Windows の永続的環境および非永続的環境のイメージを作成する

適用対象: WatchGuard Advanced EPDRWatchGuard EPDRWatchGuard EDRWatchGuard EPPWatchGuard EDR Core

開始する前に

仮想環境は複雑かつ多様です。本セクションでは、永続的 VDI (仮想デスクトップ インフラストラクチャ) 環境および非永続的 VDI 環境に WatchGuard Endpoint Security をインストールする詳細な手順についてご説明します。仮想コンピュータや仮想インスタンスは、その特性により、特定の手順に従って、仮想環境で使用されるイメージまたはテンプレートが最新かつ最適化されていること、また仮想コンピュータの起動時にマシン ID が管理 UI に一意に登録されるように、以前にマシン ID が割り当てられていないことを確認する必要があります。

非常に特殊な特徴がある環境では、仮想化ベンダーが提供する推奨事項に従って、一般的な手順をニーズに適合させなければならない場合があります。カスタマイズされたソリューションについては、WatchGuard サポートにお問い合わせください。

このインストール手順では、テンプレート (永続的環境の場合) またはゴールド イメージ (非永続的環境の場合) を準備する必要があります。これは、後にネットワークの仮想コンピュータに配備されます。以下の目的で、手順を厳密に完了することが重要となります。

  • エンジンと署名ファイル (ナレッジ) が更新されることを確認してください。
  • 非永続的環境におけるリソースと帯域幅の消費を最適化する。
  • 仮想インスタンスが一意に識別されることを確認してください。

前提条件

  • 永続的環境では、コンピュータに固定 MAC アドレスが必要となります。
  • テンプレートまたはゴールド イメージの生成を行うコンピュータには、インターネット接続が必要となります。

  • Windows 用 Endpoint エージェント ツール は管理者として実行する必要があり、グラフィック インターフェイスがあるものの、コマンド行からも実行できる必要があります。.bat または .cmd ファイルからこのツールを実行する場合は、start /wait "" のコマンドを使用する必要があります。たとえば、命令が EndpointAgentTool.exe /sg の場合、次のように入力します: start /wait "" "C:\Path\EndpointAgentTool.exe" /sg

互換性のあるシステム

通常、この手順は以下の種類の仮想マシンに適用することができます。

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Server

永続的環境に保護をインストールする

これらの手順を段階的に実行し、完了したら、クローンされたすべてのデバイスが、管理 UI に一意の ID で表示されていることを確認することが重要です。デバイスが正しくクローンされていないと、高度な保護の信頼性に影響を与え、ネットワークのセキュリティが著しく損なわれる可能性があります。管理 UI に 1 つのデバイスしか表示されていない場合は、このプロセスを繰り返してテンプレートを再構築し、影響を受けている endpoint にできるだけ早く再配備する必要があります。

  1. ユーザー アプリケーションでオペレーティング システムをインストールまたは更新します。
  2. 管理 UI で、テンプレートをホストするグループと 仮想マシン グループを作成します。

Screen shot of Computers page and Add Group menu

  • 仮想マシン グループ
    • 設定 タブで、コンピュータごとの設定 を選択して、今後のイメージ更新のための設定プロファイルを作成します。
    • 保護エンジンの自動更新が有効になっていることを確認します。

Screen shot of Per Computer Settings page, Updates section.

  • このテンプレート用に以前に作成した 仮想マシン グループにこれらの設定を割り当てます。
  • 設定 タブで ワークステーションとサーバー を選択して、今後のイメージ更新のための設定プロファイルを作成します。
  • ナレッジの自動アップデートが有効になっていることを確認します。

Screen shot of Edit Settings dialog box, Knowledge updates section

  • これらの設定を 仮想マシン グループに割り当てます。
  1. 仮想マシン グループにエージェントと保護をインストールします:
    • コンピュータ に続いて 仮想マシン テンプレート グループを選択します。
    • コンピュータの追加 をクリックして、インストーラをダウンロードします。

Screen shot of Add Computers dialog box, Windows selected.

