Erstellen eines Image für persistente und nicht persistente Windows-Umgebungen

Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR,WatchGuard EDR Core, WatchGuard EPP

Bevor Sie beginnen

Virtuelle Umgebungen sind komplex und vielfältig. Dieses Thema gibt schrittweise Anweisungen für die Installation von WatchGuard Endpoint Security in persistenten und nicht persistenten Virtual Desktop Infrastructure (VDI) Umgebungen. Aufgrund ihrer Charakteristiken erfordern virtuelle Computer oder Instanzen, dass ein spezifisches Verfahren befolgt wird, um sicherzustellen, dass die Images oder Vorlagen, die in virtuellen Umgebungen verwendet werden sollen, aktuell und optimiert sind und keine zuvor zugewiesene Maschinen-ID haben, damit sie in der Verwaltungsoberfläche unverwechselbar registriert sind, wenn ein virtueller Computer startet.

In Umgebungen mit sehr spezifischen Merkmalen könnte es nötig sein, die vom Virtualisierungsanbieter bereitgestellten Empfehlungen zu befolgen, um die allgemeinen Anweisungen an Ihre Bedürfnisse anzupassen. Wenden Sie sich für eine individuelle Lösung an den WatchGuard Support.

Dieses Installationsverfahren erfordert, dass eine Vorlage (für persistente Umgebungen) oder ein Golden Image (für nicht persistente Umgebungen) vorbereitet wird, um später auf den virtuellen Computern im Netzwerk bereitgestellt zu werden. Es ist wichtig, dieses Verfahren genau zu befolgen, um:

  • Sicherzustellen, dass die Engine und Signaturdatei (Wissen‭) aktualisiert werden.
  • Ressourcen und Bandbreitenverbrauch in nicht persistenten Umgebungen zu optimieren.
  • Sicherzustellen, dass virtuelle Instanzen unverwechselbar identifiziert sind.

Vorbedingungen

  • In persistenten Umgebungen müssen Computer feste MAC-Adressen haben.
  • Der für die Generierung der Vorlage oder des Golden Image verwendete Computer muss eine Internetverbindung haben.

  • Das Endpoint Agent Tool für Windows muss als Administrator ausgeführt werden und hat eine grafische Benutzeroberfläche, aber kann auch über die Befehlszeile ausgeführt werden. Wenn Sie das Tool von einer .bat oder .cmd Datei aus ausführen, müssen Sie den folgenden Befehl verwenden: start /wait "". Beispielweise würden Sie für die Anweisung: EndpointAgentTool.exe /sg Folgendes eingeben: start /wait "" "C:\Path\EndpointAgentTool.exe" /sg

Kompatible Systeme

Im Allgemeinen ist dieses Verfahren für die folgenden Typen virtueller Maschinen geeignet:

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Servers

Installieren des Schutzes in persistenten Umgebungen

Caution: Es ist wichtig, dass Sie diese Verfahren Schritt-für-Schritt befolgen und nach Abschluss verifizieren, dass alle geklonten Geräte in der Verwaltungsoberfläche mit einer unverwechselbaren ID angezeigt werden. Falsch geklonte Geräte können die Zuverlässigkeit von Erweiterter Schutz beeinträchtigen und die Sicherheit Ihres Netzwerks ernsthaft gefährden. Falls Sie in der Verwaltungsoberfläche nur ein einziges Gerät sehen, müssen Sie den Prozess wiederholen, die Vorlage neu erstellen und sie so schnell wie möglich neu für die betroffenen Endpoints bereitstellen.

  1. Installieren oder aktualisieren Sie das Betriebssystem mit den Benutzeranwendungen.
  2. Erstellen Sie auf der Verwaltungsoberfläche eine Gruppe, um die Vorlage und die Gruppe Virtuelle Maschinen zu hosten.

Screen shot of Computers page and Add Group menu

  • Gruppe virtueller Maschinen
    • Wählen Sie auf der Registerkarte EinstellungenComputerspezifische Einstellungen und erstellen Sie ein Einstellungsprofil für zukünftige Updates des Image.
    • Stellen Sie sicher, dass automatische Updates der Schutz-Engine aktiviert sind.

