Crear una Imagen para Entornos Persistentes y No Persistentes de Windows

Se aplica a: WatchGuard EPDR, WatchGuard EDR, WatchGuard EPP

Antes de Empezar

Los entornos virtuales son complejos y variados. Este tema describe instrucciones paso a paso para instalar WatchGuard Endpoint Security en entornos de Infraestructura de Escritorio Virtual (VDI) persistentes y no persistentes. Por sus características, las computadoras o instancias virtuales requieren que se siga un procedimiento específico para asegurarse de que las imágenes o plantillas que se usarán en entornos virtuales estén actualizadas, optimizadas y no tengan un ID de máquina previamente asignado para que cuando se inicie una computadora virtual, se registre de manera única en la Web UI.

En entornos con características muy específicas, puede ser necesario seguir las recomendaciones proporcionadas por el proveedor de virtualización con el fin de adaptar las instrucciones generales a sus necesidades. Para obtener una solución personalizada, comuníquese con el Soporte de WatchGuard.

Este procedimiento de instalación requiere que se prepare una plantilla (para entornos persistentes) o una imagen maestra (para entornos no persistentes) que luego se implementará en las computadoras virtuales de la red. Es importante seguir este procedimiento de cerca para:

  • Asegurarse de que el motor y el archivo de firmas (base de consulta) se actualicen.
  • Optimizar el consumo de recursos y ancho de banda en entornos no persistentes.
  • Asegurarse de que las instancias virtuales estén identificadas de forma única.

Requisitos previos

  • En entornos persistentes, las computadoras deben tener direcciones MAC fijas.
  • La computadora que se utiliza generar la plantilla o la imagen maestra debe tener una conexión a Internet.

Sistemas Compatibles

Generalmente, este procedimiento funciona para estos tipos de máquinas virtuales:

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Servers

Instalar la Protección en Entornos Persistentes

  1. Instale o actualice el sistema operativo con las aplicaciones de usuario.
  2. En la consola del producto, cree un grupo para alojar la plantilla y el grupo Máquinas Virtuales.

  • Grupo de máquinas virtuales
    • En la pestaña Ajustes, seleccione Ajustes por Computadora y cree un perfil de ajustes para futuras actualizaciones de imágenes.
    • Asegúrese de que las actualizaciones automáticas del motor de protección estén habilitadas.

  • Asigne estos ajustes al grupo que creó para la plantilla del grupo Máquinas Virtuales.
  • Seleccione la pestaña Ajustes y seleccione Estaciones de Trabajo y Servidores en la sección Seguridad para crear un perfil de ajustes para futuras actualizaciones de imágenes.
  • Asegúrese de que las actualizaciones automáticas de la base de consulta estén habilitadas:

  • Asigne estos ajustes al grupo que creó para la plantilla del grupo Máquinas Virtuales.
  1. Instale el agente y la protección:
    • En la pestaña Computadoras, seleccione el grupo de plantillas del grupo Máquinas Virtuales.
    • Haga clic en Agregar Computadoras para descargar el instalador.

  • Instale el agente en la plantilla y espere a que finalice la ventana de progreso. En ese momento, la protección se instalará, configurará y actualizará automáticamente. Una vez que la instalación finalice, la computadora aparecerá en la lista de computadoras protegidas en la Web UI con un ícono verde. La protección y la base de consulta de la computadora estarán actualizadas.
  1. Ejecute la Herramienta del Agente de Endpoint (contraseña panda) en la computadora con la plantilla.
    • Escanéela con el botón Iniciar Escaneo de Caché. Esto llenará la caché de goodware y dejará la protección en un estado apropiado para las imágenes virtuales. Este proceso puede llevar algún tiempo, según el contenido del disco duro. Se le notificará cuando la operación finalice.
    • En la sección Eventos No Exclusivos, marque las casillas de selección para Detecciones, Contadores y Verificar Comandos. Haga clic en Enviar.
    • Elimine la ID de la máquina. Si es necesario, ingrese la Contraseña Antimanipulación. Asegúrese de que la opción Es una Imagen Maestra no esté seleccionada y haga clic en Preparar Imagen. Esto eliminará la ID del agente de la plantilla, así todas las máquinas virtuales obtienen su ID cuando se ejecutan y se conectan a WatchGuard Endpoint Security por primera vez.
      Screen shot of Endpoint Agent Tool dialog box, anti-tamper password

Este paso es fundamental para asegurarse de que cada máquina virtual se identifique de forma única en la Web UI.

  1. Deshabilite el servicio Endpoint Agent para que el servicio no se inicie automáticamente al usar esta plantilla en instancias virtuales. El servicio se inicia con políticas de GPO, que se explican en detalle a continuación.
  2. Acceda a la herramienta de administración del entorno virtual y genere la plantilla. Para obtener más información, comuníquese con su proveedor.

