Créer une Image pour les Environnements Windows Persistants et non Persistants

S'applique À : WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR, WatchGuard EPP, WatchGuard EDR Core

Avant de Commencer

Les environnements virtuels sont complexes et variés. Cette rubrique décrit les instructions pas-à-pas permettant d'installer WatchGuard Endpoint Security dans des environnements VDI (Virtual Desktop Infrastructure) persistants et non persistants. En raison de leurs caractéristiques, les instances et les ordinateurs virtuels nécessitent de suivre une procédure spécifique afin de garantir que les images ou les modèles à utiliser dans les environnements virtuels soient à jour, optimisés et ne possèdent pas d'identifiant de machine précédemment attribué, de sorte que lors de son démarrage, l'ordinateur virtuel soit enregistré de manière unique dans l'interface de gestion.

Dans les environnements présentant des caractéristiques très spécifiques, il s'avèrera parfois nécessaire de suivre les recommandations du fournisseur de virtualisation afin d'adapter les instructions générales à vos besoins. Pour obtenir une solution personnalisée, contactez l'Assistance WatchGuard.

Cette procédure d'installation nécessite qu'un modèle (pour les environnements persistants) ou une image Gold (pour les environnements non persistants) soit préparé pour être déployé ultérieurement sur les ordinateurs virtuels du réseau. Il est important de compléter attentivement cette procédure afin de :

  • Assurez-vous que le moteur et le fichier de signature (base de connaissances) sont mis à jour.
  • Optimiser la consommation des ressources et de la bande passante des environnements non persistants.
  • Assurez-vous que les instances virtuelles sont identifiées de manière unique.

Conditions Préalables

  • Dans les environnements persistants, les ordinateurs doivent posséder des adresses MAC fixes.
  • L'ordinateur utilisé pour générer le modèle ou l'image gold doit disposer d'une connexion Internet.

  • Endpoint Agent Tool pour Windows doit être exécuté en tant qu'administrateur et dispose d'une interface graphique, mais peut également être exécuté à partir de la ligne de commande. Si vous exécutez l'outil à partir d'un fichier .bat ou .cmd, vous devez utiliser cette commande : start /wait "". Par exemple, si l'instruction est : EndpointAgentTool.exe /sg, vous saisiriez: start /wait "" "C:\Path\EndpointAgentTool.exe" /sg

Systèmes Compatibles

En règle générale cette procédure fonctionne pour les types de machines virtuelles suivants :

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • Bureau Virtuel MS
  • Serveurs Virtuels MS

Installer la Protection dans les Environnements Persistants

Il est important que vous suiviez ces procédures étape par étape et, une fois terminées, vous devez vérifier que tous les périphériques clonés sont affichés avec un identifiant unique dans l'interface de gestion. Les périphériques clonés de manière incorrecte peuvent avoir un impact sur la fiabilité de la Protection Avancée et compromettre gravement la sécurité de votre réseau. Si vous ne voyez qu'un seul périphérique dans l'interface de gestion, vous devez répéter le processus, reconstruire le modèle et le déployer à nouveau sur les endpoints concernés dès que possible.

  1. Installez ou mettez à jour le système d'exploitation avec les applications de l'utilisateur.
  2. Dans l'interface de gestion, créez un groupe pour héberger le modèle et le groupe Machines Virtuelles.

Screen shot of Computers page and Add Group menu

  • Groupe de machines virtuelles
    • Dans l'onglet Configuration, sélectionnez Paramètres par Ordinateur puis créez un profil de paramètres destiné aux futures mises à jour de l'image.
    • Assurez-vous que les mises à jour automatiques du moteur de protection sont activées.

Screen shot of Per Computer Settings page, Updates section.

