Deep Freeze — «абсолютная чистота системы»

    Deep Freeze - Absolute System Integry

    Статья посвящена программе Faronics Corporation, Deep Freeze

    Предисловие


    В последнее время в школах, да и не только, во всех местах где компьютеры «расшарены»: интернет-клубы, в конце концов, офисы, имеет место быть проблема сохранения настроек системы в первозданнном состоянии, чтобы после каждого применения ничего не менялось, не было бы вирусов, машина не была бы участником бот-нета и пр.

    В разных случаях это решается разными способами: созданием профилей с ограниченными правами (пользователь, гость и пр.); применением групповых политик (Запрет на запись в определённые места, запрет изменения настроек и т.д.), в зависимости от уровня ограничений.

    В моём случае нужно было дать пользователю права администратора, но так чтобы он не смог поставить какой-то пароль, изменить системные настройки, удалить/поставить ненужные и нужные программы соответственно. Я решил не использовать мудрённые груповые политики на запрещение, а просто «заморозить» компьютер. Т.е. всё в текущей сессии разрешено, пользователь имеет полные права, но после перезагрузки всё возвращается в то состояние, которое было задано изначально. И так каждый раз. Что бы не менял пользователь, всё напрасно: после перезагрузки снова будет «эталонная система».

    Для выполнения этой задачи я выбрал программу Deep Freeze, о которой я и расскажу в этом топике.

    Как работает программа


    Принципе действия программы прост: при установке она создаёт образ раздела, который нужно «заморозить» (freeze) и при следующей перезагрузке восстанавливает раздел по этому образу. Значит раздел не будет подвержен никаким угрозам, ни вирусам, ни троянам.

    Возможности и особенности


    • Работа в Windows 95-Vista, Windows 2k/2k3 Server, Mac OS X, Suse Linux (SLED)
    • Поддержка SCSI, ATA, SATA, и IDE дисков; FAT, FAT32, NTFS, ext2 и ext3 разделов
    • Для Windows есть Enterprise-версия, которая отличается удобной консолью администрирования, дополнительными функциями администрирования: блокировка клавиатуры/мыши, отправка сообщений, удалённое включение/выключение/перезагрузка, а также повышенной безопаностью

    Остальное на официальном сайте (на англ.)

    Области применения


    • Офисные копьютеры (Deep Freeze + AD)
    • Сервера
    • Домашние компьютеры (в сочетании замороженный системный диск и остальные — нет)


    Цены


    Лицензия на один год версии Standart с поддержкой для одной машины стоит $45. Согласен что дороговато, но кто говорил… ;)
    Подробнее о покупке

    Поддержка


    На официальном сайте компании есть неплохой сборник вспомогательных материалов, правда всё на английском. Если нужна будет помощь в установке на русском, обращайтесь, если смогу, то обязательно помогу

    Заключение


    Пост получился объёмный, и вобщем-то ни о чём, я просто хотел поделиться тем, как можно организовать такую вот простенькую защиту системы. Если говорить о Deep Freeze, то думаю это достаточно хорошая программа, несложная в использовании в версии Stantard и достаточно проработанная и дающая много полезных функций в версии Enterprise.

    Post-Scriptum


    У Faronics Corporation есть довольно много утилит кроме Deep Freeze, заметно упрощающих жизнь тем, в чьём распоряжении находится большой компьютерный парк. О них на официальном сайте
    Поделиться публикацией
    Похожие публикации
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 61
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        спасибо, поставил.

        не, ну это какой-то злой рок :) фича, про которую все-все знают, но все-все забывают :)
      • +1
        Считаю, что $45 на машину для обладателя компьютерного парка не будет такой уж большой суммой. Сохранность системы, экономия времени и нервов, наверное, важнее.
        • 0
          Только вот на их сайте такой страны как Россия нет, а ещё на "Freeze Standart" нельзя купить мене 10 лицензий в "online store".
          • 0
            Standard для дома можно купить по адресу - http://www.faronics.com/store.

