Créer une Image pour les Environnements Linux Persistants et non Persistants

S'applique À : WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR, WatchGuard EPP, WatchGuard EDR Core

Avant de Commencer

Les environnements virtuels sont complexes et variés. Cette rubrique décrit les instructions pas-à-pas permettant d'installer WatchGuard Endpoint Security dans des environnements VDI (Virtual Desktop Infrastructure) persistants et non persistants. Les ordinateurs ou instances virtuels nécessitent que vous suiviez une procédure spécifique pour vous assurer que les images ou les modèles utilisés dans les environnements virtuels sont à jour, optimisés et ne disposent pas d'un Identifiant de la machine préalablement attribué. Cela garantit que lorsque l'ordinateur virtuel démarre, il est enregistré de manière unique dans l'interface de gestion d'Endpoint Security.

Dans certains environnements uniques, vous devrez peut-être suivre les recommandations fournies par le fournisseur de virtualisation pour adapter ces instructions générales à vos besoins.

Cette procédure d'installation nécessite que vous prépariez un modèle (pour les environnements persistants) ou une image gold (pour les environnements non persistants) à déployer ultérieurement sur les ordinateurs virtuels du réseau. Il est important de suivre attentivement cette procédure afin de garantir les points suivants :

  • La mise à jour du moteur et du fichier de signatures (connaissances).
  • La consommation des ressources et de la bande passante des environnements non persistants est optimisée.
  • Les instances virtuelles sont identifiées de manière unique.

Conditions Préalables

  • Dans les environnements persistants, les ordinateurs doivent posséder des adresses MAC fixes.
  • L'ordinateur utilisé pour générer le modèle ou l'image gold doit disposer d'une connexion Internet.

  • Vous devez pouvoir télécharger l'un de ces outils :

    Et l’outil doit être exécuté en tant que racine.

Systèmes Compatibles

En règle générale cette procédure fonctionne pour les types de machines virtuelles suivants :

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • Microsoft Virtual Desktop
  • Microsoft Virtual Servers

Installer la Protection dans les Environnements Persistants

Il est important que vous suiviez attentivement chaque étape de cette procédure. Une fois la procédure terminée, vous devez vérifier que tous les périphériques clonés s'affichent dans l'interface de gestion d'Endpoint Security. Les périphériques clonés de manière incorrecte peuvent affecter la visibilité des actions surveillées, avoir un impact sur la fiabilité de la Protection Avancée et compromettre la sécurité de votre réseau. Si vous ne voyez qu'un seul périphérique dans l'interface de gestion, vous devez répéter le processus, reconstruire l'image Gold et la déployer à nouveau sur les endpoints concernés dès que possible.

  1. Installez ou mettez à jour le système d'exploitation avec les applications de l'utilisateur.
  2. Depuis l'interface de gestion, créez un groupe Machines virtuelles pour les nouveaux profils de paramètres.

Screen shot of Computers page and Add Group menu

  • Pour le groupe Machines Virtuelles :
    1. Dans l'onglet Configuration, sélectionnez Paramètres par Ordinateur puis créez un profil de paramètres destiné aux futures mises à jour de l'image.
    2. Confirmez que les mises à jour automatiques du moteur de protection sont activées.

Screen shot of Per Computer Settings page, Updates section.

  1. Attribuez ces paramètres au groupe de Machines Virtuelles.
  2. Sélectionnez Configuration > Stations de Travail et Serveurs. Créez un profil de paramètres pour les futures mises à jour d'images.
  3. Dans la section Général > Mises à jour, assurez-vous que l'option Mises à jour Automatiques de la Base des Connaissances pour les fichiers de signatures est activé.

Screen shot of Edit Settings dialog box, Knowledge updates section

  1. Attribuez ces paramètres au groupe de Machines Virtuelles.
  1. Installez l'Endpoint Agent et le logiciel de protection sur le groupe Machines Virtuelles.
    1. Dans l'onglet Ordinateurs, sélectionnez le groupe Machines Virtuelles.
    2. Cliquez sur Ajouter des Ordinateurs pour télécharger le programme d'installation.
      Screen shot of Add Computers dialog box, Windows selected.
    3. Installez l'Endpoint Agent sur le périphérique modèle. Le logiciel de protection est automatiquement installé, configuré et mis à jour. Une fois l'installation terminée, l'ordinateur s'affiche dans la liste des ordinateurs protégés de l'interface de gestion avec une icône verte. Les logiciels de protection et la base de connaissances (fichiers de signature) sont à jour.

  1. Téléchargez l'Endpoint Agent Tool pour Linux ou l'Endpoint Agent Tool pour Linux NO DEPS et extrayez-le sur le périphérique modèle.