  • Attribuez ces paramètres au groupe Machines Virtuelles que vous avez créé précédemment pour le modèle.
  • Sélectionnez l'onglet Configuration puis Stations de travail et Serveurs pour créer un profil de paramètres destiné aux futures mises à jour de l'image.
  • Assurez-vous que Mises à jour Automatiques de la Base des Connaissances est activée :

Screen shot of Edit Settings dialog box, Knowledge updates section

  • Attribuez ces paramètres au groupe de Machines Virtuelles.
  1. Installez l'agent et la protection sur le groupe Machines Virtuelles :
    • Sélectionnez Ordinateurs, puis sélectionnez le groupe de modèles Machines Virtuelles.
    • Cliquez sur Ajouter des Ordinateurs pour télécharger le programme d'installation.

Screen shot of Add Computers dialog box, Windows selected.

  • Installez l'agent sur le modèle et patientez jusqu'à ce que la fenêtre de progression se termine. La protection est automatiquement installée, configurée et mise à jour. Une fois l'installation terminée, l'ordinateur s'affiche dans la liste des ordinateurs protégés dans l'interface de gestion avec une icône verte. La protection et les connaissances de l'ordinateur sont alors à jour.
  1. Exécutez Endpoint Agent Tool (mot de passe panda) sur l'ordinateur hébergeant le modèle.
    • Analysez-le en cliquant sur le bouton Lancer l'Analyse du Cache. Cela remplit le cache de goodware et laisse la protection dans un état approprié pour les images virtuelles. Cette opération peut prendre un certain temps en fonction du contenu du disque dur. Vous êtes prévenu lorsque l'opération s'achève.
    • Dans la section Événements Non Exclusifs, sélectionnez les cases à cocher Détections, Compteurs et Commandes de Contrôle. Cliquez sur Envoyer.
      Screen shot of Endpoint Agent Tool window.
  2. Important : Supprimez l'identifiant de l'ordinateur.
    • Confirmez que la case à cocher Est une Image Gold n'est pas sélectionnée.
    • Si nécessaire, saisissez le Mot de passe Anti-Altération et cliquez sur Désenregistrer le Périphérique. (Vous pouvez cliquer sur Vérifier l'Enregistrement pour vérifier que le périphérique n'a pas été enregistré.)
    • Cliquez sur Préparer l'Image.

      3. Cette opération supprime l'identifiant de la machine du modèle, de sorte que toutes les machines virtuelles exécutées obtiennent leur identifiant lors de leur exécution et se connectent à WatchGuard Endpoint Security pour la première fois.

      Screen shot of Endpoint Agent Tool dialog box, anti-tamper password

  3. Important: Désactivez le service endpoint agent afin qu'il ne démarre pas automatiquement lorsque vous utilisez ce modèle sur des instances virtuelles.
    Le service est démarré avec des stratégies GPO, qui sont expliquées dans la phase suivante.

Cette étape est essentielle afin de garantir que chaque machine virtuelle soit identifiée de manière unique dans l'interface de gestion.

  1. Accédez à l'outil de gestion de l'environnement virtuel et générez le modèle. Pour de plus amples informations, contactez votre fournisseur.

Une fois la personnalisation de la machine virtuelle déployée terminée, vous devez modifier le type de démarrage du service de l'agent. Ce service a été désactivé à l'étape précédente. Vous pouvez utiliser différentes méthodes en fonction du système de déploiement VDI. Pour modifier le type de démarrage du service Endpoint Agent, vous pouvez créer des stratégies GPO pour les périphériques au sein d'un domaine ou via d'autres types d'applications de script telles qu'Horizon, les scripts de connexion Windows, etc.

Pour de plus amples informations concernant l'utilisation de l' Éditeur de Gestion de Stratégie de Groupe, contactez le support Microsoft.

Pour ce faire, utilisez l'Éditeur de Gestion de Stratégie de Groupe d'un ordinateur physique connecté au domaine. Pour créer des stratégies GPO, dans les paramètres du GPO, accédez à Configuration de l'Ordinateur > Stratégies > Paramètres Windows > Paramètres de Sécurité > Services du Système > Endpoint Agent. Le service est désactivé. Modifiez l'état à Automatique. Le service démarre automatiquement au prochain redémarrage et est intégré à l'interface de gestion.

