Instalar el Software de Endpoint desde una Imagen Maestra

Se aplica A: WatchGuard Advanced EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EPDR., WatchGuard EDR Este tema se aplica al producto de seguridad de endpoints WatchGuard EDR. , WatchGuard EPP Este tema se aplica al producto de seguridad de endpoints WatchGuard EPP., WatchGuard EDR Core Este tema se aplica a WatchGuard EDR Core, disponible en la licencia Total Security Suite.

En redes grandes con muchas computadoras similares, puede automatizar el proceso para instalar el sistema operativo y otro software con una imagen maestra. A veces se hace referencia a esto como imagen maestra, imagen base, imagen clonada o imagen de plantilla. Luego implementa la imagen maestra en todas las computadoras de la red, lo que elimina la mayor parte del trabajo manual que se requiere para configurar una nueva computadora.

Para generar una imagen maestra, instale en una computadora de su red un sistema operativo actualizado con todo el software que los usuarios puedan necesitar, como herramientas de seguridad.

Este procedimiento de instalación requiere que se prepare una plantilla (para entornos persistentes) o una imagen maestra (para entornos no persistentes) que luego se implementará en las computadoras virtuales de la red.

WatchGuard Endpoint Security admite imágenes maestras en estas plataformas virtuales:

• VMware Workstation
• VMware Server
• VMware ESX
• VMware ESXi
• Citrix XenDesktop
• XenApp
• XenServer
• MS Virtual Desktop
• MS Virtual Servers

ID Única de WatchGuard

Cada computadora donde está instalado WatchGuard Endpoint Security tiene una ID única asignada. WatchGuard usa este ID para identificar la computadora en la UI de administración. Si genera una imagen maestra desde una computadora y, a continuación, la copia en otros sistemas, cada computadora que la recibe hereda la misma ID de WatchGuard Endpoint Security y la UI de administración solo muestra una computadora.

Para evitar esto, puede utilizar la Herramienta Endpoint Agent para eliminar la identificación. La herramienta está disponible para descargar. Para más información, consulte Crear una Imagen para Entornos Persistentes y No Persistentes de Windows.

En entornos VDI no persistentes, algunos parámetros de hardware virtual, como la dirección MAC de las tarjetas de interfaz de red, pueden cambiar con cada reinicio. Por esta razón, el hardware del dispositivo no se puede utilizar para identificar computadoras o asignarles licencias. Además, el sistema de almacenamiento de las computadoras de VDI no persistentes se vacía con cada reinicio, lo que también elimina la ID asignada a la computadora.

Es importante que siga estos procedimientos paso a paso y, cuando los complete, debe verificar que todos los dispositivos clonados se muestren con una ID única en la UI de administración de Endpoint Security. Los dispositivos que se clonan incorrectamente pueden afectar la confiabilidad de la Protección Avanzada y comprometer gravemente la seguridad de su infraestructura. Si solo ve un dispositivo en la UI de administración, debe repetir el proceso, reconstruir la plantilla e implementarla nuevamente en los endpoints afectados lo antes posible.

Crear una Plantilla para Entornos VDI Persistentes

En un entorno VDI persistente, la información almacenada en el disco duro de una computadora persiste entre reinicios. Por lo tanto, para crear una plantilla solo tiene que configurar actualizaciones de la protección de WatchGuard Endpoint Security.

Después de instalar una versión actualizada del sistema operativo y todos los programas que los usuarios necesitan, cree una plantilla.

Para crear una plantilla para entornos VDI persistentes:

1. Instale una versión actualizada del sistema operativo y todos los programas que los usuarios necesitan en el dispositivo que utilizarán para la imagen maestra.
2. Instale el software WatchGuard Endpoint Security.
   Para más información, consulte Descargar el Instalador de WatchGuard Endpoint Agent.
3. Asegúrese de que la computadora esté conectada a Internet.
4. Asigne a la computadora un perfil de ajustes de seguridad que tenga habilitadas las actualizaciones de la protección y la base de consultas de WatchGuard Endpoint Security.
   Para más información, consulte Configurar Actualizaciones Automáticas de la Base de Conocimiento (Archivo de Firmas), Configurar los Ajustes Por Equipo y Asignar un Perfil de Ajustes.
5. Abra la Herramienta Endpoint Agent.
   1. Para escanear la computadora y precargar la caché de goodware de WatchGuard Endpoint Security, haga clic en Iniciar Escaneo de Caché.
   2. Para eliminar la ID de la computadora, haga clic en Anular Registro del Dispositivo.
   3. Asegúrese de que la casilla de selección Es una Imagen Maestra NO esté seleccionada.
      Esto elimina la ID del agente de la plantilla, de modo que todas las máquinas virtuales obtengan su ID cuando se conecten a la nube por primera vez.
6. Importante: Deshabilite el servicio del agente de endpoint para que el servicio no se inicie automáticamente cuando se use la plantilla en instancias virtuales.
   El servicio se inicia con políticas de GPO para dispositivos dentro de un dominio, que se describe a continuación.

