Installer le Logiciel d'Endpoint à Partir d'une Image Gold

S'applique À : WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR., WatchGuard EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPDR., WatchGuard EDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EDR., WatchGuard EPP Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard EPP., WatchGuard EDR Core Cette rubrique s'applique à WatchGuard EDR Core, disponible dans la licence Total Security Suite.

Dans les grands réseaux comportant de nombreux ordinateurs similaires, vous pouvez automatiser le processus d'installation du système d'exploitation et d'autres logiciels à l'aide d'une image gold. Elle est parfois appelé image maître, image de base ou image clone ou image modèle. Vous déployez ensuite l'image gold sur tous les ordinateurs du réseau et évitez ainsi d'effectuer la plupart des tâches manuelles nécessaires à la configuration d'un nouvel ordinateur.

Pour générer une image gold, installez un système d'exploitation à jour avec tous les logiciels dont les utilisateurs peuvent avoir besoin, notamment les outils de sécurité, sur un ordinateur de votre réseau.

Cette procédure d'installation nécessite la préparation d'un modèle (pour les environnements persistants) ou d'une image gold (pour les environnements non persistants) qui sera ensuite déployé(e) sur les ordinateurs virtuels du réseau.

WatchGuard Endpoint Security prend en charge les images Gold sur ces plateformes virtuelles :

• VMware Workstation
• VMware Server
• VMware ESX
• VMware ESXi
• Citrix XenDesktop
• XenApp
• XenServer
• Bureau Virtuel MS
• Serveurs Virtuels MS

Identifiant Unique WatchGuard

Un identifiant unique est attribué à chaque ordinateur sur lequel WatchGuard Endpoint Security est installé. WatchGuard utilise cet identifiant pour identifier l'ordinateur dans l'interface de gestion. Si vous générez une image gold à partir d'un ordinateur puis que vous la copiez sur d'autres systèmes, chaque ordinateur qui la reçoit hérite du même identifiant WatchGuard Endpoint Security et l'interface de gestion n'affiche qu'un seul ordinateur.

Pour éviter cette situation, vous pouvez utiliser Endpoint Agent Tool pour supprimer l'identifiant. L'outil est proposé en téléchargement. Pour plus d'informations, consultez Créer une Image pour les Environnements Windows Persistants et non Persistants.

Dans les environnements VDI non persistants, certains paramètres de matériel virtuel tels que l'adresse MAC des cartes d'interface réseau peuvent changer à chaque redémarrage. C'est pourquoi le matériel des périphériques ne peut pas être utilisé pour identifier les ordinateurs ou leur attribuer des licences. En outre, le système de stockage des ordinateurs VDI non persistants est vidé à chaque redémarrage, ce qui supprime également l'identifiant attribué à l'ordinateur.

Il est important que vous suiviez ces procédures étape par étape et, une fois terminées, vous devez vérifier que tous les périphériques clonés sont affichés avec un identifiant unique dans l'interface de gestion d'Endpoint Security. Les périphériques clonés de manière incorrecte peuvent avoir un impact sur la fiabilité de la Protection Avancée et compromettre gravement la sécurité de votre infrastructure. Si vous ne voyez qu'un seul périphérique dans l'interface de gestion, vous devez répéter le processus, reconstruire le modèle et le déployer à nouveau sur les endpoints concernés dès que possible.

Créer un Modèle pour les Environnements VDI Persistants

Dans un environnement VDI persistant, les informations enregistrées sur le disque dur d'un ordinateur persistent au fil des redémarrages. Par conséquent, pour créer un modèle, il vous suffit de configurer les mises à jour de la protection WatchGuard Endpoint Security.

Après avoir installé une version mise à jour du système d'exploitation ainsi que tous les programmes dont les utilisateurs ont besoin, créez un modèle.

Pour créer un modèle destiné aux environnements VDI persistants :

1. Installez une version mise à jour du système d'exploitation et de tous les programmes dont les utilisateurs ont besoin sur le périphérique à utiliser pour l'image gold.
2. Installez le logiciel WatchGuard Endpoint Security.
   Pour plus d'informations, consultez Télécharger le Programme d'Installation de WatchGuard Endpoint Agent.
3. Confirmez que l'ordinateur est connecté à Internet.
4. Attribuez à l'ordinateur un profil de paramètres de sécurité où les mises à jour de la protection et des connaissances WatchGuard Endpoint Security sont activées.
   Pour plus d'informations, consultez Configurer les Mises à Jour Automatiques de la Base de Connaissances Signatures (Fichier de Signatures), Configurer les Paramètres par Ordinateur et Assigner un Profil de Paramètres.
5. Ouvrez Endpoint Agent Tool.
   1. Pour analyser l'ordinateur et précharger le cache de goodware de WatchGuard Endpoint Security, cliquez sur Lancer l'Analyse du Cache.
   2. Pour supprimer l'identifiant de l'ordinateur, cliquez sur Désenregistrer le Périphérique.
   3. Assurez-vous que la case à cocher Est une Image Gold N'EST PAS sélectionnée.
      Cela supprime l'identifiant de l'agent du modèle, afin que toutes les machines virtuelles obtiennent leur identifiant lorsqu'elles se connectent au cloud pour la première fois.
6. Important : Désactivez le service Endpoint Agent afin qu'il ne démarre pas automatiquement lorsque le modèle est utilisé sur des instances virtuelles.
   Le service est démarré avec des stratégies GPO pour les périphériques au sein d'un domaine, décrites ci-dessous.

