Windows の永続的環境および非永続的環境のイメージを作成する

適用対象:WatchGuard EPDRWatchGuard EDRWatchGuard EPP

開始する前に

仮想環境は複雑かつ多様です。本セクションでは、永続的 VDI (仮想デスクトップ インフラストラクチャ) 環境および非永続的 VDI 環境に WatchGuard Endpoint Security をインストールする詳細な手順についてご説明します。仮想コンピュータや仮想インスタンスは、その特性により、特定の手順に従って、仮想環境で使用されるイメージまたはテンプレートが最新かつ最適化されていること、また仮想コンピュータの起動時にマシン ID が Web UI に一意に登録されるように、以前にマシン ID が割り当てられていないことを確認する必要があります。

非常に特殊な特徴がある環境では、仮想化ベンダーが提供する推奨事項に従って、一般的な手順をニーズに適合させなければならない場合があります。カスタマイズされたソリューションについては、WatchGuard サポートにお問い合わせください。

このインストール手順では、テンプレート (永続的環境の場合) またはゴールド イメージ (非永続的環境の場合) を準備する必要があります。これは、後にネットワークの仮想コンピュータに配備されます。以下の目的で、手順を厳密に実行することが重要となります。

  • エンジンと署名ファイル (ナレッジ) が更新されていることを確認する。
  • 非永続的環境におけるリソースと帯域幅の消費を最適化する。
  • 仮想インスタンスが一意に識別されるようにする。

必須条件

  • 永続的環境では、コンピュータに固定 MAC アドレスが必要となります。
  • テンプレートまたはゴールド イメージの生成を行うコンピュータには、インターネット接続が必要となります。

互換性のあるシステム

通常、この手順は以下の種類の仮想マシンに適用することができます。

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Server

永続的環境に保護をインストールする

  1. ユーザー アプリケーションでオペレーティング システムをインストールまたは更新します。
  2. 製品コンソールで、テンプレートをホストするグループと 仮想マシン グループを作成します。

  • 仮想マシン グループ
    • 設定 タブで、コンピュータごとの設定 を選択して、今後のイメージ更新のための設定プロファイルを作成します。
    • 保護エンジンの自動更新が有効になっていることを確認します。

  • これらの設定を、テンプレート 仮想マシン グループに作成したグループに割り当てます。
  • 設定 タブの セキュリティ セクションで、ワークステーションおよびサーバー を選択して、今後のイメージ更新のための設定プロファイルを作成します。
  • 自動ナレッジ更新が有効になっていることを確認します。

  • これらの設定を、テンプレート 仮想マシン グループに作成したグループに割り当てます。
  1. エージェントと保護をインストールします。
    • コンピュータ タブで、テンプレート グループ 仮想マシン グループを選択します。
    • コンピュータを追加する をクリックして、インストーラをダウンロードします。

  • テンプレートにエージェントをインストールして、進行状況ウィンドウが終了するまで待機します。この間に、保護が自動的にインストール、構成、更新されます。インストールが完了すると、Web UI の保護対象コンピュータのリストに緑色のアイコンでコンピュータが表示されます。コンピュータの保護とナレッジが最新となります。
  1. テンプレートを使用して、コンピュータで Endpoint エージェント ツール (パスワード:panda) を実行します。
    • キャッシュ スキャンを開始する ボタンをクリックして、スキャンを開始します。これにより、グッドウェアがキャッシュで満たされ、仮想イメージに適切な状態で保護が維持されます。ハードディスクの内容によっては、このプロセスに時間がかかる場合があります。操作が完了すると、通知が表示されます。
    • 非排他的イベント セクションで、検出カウンターチェック コマンド のチェックボックスを選択します。送信 をクリックします。
    • マシン ID を削除します。必要に応じて、改ざん防止パスワード を入力します。ゴールド イメージ オプションが選択されていないことを確認して、イメージを準備する をクリックします。これにより、テンプレートからエージェント ID が削除されるため、WatchGuard Endpoint Security で初めて実行および接続された際に、実行されるすべての仮想マシンで ID が取得されます。
      Screen shot of Endpoint Agent Tool dialog box, anti-tamper password

各仮想マシンが Web UI で一意に識別されるようにするために、この手順は非常に重要となります。

  1. 仮想インスタンスでこのテンプレートを使用した際にサービスが自動的に開始されないように、Endpoint エージェント サービスは無効化してください。サービスは GPO ポリシーにより開始されます。この詳細については後述します。
  2. 仮想環境管理ツールにアクセスして、テンプレートを生成します。詳細については、ベンダーにお問い合わせください。