Screen shot of the Group Policy Management Editor dialog box

Écran de l'Éditeur de Gestion des Stratégies de Groupe :

Screen shot of the New Group Policy Object page

Installer la Protection dans les Environnements VDI Non Persistants

La procédure de gestion des environnements VDI non persistants se compose de trois phases.

Il est important que vous suiviez ces procédures étape par étape et, une fois terminées, vous devez vérifier que tous les périphériques clonés sont affichés avec un identifiant unique dans l'interface de gestion. Les périphériques clonés de manière incorrecte peuvent avoir un impact sur la fiabilité de la Protection Avancée et compromettre gravement la sécurité de votre infrastructure. Si vous ne voyez qu'un seul périphérique dans l'interface de gestion, vous devez répéter le processus, reconstruire l'image Gold et la déployer à nouveau sur les endpoints concernés dès que possible.

Avant de générer l'image Gold, vous devez préparer la machine où elle est créée :

  1. Installez ou mettez à jour le système d'exploitation avec les applications de l'utilisateur.
  2. À partir de l'interface de gestion, créez un groupe pour héberger l'image Gold (ImageGold ou Modèle) et un autre groupe pour héberger les ordinateurs virtuels (Machines Virtuelles).
  • Groupe Image Gold ou Modèle
    • Dans l'onglet Configuration, sélectionnez Paramètres par Ordinateur puis créez un profil de paramètres destiné aux futures mises à jour de l'image.
    • Assurez-vous que les mises à jour automatiques du moteur de protection sont activées.
    • Sélectionnez l'option Redémarrer Automatiquement les Stations de Travail et les Serveurs pour vous assurer que l'ordinateur sera mis à jour.

Screen shot of Settings page, Per Computer Settings, Add Settings.

  • Attribuez ces paramètres au groupe que vous avez créé pour le groupe Image Gold ou Modèle de l'image gold.
  • Dans l'onglet Configuration, sélectionnez Stations de Travail et Serveurs et créez un profil de paramètres pour les futures mises à jour d'images.
  • Assurez-vous que les mises à jour automatiques de la base de connaissances sont activées.
  • Attribuez ces paramètres au groupe Image Gold ou Modèle.
  • Groupe de Machines Virtuelles
    Les instances virtuelles se basent sur l'image gold mise à jour. Pour optimiser les ressources du serveur VDI et réduire l'utilisation de la bande passante, désactivez les mises à jour :
    • Créez un profil de paramètres par ordinateur dont les mises à jour sont désactivées puis attribuez-le au groupe Machines Virtuelles.

Screen shot of Per Computer Settings page, Recipients.

  • Sur la page Paramètres, sélectionnez Stations de Travail et Serveurs et désactivez les mises à jour de la base de connaissances. Attribuez ces paramètres au groupe de Machines Virtuelles.

Screen shot of Per Computer Settings page, Recipients.