Este paso es fundamental para asegurarse de que cada máquina virtual se identifique de forma única en la UI de administración.

7. Apague la computadora.
8. Genere una imagen maestra con su software de administración de entorno virtual.

9. Para iniciar el servicio del agente de endpoint, puede crear un GPO desde un dispositivo con los permisos adecuados conectados al dominio:

   1. En los ajustes del GPO, seleccione Configuración de la Computadora > Políticas > Ajustes de Windows > Ajustes de Seguridad > Servicios del Sistema > WatchGuard Endpoint Agent.

   2. Actualice el ajuste del servicio a Automático.
      El servicio se inicia automáticamente en el siguiente reinicio y el cliente se integra en la UI de administración.

Para cambiar el tipo de inicio del servicio Endpoint Agent, puede crear políticas de GPO para dispositivos dentro de un dominio o mediante otros tipos de aplicaciones de script como Horizon, Windows Logon Scripts, etc.

Crear una Imagen Maestra para Entornos VDI No Persistentes

En un entorno VDI no persistente, usted crea dos perfiles de ajustes de seguridad: uno para actualizar la imagen maestra cuando la prepara y para fines de mantenimiento, y otro para deshabilitar las actualizaciones cuando ejecuta la imagen maestra porque no tiene sentido actualizar WatchGuard Endpoint Security si el sistema de almacenamiento de la computadora vuelve a su estado original con cada reinicio.

Preparar la Imagen Maestra

Después de instalar una versión actualizada del sistema operativo y todos los programas que los usuarios necesitan, cree una imagen maestra.

Es importante seguir cuidadosamente estos pasos. Si crea incorrectamente una imagen maestra, pueden ocurrir estos problemas:

• Limitaciones en la administración de dispositivos clonados en la UI de administración de Endpoint Security — Solo se muestra un dispositivo en la UI de administración. Cualquier acción ejecutada sobre él sólo afectará a uno de los dispositivos integrados y no quedará claro a qué dispositivo afectaría.
• Reducción del número de detecciones realizadas por la protección avanzada: Se descarta la telemetría generada por dispositivos que no están correctamente integrados en la UI de administración. La fiabilidad de la protección se ve comprometida.

Para crear una imagen maestra para entornos VDI no persistentes:

1. Instale una versión actualizada del sistema operativo y todos los programas que los usuarios necesitan en el dispositivo que utilizarán para la imagen maestra.
2. Instale el software WatchGuard Endpoint Security.
   Para más información, consulte Descargar el Instalador de WatchGuard Endpoint Agent.
3. Asegúrese de que la computadora esté conectada a Internet.
4. Asigne a la computadora un perfil de ajustes de seguridad que tenga habilitadas las actualizaciones de la protección y la base de consultas de WatchGuard Endpoint Security.
   Para más información, consulte Configurar Actualizaciones Automáticas de la Base de Conocimiento (Archivo de Firmas) y Configurar los Ajustes Por Equipo.
5. Abra la Herramienta Endpoint Agent.
   1. Para escanear la computadora y precargar la caché de goodware de WatchGuard Endpoint Security, haga clic en el botón Iniciar Escaneo de Caché.
   2. Para eliminar la ID de la computadora, haga clic en Anular Registro del Dispositivo.
   3. Asegúrese de que la casilla de selección Es una Imagen Maestra esté seleccionada.
      Esto elimina la ID del agente de la imagen maestra, de modo que todas las máquinas virtuales obtengan su ID cuando se ejecuten y se conecten a la nube por primera vez. Este paso es fundamental para asegurarse de que cada instancia virtual se identifique de forma única en la UI de administración.
   4. Si el dispositivo está protegido por protección antimanipulación, ingresa la contraseña.
   5. Haga clic en Preparar imagen para eliminar el identificación del agente de la imagen.
      Las máquinas virtuales obtienen su identificación correspondiente cuando se ejecutan y se conectan por primera vez a los servidores de WatchGuard.
6. Asigne a la computadora un perfil de ajustes de seguridad que deshabilite las actualizaciones de la protección y la base de consultas de WatchGuard Endpoint Security.
   Para más información, consulte Configurar Actualizaciones Automáticas de la Base de Conocimiento (Archivo de Firmas), Configurar los Ajustes Por Equipo y Asignar un Perfil de Ajustes.
7. Importante: Deshabilite el servicio del agente de endpoint para asegurarse de que no se inicie automáticamente cuando use la imagen maestra durante las instancias virtuales.
8. Apague la computadora y genere una imagen maestra con su software de administración de entorno virtual.
9. En WatchGuard Cloud, seleccione Configurar > Endpoints.
10. Seleccione Ajustes.
11. En el panel izquierdo, seleccione Entornos VDI.
12. Configure el número máximo de computadoras que pueden estar activas simultáneamente.
    Esto permite la administración automática de las licencias que utilizan estas computadoras. Para más información, consulte Configurar los Entornos VDI.