次に、エージェント サービスのスタートアップの種類を変更する必要があります。前の手順で、このサービスは無効化されているはずです。これを行うには、ドメインに接続されている物理マシンのグループ ポリシー管理コンソールを使用します。グループ ポリシー管理コンソールの操作方法の詳細については、Microsoft サポートにお問い合わせください。

Endpoint エージェント サービスのスタートアップの種類を変更するには、GPO を作成する必要があります。これを行うには、GPO 設定で、コンピュータ構成 > ポリシー > Windows 設定 > セキュリティ設定 > システム サービス > Endpoint エージェント の順に移動します。設定を自動に変更します。次回の再起動時にサービスが自動的に開始され、コンソールに統合されます。

Screen shot of the Group Policy Management Editor dialog box

グループ ポリシー管理エディタの画面:

Screen shot of the New Group Policy Object page

非永続的 VDI 環境に保護をインストールする

非永続的 VDI 環境を管理する手順には、3 つのフェーズが含まれます。

ゴールド イメージを生成する前に、これが生成されるマシンを準備する必要があります。

  1. ユーザー アプリケーションでオペレーティング システムをインストールまたは更新します。
  2. 製品コンソールで、ゴールド イメージ ゴールド イメージまたはテンプレート イメージ グループをホストする 1 つのグループ、および仮想マシン 仮想マシン グループをホストする別のグループを作成します。
  • ゴールド イメージまたはテンプレート イメージ グループ
    • 設定 タブで、コンピュータごとの設定 を選択して、今後のイメージ更新のための設定プロファイルを作成します。
    • 保護エンジンの自動更新が有効になっていることを確認します。
    • 自動再起動オプションを選択して、コンピュータが更新されていることを確認します。

  • これらの設定を、ゴールド イメージ ゴールド イメージまたはテンプレート イメージ グループに作成したグループに割り当てます。
  • 設定 タブのセキュリティ セクションで、ワークステーションおよびサーバー を選択して、今後のイメージ更新のための設定プロファイルを作成します。
  • 自動ナレッジ更新が有効になっていることを確認します。
  • これらの設定を、ゴールド イメージ ゴールド イメージまたはテンプレート イメージ グループに作成したグループに割り当てます。
  • 仮想マシン グループ。仮想インスタンスは、更新済みのゴールド イメージに基づきます。VDI サーバーのリソースを最適化して、帯域幅の使用量を削減するには、以下の手順に従って更新を無効化します。
    • コンピュータごとの設定プロファイル (更新は無効化する) を作成し、これを 仮想マシン グループに割り当てます。

  • 設定 タブの セキュリティ セクションにある ワークステーションおよびサーバー に移動して、ナレッジ更新を無効化し、その設定を 仮想マシン グループに割り当てます。

  1. ゴールド イメージを生成するために、エージェントと保護を 仮想マシン グループにインストールします。
    • コンピュータ タブで、ゴールド イメージ グループ 仮想マシン グループを選択して、コンピュータを追加する をクリックし、インストーラをダウンロードします。
    • ゴールド イメージの作成に使用したマシンにエージェントをインストールして、進行状況ウィンドウが終了するまで待機します。この間に、保護が自動的にインストールおよび構成されます。インストールが完了すると、Web UI の保護対象コンピュータのリストにコンピュータが表示されます。
  1. ゴールド イメージが作成されているマシンを ゴールド イメージまたはテンプレート イメージ グループに移動すると、更新オプションの付いた設定が得られるようになります。タスク バーのシステム トレイにある WatchGuard アイコンを右クリックして、強制的に同期することが勧められます。これにより、設定がコンピュータにプッシュされ、更新が開始されます。
  1. ゴールド イメージが作成されているコンピュータで、Endpoint エージェント ツール を実行します。
    • キャッシュ スキャンを開始する ボタンをクリックして、スキャンを開始します。これにより、グッドウェアがキャッシュで満たされ、仮想イメージに適切な状態で保護が維持されます。ハードディスクの内容によっては、このプロセスに時間がかかる場合があります。操作が完了すると、通知が表示されます。
    • 非排他的イベント セクションで、検出カウンターチェック コマンド のチェックボックスを選択します。送信 をクリックします。
      Screen shot of Endpoint Agent Tool dialog box
    • マシン ID を削除します。必要に応じて、改ざん防止パスワード を入力します。ゴールド イメージ オプションが選択されていることを確認して、イメージを準備する をクリックします。これにより、テンプレートからエージェント ID が削除されるため、WatchGuard Endpoint Security で初めて実行および接続された際に、実行されるすべての仮想マシンで ID が取得されます。
      Screen shot of Endpoint Agent Tool dialog box, gold image