            Отличие от Shadow User будет ощутимо только если надо поддерживать компов 100 или 1000 или 10000. На одном компе все решения хороши, но у Deep Freeze есть бесплатная консоль для их сетевой версии, через которую можно управлять всей сеткой, включая системные обновления и прочую гадость. Эта версия и стоит дешевле, они, наверное, заинтересованы в копропаторах больше чем в частниках. В России можно вроде через Софтлайн купить.
          • 0
            $45 в год.
          • 0
            Не плохо бы найти аналогичное решение под Ubuntu и можно ставить на рабочие машины. Ubuntu вполне уже зрелый, для офисного планктона. Сейчас жду релиза Runtu (http://www.runtu.org/), ради эксперимента попробую офис весь пересадить.
            • 0
              я думаю всё дело состоит в рвении Canonical. А эксперименты веселые у вас, как раз для секретарш и пр. кто умеет только печатать в ворде и тренчать в асе :)
              • 0
                В чем проблема? GRUB + небольшой скриптик, запускающий partimage. Ну и раздел на винте, куды это все складывать. Только вот зачем пользователю права админа в офисе?
                • 0
                  даже не знаю что посоветовать, права на запись и так есть только в хомник. Ставь квоту и все. Если задача полностью очищать "наследие", то просто пересоздавай пользователя.
                • +1
                  а я считаю ,что у пользователя не должно быть прав адмистратора,и что он не должен иметь права удалить что-либо важное
                  • 0
                    я думаю, что бывают случаи, что просто необходим администратор: коряво написанные программы, или наоборот, хорошие и безопасные программы... думаю случаев много
                    • 0
                      На этот случай в *nix есть sudo
                      • 0
                        А в Win прихоится вот так вот извращаться:)
                        • +3
                          В windows есть runas..
                    • 0
                      Одно дело расстановка прав, другое заморозка всего и вся. :) Именно хочется всё заморозить, сделать, как с «болванки».
                      Чем меньше администратор возится под столами секретарш, тем больше времени у него на кофе ,) В данном случае компьютеры коллективного пользования.
                      • 0
                        >>Чем меньше администратор возится под столами секретарш
                        Тем больше секретарши возятся под столом администратора.
                        Извините, не удержался (:
                      • +12
                        В таком топике я бы ожидал увидеть хотя бы упоминание альтернативных программ - быстрое гугление показывает Microsoft SteadyState (бесплатна), DriveShield, Clean Slate. Я где-то видел еще аналоги, не помню уже названий.
                        • 0
                          хорошо, думаю ваш комментарий стоит плюса и идеи для отдельного топика :) думаю этим можно заняться ;)
                          • 0
                            shadow user/server
                            • 0
                              Можно еще на продукты acronis посмотреть
                              • 0
                                В последнем Acronis True Image вроде есть подобная функция
                              • 0
                                У нас в школе, в классе информатики было так же реализовано, программа называлась HDD Sheriff. Еще был пароль разблокировки, чтобы устанавливать программы, если надо, он был у учителя. Очень правильное решение для публично доступных компьютеров, на мой взгляд.
                                • 0
                                  В DF это естественно, есть :) Правда там есть три опции:
                                  * разморозить на следующую перезагрузку,
                                  * разморозить на х перезагрзуок,
                                  * разморозить полностью
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  • 0
                                    думаю, вопрос, занимаемый минимум 30 минут, да, вобщем неважно сколько, не выход для админа с 100 компов... а с 1000?
                                  • 0
                                    У нас в универе система просто каждый раз грузится "с чистого листа" с общего сервера...
                                    • 0
                                      всмысле рабочая станция+сервер?
                                      • 0
                                        Если честно, я не очень понимаю, как это всё устроено, но, судя по всему, именно так - есть сервер и есть, в данном случае, двадцать машин, которые с него грузят систему. В зависимости от пользователя меняется только "свой" диск (единственный, на котором можно сохранить данные. Правда, пожадничали - его размер всего 2 Мб) - все остальное, я так понял, создаётся с нуля (как бы новый пользователь) - даже дистрибутивы Bonjour! (огнелиса 2), ОО и паскалей устанавливаются каждый раз по новой.

