Elke nacht een (schoon) image naar alle werkstations

Wat heb je zelf gevonden? want er zijn genoeg mogelijkheden om dit te doen.

Zou je niet beter de oorzaak van de infecties kunnen voorkomen, ipv ze naderhand opruimen? Je doet nu namelijk aan symptoombestrijding in plaats van je daadwerkelijke probleem op te lossen.

• Waarom raken die pc's geinfecteerd met virussen
• Waarom houdt de anti-virus software deze niet tegen
• Kennelijk hebben de gebruikers redelijk veel rechten op de werkstations, waarom?

ashwin.kempen schreef op vrijdag 04 oktober 2013 @ 20:41:
Nou.. het gaat namelijk over een instantie, daar worden veel dingen gedownload, sommige virussen/infecties komen vanaf externe apparaten. Hier zien we voor die instantie toch de beste oplossing om elke nacht een nieuw image uit te rollen

Wacht even. Een instantie (overheid(?)) die het downloaden van potentieel virus-bevattende gegevens toestaat!? En dat denk je op te lossen door élke nacht correctief een image terug te schrijven!? Dat is een tikkende tijdbom! In de tijd dat je geïnfecteerd bent kun je al bedrijfsgegevens verliezen. En wat als je domaincontroller besmet wordt!? Regel je maatregel preventief!

Ik zou eens contact opnemen met het NCSC (Nationaal Cyber Security Centrum) en advies opvragen hoe zij hier over denken. Dit lijkt me een álles behalve veilige en acceptabele oplossing. No offence maar, dit kan niet.

w4rguy schreef op vrijdag 04 oktober 2013 @ 20:45:
[...]
Wacht even. Een instantie (overheid(?)) die het downloaden van potentieel virus-bevattende gegevens toestaat!? En dat denk je op te lossen door élke nacht correctief een image terug te schrijven!? Dat is een tikkende tijdbom! In de tijd dat je geïnfecteerd bent kun je al bedrijfsgegevens verliezen. En wat als je domaincontroller besmet wordt!? Regel je maatregel preventief!

Ik zou eens contact opnemen met het NCSC (Nationaal Cyber Security Centrum) en advies opvragen hoe zij hier over denken. Dit lijkt me een álles behalve veilige en acceptabele oplossing. No offence maar, dit kan niet.

Zonder dat TS meer informatie geeft over de omgeving en wat er exact gedaan wordt op dit netwerk en deze server en met welke andere netwerken het in verbinding staat, kun je weinig zeggen, maar wat w4rguy hier aangeeft is het eerste wat ook bij mij op komt... dit kan niet! Bij geen enkele organisatie.

Maar ja je zou elke nacht een nieuw image kunnen plaatsen of zoek eens op reborn kaarten, die kunnen ervoor zorgen dat je na een reboot een geheel schoon systeem hebt zonder een kompleet image terug te zetten als ik het goed heb. maar de wijzigingen ongedaan maken.

[ Voor 11% gewijzigd door _Dune_ op 04-10-2013 21:09 ]

In het jaar 2000 gebruikte ik norton ghost en ghostwalker om workstations te verversen.
Win95 was op die manier beter te beheersen.

wat houdt je tegen om WDS te gebruiken?

Laat de computer automatisch opstarten elke nacht en first boot op PXE, laat wds automatisch deployen.

http://www.oretet.com/dload/White-Paper-WDS.pdf
YouTube: Deploying Windows 7 by Using Zero Touch Installation.avi

en google zo maar door.....

WDS kan een image verspreiden, maar kan dit niet actief doen. Je moet zelf de PC's dan vanaf het netwerk booten. Verder moet je ervoor zorgen dat je een zero touch installatie hebt. Er is gratis tooling van Microsoft om een image te maken, MDT2012. Je kan als je heel erg creatief bent met PowerShell zero touch maken. MDT kan geen verplichte installatie doen, alleen helpen een image te bouwen en onderhouden.

