Crear una Imagen para Entornos Persistentes y No Persistentes de Windows

Se aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR , WatchGuard EPP, WatchGuard EDR Core

Antes de Empezar

Los entornos virtuales son complejos y variados. Este tema describe instrucciones paso a paso para instalar WatchGuard Endpoint Security en entornos de Infraestructura de Escritorio Virtual (VDI) persistentes y no persistentes. Por sus características, las computadoras o instancias virtuales requieren que se siga un procedimiento específico para asegurarse de que las imágenes o plantillas que se usarán en entornos virtuales estén actualizadas, optimizadas y no tengan un ID de máquina previamente asignado para que cuando se inicie una computadora virtual, se registre de manera única en la UI de administración.

En entornos con características muy específicas, puede ser necesario seguir las recomendaciones proporcionadas por el proveedor de virtualización con el fin de adaptar las instrucciones generales a sus necesidades. Para obtener una solución personalizada, comuníquese con el Soporte de WatchGuard.

Este procedimiento de instalación requiere que se prepare una plantilla (para entornos persistentes) o una imagen maestra (para entornos no persistentes) para implementarse más adelante en las computadoras virtuales de la red. Es importante completar este procedimiento de cerca para:

  • Asegúrese de que el motor y el archivo de firma (conocimiento) se actualicen.
  • Optimizar el consumo de recursos y ancho de banda en entornos no persistentes.
  • Asegúrese de que las instancias virtuales están identificadas de forma única.

Prerrequisitos

  • En entornos persistentes, las computadoras deben tener direcciones MAC fijas.
  • La computadora que se utiliza generar la plantilla o la imagen maestra debe tener una conexión a Internet.

  • La Herramienta Endpoint Agent para Windows debe ejecutarse como administrador y dispone de una interfaz gráfica, aunque también puede ejecutarse desde la línea de comandos. Si ejecuta la herramienta desde un archivo .bat o .cmd, debe usar este comando: start /wait "". Por ejemplo, si la instrucción es: EndpointAgentTool.exe /sg, escribiría: start /wait "" "C:\Path\EndpointAgentTool.exe" /sg

Sistemas Compatibles

Generalmente, este procedimiento funciona para estos tipos de máquinas virtuales:

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Servers

Instalar la Protección en Entornos Persistentes

Es importante que siga estos procedimientos paso a paso y, cuando los complete, debe verificar que todos los dispositivos clonados se muestren con una identificación única en la UI de administración. Los dispositivos que se clonan incorrectamente pueden afectar la confiabilidad de la Protección Avanzada y comprometer gravemente la seguridad de su red. Si solo ve un dispositivo en la UI de administración, debe repetir el proceso, reconstruir la plantilla e implementarla nuevamente en los endpoints afectados lo antes posible.

  1. Instale o actualice el sistema operativo con las aplicaciones de usuario.
  2. En la UI de administración, cree un grupo para alojar la plantilla y el grupo Virtuales.

Screen shot of Computers page and Add Group menu

  • Grupo de máquinas virtuales
    • En la pestaña Configuración, seleccione Ajustes por Equipo y cree un perfil de ajustes para futuras actualizaciones de imágenes.
    • Asegúrese de que las actualizaciones automáticas del motor de protección estén habilitadas.

Screen shot of Per Computer Settings page, Updates section.

  • Asigne estos ajustes al grupo Virtuales que creó anteriormente para la plantilla.
  • Seleccione la pestaña Configuración y seleccione Estaciones y Servidores a fin de crear un perfil de ajustes para futuras actualizaciones de imágenes.
  • Asegúrese de que las Actualizaciones Automáticas de Conocimiento estén habilitadas:

Screen shot of Edit Settings dialog box, Knowledge updates section

  • Asigne estos ajustes al grupo Virtuales.
  1. Instale el agente y la protección en el grupo Máquinas Virtuales:
    • Seleccione Equipos y luego seleccione el grupo de plantillas Virtuales.
    • Haga clic en Añadir Equipos para descargar el instalador.

Screen shot of Add Computers dialog box, Windows selected.