                                        Оффтопиком, когда полгода назад еще стояли 386-486, было мучительно ждать, когда же наконец всё поставится. Благо, с появлением P4-машин проблема отпала.
                                      • 0
                                        У нас нечто похожее. У рабочих станций корневой раздел монтируется ридонли по нфс. Тоесть даже с правами рута там никакой гадости не наделаешь даже теоретически. Ну и вносить изменения в систему элементарно: все в одном месте (правка конфигов, установка прог). Неужели тут про такое еще не писали?
                                      • 0
                                        Интересно, почему это автор остановился именно на этом ПО? Сравнительный анализ с чем либо другим проводился?

                                        К примеру для данной задачи ShadomUser очень не плох (почитать можно тут: http://www.ixbt.com/soft/shadowuser.shtml ).
                                        • 0
                                          Ставил похожую программу WinRollBack. Функциональность похожая, да и работает неплохо. Но вот у версии которую я ставил была странная "фича" - после извлечения флешки комп уходил в ребут. Оказалось баг программы :) Автору спасибо, опробуем эту программу.
                                          • +3
                                            Вот еще несколько аналогов:
                                            ShadowUser от StorageCraft
                                            При активированном ShadowUser любые изменения любых файлов записываются на свободное место, а после перезагрузки могут быть уничтожены. Таким образом, работа происходит не с самими файлами, а с их «тенями» или копиями.
                                            RollBack Rx Pro от Horizon DataSys
                                            EAZ-FIX от Eaz Solution
                                            При инсталляции эти программы переопределяют на себя Master Boot и Partition Table поэтому другие средства вроде Partition Magic или Acronis такой диск уже не видят! Так сделано специально. Все вернется на место после деинсталляции. Программы перехватывает все обращения к диску на самом нижнем уровне чтения/записи секторов и выполняют откаты под управлением собственной ДОС при перезагрузке.
                                            Тут нужно отметить различия между Rollback RX (и EAZ-FIX) ShadowUser:
                                            ShadowUser работает только под Windows - он виртуализирует ее. Если произошел крах системы, Shadowuser уже не запустишь.
                                            Rollback RX (и EAZ-FIX) работают не только под Windows, но и записывают консоль в загрузчик HDD, они создают образы с которых и восстанавливают систему. Даже если Windows не будет загружаться, Rollback RX (EAZ-FIX) практически мгновенно восстановят ее.
                                            Returnil Virtual System от Returnil
                                            Returnil Virtual System создает виртуальный образ системной памяти Windows, так что операционная система запускается и работает в виртуальном разделе (то есть все изменения осуществляются исключительно в специальной области памяти). Данный способ работы полностью защищает ПК от различных вирусов, шпионского ПО и прочих нежелательных изменений, вносимых в систему. При включенной защите при перезагрузке все изменения будут скидываться, так что у вас постоянно будет девственно чистая система. Для установки приложений, создания и работы с документами и т.д. защиту необходимо временно отключать.
                                            Есть и другие решения, весьма известным является
                                            Norton GoBack, который входит в состав System Works Premier от Symantec
                                            GoBack восстанавливает работоспособную конфигурацию персонального компьютера, позволяя вернуть систему в то состояние, в котором она находилась несколько минут, часов или даже дней назад (фактический промежуток времени зависит от свободного места на диске). Эту программу также удобно применять для восстановления удаленных или измененных файлов и с целью безопасного тестирования нового программного обеспечения.
                                            И еще несколько:
                                            Disk Write Copy Professional Edition!
                                            APBackup от AVPSoft
                                            И т.д., вот не знаю, будут ли с моей кармой работать html-ссылки, в предпросмотре не работают.
                                            • +3
                                              Думаю поддержка линухов только для галочки, внедряющаяся сейчас PolicyKit помогает выборочно давать права рута: при монтировании дисков ты рут, при установке софта-вася пупкин. А если нужен именно бекап, то можно сделать образ эталонной системы
                                              dd if=/dev/sda1 of=/home/system.image
                                              со всеми настройками и установленным софтом, а при каких либо проблемах просто накатить все обратно из под LiveCD.
                                              • 0
                                                было бы интересно автоматизировать этот процесс, чтобы восстановление из бэкапа происходило после каждой перезагрузки.
                                                • 0
                                                  дык в cron вбить
                                                  dd if=/home/system of=/dev/sda1
                                                  А зачем собственно такие бредни?
                                                  • 0
                                                    >> А зачем собственно такие бредни?
                                                    вы статью читали?