Cette étape est essentielle afin de garantir que chaque machine virtuelle soit identifiée de manière unique dans l'interface de gestion.

7. Éteignez l'ordinateur.
8. Générez une image gold avec votre logiciel de gestion d'environnements virtuels.

9. Pour démarrer le service endpoint agent, vous pouvez créer un GPO à partir d'un périphérique doté des autorisations adéquates connecté au domaine :

   1. Dans les Paramètres du GPO, sélectionnez Configuration de l'Ordinateur > Stratégies > Paramètres Windows > Paramètres de Sécurité > Services Système > WatchGuard Endpoint Agent.

   2. Mettez à jour le paramètre de service sur Automatique.
      Le service démarre automatiquement au redémarrage suivant et le client est intégré dans l'interface de gestion.

Pour modifier le type de démarrage du service Endpoint Agent, vous pouvez créer des stratégies GPO pour les périphériques au sein d'un domaine ou via d'autres types d'applications de script telles qu'Horizon, les scripts de connexion Windows, etc.

Créer une Image Gold Destinée aux Environnements VDI Non Persistants

Dans un environnement VDI non persistant, vous créez deux profils de paramètres de sécurité : l'un destiné à mettre à jour l'image gold lorsque vous la préparez et à des fins de maintenance et l'autre destiné à désactiver les mises à jour lorsque vous exécutez l'image gold, car il est peu judicieux de mettre à jour WatchGuard Endpoint Security si le système de stockage de l'ordinateur est restauré à son état d'origine lors de chaque redémarrage.

Préparer l'Image Gold

Après avoir installé une version mise à jour du système d'exploitation ainsi que tous les programmes dont les utilisateurs ont besoin, créez une image gold.

Il est important de suivre attentivement ces étapes. Si vous créez incorrectement une image Gold, les problèmes suivants peuvent survenir :

• Limitations de la gestion des périphériques clonés dans l'interface de gestion d'Endpoint Security — Un seul périphérique est affiché dans l'interface de gestion. Toute action exécutée sur celui-ci n’affectera qu’un des périphériques intégrés et il ne sera pas clair quel périphérique cela affecterait.
• Réduction du nombre de détections effectuées par la protection avancée : La télémétrie générée par les périphériques qui ne sont pas correctement intégrés dans l'interface de gestion est ignorée. La fiabilité de la protection est compromise.

Pour créer une image gold destinée aux environnements VDI non persistants :

1. Installez une version mise à jour du système d'exploitation et de tous les programmes dont les utilisateurs ont besoin sur le périphérique à utiliser pour l'image gold.
2. Installez le logiciel WatchGuard Endpoint Security.
   Pour plus d'informations, consultez Télécharger le Programme d'Installation de WatchGuard Endpoint Agent.
3. Confirmez que l'ordinateur est connecté à Internet.
4. Attribuez à l'ordinateur un profil de paramètres de sécurité où les mises à jour de la protection et des connaissances WatchGuard Endpoint Security sont activées.
   Pour plus d'informations, consultez Configurer les Mises à Jour Automatiques de la Base de Connaissances Signatures (Fichier de Signatures) et Configurer les Paramètres par Ordinateur.
5. Ouvrez Endpoint Agent Tool.
   1. Pour analyser l'ordinateur et précharger le cache de goodware de WatchGuard Endpoint Security, cliquez sur Lancer l'analyse du cache.
   2. Pour supprimer l'identifiant de l'ordinateur, cliquez sur Désenregistrer le Périphérique.
   3. Assurez-vous que la case à cocher Est une Image Gold est sélectionnée.
      Cela supprime l'identifiant de l'agent de l'image Gold, afin que toutes les machines virtuelles obtiennent leur identifiant lors de leur exécution et se connectent au cloud pour la première fois. Cette étape est essentielle afin de garantir que chaque instance virtuelle soit identifiée de manière unique dans l'interface de gestion.
   4. Si le périphérique est protégé par la protection anti-altération, saisissez le mot de passe.
   5. Cliquez sur Préparer l'image pour supprimer l'identifiant de l'agent de l'image.
      Les machines virtuelles obtiennent leur identifiant correspondant lorsqu'elles s'exécutent et se connectent pour la première fois aux serveurs WatchGuard.
6. Attribuez à l'ordinateur un profil de paramètres de sécurité où les mises à jour de la protection et des connaissances WatchGuard Endpoint Security sont désactivées.
   Pour plus d'informations, consultez Configurer les Mises à Jour Automatiques de la Base de Connaissances Signatures (Fichier de Signatures), Configurer les Paramètres par Ordinateur et Assigner un Profil de Paramètres.
7. Important : Désactivez le service endpoint agent afin qu'il ne démarre pas automatiquement lorsque vous utilisez l'image gold sur les instances virtuelles.
8. Arrêtez l'ordinateur et générez une image gold avec votre logiciel de gestion d'environnements virtuels.
9. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
10. Sélectionnez Configuration.
11. Dans le volet gauche, sélectionnez Environnements VDI.
12. Configurez le nombre maximal d'ordinateurs pouvant être actifs simultanément.
    Vous pouvez ainsi gérer automatiquement les licences utilisées par ces ordinateurs. Pour plus d'informations, consultez Configurer les Environnements VDI.

