ゴールド イメージを使用して Endpoint ソフトウェアをインストールする

適用対象: WatchGuard Advanced EPDR 本トピックは、WatchGuard Advanced EPDR エンドポイント セキュリティ製品に適用されます。、WatchGuard EPDR 本トピックは、WatchGuard EPDR エンドポイント セキュリティ製品に適用されます。、WatchGuard EDR 本トピックは、WatchGuard EDR エンドポイント セキュリティ製品に適用されます。、WatchGuard EPP 本トピックは、WatchGuard EPP エンドポイント セキュリティ製品に適用されます。、WatchGuard EDR Core 本トピックは、Total Security Suite ライセンスで使用可能な WatchGuard EDR Core に適用されます。

同様のコンピュータが多数存在する大規模ネットワークの場合は、ゴールド イメージを使用することで、プロセスを自動化して、オペレーティング システムやその他のソフトウェアをインストールすることができます。これは、マスター イメージ、基本イメージ、クローン イメージまたはテンプレート イメージと呼ばれることもあります。ゴールド イメージをネットワークにあるすべてのコンピュータに配備すると、新しいコンピュータのセットアップに必要な手作業の大部分を排除することができます。

ゴールド イメージを作成するには、セキュリティ ツールなど、ユーザーに必要なすべてのソフトウェアを備えた最新のオペレーティング システムをネットワークのコンピュータにインストールします。

このインストール手順では、テンプレート (永続的環境の場合) またはゴールド イメージ (非永続的環境の場合) を準備する必要があります。これは、後にネットワークの仮想コンピュータに配備されます。

WatchGuard Endpoint Security は、以下の仮想プラットフォームのゴールド イメージをサポートしています:

• VMware Workstation
• VMware Server
• VMware ESX
• VMware ESXi
• Citrix XenDesktop
• XenApp
• XenServer
• MS Virtual Desktop
• MS Virtual Server

WatchGuard の一意の ID

WatchGuard Endpoint Security がインストールされているすべてのコンピュータには、一意の ID が割り当てられています。WatchGuard では、この ID を使用して 管理 UI でコンピュータが識別されます。コンピュータでゴールド イメージを生成して、その他のシステムにコピーした場合は、これを受け取るすべてのコンピュータは同じ WatchGuard Endpoint Security ID を継承し、管理 UI には 1 台のコンピュータしか表示されなくなります。

これを回避するには、Endpoint エージェント ツールを使用して ID を削除します。このツールはダウンロードすることができます。詳細については、Windows の永続的環境および非永続的環境のイメージを作成する を参照してください。

非永続的 VDI 環境では、ネットワーク インターフェイス カードの MAC アドレスといった一部の仮想ハードウェア パラメータが、再起動するたびに変更される可能性があります。そのため、デバイス ハードウェアを使用してコンピュータを識別すること、またコンピュータにライセンスを割り当てることことはできません。さらに、非永続的 VDI コンピュータのストレージ システムは、再起動するたびに空になり、コンピュータに割り当てられた ID も削除されます。

これらの手順を段階的に実行し、完了したら、クローンされたすべてのデバイスが、Endpoint Security 管理 UI に一意の ID で表示されていることを確認することが重要です。デバイスが正しくクローンされていないと、高度な保護の信頼性に影響を与え、インフラストラクチャのセキュリティを著しく損なう可能性があります。管理 UI に 1 つのデバイスしか表示されていない場合は、このプロセスを繰り返してテンプレートを再構築し、影響を受けている endpoint にできるだけ早く再配備する必要があります。

永続的 VDI 環境のテンプレートを作成する

永続的 VDI 環境の場合は、コンピュータのハード ディスクに保存されている情報が再起動後も保持されます。そのため、テンプレートを作成する際も、WatchGuard Endpoint Security 保護機能の更新を構成するだけで済みます。

オペレーティング システムの更新バージョンとユーザーに必要なすべてのプログラムをインストールした後に、テンプレートを作成します。

永続的 VDI 環境のテンプレートを作成するには、以下の手順を実行します:

1. ゴールド イメージに使用するデバイスでユーザーが必要とするオペレーティング システムの更新バージョンとすべてのプログラムをインストールします。
2. WatchGuard Endpoint Security ソフトウェアをインストールします。
   詳細については、WatchGuard Endpoint Agent インストーラをダウンロードする を参照してください。
3. コンピュータがインターネットに接続されていることを確認してください。
4. WatchGuard Endpoint Security の保護機能とナレッジが更新されて有効化されるように設定されたセキュリティ設定プロファイルをコンピュータに割り当てます。
   詳細については、ナレッジ (署名ファイル) の自動アップデートを構成する、コンピュータごとの設定を構成する、および 設定プロファイルを割り当てる を参照してください。
5. Endpoint エージェント ツールを開きます。
   1. コンピュータをスキャンして WatchGuard Endpoint Security グッドウェア キャッシュをプリロードするには、キャッシュ スキャンを開始する をクリックします。
   2. コンピュータ ID を削除するには、デバイスの登録を解除する をクリックします。
   3. ゴールド イメージである チェックボックスが選択されていないことを確認します。
      これにより、テンプレートからエージェント ID が削除され、すべての仮想マシンが、初めてクラウドに接続する際に ID を取得できるようになります。
6. 重要: 仮想インスタンスでこのテンプレートが使用された際にサービスが自動的に開始されないように、Endpoint エージェント サービスは無効化してください。
   このサービスは、以下に記述するドメイン内のデバイスの GPO ポリシーによって開始されます。

