013
  • Laatst online: 16-10 15:42
Ik ben opzoek naar een pakket bijv. WDS waarmee dit elke nacht automatisch gebeurd, zonder verdere onverwachtse problemen..
Niemand die hier ervaring mee heeft? elke nacht automatisch uitrollen, incl. drivemappings, software + licenties?

  • Oid
  • Registratie: November 2002
  • Niet online

Oid

wat houdt je tegen om WDS te gebruiken?

Laat de computer automatisch opstarten elke nacht en first boot op PXE, laat wds automatisch deployen.

http://www.oretet.com/dload/White-Paper-WDS.pdf
YouTube: Deploying Windows 7 by Using Zero Touch Installation.avi

en google zo maar door.....

  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022
WDS kan een image verspreiden, maar kan dit niet actief doen. Je moet zelf de PC's dan vanaf het netwerk booten. Verder moet je ervoor zorgen dat je een zero touch installatie hebt. Er is gratis tooling van Microsoft om een image te maken, MDT2012. Je kan als je heel erg creatief bent met PowerShell zero touch maken. MDT kan geen verplichte installatie doen, alleen helpen een image te bouwen en onderhouden.

Beter is dan bijvoorbeeld SCCM gebruiken. Gewoon de PC's op verplicht imagen zetten bij elke herstart bijvoorbeeld. SCCM is natuurlijk een prijzig stukje software. Er is ook een Lite versie van, System Center Essentials. Die heeft beperkingen, je moet dan uitzoeken of je er mee kan leven.

Zowel met MDT als met SCCM kan je applicatie in je image meenemen. Je kan een capture doen met de applicaties erin (niet aanbevolen) of ze achteraf in een task sequence uitrollen. Die laatste heeft de voorkeur omdat je dan ook eenvoudig applicaties kan aanpassen. Let wel dat je de hele applicatie installatie moet scripten om silent te draaien dan.

Mappings e.d. moet je gewoon via een GPO setten of middels een opstart script.

Toch denk ik niet dat bovenstaande een oplossing is. Het is een lapmiddel. Je moet je machines beter beveiligen. Koop een fatsoenlijke virusscanner. Bijvoorbeeld Kaspersky AV, BitDefender of F-Secure. Allen hebben zakelijke versies. Ze scoren aanmerkelijk beter bij detectie van malware.

Verder zorg voor hardening van je workstations en browser. Windows kan je met diverse GPO's hardenen en Internet Explorer net zo. Je kan dan kwaadaardige scripting voor zijn. Zorg ook voor een goede firewall cq. gateway. Veel van deze pakketten kunnen filteren aan de poort. Een website wordt zo gescant voor de gebruiker deze te zien krijgt. Ook zit er in dergelijke pakketen Network Intrusion detectie om ongewenst verkeer op te sporen.

Voor hardening zie:
http://www.infoworld.com/...de-windows-7-security-190
http://technet.microsoft....rary/dd571075(WS.10).aspx
http://social.technet.mic...ons?forum=w7itprosecurity

Microsoft maakt ook tools die je kunnen helpen hiermee:
Windows XP Hardening
Windows Vista HardeningWindows 7 Hardening

Windows Server 2003 Hardening

Draai je nog XP dan is mijn advies om te upgraden naar 7 of 8. De support eindigt komend jaar en de nieuwe versies zijn veel veiliger.

Internet Explorer Hardening:
Internet Explorer 8 Hardening
Internet Explorer 9 Hardening
Internet Explorer 10 Hardening

Je kan ook een browser als Chrome of Firefox gebruiken, maar let wel dat je die niet via GPO's kan sturen.

Let ook op de rechten van gebruikers. Dit klinken als openbare computers met hoer accounts. :P Perk de rechten zoveel mogelijk in. Zet desnoods de machines in een Kiosk modus om het OS nog verder af te sluiten. Indien dit niet openbare PC's zijn dan is er echt iets mis met je beveiliging.

  • Quad
  • Registratie: Mei 2009
  • Nu online

Quad

Doof

Bij ons op werk gebruiken wij hier Citrix voor. Elke nacht reboot hij waardoor de read-only disks opnieuw worden ingeladen. Houdt de werkomgevingen clean en scheelt een hoop gezeik in wat wel en wat niet mag.

Alles went behalve een Twent.
🎯Psst.. Kans maken op 12 maanden Tweakers HERO abonnement?
nggyu nglyd


  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Gewoon Citrix gebruiken of Microsoft RDS. Je kan Terminal Server based werken of VDI based werken. Voordeel van VDI is dat je gewoon voor iedere werknemer een schone image kan laten klaarstaan.

Maar waarom heb je zo veel rechten gegeven aan gebruikers....

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


  • GB2
  • Registratie: Maart 2009
  • Laatst online: 28-11 10:11

GB2

Thinclients neerzetten...
Knal je uit en zet je weer aan hoppa alles weer nieuw..