Exécuter WatchGuard Endpoint Security dans un Environnement VDI Non Persistant

Afin que WatchGuard Endpoint Security fonctionne correctement, vous devez modifier le type de démarrage du service endpoint agent précédemment désactivé dans l'image gold.

Pour modifier le type de démarrage du service Endpoint Agent, vous pouvez créer des stratégies GPO pour les périphériques au sein d'un domaine ou via d'autres types d'applications de script telles qu'Horizon, les scripts de connexion Windows, etc.

Pour modifier le type de démarrage du service endpoint agent à partir des outils de gestion des GPO :

1. Confirmez que les outils de gestion des GPO résident sur un ordinateur physique connecté au domaine.
2. Créez un GPO destiné à modifier le type de démarrage du service endpoint agent.
3. Dans les Paramètres du GPO, accédez à Configuration de l'Ordinateur > Stratégies > Paramètres Windows > Paramètres de Sécurité > Services Système > WatchGuard Endpoint Agent.
4. Sélectionnez le paramètre du service Automatique.
   Le service démarre automatiquement au redémarrage suivant et le client est intégré dans l'interface de gestion.

Mettre à Jour Manuellement l'Image Gold dans un Environnement VDI Non Persistant

Étant donné que les mises à jour sont désactivées dans les paramètres de sécurité reçus par les ordinateurs VDI, nous vous recommandons de mettre à jour manuellement l'image gold au moins une fois par mois. Vous vous assurerez donc que les ordinateurs VDI ont obtenu la dernière version de la protection et du fichier de signatures.

Pour mettre à jour manuellement l'image gold dans un environnement VDI non persistant :

1. Dans l'application de services Windows, activez le service de l'agent.
2. Confirmez que l'ordinateur est connecté à Internet.
3. Attribuez-lui un profil de paramètres de sécurité où les mises à jour de la protection et des connaissances WatchGuard Endpoint Security sont activées.
   Pour plus d'informations, consultez Configurer les Mises à Jour Automatiques de la Base de Connaissances Signatures (Fichier de Signatures), Configurer les Paramètres par Ordinateur et Assigner un Profil de Paramètres.
4. Ouvrez Endpoint Agent Tool.
   1. Pour analyser l'ordinateur et précharger le cache de goodware de WatchGuard Endpoint Security, cliquez sur Lancer l'Analyse du Cache.
   2. Pour supprimer l'identifiant de l'ordinateur, cliquez sur Désenregistrer le Périphérique.
   3. Sélectionnez la case à cocher Est une Image Gold.
   4. Si le périphérique est protégé par la protection anti-altération, saisissez le mot de passe.
   5. Cliquez sur Préparer l'image pour supprimer l'identifiant de l'agent de l'image.
      Les machines virtuelles obtiennent leur identifiant correspondant lorsqu'elles s'exécutent et se connectent pour la première fois aux serveurs WatchGuard.
5. Attribuez à l'ordinateur un profil de paramètres de sécurité où les mises à jour de la protection et des connaissances WatchGuard Endpoint Security sont désactivées.
   Pour plus d'informations, consultez Configurer les Mises à Jour Automatiques de la Base de Connaissances Signatures (Fichier de Signatures), Configurer les Paramètres par Ordinateur et Assigner un Profil de Paramètres.
6. Important : Désactivez le service endpoint agent afin qu'il ne démarre pas automatiquement lorsque vous utilisez l'image gold sur les instances virtuelles.
7. Arrêtez l'ordinateur et générez une image gold avec votre logiciel de gestion d'environnements virtuels.
8. Dans l'environnement VDI, remplacez l'image précédente par la nouvelle.

Afficher les Ordinateurs Non Persistants

WatchGuard Endpoint Security utilise le nom de domaine complet (FQDN) pour identifier les ordinateurs dont l'identifiant a été supprimé avec Endpoint Agent Tool et marqués avec la mention « image gold ».

Pour afficher la liste des ordinateurs VDI non persistants :

1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
2. Sélectionnez Configuration.
3. Dans le volet gauche, sélectionnez Environnements VDI.
4. Cliquez sur le lien Afficher les Ordinateurs Non Persistants.
   La liste des Ordinateurs indique uniquement les ordinateurs non persistants.

Rubriques Connexes

Gérer les Paramètres

Configurer les Mises à Jour Automatiques de la Base de Connaissances Signatures (Fichier de Signatures)

Configurer les Paramètres par Ordinateur

Créer une Image pour les Environnements Windows Persistants et non Persistants