各仮想マシンが管理 UI で一意に識別されるようにするために、この手順は非常に重要となります。

7. コンピュータをオフにします。
8. 仮想環境管理ソフトウェアを使用してゴールド イメージを作成します。

9. Endpoint エージェント サービスを開始するには、ドメインに接続されていない適切なアクセス権限を持つデバイスから GPO を作成します:

   1. GPO 設定で、コンピュータ構成 > ポリシー > Windows 設定 > セキュリティ設定 > システム サービス > WatchGuard Endpoint Agent の順に選択します。

   2. サービス設定を 自動 に更新します。
      次回の再起動時に、サービスが自動的に開始され、クライアントが管理 UI に統合されます。

Endpoint エージェント サービスのスタートアップの種類を変更するには、ドメイン内で、または Horizon、Windows Logon Script のようなその他の種類のスクリプト アプリケーションを通じてデバイスの GPO ポリシーを作成することができます。

非永続的 VDI 環境のゴールド イメージを作成する

非永続的 VDI 環境では、2 つのセキュリティ設定プロファイルを作成します。1 つは、準備時とメンテナンス目的でゴールド イメージを更新するために使用するプロファイルです。もう 1 つは、ゴールド イメージを実行する際に更新を無効化するためのプロファイルです。これは、コンピュータのストレージ システムが再起動するたびに元の状態に戻ってしまうのでは WatchGuard Endpoint Security を更新する意味がないためです。

ゴールド イメージを準備する

オペレーティング システムの更新バージョンとユーザーに必要なすべてのプログラムをインストールした後に、ゴールド イメージを作成します。

これらの手順に慎重に従うことが重要です。誤った方法でゴールド イメージを作成すると、次のような問題が発生する可能性があります:

• Endpoint Security 管理 UI でクローンされたデバイスの管理が制限される — 管理 UI には 1 つのデバイスしか表示されません。そのデバイスで実行されるアクションは、統合されたデバイスのうち 1 つにしか影響せず、どのデバイスに影響するかは明らかではありません。
• 高度な保護による検出数の減少: 管理 UI で適切に統合されていないデバイスによって生成されたテレメトリは破棄されます。保護の信頼性が損なわれます。

非永続的 VDI 環境のゴールド イメージを作成するには、以下の手順を実行します。

1. ゴールド イメージに使用するデバイスでユーザーが必要とするオペレーティング システムの更新バージョンとすべてのプログラムをインストールします。
2. WatchGuard Endpoint Security ソフトウェアをインストールします。
   詳細については、WatchGuard Endpoint Agent インストーラをダウンロードする を参照してください。
3. コンピュータがインターネットに接続されていることを確認してください。
4. WatchGuard Endpoint Security の保護機能とナレッジが更新されて有効化されるように設定されたセキュリティ設定プロファイルをコンピュータに割り当てます。
   詳細については、ナレッジ (署名ファイル) の自動アップデートを構成する および コンピュータごとの設定を構成する を参照してください。
5. Endpoint エージェント ツールを開きます。
   1. コンピュータをスキャンして WatchGuard Endpoint Security グッドウェア キャッシュをプリロードするには、キャッシュ スキャンを開始する をクリックします。
   2. コンピュータ ID を削除するには、デバイスの登録を解除する をクリックします。
   3. ゴールド イメージである チェックボックスが選択されていることを確認します。
      これにより、ゴールド イメージからエージェント ID が削除され、すべての仮想マシンが実行時に ID を取得し、初めてクラウドに接続できるようになります。各仮想インスタンスが管理 UI で一意に識別されるようにするために、この手順は非常に重要となります。
   4. デバイスが改ざん防止によって保護されている場合は、パスワードを入力します。
   5. イメージの準備 をクリックし、イメージからエージェント ID を削除します。
      仮想マシンは、実行されて WatchGuard サーバーに初めて接続する際に対応する ID を取得します。
6. WatchGuard Endpoint Security の保護機能とナレッジの更新が無効化されるように設定されたセキュリティ設定プロファイルをコンピュータに割り当てます。
   詳細については、ナレッジ (署名ファイル) の自動アップデートを構成する、コンピュータごとの設定を構成する、および 設定プロファイルを割り当てる を参照してください。
7. 重要: 仮想インスタンスでゴールド イメージが使用する際に Endpoint エージェント サービスが自動的に開始されないようにするため、このサービスを無効化してください。
8. コンピュータの電源を切って、仮想環境管理ソフトウェアを使用してゴールド イメージを作成します。
9. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
10. 設定 を選択します。
11. 左ペインで、VDI 環境 を選択します。
12. 同時にアクティブ化できるコンピュータの最大数を構成します。
    これにより、コンピュータで使用されるライセンスの自動管理が可能となります。詳細については、VDI 環境を構成する を参照してください。