  • テンプレートにエージェントをインストールして、進行状況ウィンドウが終了するまで待機します。保護が自動的にインストール、構成、更新されます。インストールが完了すると、管理 UI の保護対象コンピュータのリストに緑色のアイコンでコンピュータが表示されます。コンピュータの保護とナレッジは最新です。
  1. テンプレートを使用して、コンピュータで Endpoint エージェント ツール (パスワード:panda) を実行します。
    • キャッシュ スキャンを開始する ボタンをクリックして、スキャンを開始します。これによりグッドウェア キャッシュが満たされ、仮想イメージが適切な保護状態になります。ハードディスクの内容によっては、このプロセスに時間がかかる場合があります。操作が完了すると、通知が表示されます。
    • 非排他的イベント セクションで、検出カウンターチェック コマンド のチェックボックスを選択します。送信 をクリックします。
      Screen shot of Endpoint Agent Tool window.
  2. 重要: コンピュータの ID を削除します。
    • ゴールド イメージ チェックボックスが選択されていないことを確認します。
    • 必要に応じて 改ざん防止パスワード を入力し、デバイスの登録解除 をクリックします。(登録のチェック をクリックすると、デバイスの登録が解除されていることを確認することができます。)
    • イメージを準備する をクリックします。

      3. これにより、テンプレートからマシン ID が削除されるため、WatchGuard Endpoint Security で初めて実行および接続された際に、実行されるすべての仮想マシンで ID が取得されます。

      Screen shot of Endpoint Agent Tool dialog box, anti-tamper password

  3. 重要: 仮想インスタンスでこのテンプレートを使用した際にサービスが自動的に開始されないように、Endpoint エージェント サービスは無効化してください。
    サービスは GPO ポリシーにより開始されます。これについては次のフェーズで説明します。

各仮想マシンが管理 UI で一意に識別されるようにするために、この手順は非常に重要となります。

  1. 仮想環境管理ツールにアクセスして、テンプレートを生成します。詳細については、ベンダーにお問い合わせください。

展開された仮想マシンのカスタマイズが完了したら、エージェント サービスのスタートアップの種類を変更する必要があります。前の手順で、このサービスは無効化されているはずです。VDI 配備システムに応じてさまざまな方法を使用することができます。Endpoint エージェント サービスのスタートアップの種類を変更するには、ドメイン内で、または Horizon、Windows Logon Script のようなその他の種類のスクリプト アプリケーションを通じてデバイスの GPO ポリシーを作成することができます。

グループ ポリシー管理エディタの操作方法の詳細については、Microsoft サポートにお問い合わせください。

これを行うには、ドメインに接続されている物理コンピュータのグループ ポリシー管理エディタを使用します。GPO ポリシーを作成するには、GPO 設定で、コンピュータ構成 > ポリシー > Windows 設定 > セキュリティ設定 > システム サービス > Endpoint エージェント の順に移動します。サービスは無効です。ステータスを 自動 に変更します。次回の再起動時にサービスが自動的に開始され、管理 UI に統合されます。

Screen shot of the Group Policy Management Editor dialog box

グループ ポリシー管理エディタの画面:

Screen shot of the New Group Policy Object page

非永続的 VDI 環境に保護をインストールする

非永続的 VDI 環境を管理する手順には、3 つのフェーズが含まれます。

これらの手順を段階的に実行し、完了したら、クローンされたすべてのデバイスが、管理 UI に一意の ID で表示されていることを確認することが重要です。デバイスが正しくクローンされていないと、高度な保護の信頼性に影響を与え、インフラストラクチャのセキュリティを著しく損なう可能性があります。管理 UI に 1 つのデバイスしか表示されていない場合は、このプロセスを繰り返してゴールド イメージを再構築し、影響を受けている endpoint にできるだけ早く再配備する必要があります。

ゴールド イメージを生成する前に、その生成場所であるマシンを準備する必要があります。

  1. ユーザーのアプリケーションでオペレーティング システムをインストールまたは更新します。
  2. 管理 UI で、ゴールド イメージ (ゴールド イメージまたはテンプレート イメージ) をホストする 1 つのグループ、および仮想コンピュータ (仮想マシン) をホストする別のグループを 1 つ作成します。
  • ゴールド イメージまたはテンプレート イメージ グループ
    • 設定 タブで、コンピュータごとの設定 を選択して、今後のイメージ更新のための設定プロファイルを作成します。
    • 保護エンジンの自動更新が有効になっていることを確認します。
    • ワークステーションとサーバーの両方を自動的に再起動する オプションを選択し、コンピュータが確実に更新されるようにします。

Screen shot of Settings page, Per Computer Settings, Add Settings.