                                                    поясню свой предыдущий комментарий: как автоматизировать процесс востановления эталонной системы (Windows) после каждой перезагрузки?
                                                    как из cron загрузить Windows после "dd if=/home/system of=/dev/sda1" ?

                                                    P.S. луч поноса хабру за съеденный комментарий!
                                                    • 0
                                                      Дак вместо
                                                      dd if=/home/system.image of=/dev/sda1
                                                      пишем
                                                      dd if=/home/system of=/dev/sda1 && reboot
                                                      а в грабе первой ОС выставляем винду, тогда она загрузится по истичении 10 секунд после перезагрузки... Сам даже близко не пробовал это делать, но в теории звучит нормально :)
                                                      • 0
                                                        ну так если первой ОС в загрузке будет Винда, то как будет выполняться восстановление?
                                                        • 0
                                                          Ну если уж совсем честно прочитать мой самый первый пост, то я говорил именно о линухах, как рабочей платформе, а не шестерке-швабротерке для винды, которая будет сама себя обеспечивать :)
                                                          • 0
                                                            Можно две версии menu.lst иметь и в кроне по-умолчанию стоит линукс, где запускается стартап-скрипт, восстанавливающий образ, переписывающий GRUB-конфиг и перезагружающийся, а уже после загрузки с образа эталонной винды скриптом подключается автоматически партиция с грубом, заменяется конфиг (чтоб в следующий раз грузился линукс) и отмонтируется.

                                                            И да, жениться мне пора.
                                                • 0
                                                  Подскажите, кто использовал... Я что-то в упор не понимаю, как можно запретить виндовому администратору удалить тот образ, который создан для восстановления этой программой?

                                                  "следующей перезагрузки" -> "следующей перезагрузке"
                                                  • 0
                                                    мне кажется, статья неполная, будто с официального сайта программы — много воды, описание, как выглядит работа программы внешне, и совершенно не сказано, как там всё тикает внутри.

                                                    Как работает программа? позволяет писать в "замороженный" раздел всё что хочешь, а после перезагрузки просто накатывает эталонный образ из бэкапа? или же пишет все изменения "в тень", как ShadowUser?
                                                    программа загружается до ОС или в самой ОС как сервис?
                                                    если в ОС, то что если ОС упала окончательно и загрузить её нельзя, как тогда восстановить систему? есть загрузочный диск?
                                                    ещё не помешала бы пара скриншотов (если программа запускается в win, а не до)
                                                    спасибо.
                                                    • 0
                                                      Могу поделиться почти двухлетним опытом использования ShadowUser на 15 компьютерах - все работает как часы. Из минусов могу отметить только то, что с правами "Пользователь" нельзя сменить режим работы даже с паролем, а с правами "Администратор" программа даже пароля не спрашивает. Но в остальном - никаких нареканий, сохраняет и восстанавливает.
                                                      • 0
                                                        Возникает вопрос: а не сможет ли пользователь, обладая правами администратора, удалить/отключить этот самый Deep Freeze?
                                                        • 0
                                                          нет, чтобы отлючит
                                                        • 0
                                                          Нежелание пользоваться стандартными средствами приводит к усложнению содержания системы вцелом, %username%
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                            • 0
                                                              это конечно возможно :)
                                                              Copyright © 1999 - 2008 Faronics Corporation. All rights reserved.

