Dies ist eine alte Version des Dokuments!


Erstellen neuer Virtueller Maschinen

Nachfolgendes Kapitel erklärt Einzelheiten zu Anlage eigener Virtueller Maschinen. Wie bereits erwähnt empfehlen wir, nur bei absoluter Notwendigkeit von Grund auf eigene Abbilder zu erstellen und nach Möglichkeit von den in der bwLehrpool-Suite zur Verfügung stehenden Standardabbildern (Vorlagen) auszugehen. Diese enthalten bereits diverse Optimierungen für die Verwendung im bwLehrpool und können zur Weiterentwicklung heruntergeladen werden.

Erstellung eigener Abbilder

Wählen Sie in diesem Schritt unbedingt *Store virtual disk as a single file*

Bei Erstellen eines eigenen Abbildes darf die vmdk-Datei nicht in Blöcke aufgeteilt werden. Dies muss unbedingt bereits beim Anlegen de Virtuellen Maschine beachtet werden: Wählen Sie daher, wie in nebenstehender Abbildung gezeigt, stets die Option „Store virtual disk as a single file“! Der Grund hierfür ist, dass das Abbild in einem Block hochgeladen werden muss, da es ansonsten nicht möglich ist, eine einwandfreie Verarbeitung der VM zu gewährleisten.

Lizenzen

Das Vorliegen einer ausreichenden Anzahl nötiger Lizenzen für eventuelle Zusatzsoftware liegt ausschließlich in der Verantwortung der Kursleiterin/des Kursleiters! Es wird daher empfohlen, nach Möglichkeit quelloffene Software mit freier Lizenz einzusetzen.

Pflichten

In dem Augenblick, in dem jemand Anpassungen an der Virtuellen Maschine vornnimmt, geht die Verantwortung für die jeweilige VM auf diese Person über. Es gelten folgende Regeln:

  • Es müssen regelmäßig Updates des Betriebssystem und ggf. der verwendeten Software eingespielt werden.
  • Eine Überprüfung auf Viren ist obligatorisch; diese Überprüfung muss aber für den Normalbetrieb deaktiviert werden.
  • Nach erfolgter Aktualisierung sollte der Datenträger defragmentiert werden.
  • Ausreichender Bestand an vorhandenen, aktuellen Lizenzen für alle zusätzlichen Komponenten muss sichergestellt sein (freie Software sollte kommerziellen Angeboten mit oftmals hochproblematischen Lizenzmodellen vorgezogen werden).
  • Sämtliche Aktualisierer, Updater und dergleichen in System-Tray, Taskleiste und andernorts müssen deaktiviert werden: Diese haben keinen Sinn, da beim Start innerhalb des Poolsystems ausgeführte Aktualisierungen nicht erhalten bleiben. Zudem wird der Startvorgang verlangsamt und unnötige Netzlast hervorgerufen. Führen Sie Updates beim bearbeiten Ihrer VM manuell durch.

Linux in virtuellen Maschinen

Bitte vergleichen Sie hierzu Linux in virtuellen Maschinen.

Windows in virtuellen Maschinen

Viele Dienste und Tools, die unter Windows permanent laufen, ergeben in der Kursumgebung keinen Sinn, da keine persistente Speicherung über die einzelne Sitzung heraus erfolgt. Das ermöglicht es, die Performance erheblich zu optimieren, da nicht viele Hintergrunddienste Ressourcen abziehen, um nach Updates zu suchen oder zu indizieren. Es hilft nebenbei, weniger Informationen nach draußen abfließen zu lassen.

Folgende Regeln sollten eingehalten werden, um eine vernünftige Arbeitsgeschwindigkeit zu erreichen:

  • Abstellen der automatischen Systemwiederherstellung (diese hat im Poolbetrieb keinen Sinn). Reduzieren oder besser noch Abschalten der permanenten Auslagerungsdatei (Systemsteuerung →System). Diese vergrößert nur sinnlos das Redofile – die Sitzungsdatei der Virtuellen Maschine.
  • Abschalten aller Aktualisierungsservices für Microsoft, Adobe, Google usw., da diese bei jedem Start erneut aufgerufen würden. Die Aktualisierung muss vielmehr in regelmäßigen Abständen von den VM-Erstellern vorgenommen werden.
  • Abschalten eventueller Indexierungdienste: Wenn diese dennoch erwünscht sein sollten, sollten sie einmal im persistenten Modus bei der Einrichtung laufen, aber für den Standardbetrieb abgeschaltet sein, da sie dann mangels Permanenz der Virtuellen Maschine nutzlos sind.
  • Virenchecks ergeben nur bei externen Laufwerken Sinn, nicht aber für das Basissystem: Ein Virus/Trojaner kann sich nicht dauerhaft festsetzen, da im Standard-Betrieb keine Schreibrechte für die Nutzersitzungen bestehen. Es sollte jedoch ein Check durchgeführt werden, bevor(!) die VM allgemein bereitgestellt wird.
  • Abschalten des Bildschirmschoners – ein Bildschirmschoner wird bereits vom Grundsystem bereitgestellt.
  • Die Proxy-Einstellungen für Firefox (ebenso Internet-Explorer usw.) sollten auf „Auto-detect proxy-settings“ gestellt werden.
In virtuellen Maschinen (Veranstaltungen) laufende Virus, trojanische Pferde oder sonstige Schadsoftware können sich nicht dauerhaft in Abbild-Dateien einnisten, da die virtuellen Maschinen im nicht-persistenten Modus laufen und zusätzlich keine Schreibrechte auf dem Dateiserver bestehen.