  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021
We weten niets over de omgeving, maar we hebben natuurlijk wel al een oordeel klaar? Vreemd. Misschien hoort het bij de core business om met vieze bestanden te werken. Niet iedereen werkt in een schone omgeving.

Als je systemen nog geen UEFI maar BIOS draaien, dan zou je Ghost Solution Suite kunnen overwegen. Ghost kan systemen automatisch een reboot geven en een image terugzetten. Domeinjoin kan ook via Ghost en activatie kan middels een eigen activatieserver.

  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Ook een mooie oplossing. Machine uitrollen met standaard image, deze afconfigureren en dan via ghost op hidden partitie imagen en dan bij iedere reboot de image terugzetten. Kan ook met de Solution suite.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


  • mutsje
  • Registratie: September 2000
  • Laatst online: 13:20

mutsje

Certified Prutser

Je kan kiezen voor bijvoorbeeld Citrix provisioning waar je het golden image compleet uitrolt en laat activeren (inclusief alle applicaties). Of je kan ook Res Automation Manager gebruiken om werkstations compleet uit te rollen dit is een beetje de tegenhanger van SCCM maar stuk goedkoper zeker als het om minder clients gaat. Verder zou ik je adviseren om je 2003 omgeving te upgraden naar minstens 2008R2 wat inmiddels proven technologie qua software is wat echter binnenkort achterhaald is door 2012R2 :) Je hebt hier al genoeg opties gekregen om een goed plan op te stellen imho.

  • Quad
  • Registratie: Mei 2009
  • Nu online

Quad

Doof

Wij gebruiken dus Citrix met provisioning. Dit werkt gewoon perfect.

Alles went behalve een Twent.
🎯Psst.. Kans maken op 12 maanden Tweakers HERO abonnement?
nggyu nglyd


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Quad schreef op vrijdag 04 oktober 2013 @ 23:08:
Bij ons op werk gebruiken wij hier Citrix voor. Elke nacht reboot hij waardoor de read-only disks opnieuw worden ingeladen. Houdt de werkomgevingen clean en scheelt een hoop gezeik in wat wel en wat niet mag.
Wim-Bart schreef op vrijdag 04 oktober 2013 @ 23:20:
Gewoon Citrix gebruiken of Microsoft RDS. Je kan Terminal Server based werken of VDI based werken.
Ik neem aan dat jullie hier Citrix Provisioning Server (CPS) bedoelen. Citrix heeft de produkt suites wat overhoop gegooid maar voorheen kon je ook simpele workstation licenties afnemen voor CPS waardoor ook simpele fysieke werkplekken gebruik konden maken van deze techniek. Dat scheelt weer een migratie naar een ander platform (geen idee overigens of deze licentievorm nog bestaat).

@TS: Welke pakketten heb je eigenlijk zelf al gevonden en wat vond je daarvan? Je noemt alleen WDS maar je hebt daar zelf ook nog specifieke vragen over (activatie, drivemappings, additionele software). Die vragen zijn redelijk uit te zoeken. Desnoods installeer je WDS (en alternatieve pakketten) even in een testomgeving en ga er eens mee stoeien...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

CPS is ideaal, voordeel is dat je altijd een schone werkplek hebt. In een omgeving waar vel vrijheid op de werkplek nodig is, is een XenApp oplossing niet echt geschikt omdat je 1 systeem deelt. Wanneer je echte Win7/XP vanuit een goldimage steeds klaarzet dan los je veel problemen op voorhand op. Enige wat nodig is, is je goldimage goed bijhouden. Zelfs Windows en software updates verwerk je alleen maar in je goldimage en de volgende dag is alles gepatched.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.


Verwijderd

Zoek dit eens op DeepFreeze.

  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 12:14
Microsoft heeft tegenwoordig ook goede VDI oplossingen waarmee dit kan.
RD virtualization host instellen, reference image aanwijzen waar de VMs van gebouwd moeten worden (een leek kan dit zelfs doen in 2012) en ervoor zorgen dat je een snapshot hebt met RDV_Rollback in de naam en na een logoff wordt de boel automatisch teruggezet.

(ok, VDI is erg prijzig gezien de licenties maar het is 1 van de letterlijk honderden oplossingen welke er zijn voor dit - hoewel ik het eens ben met de anderen die aangeven dat je beter de oorzaak van de verspreiding aan kan pakken)

  • PROnline
  • Registratie: Maart 2000
  • Laatst online: 16:36
juzt-reboot of ReBorn kaartjes zou ook een optie zijn?

  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021
juzt-reboot, ReBorn of DeepFreeze werkt niet i.c.m. een domein omdat het machinepassword elke 30 dagen wijzigt (wat je kunt uitschakelen in GPO). Ghost kan hier trouwens wel mee om gaan.

  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024
VMware heeft nog volgens mij ook zoiets als PVS. Maar dan ga je wel meer richting het VDI scenario.
Pagina: 1