                                                              Думаю Deep Freeze - один из первых продуктов компании
                                                            • 0
                                                              Афтар не знаком с ShadowUser?
                                                              • 0
                                                                разве ShadowUser не требует 2х свободного места и работает только под Windows?
                                                              • +3
                                                                То же, что и тут, но благодаря новой карме с ссылками.
                                                                Итак, аналоги:
                                                                ShadowUser от StorageCraft
                                                                При активированном ShadowUser любые изменения любых файлов записываются на свободное место, а после перезагрузки могут быть уничтожены. Таким образом, работа происходит не с самими файлами, а с их «тенями» или копиями.
                                                                RollBack Rx Pro от Horizon DataSys
                                                                EAZ-FIX от Eaz Solution
                                                                При инсталляции эти программы переопределяют на себя Master Boot и Partition Table поэтому другие средства вроде Partition Magic или Acronis такой диск уже не видят! Так сделано специально. Все вернется на место после деинсталляции. Программы перехватывает все обращения к диску на самом нижнем уровне чтения/записи секторов и выполняют откаты под управлением собственной ДОС при перезагрузке.
                                                                Тут нужно отметить различия между Rollback RX (EAZ-FIX) и ShadowUser:
                                                                ShadowUser работает только под Windows - он виртуализирует ее. Если произошел крах Windows , Shadowuser запустится.
                                                                Rollback RX (и EAZ-FIX) работают не толко под Windows, но и записывают консоль в загрузчик HDD, они создают образы с которых и востанавливают систему. Даже если Windows не будет загружаться, Rollback RX (EAZ-FIX) практически мгновенно востановят ее.
                                                                Returnil Virtual System от Returnil
                                                                Returnil Virtual System создает виртуальный образ системной памяти Windows, так что операционная система запускается и работает в виртуальном разделе (то есть все изменения осуществляются исключительно в специальной области памяти). Данный способ работы полностью защищает ПК от различных вирусов, шпионского ПО и прочих нежелательных изменений, вносимых в систему. При включенной защите при перезагрузке все изменения будут скидываться, так что у вас постоянно будет девственно чистая система. Для установки приложений, создания и работы с документами и т.д. защиту необходимо временно отключать.
                                                                Есть и другие решения, весьма известным является
                                                                Norton GoBack, который входит в состав System Works Premier от Symantec
                                                                GoBack восстанавливает работоспособную конфигурацию персонального компьютера, позволяя вернуть систему в то состояние, в котором она находилась несколько минут, часов или даже дней назад (фактический промежуток времени зависит от свободного места на диске). Эту программу также удобно применять для восстановления удаленных или измененных файлов и с целью безопасного тестирования нового программного обеспечения.
                                                                И еще несколько:
                                                                Disk Write Copy Professional Edition!
                                                                APBackup от AVPSoft
                                                                Последние упомянутые программы, подобно GoBack способны сохранять ретроисторию действий в вашей системе. Но за определенное удобство приходится расплачиваться определеным замедлением производительности системы.
                                                                • 0
                                                                  Вот заметил неточность:
                                                                  Если произошел крах Windows, Shadowuser запустится.
                                                                  Должно быть:
                                                                  Если произошел крах Windows, Shadowuser не запустится.
                                                                  • 0
                                                                    спасибо большое за сравнение! может быть вам стоило бы дополнить и вынести это сравнение в отдельный топик?
                                                                    • 0
                                                                      забавно получилось. хотел плюсануть ваш предыдущий комментарий, но не был авторизирован... авторизировался и увидел комментарий с сылками. на несколько секунд решил что у меня не все в порядке с головой, ведь ссылок не было! :D
                                                                      и только немного погодя понял в чем подвох :D
                                                                      • 0
                                                                        Вам определённо стоит дополнить это и вынести сравнение в отдельный топик уважаемый! Несложно и полезно для обчецтва )
                                                                      • 0
                                                                        "Если нужна будет помощь в утановке на русском"
                                                                        Исправьте пожалуйста
                                                                        • 0
                                                                          спасибо, исправил
                                                                        • 0
                                                                          в случае использования Microsoft Windows XP с установленным SP2 или SP3, Windows Vista, и Windows Vista SP1 стоит обратить внимание на Windows SteadyState...
                                                                          • 0
                                                                            а зачем после каждой перезагрузки? Возникнет проблема — раскатать бэкап.
                                                                            • 0
                                                                              Седьмая версия Deep Freeze недавно вышла.
                                                                              agl666 — имиджа не создается, если интересно как работает, кинь в личку. Потому и быстро так, и конфликтов с другими программами не возникает.

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.