Screen shot of Per Computer Settings page, Updates section.

  • Weisen Sie diese Einstellungen der Gruppe Virtuelle Maschinen zu, die Sie zuvor für die Vorlage erstellt haben.
  • Wählen Sie die Registerkarte Einstellungen und wählen Sie Workstations und Server, um ein Einstellungsprofil für zukünftige Updates des Image zu erstellen.
  • Stellen Sie sicher, dass Automatische Wissensaktualisierung aktiviert ist:

Screen shot of Edit Settings dialog box, Knowledge updates section

  • Weisen Sie diese Einstellungen der Gruppe Virtuelle Maschinen zu.
  1. Installieren Sie den Agent und den Schutz auf der Gruppe Virtuelle Maschinen:
    • Wählen Sie Computer und dann die Vorlagengruppe Virtuelle Maschinen.
    • Klicken Sie auf Computer hinzufügen, um das Installationsprogramm herunterzuladen.

Screen shot of Add Computers dialog box, Windows selected.

  • Installieren Sie den Agent auf der Vorlage und warten Sie, bis das Fortschrittsfenster abgeschlossen ist. Der Schutz wird automatisch installiert, konfiguriert und aktualisiert. Wenn die Installation abgeschlossen ist, wird der Computer auf der Liste der geschützten Computer in der Verwaltungsoberfläche mit einem grünen Symbol angezeigt. Schutz und Wissen des Computers sind jetzt auf dem aktuellen Stand.
  1. Führen Sie das Endpoint Agent Tool (Passwort Panda) auf dem Computer mit der Vorlage aus.
    • Scannen Sie ihn mit dem Button Cache-Scan starten. Dies füllt den Goodware-Cache und sorgt dafür, dass der Schutz in einem geeigneten Zustand für virtuelle Images ist. Dieser Prozess kann je nach Inhalt der Festplatte etwas dauern. Sie werden benachrichtigt, wenn die Operation abgeschlossen ist.
    • Aktivieren Sie im Abschnitt Nicht-exklusive Ereignisse die Kontrollkästchen für Erkennungen, Zähler und Befehle prüfen. Klicken Sie auf Senden.
      Screen shot of Endpoint Agent Tool window.
  2. Wichtig: Entfernen Sie die ID des Computers.
    • Achten Sie darauf, dass das Kontrollkästchen Ist ein Golden Imagenicht aktiviert ist.
    • Falls nötig, geben Sie das Anti-Manipulations-Passwort ein und klicken Sie auf Registrierung Gerät löschen. (Sie können auf Registrierung überprüfen klicken, um sicherzustellen, dass die Registrierung des Geräts gelöscht wurde.)
    • Klicken Sie auf Image vorbereiten.

      3. Dies entfernt die Maschinen-ID von der Vorlage, so dass alle laufenden virtuellen Maschinen ihre ID erlangen, wenn sie das erste Mal ausgeführt und mit WatchGuard Endpoint Security verbunden werden.

      Screen shot of Endpoint Agent Tool dialog box, anti-tamper password

  3. Wichtig: Deaktivieren Sie den Endpoint Agent-Dienst, damit der Service nicht automatisch startet, wenn diese Vorlage auf virtuellen Instanzen verwendet wird.
    Der Dienst wird mit GPO-Regeln gestartet, wie in der nächsten Phase beschrieben.

Caution: Dieser Schritt ist entscheidend, um sicherzustellen, dass jede virtuelle Maschine in der Verwaltungsoberfläche unverwechselbar identifiziert ist.

  1. Greifen Sie auf das Tool zur Verwaltung virtueller Umgebungen zu und generieren Sie die Vorlage. Wenden Sie sich für weitere Informationen an Ihren Anbieter.

Wenn die individuelle Anpassung der bereitgestellten virtuellen Maschine abgeschlossen ist, müssen Sie den Startup-Typ des Agent-Dienstes ändern. Dieser Dienst wurde im vorherigen Schritt deaktiviert. Sie können in Abhängigkeit vom VDI-Bereitstellungssystem verschiedene Methoden nutzen. Um den Startup-Typ des Endpoint Agent-Dienstes zu ändern, können Sie GPO-Regeln für Geräte in einer Domäne oder über andere Typen von Skript-Anwendungen, wie Horizon, Windows Logon Scripts etc. erstellen.