  • Instale el agente en la plantilla y espere a que finalice la ventana de progreso. La protección se instala, configura y actualiza automáticamente. Una vez que la instalación finalice, la computadora aparece en la lista de computadoras protegidas en la UI de administración con un ícono verde. La protección y el conocimiento de la computadora están actualizados.
  1. Ejecute la Herramienta Endpoint Agent (contraseña panda) en la computadora con la plantilla.
    • Escanéela con el botón Iniciar Análisis de Caché. Esto llena la caché de goodware y deja la protección en un estado apropiado para imágenes virtuales. Este proceso puede llevar algún tiempo, según el contenido del disco duro. Se le notificará cuando la operación finalice.
    • En la sección Eventos No Exclusivos, marque las casillas de selección para Detecciones, Contadores y Verificar Comandos. Haga clic en Enviar.
      Screen shot of Endpoint Agent Tool window.
  2. Importante: Eliminar la Id de la computadora.
    • Asegúrese de que la casilla de selección Es una Imagen Maestra no esté seleccionada.
    • Si es necesario, ingrese la Contraseña Anti-tamper y haga clic en Eliminar Registro del Dispositivo. (Puede hacer clic en Comprobar registro para verificar que el dispositivo no estaba registrado).
    • Haga clic en Preparar Imagen.

      3. Esto elimina la ID de la máquina de la plantilla, así todas las máquinas virtuales obtienen su ID cuando se ejecutan y se conectan a WatchGuard Endpoint Security por primera vez.

      Screen shot of Endpoint Agent Tool dialog box, anti-tamper password

  3. Importante: Deshabilite el servicio del agente de endpoint para que el servicio no se inicie automáticamente cuando se use la plantilla en instancias virtuales.
    El servicio se inicia con políticas de GPO, lo cual se explica en la siguiente fase.

Este paso es fundamental para asegurarse de que cada máquina virtual se identifique de forma única en la UI de administración.

  1. Acceda a la herramienta de administración del entorno virtual y genere la plantilla. Para obtener más información, comuníquese con su proveedor.

Cuando se completa la personalización de la máquina virtual implementada, debe cambiar el tipo de inicio del servicio del agente. Este servicio se deshabilitó en el paso anterior. Puede utilizar diferentes métodos según el sistema de implementación de VDI. Para cambiar el tipo de inicio del servicio Endpoint Agent, puede crear políticas de GPO para dispositivos dentro de un dominio o mediante otros tipos de aplicaciones de script como Horizon, Windows Logon Scripts, etc.

Para obtener más información sobre cómo trabajar con el Editor de Administración de Políticas de Grupo, comuníquese con el soporte de Microsoft.

Para ello, use el Editor de Administración de Políticas de Grupo en una computadora física conectada al dominio. Para crear políticas de GPO, en los ajustes de GPO, vaya a Configuración del Computadora > Políticas > Ajustes de Windows > Ajustes de Seguridad > Servicios del Sistema > Agente de Endpoint. El servicio está deshabilitado. Cambie el estado a Automático. El servicio se inicia automáticamente en el próximo reinicio y se integra en la UI de administración.

Screen shot of the Group Policy Management Editor dialog box

La pantalla Editor de Administración de Políticas de Grupo:

Screen shot of the New Group Policy Object page

Instalar la Protección en Entornos VDI No Persistentes

El procedimiento para administrar entornos VDI no persistentes consiste en tres fases.

Es importante que siga estos procedimientos paso a paso y, cuando los complete, debe verificar que todos los dispositivos clonados se muestren con una identificación única en la UI de administración. Los dispositivos que se clonan incorrectamente pueden afectar la confiabilidad de la Protección Avanzada y comprometer gravemente la seguridad de su infraestructura. Si solo ve un dispositivo en la UI de administración, debe repetir el proceso, reconstruir la imagen maestra e implementarla nuevamente en los endpoints afectados lo antes posible.

Antes de generar la imagen maestra, debe preparar la máquina donde se crea:

  1. Instale o actualice el sistema operativo con las aplicaciones del usuario.
  2. Desde la UI de administración, cree un grupo para alojar la imagen maestra (Imagen Maestra o Plantilla) y otro grupo para alojar las computadoras virtuales (Virtuales).
  • Grupo Imagen de la Memoria o de la Plantilla
    • En la pestaña Configuración, seleccione Ajustes por Equipo y cree un perfil de ajustes para futuras actualizaciones de imágenes.
    • Asegúrese de que las actualizaciones automáticas del motor de protección estén habilitadas.
    • Seleccione la opción Reiniciar Automáticamente tanto Estaciones como Servidores para asegurarse de que la computadora se actualizará.

Screen shot of Settings page, Per Computer Settings, Add Settings.