Falls gewünscht können Virenscanner jedoch zur Überprüfung virtueller Maschinen vor dem Hochladen in das System eingesetzt werden. In diesem Falls sollte jedoch Augenmerk darauf gelegt werden, den Scanner für lokale Laufwerke zu deaktivieren, da diese über Netz abgebildet werden und so hohe Netzlast hervorgerufen würde.

Liste konkreter Maßnahmen

Diese Auflistung betrifft hauptsächlich Windows 7; daneben auch Windows 8 (8.1) und 10. Nicht jede Option gilt unbedingt für alle (siehe gpedit.msc). Die Vorlagen-Abbilder (Windows-Vorlagen) sind bereits mit allen folgenden Einstellungen konfiguriert. Bitte vergleichen Sie dazu auch den Punkt „Drucken aus dem Abbild“.

Allgemeines

  • Deaktiviert werden sollten Auslagerungsdatei, Systemwiederherstellung und Meldungen zu Virenschutz, Automatischen Updates, Datensicherung etc.(Windows-Wartungscenter) sowie Windows- und andere Updates.
  • Deaktivieren Sie auch Bildschirmschoner, Dateiindexierung lokaler Datenträger sowie Energiesparoptionen für Bildschirm und Festplatte.
  • Richten Sie einen Benutzer „student“ ein, und sorgen („control userpasswords“) für dessen automatische Anmeldung.
  • Im Startmenü sollten alle Optionen außer Herunterfahren und Neustart entfernt werden.
  • Es wird empfohlen, alle Klänge (Startsound, Windows-Soundschema usw.) zu entfernen.

(Gruppen-)Richtlinien per gpedit.msc

  • Computerkonfiguration → Administrative Vorlagen → System → Geräteinstallation → Einschränkungen bei der Geräteinstallation → Installation von Geräten verhindern, die diesen Gerätesetupklassen entsprechen ⇒ aktivieren und {50127dc3-0f36-415e-a6cc-4cb3be910b65} eintragen
  • Verhindert, dass bei Start im bwLehrpool-Umfeld CPU-Treiber installiert werden, die einen Neustart provozieren.
  • Computerkonfiguration → Administrative Vorlagen → System → Geräteinstallation → Sprechblasen mit der Meldung „Neue Hardware gefunden“ während der Geräteinstallation deaktivieren ⇒ aktivieren
  • Treiber werden ohne Rückmeldung im Hintergrund installiert.
  • Computerkonfiguration → Administrative Vorlagen → System → Anmelden→ Einstiegspunkt für die schnelle Benutzerumschaltung ausblenden ⇒ aktivieren
  • Computerkonfiguration → Administrative Vorlagen → System → Anmelden→ Windows-Startsound deaktivieren⇒ aktivieren
  • Computerkonfiguration → Administrative Vorlagen → System → Energieverwaltung→ Energiesparmoduseinstellungen → Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Netzbetrieb) ⇒deaktivieren
  • Benutzerkonfiguration → Administrative Vorlagen → Startmenü und Taskleiste→ Option Abmelden aus dem Startmenü entfernen ⇒ aktivieren
  • Benutzerkonfiguration → Administrative Vorlagen → System → Strg+Alt+Entf-Optionen→ Abmeldung entfernen ⇒ aktivieren
  • Benutzerkonfiguration → Administrative Vorlagen → System → Strg+Alt+Entf-Optionen→ Sperren des Computers entfernen⇒ aktivieren

Registry

  • HKEY_LOCAL_MACHINE → Software → Microsoft → Windows → Current Version → Policies → System ⇒ DisableLockWorkstation =1 (als DWORD neu erstellen)
  • HKEY_LOCAL_MACHINE → Software → Microsoft → Windows → Current Version → Policies → Explorer ⇒ StartMenuLogoff=1 (als DWORD neu erstellen)
  • HKEY_LOCAL_MACHINE → Software → Microsoft → Windows → Current Version → Run ⇒ Zeichenfolge “openslx”, Wert “B:\openslx.exe“
    • Dies sorgt dafür, dass beim Windowsstart das Dienstprogramm openslx.exe gestartet wird. Dieses Programm sorgt für eine verbesserte Anpassung der Bildschirmauflösung, sowie die Einbindung von Netzlaufwerken. Das Pseudo-Laufwerk B: wird vom System zur Verfügung gestellt.