Wenden Sie sich für mehr Informationen zur Verwendung der Editor-Konsole für Gruppenrichtlinien an den Microsoft Support.

Verwenden Sie hierzu die Editor-Konsole für Gruppenrichtlinien auf einem physischen Computer, der mit der Domäne verbunden ist. Um GPO-Regeln zu erstellen, gehen Sie in den GPO-Einstellungen zu Computerkonfiguration > Regeln > Windows-Einstellungen > Sicherheitseinstellungen > Systemdienste > Endpoint Agent. Der Dienst ist deaktiviert. Ändern Sie den Status zu Automatisch. Der Dienst startet beim nächsten Neustart automatisch und wird in der Verwaltungsoberfläche integriert.

Screen shot of the Group Policy Management Editor dialog box

Der Bildschirm Gruppenregel-Verwaltungseditor:

Screen shot of the New Group Policy Object page

Installieren des Schutzes in nicht persistenten VDI-Umgebungen

Das Verfahren zur Verwaltung nicht persistenter VDI-Umgebungen besteht aus drei Phasen.

Caution: Es ist wichtig, dass Sie diese Verfahren Schritt-für-Schritt befolgen und nach Abschluss verifizieren, dass alle geklonten Geräte in der Verwaltungsoberfläche mit einer unverwechselbaren ID angezeigt werden. Falsch geklonte Geräte können die Zuverlässigkeit von Erweiterter Schutz beeinträchtigen und die Sicherheit Ihrer Infrastruktur ernsthaft gefährden. Falls Sie in der Verwaltungsoberfläche nur ein einziges Gerät sehen, müssen Sie den Prozess wiederholen, das Golden Image neu erstellen und dieses so schnell wie möglich wieder für die betroffenen Endpoints bereitstellen.

Vor dem Erstellen des Golden Image müssen Sie den Computer, auf dem es erstellt wird, vorbereiten:

  1. Installieren oder aktualisieren Sie das Betriebssystem mit den Anwendungen des Benutzers.
  2. Erstellen Sie in der Verwaltungsoberfläche eine Gruppe, um das Golden Image (Golden oder Vorlage-Image) zu hosten und eine weitere Gruppe, um die virtuellen Computer (Virtuelle Maschinen) zu hosten.
  • Golden oder Vorlagen-Image-Gruppe
    • Wählen Sie auf der Registerkarte EinstellungenComputerspezifische Einstellungen und erstellen Sie ein Einstellungsprofil für zukünftige Updates des Image.
    • Stellen Sie sicher, dass automatische Updates der Schutz-Engine aktiviert sind.
    • Wählen Sie die Option Workstations und Server automatisch neu starten, um sicherzustellen, dass die Computer aktualisiert werden.

Screen shot of Settings page, Per Computer Settings, Add Settings.

  • Weisen Sie diese Einstellungen der Gruppe zu, die Sie für die Golden Image-Gruppe Golden oder Vorlagen-Image erstellt haben.
  • Wählen Sie auf der Registerkarte Einstellungen die Option Workstations und Server und erstellen Sie ein Einstellungsprofil für zukünftige Updates des Image.
  • Stellen Sie sicher, dass Automatische Wissensaktualisierung aktiviert ist.
  • Weisen Sie diese Einstellungen der Golden oder Vorlage-Image-Gruppe zu.
  • Gruppe virtueller Maschinen
    Virtuelle Instanzen basieren auf dem aktualisierten Golden Image. Um die VDI-Server-Ressourcen zu optimieren und Bandbreitennutzung zu verringern, deaktivieren Sie Updates:
    • Erstellen Sie ein Computerspezifische Einstellungen-Profil, bei dem Updates deaktiviert sind, und weisen Sie es der Gruppe Virtuelle Maschinen zu.

Screen shot of Per Computer Settings page, Recipients.

  • Wählen Sie auf der Seite Einstellungen Workstations und Server und deaktivieren Sie Wissensaktualisierung. Weisen Sie diese Einstellungen der Gruppe Virtuelle Maschinen zu.