    1. Ouvrez le dossier EndpointAgentTool et ouvrez le fichier correspondant à votre système d'exploitation.

      2. Remarque : Pour l'outil NO DEPS, vous devez copier le fichier EndpointAgentTool dans /usr/local/management-agent/bin/.

    2. Exécutez cette commande pour redémarrer les compteurs et les détections et pour mettre à jour les paramètres et les tâches du serveur :

      sudo ./EndpointAgentTool -d -c -cmd

    3. Si l'ordinateur est protégé par une protection anti-altération, incluez le mot de passe après le paramètre atp :

      sudo ./EndpointAgentTool -pei -atp:antitamperpassword

  2. Important : Désactivez le service Endpoint Agent afin que le service ne démarre pas automatiquement avant que le nom de l'instance virtuelle ne change.

Cette étape est essentielle afin de garantir que chaque machine virtuelle soit identifiée de manière unique dans l'interface de gestion.

  1. Ouvrez l'outil de gestion de l'environnement virtuel et générez le modèle. Pour plus d’informations, reportez-vous à la documentation de votre fournisseur.

Après avoir créé le modèle, vous pouvez modifier le type de démarrage du service WatchGuard Endpoint Agent avec des scripts ou d'autres outils.

Installer la Protection dans les Environnements VDI Non Persistants

La procédure de gestion des environnements VDI non persistants comprend trois phases.

Avant de générer une image gold, vous devez préparer l'ordinateur à partir duquel l'image sera créée.

  1. Installez ou mettez à jour le système d'exploitation avec les applications de l'utilisateur.
  2. À partir de l'interface de gestion, créez un groupe pour héberger l'image Gold (Groupe d'Images Gold ou Modèle) et un autre groupe pour héberger les machines virtuelles (Groupe de Machines Virtuelles).
  • Pour un groupe Image Gold ou Modèle :
    1. Dans l'onglet Configuration, sélectionnez Paramètres par Ordinateur puis créez un profil de paramètres destiné aux futures mises à jour de l'image.
    2. Assurez-vous d'activer les mises à jour automatiques du logiciel de protection.
    3. Sélectionnez l'option de redémarrage automatique pour confirmer que l'ordinateur se mette à jour.

Screen shot of Settings page, Per Computer Settings, Add Settings.

  1. Attribuez ces paramètres au groupe Image Gold ou Modèle.
  2. Sélectionnez Configuration > Stations de Travail et Serveurs et créez un profil de paramètres pour les futures mises à jour d'images.
  3. Dans la section Général > Mises à jour, assurez-vous que les mises à jour automatiques de la base de connaissances (fichiers de signature) sont activées.
  4. Attribuez ces paramètres au groupe Image Gold ou Modèle.
  • Pour le groupe Machines Virtuelles :

    • Les instances virtuelles se basent sur l'image gold mise à jour. Pour optimiser les ressources du serveur VDI et réduire l'utilisation de la bande passante, désactivez les mises à jour.


    Screen shot of Per Computer Settings page, Recipients.

    1. Créez un profil de paramètres par ordinateur dont les mises à jour sont désactivées puis attribuez-le au groupe Machines Virtuelles.
    2. Créez un profil de paramètres de stations de travail et de serveurs et, dans la section Sécurité, désactivez les mises à jour automatiques de la base de connaissances.
      Screen shot of Per Computer Settings page, Recipients.
    3. Attribuez ce profil de paramètres au groupe Machines Virtuelles.
    4. Installez l'Endpoint Agent et le logiciel de protection sur le groupe Machines Virtuelles pour générer l'image Gold.
    5. Dans l'onglet Ordinateurs, sélectionnez le groupe Machines virtuelles et cliquez sur Ajouter des Ordinateurs pour télécharger le programme d'installation.
    6. Installez l'Endpoint Agent sur l'ordinateur utilisé pour créer l'image Gold. Le logiciel de protection est automatiquement installé et configuré. Une fois l'installation terminée, l'ordinateur s'affiche dans la liste des ordinateurs protégés dans l'interface de gestion.
    7. Téléchargez Endpoint Agent Tool pour Linux ou Endpoint Agent Tool pour Linux NO DEPS et extrayez-le sur l'ordinateur avec l'image gold.
  • Ouvrez le dossier EndpointAgentTool.
    Remarque : S'il s'agit de la version NO DEPS, vous devez copier le fichier EndpointAgentTool dans /usr/local/management-agent/bin/.
  • Exécutez cette commande pour envoyer des compteurs et des détections, ainsi que pour mettre à jour les paramètres et les tâches sur le serveur :
    sudo ./EndpointAgentTool -d -c -cmd
  • Important : Si l'ordinateur est protégé par une protection anti-altération, incluez le mot de passe après le paramètre atp :
    sudo ./EndpointAgentTool -pei -gi -atp:antitamperpassword

Cette étape est essentielle afin de garantir que chaque ordinateur virtuel soit identifié de manière unique dans l'interface de gestion.