  • Asigne estos ajustes al grupo que creó para el grupo de la imagen maestra Imagen Maestra o de la Plantilla.
  • En la pestaña Configuración, seleccione Estaciones y Servidores y cree un perfil de ajustes para futuras actualizaciones de imágenes.
  • Asegúrese de que las actualizaciones automáticas de conocimiento estén habilitadas:
  • Asigne estos ajustes al grupo Imagen Maestra o de la Plantilla.
  • Grupo de Máquinas Virtuales
    Las instancias virtuales se basan en la imagen maestra actualizada. Para optimizar los recursos del servidor VDI y reducir el uso de ancho de banda, deshabilite las actualizaciones:
    • Cree un perfil de ajustes por computadora que tenga las actualizaciones deshabilitadas y asígnelo al grupo Virtuales.

Screen shot of Per Computer Settings page, Recipients.

  • En la página Configuración, seleccione Estaciones y Servidores, y deshabilite las actualizaciones de los conocimientos. Asigne estos ajustes al grupo Virtuales.

Screen shot of Per Computer Settings page, Recipients.

  1. Instale el agente y la protección en el grupo Virtuales para generar la imagen maestra.
    • En la pestaña Equipos, seleccione Virtuales y haga clic en Añadir Equipos para descargar el instalador.
    • Instale el agente en la máquina virtual utilizada para crear la imagen maestra y espere a que finalice la ventana de progreso. La protección se instala y se configura automáticamente. Una vez que la instalación finalice, la máquina aparece en la lista de computadoras protegidas en la UI de administración.
  1. Mueva la máquina con la imagen maestra al grupo Imagen Maestra o de la Plantilla para que reciba los ajustes con la opción de actualizar. Recomendamos que haga clic con el botón derecho en el icono de WatchGuard en la bandeja de sistemas de la barra de tareas y fuerce una sincronización. Esto envia los ajustes a la computadora para que comience a actualizarse.
  2. Ejecute la Herramienta Endpoint Agent en la computadora con la imagen maestra.
    • Haga clic en Iniciar Análisis de Caché para escanear la máquina virtual. Esto llena la caché de goodware y deja la protección en un estado apropiado para imágenes virtuales. Este proceso puede llevar algún tiempo, según el contenido del disco duro. Se le notificará cuando la operación finalice.
    • En la sección Eventos No Exclusivos, marque las casillas de selección para Detecciones, Contadores y Verificar Comandos. Haga clic en Enviar.
      Screen shot of Endpoint Agent Tool dialog box
  3. Importante: Elimine la ID de la máquina.
    • Asegúrese de que la opción Es una Imagen Maestra esté seleccionada.
    • Si es necesario, ingrese la Contraseña Anti-tamper y haga clic en Eliminar Registro del Dispositivo. (Puede hacer clic en Comprobar Registro para verificar si la máquina no está registrada).
    • Haga clic en Preparar Imagen.

      4. Esto elimina la ID del agente de la imagen maestra, de modo que todas las máquinas virtuales obtengan su ID cuando se ejecuten y se conecten a la nube por primera vez.

Este paso es fundamental para asegurarse de que cada instancia virtual se identifique de forma única en la UI de administración.

Screen shot of Endpoint Agent Tool dialog box, gold image

  1. Importante: Deshabilite el servicio del agente de endpoint para evitar que se inicie automáticamente al usar la imagen maestra en instancias virtuales.
    El servicio se puede iniciar mediante políticas de GPO, que se explican en la siguiente sección.

Este paso es necesario para generar un ID específico para cada máquina virtual.

  1. Acceda a las herramientas de administración de VDI y genere la imagen maestra. Para obtener más información, comuníquese con su proveedor.
  2. En la sección de entornos VDI de la UI de administración, puede configurar el número máximo de máquinas no persistentes que pueden estar activas al mismo tiempo. Esto permite la administración automática de las licencias que utilizan esas máquinas.

Screen shot of VDI Environments settings page.

Cuando se completa la personalización de la máquina virtual implementada, debe cambiar el tipo de inicio del servicio del agente. Este servicio se deshabilitó en el paso anterior. Puede utilizar diferentes métodos según el sistema de implementación de VDI. Para cambiar el tipo de inicio del servicio Endpoint Agent, puede crear políticas de GPO para dispositivos dentro de un dominio o mediante otros tipos de aplicaciones de script como Horizon, Windows Logon Scripts, etc.

Para obtener más información sobre cómo trabajar con el Editor de Administración de Políticas de Grupo, comuníquese con el soporte de Microsoft.

Para ello, use el Editor de Administración de Políticas de Grupo en una máquina física conectada al dominio. Para crear políticas de GPO, en los ajustes de GPO, vaya a Configuración del Computadora > Políticas > Ajustes de Windows > Ajustes de Seguridad > Servicios del Sistema > Agente de Endpoint. El servicio está deshabilitado. Cambie el ajuste a Automático. El servicio se inicia automáticamente en el próximo reinicio y se integrará en la UI de administración.