Screen shot of Per Computer Settings page, Recipients.

  1. Installieren Sie den Agent und den Schutz auf der Gruppe Virtuelle Maschinen, um das Golden Image zu generieren.
    • Wählen Sie auf der Registerkarte Computer die Gruppe Virtuelle Maschinen und klicken Sie auf Computer hinzufügen, um das Installationsprogramm herunterzuladen.
    • Installieren Sie den Agent auf der virtuellen Maschine, die für die Erstellung des Golden Image verwendet wurde, und warten Sie, bis das Fortschrittsfenster abgeschlossen ist. Der Schutz wird automatisch installiert und konfiguriert. Wenn die Installation abgeschlossen ist, wird der Computer auf der Liste der geschützten Computer in der Verwaltungsoberfläche angezeigt.
  1. Verschieben Sie die Maschine mit dem Golden Image zur Gruppe Golden oder Vorlage-Image, damit es die Einstellungen mit der Option, sie zu aktualisieren, erhält. Wir empfehlen Ihnen, mit der rechten Maustaste auf das WatchGuard-Symbol in der Systemablage der Anwendungsleiste zu klicken und eine Synchronisierung zu erzwingen. Dies sendet die Einstellungen an den Computer, so dass er ein Update beginnt.
  2. Führen Sie das Endpoint Agent Tool auf dem Computer mit dem Golden Image aus.
    • Klicken Sie auf Cache-Scan starten, um die virtuelle Maschine zu scannen. Dies füllt den Goodware-Cache und sorgt dafür, dass der Schutz in einem geeigneten Zustand für virtuelle Images ist. Dieser Prozess kann je nach Inhalt der Festplatte etwas dauern. Sie werden benachrichtigt, wenn die Operation abgeschlossen ist.
    • Aktivieren Sie im Abschnitt Nicht-exklusive Ereignisse die Kontrollkästchen für Erkennungen, Zähler und Befehle prüfen. Klicken Sie auf Senden.
      Screen shot of Endpoint Agent Tool dialog box
  3. Wichtig: Entfernen Sie die Maschinen-ID.
    • Achten Sie darauf, dass die Option Ist ein Golden Image aktiviert ist.
    • Falls nötig, geben Sie das Anti-Manipulations-Passwort ein und klicken Sie auf Registrierung Gerät löschen. (Sie können auf Registrierung überprüfen klicken, um festzustellen, ob die Registrierung der Maschine gelöscht wurde.)
    • Klicken Sie auf Image vorbereiten.

      4. Dies entfernt die Agent-ID vom Golden Image, so dass alle virtuellen Maschinen ihre ID erlangen, wenn sie ausgeführt und erstmals mit der Cloud verbunden werden.

Caution: Dieser Schritt ist entscheidend, um sicherzustellen, dass jede virtuelle Instanz in der Verwaltungsoberfläche unverwechselbar identifiziert ist.

Screen shot of Endpoint Agent Tool dialog box, gold image

  1. Wichtig: Deaktivieren Sie den Endpoint Agent-Dienst, um zu verhindern, dass er automatisch startet, wenn das Golden Image auf virtuellen Instanzen verwendet wird.
    Der Dienst kann mittels GPO-Regeln gestartet werden, was im nächsten Abschnitt erklärt wird.

Caution: Dieser Schritt ist erforderlich, um eine spezifische ID für jede virtuelle Maschine zu generieren.

  1. Greifen Sie auf die VDI-Management-Tools zu und generieren Sie das Golden Image. Wenden Sie sich für weitere Informationen an Ihren Anbieter.
  2. Sie können im Abschnitt VDI-Umgebungen der Verwaltungsoberfläche die maximale Anzahl nicht persistenter Maschinen konfigurieren, die gleichzeitig aktiv sein können. Dies ermöglicht die automatische Verwaltung der von diesen Maschinen verwendeten Lizenzen.

Screen shot of VDI Environments settings page.