Après avoir créé le modèle, vous pouvez modifier le type de démarrage du service WatchGuard Endpoint Agent avec des scripts ou d'autres outils.

Vous devez mettre à jour fréquemment l'Endpoint Agent, le logiciel de protection et les fichiers de signatures dans l'image Gold (au moins une fois par mois). Ces mises à jour sont essentielles pour garantir une protection maximale contre les nouvelles techniques d'attaque développées par les pirates.

Pour mettre à jour l'image gold :

  1. Démarrez l'ordinateur pour lequel l'image gold a été installée.
  2. Ouvrez les services Windows et assurez-vous que le Type de Démarrage de l'Endpoint Agent est Automatique et que l'État du Service est En Cours d'Exécution.
  3. Depuis l'interface de gestion, déplacez l'ordinateur avec l'image gold dans le groupe Image Gold ou Modèle afin qu'il obtienne les paramètres appropriés comprenant les mises à jour automatiques du moteur et des connaissances.

  4. Téléchargez Endpoint Agent Tool pour Linux ou Endpoint Agent Tool pour Linux NO DEPS et extrayez-le sur l'ordinateur avec l'image gold.

  5. Ouvrez le dossier EndpointAgentTool.
    Remarque : S'il s'agit de la version NO DEPS, vous devez copier le fichier EndpointAgentTool dans /usr/local/management-agent/bin/.

  6. Exécutez cette commande pour mettre à jour l'Endpoint Agent et le logiciel de protection si de nouvelles versions sont disponibles :
    sudo ./EndpointAgentTool -su

  7. Exécutez cette commande pour mettre à jour les signatures de protection :
    sudo ./EndpointAgentTool -ku

  8. Exécutez cette commande pour envoyer des compteurs et des détections, ainsi que pour mettre à jour les paramètres et les tâches sur le serveur.
    sudo ./EndpointAgentTool -d -c -cmd

  9. Si l'ordinateur est protégé par une protection anti-altération, incluez le mot de passe après le paramètre atp :
    /usr/local/management-agent/bin/EndpointAgentTool -pei -gi -atp:antitamperpassword

  10. Important : Désactivez le service Endpoint Agent afin qu'il ne redémarre pas automatiquement avant que le nom de l'instance virtuelle ne change.

Cette étape est essentielle afin de garantir que chaque instance virtuelle soit identifiée de manière unique dans l'interface de gestion d'Endpoint Security.

Vérifier les Ordinateurs dans l'Interface de Gestion

Pour vous assurer que vous avez correctement suivi la procédure, assurez-vous que les ordinateurs s'affichent dans l'interface de gestion d'Endpoint Security.

Si vous voyez un seul périphérique, vous devez supprimer le périphérique de la liste Ordinateurs et recommencer la procédure à partir du début, c'est-à-dire reconstruire l'image Gold et la déployer à nouveau sur les endpoints concernés.

Ordinateurs Persistants

Pour vérifier les ordinateurs persistants, depuis l'interface de gestion :

  1. Sélectionnez Ordinateurs.
  2. Confirmez que les périphériques clonés s'affichent dans la liste.

Ordinateurs Non Persistants

WatchGuard Endpoint Security utilise le FQDN (Nom de Domaine Complet) pour identifier les ordinateurs dont les identifiants ont été supprimés avec Endpoint Agent Tool et qui sont marqués comme image Gold.

Pour vérifier les ordinateurs VDI non persistants, à partir de l'interface de gestion :

  1. Sélectionnez Configuration.
  2. Dans le volet gauche, sélectionnez Maintenance des Ordinateurs.
  3. Dans la section Environnements VDI, cliquez sur Afficher les ordinateurs non persistants.
    La liste des ordinateurs s'affiche avec les ordinateurs non persistants.
  4. Confirmez que les périphériques sont dans la liste.

Gestion des Licences

Après avoir supprimé l'identifiant de l'agent et désactivé l'option Est une Image Gold, lorsqu'un nouvel ordinateur démarre, le système calcule son identifiant de machine et détermine si l'ordinateur est un nouvel ordinateur ou un ordinateur existant en fonction de l'environnement sélectionné.

Environnements Non Persistants

Si le nombre maximal d'ordinateurs qui sont actifs simultanément pour des images non persistantes est défini, le serveur gère automatiquement les licences, à condition qu'il existe des licences disponibles et que le nombre de machines simultanées ne soit pas dépassé.

Environnements Persistants

Si vous n'utilisez plus plusieurs ordinateurs, supprimez-les de la base de données pour libérer des licences, comme vous le feriez avec des ordinateurs physiques. Vous pouvez supprimer tous les ordinateurs ou sélectionner un ordinateur individuel à supprimer.