A continuación, debe cambiar el tipo de inicio del servicio del agente. Este servicio se deshabilitó en el paso anterior. Para ello, use la Consola de Administración de Políticas de Grupo en una máquina física conectada al dominio. Para obtener más información sobre cómo trabajar con la Consola de Administración de Políticas de Grupo, comuníquese con el soporte de Microsoft.

Para cambiar el tipo de inicio de servicio del Agente de Endpoint, debe crear un GPO. Para ello, en los ajustes de GPO, vaya a Configuración de la Computadora > Políticas > Ajustes de Windows > Ajustes de Seguridad > Servicios del Sistema > Agente de Endpoint. Cambie el ajuste a Automático. El servicio se iniciará automáticamente en el próximo reinicio y se integrará en la consola.

Screen shot of the Group Policy Management Editor dialog box

La pantalla Editor de Administración de Políticas de Grupo:

Screen shot of the New Group Policy Object page

Instalar la Protección en Entornos VDI No Persistentes

El procedimiento para administrar entornos VDI no persistentes consiste en tres fases.

Antes de generar la imagen maestra, debe preparar la máquina desde la cual se creará:

  1. Instale o actualice el sistema operativo con las aplicaciones de usuario.
  2. En la consola del producto, cree un grupo para alojar el grupo de la imagen maestra Imagen Maestra o de la Plantilla, y otro para alojar el grupo de máquinas virtuales Máquinas Virtuales.
  • Grupo Imagen de la Memoria o de la Plantilla
    • En la pestaña Ajustes, seleccione Ajustes por Computadora y cree un perfil de ajustes para futuras actualizaciones de imágenes.
    • Asegúrese de que las actualizaciones automáticas del motor de protección estén habilitadas.
    • Seleccione la opción de reinicio automático para asegurarse de que la computadora esté actualizada.

  • Asigne estos ajustes al grupo que creó para el grupo de la imagen maestra Imagen Maestra o de la Plantilla.
  • Seleccione la pestaña Ajustes y seleccione Estaciones de Trabajo y Servidores en la sección Seguridad a fin de crear un perfil de ajustes para futuras actualizaciones de imágenes.
  • Asegúrese de que las actualizaciones automáticas de la base de consulta estén habilitadas.
  • Asigne estos ajustes al grupo que creó para el grupo de la imagen maestra Imagen Maestra o de la Plantilla.
  • Grupo de Máquinas Virtuales. Las instancias virtuales se basan en la imagen maestra actualizada. Para optimizar los recursos del servidor VDI y reducir el uso de ancho de banda, siga estos pasos a fin de deshabilitar las actualizaciones:
    • Cree un perfil de ajustes Por computadora que tenga las actualizaciones deshabilitadas y asígnelo al grupo Máquinas Virtuales.

  • Vaya a Estaciones de Trabajo y Servidores en la sección Seguridad de la pestaña Ajustes, deshabilite las actualizaciones de la base de consulta y asigne esos ajustes al grupo Máquinas Virtuales.

  1. Instale el agente y la protección en el grupo Máquinas Virtuales para generar la imagen maestra.
    • En la pestaña Computadoras, seleccione el grupo de imagen maestra Máquinas Virtuales y haga clic en Agregar Computadoras para descargar el instalador.
    • Instale el agente en la máquina utilizada para crear la imagen maestra y espere a que finalice la ventana de progreso. Durante ese tiempo, la protección se instalará y configurará automáticamente. Una vez que la instalación finalice, la computadora aparece en la lista de computadoras protegidas en la Web UI.
  1. Mueva la máquina con la imagen maestra a su grupo Imagen Maestra o de la Plantilla para que reciba los ajustes con la opción de actualizar. Recomendamos que haga clic con el botón derecho en el icono de WatchGuard en la bandeja de sistemas de la barra de tareas y fuerce una sincronización. Esto enviará los ajustes a la computadora para que comience a actualizarse.
  1. Ejecute la Herramienta del Agente de Endpoint en la computadora con la imagen maestra.
    • Escanéela con el botón Iniciar Escaneo de Caché. Esto llenará la caché de goodware y dejará la protección en un estado apropiado para las imágenes virtuales. Este proceso puede llevar algún tiempo, según el contenido del disco duro. Se le notificará cuando la operación finalice.
    • En la sección Eventos No Exclusivos, marque las casillas de selección para Detecciones, Contadores y Verificar Comandos. Haga clic en Enviar.
      Screen shot of Endpoint Agent Tool dialog box
    • Elimine la ID de la máquina. Si es necesario, ingrese la Contraseña Antimanipulación. Asegúrese de que la opción Es una Imagen Maestra esté seleccionada y haga clic en Preparar Imagen. Esto eliminará la ID del agente de la plantilla, así todas las máquinas virtuales obtienen su ID cuando se ejecutan y se conectan a WatchGuard Endpoint Security por primera vez.
      Screen shot of Endpoint Agent Tool dialog box, gold image

Este paso es fundamental para asegurarse de que cada máquina virtual se identifique de forma única en la Web UI.