Empfohlene Software

  • Firefox
    • Als Standardbrowser
    • Addons: HTTPS-Everywhere und Ghostery
    • Als ‚root‘ (bzw. Administrator) für alle Nutzer installieren, Updates funktionieren dann ebenfalls nur als ‚root‘ (bzw. Administrator). Dies ist wichtig, da Firefox auch (parallel) als normaler Nutzer installiert werden kann und dann zwei Installationen im System vorliegen würden
  • Internet Explorer
    • Standardmäßig vorhanden, doch aufgrund sehr durchwachsener Sicherheitsgeschichte nicht unbedingt empfohlen
    • Internetoptionen → Erweitert → Softwarerendering statt GPU-Rendering verwenden ⇒ aktivieren (3D-Unterstützung in den VMs funktioniert zwar, doch kann nicht in jedem Fall davon ausgegangen werden, daß jede Zielmaschine über einen leistungsfähigen Chipsatz verfügt). Sollte die VM nur auf bwPC4 laufen, kann GPU-Rendering jedoch aktiviert werden.
  • LibreOffice
    • Aktuelle Version gut sichtbar auf Desktop und im Startmenü
    • Alle Wörterbücher sowie Deutsch und Englisch für die Benutzeroberfläche (sonst Startzeit verlangsamt)
    • Schnellstart nicht installieren bzw. aktivieren
  • Microsoft Office
    • Aktuelle Version gut sichtbar auf Desktop und im Startmenü
  • Adobe Reader, Adobe Flash
    • Aufgrund sehr durchwachsener Sicherheitsgeschichte nicht unbedingt empfohlen
  • 7-Zip, Notepad++, Gimp, Paint.NET, VLC, ggf. Citavi mit allen verfügbaren Pickern
  • VirtualBox Guest Additions bzw. VMware Tools bzw. open-vm-tools nicht vergessen
Bitte verwenden Sie Open-Source-Alternativen, wo möglich und sinnvoll!

Sicherheit

  • Kein Java, falls nicht unbedingt notwendig
    • Bei installiertem Java die Browser-Plugins deaktivieren, wenn praktikabel
  • Sicherheitsrelevant sind erfahrungsgemäß die Browser, Flash, Adobe Reader und Windows Updates
  • Regelmäßige Updates (etwa einmal monatlich zum Patch-Day, dem 2.Dienstag im Monat: Windows, Office, Adobe etc. Schwere Lücken bei Bedarf zwischendurch)
    • Jedes Mal vor dem Veröffentlichen
  • Alle Programme einmal starten, vor allem nach Neuinstallationen bzw. Update (evtl. Startdialoge kommen sonst immer wieder)
  • msconfig: alles Unnötige aus dem Autostart entfernen
  • Bildschirmauflösung sollte im Lehrpool automatisch angepasst werden (Voreinstellung ist die beim Bearbeiten zuletzt verwendete Auflösung)
  • Als ‚root‘ bzw. ‚admin‘ anmelden
  • Festplatte aufräumen
cleanmgr.exe /sageset:1

Alle möglichen Optionen anhaken.

cleanmgr.exe /sagerun:1
  • Defragmentierung der Festplatte (VM lässt sich später besser verkleinern)
sc config defragsvc start= demand
defrag C:\ /H /U /V
sc config defragsvc start= disabled
  • Überschreiben des freien Speicherplatzes mit Nullen (VM lässt sich später besser verkleinern) → SDelete (oder unter C:\bwLehrpool\sdelete)
sdelete.exe -z
Bitte denken Sie daran, Ihre Abbilder regelmäßig zu aktualisieren!

Abstellen unnötiger Dienste

Zum bequemen Abstellen unnötiger Dienste wurde das Dienstprogramm Device Optimization Tool (DOT) erstellt. Es dient zur automatischen Optimierung von Virtuellen Windows Maschinen für die Verwendung innerhalb von bwLehrpool. Führen Sie dieses bitte innerhalb Ihrer Virtuellen Maschine aus und starten Sie die VM anschließend einmal neu.

Windows Updates einspielen

Um Windows Updates einzuspielen, müssen Sie zuerst den dafür notwendigen Dienst aktivieren (dieser wird in der Regel deaktiviert, um unnötige Benachrichtigungen und Updates im bwLehrpool Betrieb zu vermeiden).

Öffnen Sie eine Adminkonsole und führen folgenden Befehl aus:

sc config wuauserv start= demand

Suchen und installieren Sie anschließend wie gewohnt Windows Updates. Je nach dem, wie lang die letzte Aktualisierung zurückliegt, kann alleine das Suchen einige Zeit in Anspruch nehmen. Wenn Sie alle Updates installiert und die VM neugestartet haben, deaktivieren Sie den Dienst wieder.

sc config wuauserv start= disabled

Windows-Aktivierung prüfen

Falls Meldungen a la „Aktivieren Sie diese Windows-Kopie“ erscheinen, muß Ihr Window vor dem Upload aktiviert werden. Sie können den Status der Windows-Aktivierung mittels des Befehls

cscript.exe c:\windows\system32\slmgr.vbs -dlv

überprüfen.

Drucken aus dem Abbild

Sofern Sie eine der Vorlagen aus dem Poolsystem verwenden, sollte der Drucker bereits korrekt installiert sein, und Sie müssen nichts weiter tun. Falls Sie eine eigene Virtuelle Maschine bereitstellen wollen, vergleichen Sie bitte Drucken im bwLehrpool.

Drucken/exportieren