Screen shot of the Group Policy Management Editor dialog box

La pantalla Editor de Administración de Políticas de Grupo:

Screen shot of the New Group Policy Object page

El agente, la protección y las firmas de la imagen maestra creada deben actualizarse con frecuencia, al menos una vez al mes. Estas actualizaciones son esenciales para garantizar que exista la máxima protección contra nuevas técnicas de ataque desarrolladas por piratas informáticos.

Para actualizar la imagen maestra:

  1. Inicie la máquina donde está instalada la imagen maestra.
  2. En la UI de administración, mueva la máquina con la imagen maestra al grupo Imagen Maestra o de la Plantilla para que reciba los ajustes adecuados con actualizaciones automáticas del motor y de la base de consulta.
  3. Haga clic con el botón derecho en el icono de WatchGuard en la bandeja de sistemas de la barra de tareas para forzar una sincronización. Esto actualiza la máquina.
    • Las actualizaciones se realizan de forma silenciosa en segundo plano. Recomendamos que espere unos minutos para asegurarse de que la imagen esté actualizada correctamente.
    • Si hay una versión nueva de la protección disponible, se muestra una ventana de reinicio y la máquina se reinicia automáticamente (como se configuró en los Ajustes Por Equipo).

Una vez completado el reinicio, recomendamos que fuerce una nueva sincronización para asegurarse de que el producto esté actualizado.

  1. Ejecute la Herramienta Endpoint Agent en la máquina con la imagen maestra.
    • Haga clic en Iniciar Análisis de Caché para escanearlo. Esto llena la caché de goodware y deja la protección en un estado apropiado para imágenes virtuales. Este proceso puede llevar algún tiempo, según el contenido del disco duro. Se le notificará cuando la operación finalice.
    • En la sección Eventos No Exclusivos, marque las casillas de selección para Detecciones, Contadores y Verificar Comandos. Haga clic en Enviar.

      Screen shot of Endpoint Agent Tool dialog box

    • Importante: Elimine la ID de la máquina.
      • Asegúrese de que la opción Es una Imagen Maestra esté seleccionada.
      • Si es necesario, ingrese la Contraseña Antimanipulación.
      • Haga clic en Preparar Imagen.Esto elimina la ID del agente de la imagen maestra, de modo que todas las instancias virtuales obtengan su ID cuando se ejecuten y se conecten a la nube por primera vez.
        Screen shot of Endpoint Agent Tool dialog box, gold image

Este paso es fundamental para asegurarse de que cada instancia virtual se identifique de forma única en la UI de administración.

Verificar el Procedimiento

Asegúrese de que los procedimientos hayan sido exitosos.

Ver Computadoras No Persistentes

WatchGuard Endpoint Security utiliza el Nombre de Dominio Completo (Fully Qualified Domain Name) para identificar las computadoras cuyas ID se eliminaron con la Herramienta Endpoint Agent y se marcaron como una imagen maestra.

Para ver una lista de computadoras de VDI no persistentes:

  1. Seleccione Configuración > Mantenimiento de Equipos.
  2. En la sección Entornos VDI, haga clic en el enlace Mostrar los equipos no persistentes.
    La lista Equipos muestra las computadoras no persistentes.

Ver Computadoras Persistentes

  1. Seleccione Equipos.
  2. Verifique que sus dispositivos clonados se muestren correctamente en la UI de administración.

Si la lista solo incluye un único dispositivo, deberá eliminar el dispositivo de la lista Equipos y volver a iniciar este procedimiento (es decir, recompilar la imagen maestra e implementarla de nuevo en los endpoints afectados).

Gestión de Licencias

Después de eliminar la ID del agente y deshabilitar la opción Es una Imagen Maestra, cuando se inicia una nueva máquina, el sistema calcula su ID de máquina y determina si la computadora es una nueva o una existente, según el entorno seleccionado.

Entornos No Persistentes

Si se establece el número máximo de máquinas que están activas simultáneamente para imágenes no persistentes, el servidor administra las licencias automáticamente, siempre que existan licencias disponibles y no se exceda el número de máquinas concurrentes.

Entornos Persistentes

Si hay varias máquinas que ya no se utilizan, elimínelas de la base de datos para liberar licencias, tal como lo haría con las máquinas físicas. Puede eliminar todas las máquinas o seleccionar una máquina individual para eliminarla.