Ejecutar WatchGuard Endpoint Security en un Entorno VDI No Persistente

Para que WatchGuard Endpoint Security se ejecute correctamente, debe cambiar el tipo de inicio de servicio del agente de endpoint, que anteriormente estaba deshabilitado en la imagen maestra.

Para cambiar el tipo de inicio del servicio Endpoint Agent, puede crear políticas de GPO para dispositivos dentro de un dominio o mediante otros tipos de aplicaciones de script como Horizon, Windows Logon Scripts, etc.

Para cambiar el tipo de inicio de servicio del agente de endpoint, en las herramientas de administración del GPO:

1. Asegúrese de que las herramientas de administración del GPO estén en una computadora física conectada al dominio.
2. Cree un GPO para cambiar el tipo de inicio del servicio del agente.
3. En los ajustes del GPO, vaya a Configuración de la Computadora > Políticas > Ajustes de Windows > Ajustes de Seguridad > Servicios del Sistema > WatchGuard Endpoint Agent.
4. Cambie el ajuste del servicio a Automático.
   El servicio se inicia automáticamente en el siguiente reinicio y el cliente se integra en la UI de administración.

Actualizar Manualmente la Imagen Maestra en un Entorno VDI No Persistente

Debido a que los ajustes de seguridad que reciben las computadoras de VDI tienen deshabilitadas las actualizaciones, recomendamos que actualice la imagen maestra manualmente al menos una vez al mes. Esto asegura que las computadoras de VDI reciban la última versión de la protección y el archivo de firmas.

Para actualizar manualmente la imagen maestra en un entorno VDI no persistente:

1. En la aplicación de servicios de Windows, habilite el servicio del agent.
2. Asegúrese de que la computadora esté conectada a Internet.
3. Asigne un perfil de ajustes de seguridad con actualizaciones de protección y base de conocimiento de WatchGuard Endpoint Security habilitadas.
   Para más información, consulte Configurar Actualizaciones Automáticas de la Base de Conocimiento (Archivo de Firmas), Configurar los Ajustes Por Equipo y Asignar un Perfil de Ajustes.
4. Abra la Herramienta Endpoint Agent.
   1. Para escanear la computadora y precargar la caché de goodware de WatchGuard Endpoint Security, haga clic en Iniciar Escaneo de Caché.
   2. Para eliminar la ID de la computadora, haga clic en Anular Registro del Dispositivo.
   3. Marque la casilla de selección Es una Imagen Maestra.
   4. Si el dispositivo está protegido por protección antimanipulación, ingresa la contraseña.
   5. Haga clic en Preparar imagen para eliminar el identificación del agente de la imagen.
      Las máquinas virtuales obtienen su identificación correspondiente cuando se ejecutan y se conectan por primera vez a los servidores de WatchGuard.
5. Asigne a la computadora un perfil de ajustes de seguridad que deshabilite las actualizaciones de la protección y la base de consultas de WatchGuard Endpoint Security.
   Para más información, consulte Configurar Actualizaciones Automáticas de la Base de Conocimiento (Archivo de Firmas), Configurar los Ajustes Por Equipo y Asignar un Perfil de Ajustes.
6. Importante: Deshabilite el servicio del agente de endpoint para asegurarse de que no se inicie automáticamente cuando use la imagen maestra durante las instancias virtuales.
7. Apague la computadora y genere una imagen maestra con su software de administración de entorno virtual.
8. En el entorno VDI, reemplace la imagen anterior por la nueva.

Ver Computadoras No Persistentes

WatchGuard Endpoint Security utiliza el nombre de dominio completo (FQDN) para identificar las computadoras a las que se les eliminó su ID con la Herramienta Endpoint Agent y que están marcadas como imagen maestra.

Para ver una lista de computadoras de VDI no persistentes:

1. En WatchGuard Cloud, seleccione Configurar > Endpoints.
2. Seleccione Ajustes.
3. En el panel izquierdo, seleccione Entornos VDI.
4. Haga clic en el enlace Mostrar los Equipos No Persistentes.
   La lista Equipos muestra solo computadoras no persistentes.

Temas Relacionados

Administrar Ajustes

Configurar Actualizaciones Automáticas de la Base de Conocimiento (Archivo de Firmas)

Configurar los Ajustes Por Equipo

Crear una Imagen para Entornos Persistentes y No Persistentes de Windows