Beter is dan bijvoorbeeld SCCM gebruiken. Gewoon de PC's op verplicht imagen zetten bij elke herstart bijvoorbeeld. SCCM is natuurlijk een prijzig stukje software. Er is ook een Lite versie van, System Center Essentials. Die heeft beperkingen, je moet dan uitzoeken of je er mee kan leven.

Zowel met MDT als met SCCM kan je applicatie in je image meenemen. Je kan een capture doen met de applicaties erin (niet aanbevolen) of ze achteraf in een task sequence uitrollen. Die laatste heeft de voorkeur omdat je dan ook eenvoudig applicaties kan aanpassen. Let wel dat je de hele applicatie installatie moet scripten om silent te draaien dan.

Mappings e.d. moet je gewoon via een GPO setten of middels een opstart script.

Toch denk ik niet dat bovenstaande een oplossing is. Het is een lapmiddel. Je moet je machines beter beveiligen. Koop een fatsoenlijke virusscanner. Bijvoorbeeld Kaspersky AV, BitDefender of F-Secure. Allen hebben zakelijke versies. Ze scoren aanmerkelijk beter bij detectie van malware.

Verder zorg voor hardening van je workstations en browser. Windows kan je met diverse GPO's hardenen en Internet Explorer net zo. Je kan dan kwaadaardige scripting voor zijn. Zorg ook voor een goede firewall cq. gateway. Veel van deze pakketten kunnen filteren aan de poort. Een website wordt zo gescant voor de gebruiker deze te zien krijgt. Ook zit er in dergelijke pakketen Network Intrusion detectie om ongewenst verkeer op te sporen.

Voor hardening zie:
http://www.infoworld.com/...de-windows-7-security-190
http://technet.microsoft....rary/dd571075(WS.10).aspx
http://social.technet.mic...ons?forum=w7itprosecurity

Microsoft maakt ook tools die je kunnen helpen hiermee:
Windows XP Hardening
Windows Vista HardeningWindows 7 Hardening

Windows Server 2003 Hardening

Draai je nog XP dan is mijn advies om te upgraden naar 7 of 8. De support eindigt komend jaar en de nieuwe versies zijn veel veiliger.

Internet Explorer Hardening:
Internet Explorer 8 Hardening
Internet Explorer 9 Hardening
Internet Explorer 10 Hardening

Je kan ook een browser als Chrome of Firefox gebruiken, maar let wel dat je die niet via GPO's kan sturen.

Let ook op de rechten van gebruikers. Dit klinken als openbare computers met hoer accounts. Perk de rechten zoveel mogelijk in. Zet desnoods de machines in een Kiosk modus om het OS nog verder af te sluiten. Indien dit niet openbare PC's zijn dan is er echt iets mis met je beveiliging.

Bij ons op werk gebruiken wij hier Citrix voor. Elke nacht reboot hij waardoor de read-only disks opnieuw worden ingeladen. Houdt de werkomgevingen clean en scheelt een hoop gezeik in wat wel en wat niet mag.

Gewoon Citrix gebruiken of Microsoft RDS. Je kan Terminal Server based werken of VDI based werken. Voordeel van VDI is dat je gewoon voor iedere werknemer een schone image kan laten klaarstaan.

Maar waarom heb je zo veel rechten gegeven aan gebruikers....

Thinclients neerzetten...
Knal je uit en zet je weer aan hoppa alles weer nieuw..

We weten niets over de omgeving, maar we hebben natuurlijk wel al een oordeel klaar? Vreemd. Misschien hoort het bij de core business om met vieze bestanden te werken. Niet iedereen werkt in een schone omgeving.

Als je systemen nog geen UEFI maar BIOS draaien, dan zou je Ghost Solution Suite kunnen overwegen. Ghost kan systemen automatisch een reboot geven en een image terugzetten. Domeinjoin kan ook via Ghost en activatie kan middels een eigen activatieserver.