  1. Deshabilite el servicio del Agente de Endpoint para evitar que se inicie automáticamente al usar la imagen maestra en instancias virtuales. El servicio se puede iniciar mediante políticas de GPO, que se explican en la siguiente sección.
  2. Acceda a las herramientas de administración de VDI y genere la imagen maestra. Para obtener más información, comuníquese con su proveedor.
  3. En la sección de entornos VDI de la Web UI, puede configurar el número máximo de máquinas no persistentes que pueden estar activas al mismo tiempo. Esto permitirá la administración automática de las licencias que utilizan esas máquinas.

A continuación, debe cambiar el tipo de inicio del servicio del agente de WatchGuard. Este servicio se deshabilitó en el paso anterior. Para ello, use la Consola de Administración de Políticas de Grupo en una máquina física conectada al dominio. Para obtener más información sobre cómo trabajar con la Consola de Administración de Políticas de Grupo, comuníquese con el soporte de Microsoft.

Para cambiar el tipo de inicio de servicio del Agente de Endpoint, debe crear un GPO. Para ello, en los ajustes de GPO, vaya a Configuración de la Computadora > Políticas > Ajustes de Windows > Ajustes de Seguridad > Servicios del Sistema > Agente de Endpoint. Cambie el ajuste a Automático. El servicio se iniciará automáticamente en el próximo reinicio y se integrará en la consola.

Screen shot of the Group Policy Management Editor dialog box

La pantalla Editor de Administración de Políticas de Grupo:

Screen shot of the New Group Policy Object page

El agente, la protección y las firmas de la imagen maestra creada deben actualizarse con frecuencia, al menos una vez al mes. Estas actualizaciones son esenciales para garantizar la máxima protección contra las nuevas técnicas de ataque desarrolladas por los hackers.

Para actualizar la imagen maestra:

  1. Inicie la máquina donde está instalada la imagen maestra.
  2. En la Web UI, mueva la máquina con la imagen maestra al grupo Imagen Maestra o de la Plantilla para que reciba los ajustes adecuados con actualizaciones automáticas del motor y de la base de consulta.
  3. Haga clic con el botón derecho en el icono de WatchGuard en la bandeja del sistema de la barra de tareas para forzar una sincronización. Esto actualizará la máquina.
    • Las actualizaciones se realizan de forma silenciosa en segundo plano. Recomendamos que espere unos minutos para asegurarse de que la imagen esté actualizada correctamente.
    • Si hay una versión nueva de la protección disponible, se muestra una ventana de reinicio y la computadora se reinicia automáticamente (como se configuró en los Ajustes Por Computadora).

Una vez completado el reinicio, recomendamos que fuerce una nueva sincronización para asegurarse de que el producto esté completamente actualizado.

  1. Ejecute la Herramienta del Agente de Endpoint en la computadora con la imagen maestra.
    • Escanéela con el botón Iniciar Escaneo de Caché. Esto llenará la caché de goodware y dejará la protección en un estado apropiado para las imágenes virtuales. Este proceso puede llevar algún tiempo, según el contenido del disco duro. Se le notificará cuando la operación finalice.
    • En la sección Eventos No Exclusivos, marque las casillas de selección para Detecciones, Contadores y Verificar Comandos. Haga clic en Enviar.

      Screen shot of Endpoint Agent Tool dialog box
    • Elimine la ID de la máquina. Si es necesario, ingrese la Contraseña Antimanipulación. Asegúrese de que la opción Es una Imagen Maestra esté seleccionada y haga clic en Preparar Imagen. Esto eliminará la ID del agente de la plantilla, así todas las máquinas virtuales obtienen su ID cuando se ejecutan y se conectan a WatchGuard Endpoint Security por primera vez.
      Screen shot of Endpoint Agent Tool dialog box, gold image

Este paso es fundamental para asegurarse de que cada máquina virtual se identifique de forma única en la Web UI.

Administración de Licencias

Después de eliminar la ID del agente y deshabilitar la opción Es una Imagen Maestra, cuando se inicia una nueva máquina, el sistema calcula su ID de máquina y determina si la computadora es una nueva o una existente, según el entorno seleccionado.

Entornos No Persistentes

Si se establece el número máximo de máquinas que están activas simultáneamente para imágenes no persistentes, el servidor administra las licencias automáticamente, siempre que existan licencias disponibles y no se exceda el número de máquinas concurrentes.

Entornos Persistentes

Si hay varias máquinas que ya no se utilizan, elimínelas de la base de datos para liberar licencias, tal como lo haría con las máquinas físicas. Puede eliminar todas las máquinas o seleccionar una máquina individual para eliminarla.