非永続的 VDI 環境で WatchGuard Endpoint Security を実行する

WatchGuard Endpoint Security が正しく実行されるようにするには、Endpoint エージェント サービスの起動の種類を変更する必要があります。これは、以前にゴールド イメージで無効化されているはずです。

Endpoint エージェント サービスのスタートアップの種類を変更するには、ドメイン内で、または Horizon、Windows Logon Script のようなその他の種類のスクリプト アプリケーションを通じてデバイスの GPO ポリシーを作成することができます。

GPO 管理ツールから Endpoint エージェント サービスの起動の種類を変更するには、以下の手順を実行します:

1. GPO 管理ツールが、ドメインに接続されている物理コンピュータ上にあることを確認してください。
2. GPO を作成して、エージェント サービスの起動の種類を変更します。
3. GPO 設定で、コンピュータ構成 > ポリシー > Windows 設定 > セキュリティ設定 > システム サービス > WatchGuard Endpoint Agent の順に移動します。
4. サービス設定を 自動 に変更します。
   次回の再起動時に、サービスが自動的に開始され、クライアントが管理 UI に統合されます。

非永続的 VDI 環境でゴールド イメージを手動で更新する

VDI コンピュータが受け取るセキュリティ設定では更新が無効化されているため、少なくとも月に 1 回は手動でゴールド イメージを更新することが勧められます。これにより、VDI コンピュータが最新バージョンの保護機能と署名ファイルを確実に受け取れるようになります。

非永続的 VDI 環境でゴールド イメージを手動で更新するには、以下の手順を実行します。

1. Windows サービス アプリで エージェント サービスを有効化します。
2. コンピュータがインターネットに接続されていることを確認してください。
3. WatchGuard Endpoint Security の保護機能とナレッジが更新されて有効化されるように設定されたセキュリティ設定プロファイルを割り当てます。
   詳細については、ナレッジ (署名ファイル) の自動アップデートを構成する、コンピュータごとの設定を構成する、および 設定プロファイルを割り当てる を参照してください。
4. Endpoint エージェント ツールを開きます。
   1. コンピュータをスキャンして WatchGuard Endpoint Security グッドウェア キャッシュをプリロードするには、キャッシュ スキャンを開始する をクリックします。
   2. コンピュータ ID を削除するには、デバイスの登録を解除する をクリックします。
   3. ゴールド イメージ チェックボックスを選択します。
   4. デバイスが改ざん防止によって保護されている場合は、パスワードを入力します。
   5. イメージの準備 をクリックし、イメージからエージェント ID を削除します。
      仮想マシンは、実行して WatchGuard サーバーに初めて接続する際に対応する ID を取得します。
5. WatchGuard Endpoint Security の保護機能とナレッジの更新が無効化されるように設定されたセキュリティ設定プロファイルをコンピュータに割り当てます。
   詳細については、ナレッジ (署名ファイル) の自動アップデートを構成する、コンピュータごとの設定を構成する、および 設定プロファイルを割り当てる を参照してください。
6. 重要: 仮想インスタンスでゴールド イメージが使用する際に Endpoint エージェント サービスが自動的に開始されないようにするため、このサービスを無効化してください。
7. コンピュータの電源を切って、仮想環境管理ソフトウェアを使用してゴールド イメージを作成します。
8. VDI 環境で、前のイメージを新しいイメージに置き換えます。

非永続的コンピュータを表示する

WatchGuard Endpoint Security では、完全修飾ドメイン名 (FQDN) によりコンピュータが識別されます。コンピュータは、Endpoint エージェント ツールにより ID が削除され、ゴールド イメージとしてマーク付けされた状態となっています。

非永続的 VDI コンピュータのリストを表示するには、以下の手順を実行します。

1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
2. 設定 を選択します。
3. 左ペインで、VDI 環境 を選択します。
4. 非永続的コンピュータを表示する リンクをクリックします。
   コンピュータ リストに、非永続的コンピュータのみが表示されます。

関連トピック

設定を管理する

ナレッジ (署名ファイル) の自動アップデートを構成する

コンピュータごとの設定を構成する

Windows の永続的環境および非永続的環境のイメージを作成する