Ook een mooie oplossing. Machine uitrollen met standaard image, deze afconfigureren en dan via ghost op hidden partitie imagen en dan bij iedere reboot de image terugzetten. Kan ook met de Solution suite.

Je kan kiezen voor bijvoorbeeld Citrix provisioning waar je het golden image compleet uitrolt en laat activeren (inclusief alle applicaties). Of je kan ook Res Automation Manager gebruiken om werkstations compleet uit te rollen dit is een beetje de tegenhanger van SCCM maar stuk goedkoper zeker als het om minder clients gaat. Verder zou ik je adviseren om je 2003 omgeving te upgraden naar minstens 2008R2 wat inmiddels proven technologie qua software is wat echter binnenkort achterhaald is door 2012R2 Je hebt hier al genoeg opties gekregen om een goed plan op te stellen imho.

Wij gebruiken dus Citrix met provisioning. Dit werkt gewoon perfect.

Quad schreef op vrijdag 04 oktober 2013 @ 23:08:
Bij ons op werk gebruiken wij hier Citrix voor. Elke nacht reboot hij waardoor de read-only disks opnieuw worden ingeladen. Houdt de werkomgevingen clean en scheelt een hoop gezeik in wat wel en wat niet mag.

Wim-Bart schreef op vrijdag 04 oktober 2013 @ 23:20:
Gewoon Citrix gebruiken of Microsoft RDS. Je kan Terminal Server based werken of VDI based werken.

Ik neem aan dat jullie hier Citrix Provisioning Server (CPS) bedoelen. Citrix heeft de produkt suites wat overhoop gegooid maar voorheen kon je ook simpele workstation licenties afnemen voor CPS waardoor ook simpele fysieke werkplekken gebruik konden maken van deze techniek. Dat scheelt weer een migratie naar een ander platform (geen idee overigens of deze licentievorm nog bestaat).

@TS: Welke pakketten heb je eigenlijk zelf al gevonden en wat vond je daarvan? Je noemt alleen WDS maar je hebt daar zelf ook nog specifieke vragen over (activatie, drivemappings, additionele software). Die vragen zijn redelijk uit te zoeken. Desnoods installeer je WDS (en alternatieve pakketten) even in een testomgeving en ga er eens mee stoeien...

CPS is ideaal, voordeel is dat je altijd een schone werkplek hebt. In een omgeving waar vel vrijheid op de werkplek nodig is, is een XenApp oplossing niet echt geschikt omdat je 1 systeem deelt. Wanneer je echte Win7/XP vanuit een goldimage steeds klaarzet dan los je veel problemen op voorhand op. Enige wat nodig is, is je goldimage goed bijhouden. Zelfs Windows en software updates verwerk je alleen maar in je goldimage en de volgende dag is alles gepatched.

Zoek dit eens op DeepFreeze.

Microsoft heeft tegenwoordig ook goede VDI oplossingen waarmee dit kan.
RD virtualization host instellen, reference image aanwijzen waar de VMs van gebouwd moeten worden (een leek kan dit zelfs doen in 2012) en ervoor zorgen dat je een snapshot hebt met RDV_Rollback in de naam en na een logoff wordt de boel automatisch teruggezet.

(ok, VDI is erg prijzig gezien de licenties maar het is 1 van de letterlijk honderden oplossingen welke er zijn voor dit - hoewel ik het eens ben met de anderen die aangeven dat je beter de oorzaak van de verspreiding aan kan pakken)

juzt-reboot of ReBorn kaartjes zou ook een optie zijn?

juzt-reboot, ReBorn of DeepFreeze werkt niet i.c.m. een domein omdat het machinepassword elke 30 dagen wijzigt (wat je kunt uitschakelen in GPO). Ghost kan hier trouwens wel mee om gaan.

VMware heeft nog volgens mij ook zoiets als PVS. Maar dan ga je wel meer richting het VDI scenario.