  1. Installez l'agent et la protection sur le groupe Machines Virtuelles pour générer l'image Gold.
    • Dans l'onglet Ordinateurs, sélectionnez le groupe Machines Virtuelles et cliquez sur Ajouter des Ordinateurs pour télécharger le programme d'installation.
    • Installez l'agent sur la machine virtuelle utilisée pour créer l'image gold et patientez jusqu'à ce que la fenêtre de progression se termine. La protection est automatiquement installée et configurée. Une fois l'installation terminée, la machine s'affiche dans la liste des ordinateurs protégés dans l'interface de gestion.
  1. Déplacez la machine avec l'image gold vers le groupe Image Gold ou Modèle afin qu'elle obtienne les paramètres comprenant l'option de mise à jour. Nous vous recommandons de faire un clic droit sur l'icône WatchGuard dans la zone de notification du système de la barre des tâches puis de forcer une synchronisation. Les paramètres sont alors transmis à l'ordinateur afin qu'il lance la mise à jour.
  2. Exécutez Endpoint Agent Tool sur l'ordinateur avec l'image gold.
    • Cliquez sur Lancer l'Analyse du Cache pour analyser la machine virtuelle. Cela remplit le cache de goodware et laisse la protection dans un état approprié pour les images virtuelles. Cette opération peut prendre un certain temps en fonction du contenu du disque dur. Vous êtes prévenu lorsque l'opération s'achève.
    • Dans la section Événements Non Exclusifs, sélectionnez les cases à cocher Détections, Compteurs et Commandes de Contrôle. Cliquez sur Envoyer.
      Screen shot of Endpoint Agent Tool dialog box
  3. Important : Supprimez l'Identifiant de la machine.
    • Assurez-vous que l'option Est une Image Gold est sélectionnée.
    • Si nécessaire, saisissez le Mot de passe Anti-Altération et cliquez sur Désenregistrer le Périphérique. (Vous pouvez cliquer sur Vérifier l'Enregistrement pour vérifier si la machine n'est pas enregistrée.)
    • Cliquez sur Préparer l'Image.

      4. Cela supprime l'identifiant de l'agent de l'image Gold, afin que toutes les machines virtuelles obtiennent leur identifiant lors de leur exécution et se connectent au cloud pour la première fois.

Cette étape est essentielle afin de garantir que chaque instance virtuelle soit identifiée de manière unique dans l'interface de gestion.

Screen shot of Endpoint Agent Tool dialog box, gold image

  1. Important : Désactivez le service endpoint agent pour l'empêcher de démarrer automatiquement lorsque vous utilisez l'image gold sur des instances virtuelles.
    Le service peut être démarré via des stratégies GPO, comme indiqué dans la section suivante.

Cette étape est requise pour générer un identifiant spécifique pour chaque machine virtuelle.

  1. Accédez aux outils de gestion VDI et générez l'image gold. Pour de plus amples informations, contactez votre fournisseur.
  2. Dans la section Environnements VDI de l'interface de gestion, vous pouvez configurer le nombre maximal de machines non persistants pouvant être actives simultanément. Cela permet la gestion automatique les licences utilisées par ces machines.

Screen shot of VDI Environments settings page.

Une fois la personnalisation de la machine virtuelle déployée terminée, vous devez modifier le type de démarrage du service de l'agent. Ce service a été désactivé à l'étape précédente. Vous pouvez utiliser différentes méthodes en fonction du système de déploiement VDI. Pour modifier le type de démarrage du service Endpoint Agent, vous pouvez créer des stratégies GPO pour les périphériques au sein d'un domaine ou via d'autres types d'applications de script telles qu'Horizon, les scripts de connexion Windows, etc.

Pour de plus amples informations concernant l'utilisation de l' Éditeur de Gestion de Stratégie de Groupe, contactez le support Microsoft.

Pour ce faire, utilisez l'Éditeur de Gestion des Stratégies de Groupe d'une machine physique connectée au domaine. Pour créer des stratégies GPO, dans les paramètres du GPO, accédez à Configuration de l'Ordinateur > Stratégies > Paramètres Windows > Paramètres de Sécurité > Services du Système > Endpoint Agent. Le service est désactivé. Modifiez le paramètre à Automatique. Le service démarrera automatiquement au prochain redémarrage et est intégré à l'interface de gestion.

Screen shot of the Group Policy Management Editor dialog box

Écran de l'Éditeur de Gestion des Stratégies de Groupe :

Screen shot of the New Group Policy Object page

L'agent, la protection et les signatures de l'image gold créée doivent être mis à jour fréquemment, au moins une fois par mois. Ces mises à jour sont essentielles pour garantir une protection maximale contre les nouvelles techniques d'attaque développées par les pirates.