  • これらの設定を、ゴールド イメージ ゴールド イメージまたはテンプレート イメージ グループに作成したグループに割り当てます。
  • 設定 タブで ワークステーションとサーバー を選択して、今後のイメージ更新のための設定プロファイルを作成します。
  • ナレッジの自動アップデートが有効になっていることを確認します。
  • これらの設定をゴールド イメージまたはテンプレート イメージ グループに割り当てます。
  • 仮想マシン グループ
    仮想インスタンスは、更新済みのゴールド イメージに基づきます。VDI サーバーのリソースを最適化して帯域幅使用を削減するには、更新を無効化します。
    • コンピュータごとの設定プロファイル (更新は無効化する) を作成し、これを 仮想マシン グループに割り当てます。

Screen shot of Per Computer Settings page, Recipients.

  • 設定ページで ワークステーションとサーバー を選択し、ナレッジのアップデートを無効にします。これらの設定を仮想マシン グループに割り当てます。

Screen shot of Per Computer Settings page, Recipients.

  1. 仮想マシン グループにエージェントと保護をインストールしてゴールド イメージを生成します。
    • コンピュータ タブで 仮想マシン グループを選択して、コンピュータの追加 をクリックし、インストーラをダウンロードします。
    • ゴールド イメージの作成に使用した仮想マシンにエージェントをインストールして、進行状況ウィンドウが終了するまで待機します。保護が自動的にインストールおよび構成されます。インストールが完了すると、管理 UI の保護対象コンピュータのリストにマシンが表示されます。
  1. ゴールド イメージが作成されているマシンを ゴールド イメージまたはテンプレート イメージ グループに移動し、更新オプションの付いた設定を得られるようにします。タスク バーのシステム トレイにある WatchGuard アイコンを右クリックして、強制的に同期することが勧められます。これにより、設定がコンピュータにプッシュされ、更新が開始されます。
  2. ゴールド イメージが作成されているコンピュータで、Endpoint エージェント ツール を実行します。
    • キャッシュ スキャンを開始する をクリックして仮想マシンをスキャンします。これによりグッドウェア キャッシュが満たされ、仮想イメージが適切な保護状態になります。ハードディスクの内容によっては、このプロセスに時間がかかる場合があります。操作が完了すると、通知が表示されます。
    • 非排他的イベント セクションで、検出カウンターチェック コマンド のチェックボックスを選択します。送信 をクリックします。
      Screen shot of Endpoint Agent Tool dialog box
  3. 重要: マシン ID を削除します。
    • ゴールド イメージ オプションが選択されていることを確認します。
    • 必要に応じて 改ざん防止パスワード を入力し、デバイスの登録解除 をクリックします。(登録のチェック をクリックすると、マシンの登録が解除されているかどうかを確認することができます。)
    • イメージを準備する をクリックします。

      4. これにより、ゴールド イメージからエージェント ID が削除され、すべての仮想マシンが実行時に ID を取得し、初めてクラウドに接続できるようになります。

各仮想インスタンスが管理 UI で一意に識別されるようにするために、この手順は非常に重要となります。

Screen shot of Endpoint Agent Tool dialog box, gold image

  1. 重要: 仮想インスタンスでゴールド イメージが使用された際にサービスが自動的に開始されないように、Endpoint エージェント サービスを無効化してください。
    サービスは、GPO ポリシーを使用して開始することができます。これについては、次のセクションでご説明します。

この手順は、仮想マシンごとに特定の ID を生成するために必要です。

  1. VDI 管理ツールにアクセスして、ゴールド イメージを生成します。詳細については、ベンダーにお問い合わせください。
  2. 管理 UI の VDI 環境セクションで、同時にアクティブ化できる非永続的マシンの最大数を構成することができます。これにより、こうしたマシンで使用されるライセンスの自動管理が有効になります。

Screen shot of VDI Environments settings page.

展開された仮想マシンのカスタマイズが完了したら、エージェント サービスのスタートアップの種類を変更する必要があります。前の手順で、このサービスは無効化されているはずです。VDI 配備システムに応じてさまざまな方法を使用することができます。Endpoint エージェント サービスのスタートアップの種類を変更するには、ドメイン内で、または Horizon、Windows Logon Script のようなその他の種類のスクリプト アプリケーションを通じてデバイスの GPO ポリシーを作成することができます。