各仮想マシンが Web UI で一意に識別されるようにするために、この手順は非常に重要となります。

  1. 仮想インスタンスでゴールド イメージが使用された際にサービスが自動的に開始されないように、Endpoint エージェント サービスを無効化してください。サービスは、GPO ポリシーを使用して開始することができます。これについては、次のセクションでご説明します。
  2. VDI 管理ツールにアクセスして、ゴールド イメージを生成します。詳細については、ベンダーにお問い合わせください。
  3. Web UI の VDI 環境セクションで、同時にアクティブ化できる非永続的マシンの最大数を構成することができます。これにより、こうしたマシンで使用されるライセンスの自動管理が可能となります。

次に、WatchGuard エージェント サービスのスタートアップの種類を変更する必要があります。前の手順で、このサービスは無効化されているはずです。これを行うには、ドメインに接続されている物理マシンのグループ ポリシー管理コンソールを使用します。グループ ポリシー管理コンソールの操作方法の詳細については、Microsoft サポートにお問い合わせください。

Endpoint エージェント サービスのスタートアップの種類を変更するには、GPO を作成する必要があります。これを行うには、GPO 設定で、コンピュータ構成 > ポリシー > Windows 設定 > セキュリティ設定 > システム サービス > Endpoint エージェント の順に移動します。設定を自動に変更します。次回の再起動時にサービスが自動的に開始され、コンソールに統合されます。

Screen shot of the Group Policy Management Editor dialog box

グループ ポリシー管理エディタの画面:

Screen shot of the New Group Policy Object page

作成されたゴールド イメージのエージェント、保護、署名は、頻度に (少なくとも月に 1 回) 更新する必要があります。ハッカーが開発する新たな攻撃手法に対して最大限の防御体制を確保するため、こうした更新が不可欠となります。

ゴールド イメージを更新するには、以下の手順を実行します。

  1. ゴールド イメージがインストールされているマシンを起動します。
  2. Web UI で、ゴールド イメージが作成されているマシンを ゴールド イメージまたはテンプレート イメージ グループに移動すると、エンジンとナレッジが自動更新される適切な設定を得られるようになります。
  3. タスク バーのシステム トレイにある WatchGuard アイコンを右クリックして、強制的に同期します。これにより、マシンが更新されます。
    • 更新はバックグラウンドでサイレントに実行されます。数分待って、イメージが適切に更新されたことを確認することが勧められます。
    • 新規バージョンの保護機能が利用できる場合、再起動ウィンドウが表示され、コンピュータが自動的に再起動します (コンピュータごとの設定 で構成されている通り)。

再起動が完了したら、製品が完全に最新な状態になっていることを確認するために、新しく同期を強制することが勧められます。

  1. ゴールド イメージが作成されているコンピュータで、Endpoint エージェント ツール を実行します。
    • キャッシュ スキャンを開始する ボタンをクリックして、スキャンを開始します。これにより、グッドウェアがキャッシュで満たされ、仮想イメージに適切な状態で保護が維持されます。ハードディスクの内容によっては、このプロセスに時間がかかる場合があります。操作が完了すると、通知が表示されます。
    • 非排他的イベント セクションで、検出カウンターチェック コマンド のチェックボックスを選択します。送信 をクリックします。

      Screen shot of Endpoint Agent Tool dialog box
    • マシン ID を削除します。必要に応じて、改ざん防止パスワード を入力します。ゴールド イメージ オプションが選択されていることを確認して、イメージを準備する をクリックします。これにより、テンプレートからエージェント ID が削除されるため、WatchGuard Endpoint Security で初めて実行および接続された際に、実行されるすべての仮想マシンで ID が取得されます。
      Screen shot of Endpoint Agent Tool dialog box, gold image

各仮想マシンが Web UI で一意に識別されるようにするために、この手順は非常に重要となります。

ライセンス管理

エージェント ID を削除して、ゴールド イメージ オプションを無効化すると、新規マシンの起動時に、システムでそのマシン ID が計算され、選択されている環境に基づいてコンピュータが新規のコンピュータか既存のコンピュータかが判断されます。

非永続的環境

非永続イメージにおいて同時にアクティブ化されるマシンの最大数が設定されている場合は、使用可能なライセンスが存在し、同時マシンの数を超越していない限り、サーバーでライセンスが自動的に管理されます。

永続環境

使用されなくなったマシンが複数存在する場合は、物理マシンの場合と同じように、データベースからマシンを削除して、利用できるライセンスを増やすことができます。すべてのマシンを削除することも、個々のマシンを選択して削除することもできます。