Pour mettre à jour l'image gold :

  1. Démarrez la machine où l'image gold a été installée.
  2. Depuis l'interface de gestion, déplacez la machine avec l'image gold dans le groupe Image Gold ou Modèle afin qu'elle obtienne les paramètres appropriés comprenant les mises à jour automatiques du moteur et de la base de connaissances.
  3. Faites un clic droit sur l'icône WatchGuard dans la zone de notification du système de la barre des tâches pour forcer une synchronisation. Cela met à jour la machine.
    • Les mises à jour s'effectuent silencieusement en arrière-plan. Nous vous recommandons de patienter quelques minutes pour vous assurer que l'image a correctement été mise à jour.
    • Si une nouvelle version de la protection est disponible, une fenêtre de redémarrage s'affiche et la machine redémarre automatiquement (conformément à la configuration du profile Paramètres par Ordinateur).

Une fois le redémarrage terminé, nous vous recommandons de forcer une nouvelle synchronisation afin de vous assurer que le produit est à jour.

  1. Exécutez Endpoint Agent Tool sur la machine avec l'image gold.
    • Cliquez sur Lancer l'Analyse du Cache pour l'analyser. Cela remplit le cache de goodware et laisse la protection dans un état approprié pour les images virtuelles. Cette opération peut prendre un certain temps en fonction du contenu du disque dur. Vous êtes prévenu lorsque l'opération s'achève.
    • Dans la section Événements Non Exclusifs, sélectionnez les cases à cocher Détections, Compteurs et Commandes de Contrôle. Cliquez sur Envoyer.

      Screen shot of Endpoint Agent Tool dialog box

    • Important : Supprimez l'Identifiant de la machine.
      • Assurez-vous que l'option Est une Image Gold est sélectionnée.
      • nécessaire, saisissez le Mot de passe Anti-Altération.
      • Cliquez sur Préparer l'Image. Cela supprime l'identifiant de l'agent de l'image Gold, afin que toutes les instances virtuelles obtiennent leur identifiant lors de leur exécution et se connectent au cloud pour la première fois.
        Screen shot of Endpoint Agent Tool dialog box, gold image

Cette étape est essentielle afin de garantir que chaque instance virtuelle soit identifiée de manière unique dans l'interface de gestion.

Vérifier la Procédure

Assurez-vous que les procédures ont réussi.

Afficher les Ordinateurs Non Persistants

WatchGuard Endpoint Security utilise le Nom de Domaine Complet pour identifier les ordinateurs dont les identifiants ont été supprimés avec Endpoint Agent Tool et ont été marqués comme une image Gold.

Pour afficher la liste des ordinateurs VDI non persistants :

  1. Sélectionnez Configuration > Maintenance des Ordinateurs.
  2. Dans la section Environnements VDI, cliquez sur le lien Afficher les ordinateurs non persistants.
    La liste des Ordinateurs affiche les ordinateurs non persistants.

Afficher les Ordinateurs Persistants

  1. Sélectionnez les Ordinateurs.
  2. Vérifiez que vos périphériques clonés s'affichent correctement dans l'interface de gestion.

Si la liste ne comprend qu'un seul périphérique, vous devez supprimer le périphérique de la liste Ordinateurs et relancer cette procédure (c'est-à-dire reconstruire l'image Gold et la déployer à nouveau sur les endpoints concernés).

Gestion des Licences

Après avoir supprimé l'identifiant de l'agent et désactivé l'option Est une Image Gold, lorsqu'une nouvelle machine démarre, le système calcule son identifiant de machine et détermine si l'ordinateur est un nouvel ordinateur ou un ordinateur existant en fonction de l'environnement sélectionné.

Environnements Non Persistants

Si le nombre maximal de machines actives simultanément des images non persistantes est défini, le serveur gère automatiquement les licences, à condition qu'il existe des licences disponibles et que le nombre de machines simultanées ne soit pas dépassé.

Environnements Persistants

Si plusieurs machines ont cessé d'être utilisées, supprimez-les de la base de données pour libérer des licences comme vous le feriez avec des machines physiques. Vous pouvez supprimer toutes les machines ou sélectionner une machine spécifique à supprimer.