グループ ポリシー管理エディタの操作方法の詳細については、Microsoft サポートにお問い合わせください。

これを行うには、ドメインに接続されている物理マシンのグループ ポリシー管理エディタを使用します。GPO ポリシーを作成するには、GPO 設定で、コンピュータ構成 > ポリシー > Windows 設定 > セキュリティ設定 > システム サービス > Endpoint エージェント の順に移動します。サービスは無効です。設定を 自動 に変更します。次回の再起動時にサービスが自動的に開始され、管理 UI に統合されます。

Screen shot of the Group Policy Management Editor dialog box

グループ ポリシー管理エディタの画面:

Screen shot of the New Group Policy Object page

作成されたゴールド イメージのエージェント、保護、署名は、頻繁に (少なくとも月に 1 回) 更新する必要があります。これらの更新は、ハッカーが開発した新しい攻撃方法に対し最大の保護を徹底する上で不可欠です。

ゴールド イメージを更新するには、以下の手順を実行します。

  1. ゴールド イメージがインストールされているマシンを起動します。
  2. 管理 UI で、ゴールド イメージが作成されているマシンを ゴールド イメージまたはテンプレート イメージ グループに移動すると、エンジンとナレッジが自動更新される適切な設定を得られるようになります。
  3. タスク バーのシステム トレイにある WatchGuard アイコンを右クリックして、強制的に同期します。これによりマシンが更新されます。
    • 更新はバックグラウンドでサイレントに実行されます。数分待って、イメージが正しく更新されたことを確認することが勧められます。
    • 新規バージョンの保護機能が利用できる場合、再起動ウィンドウが表示され、マシンが自動的に再起動します (コンピュータごとの設定 プロファイルで構成されている通り)。

再起動が完了したら、製品が最新な状態になっていることを確認するために、新しく同期を強制することが勧められます。

  1. ゴールド イメージが作成されているマシンで、Endpoint エージェント ツール を実行します。
    • キャッシュ スキャンを開始する をクリックしてスキャンします。これによりグッドウェア キャッシュが満たされ、仮想イメージが適切な保護状態になります。ハードディスクの内容によっては、このプロセスに時間がかかる場合があります。操作が完了すると、通知が表示されます。
    • 非排他的イベント セクションで、検出カウンターチェック コマンド のチェックボックスを選択します。送信 をクリックします。

      Screen shot of Endpoint Agent Tool dialog box

    • 重要: マシン ID を削除します。
      • ゴールド イメージ オプションが選択されていることを確認します。
      • 必要に応じて、改ざん防止パスワード を入力します。
      • イメージを準備する をクリックします。これにより、ゴールド イメージからエージェント ID が削除され、すべての仮想インスタンスが実行時に ID を取得し、初めてクラウドに接続できるようになります。
        Screen shot of Endpoint Agent Tool dialog box, gold image

各仮想インスタンスが管理 UI で一意に識別されるようにするために、この手順は非常に重要となります。

手順を確認する

手順が成功したことを確認してください。

非永続的コンピュータを表示する

WatchGuard Endpoint Security は、完全修飾ドメイン名を使用して、Endpoint エージェント ツールにより ID が削除され、ゴールド イメージとしてマーク付けされたコンピュータを識別します。

非永続的 VDI コンピュータのリストを表示するには、以下の手順を実行します。

  1. 設定 > コンピュータのメンテナンス の順に選択します。
  2. VDI 環境 セクションで 非永続的コンピュータを表示 リンクをクリックします。
    コンピュータ リストに非永続的コンピュータが表示されます。

永続的コンピュータを表示する

  1. コンピュータ を選択します。
  2. クローンされたデバイスが、管理 UI に正しく表示されていることを確認します。

リストに 1 つのデバイスしか含まれていない場合は、コンピュータ リストからそのデバイスを削除し、この手順をやり直す (つまり、ゴールド イメージを再構築し、影響を受けている endpoint に再展開する) 必要があります。

ライセンス管理

エージェント ID を削除して、ゴールド イメージ オプションを無効化すると、新規マシンの起動時に、システムでそのマシン ID が計算され、選択されている環境に基づいてコンピュータが新規のコンピュータか既存のコンピュータかが判断されます。

非永続的環境

非永続イメージにおいて同時にアクティブ化されるマシンの最大数が設定されている場合は、使用可能なライセンスが存在し、同時マシンの数を超越していない限り、サーバーでライセンスが自動的に管理されます。

永続環境

使用されなくなったマシンが複数存在する場合は、物理マシンの場合と同じように、データベースからマシンを削除して、利用できるライセンスを増やすことができます。すべてのマシンを削除することも、個々のマシンを選択して削除することもできます。