Wenn die individuelle Anpassung der bereitgestellten virtuellen Maschine abgeschlossen ist, müssen Sie den Startup-Typ des Agent-Dienstes ändern. Dieser Dienst wurde im vorherigen Schritt deaktiviert. Sie können in Abhängigkeit vom VDI-Bereitstellungssystem verschiedene Methoden nutzen. Um den Startup-Typ des Endpoint Agent-Dienstes zu ändern, können Sie GPO-Regeln für Geräte in einer Domäne oder über andere Typen von Skript-Anwendungen, wie Horizon, Windows Logon Scripts etc. erstellen.

Wenden Sie sich für mehr Informationen zur Verwendung der Editor-Konsole für Gruppenrichtlinien an den Microsoft Support.

Verwenden Sie hierzu die Editor-Konsole für Gruppenrichtlinien auf einer physischen Maschine, die mit der Domäne verbunden ist. Um GPO-Regeln zu erstellen, gehen Sie in den GPO-Einstellungen zu Computerkonfiguration > Regeln > Windows-Einstellungen > Sicherheitseinstellungen > Systemdienste > Endpoint Agent. Der Dienst ist deaktiviert. Ändern Sie die Einstellung zu Automatisch. Der Dienst wird beim nächsten Neustart automatisch starten und wird in der Verwaltungsoberfläche integriert.

Screen shot of the Group Policy Management Editor dialog box

Der Bildschirm Gruppenregel-Verwaltungseditor:

Screen shot of the New Group Policy Object page

Der Agent, der Schutz und die Signaturen des erstellten Golden Image müssen häufig, aber mindestens einmal pro Monat, aktualisiert werden. Diese Aktualisierungen sind unverzichtbar, um maximalen Schutz vor den von Hackern entwickelten neuen Angriffstechniken zu gewährleisten.

Aktualisieren des Golden Image:

  1. Starten Sie die Maschine, auf der das Golden Image installiert ist.
  2. Verschieben Sie in der Verwaltungsoberfläche die Maschine mit dem Golden Image zur Gruppe Golden oder Vorlagen-Image, damit sie die angemessenen Einstellungen mit automatischen Updates der Engine und des Wissens erhält.
  3. Erzwingen Sie mit einem Rechtsklick auf das WatchGuard-Symbol im Infobereich der Taskleiste eine Synchronisierung. Dadurch erhält die Maschine das Update.
    • Updates werden still im Hintergrund durchgeführt. Wir empfehlen Ihnen, einige Minuten zu warten, um sicherzustellen, dass das Image richtig aktualisiert wurde.
    • Falls eine neue Version des Schutzes verfügbar ist, wird ein Neustartfenster angezeigt und der Computer startet automatisch neu (wie im Profil der Computerspezifischen Einstellungen konfiguriert).

Wenn der Neustart abgeschlossen ist, empfehlen wir Ihnen, eine neue Synchronisierung zu erzwingen, um sicherzustellen, dass das Produkt auf aktuellem Stand ist.

  1. Führen Sie das Endpoint Agent Tool auf der Maschine mit dem Golden Image aus.
    • Klicken Sie auf Cache-Scan starten, um sie zu scannen. Dies füllt den Goodware-Cache und sorgt dafür, dass der Schutz in einem geeigneten Zustand für virtuelle Images ist. Dieser Prozess kann je nach Inhalt der Festplatte etwas dauern. Sie werden benachrichtigt, wenn die Operation abgeschlossen ist.
    • Aktivieren Sie im Abschnitt Nicht-exklusive Ereignisse die Kontrollkästchen für Erkennungen, Zähler und Befehle prüfen. Klicken Sie auf Senden.

      Screen shot of Endpoint Agent Tool dialog box

    • Wichtig: Entfernen Sie die Maschinen-ID.
      • Achten Sie darauf, dass die Option Ist ein Golden Image aktiviert ist.
      • Geben Sie bei Bedarf das Anti-Manipulations-Passwort ein.
      • Klicken Sie auf Image vorbereiten. Dies entfernt die Agent-ID vom Golden Image, so dass alle virtuellen Instanzen ihre ID erlangen, wenn sie ausgeführt und erstmals mit der Cloud verbunden werden.
        Screen shot of Endpoint Agent Tool dialog box, gold image

Caution: Dieser Schritt ist entscheidend, um sicherzustellen, dass jede virtuelle Instanz in der Verwaltungsoberfläche unverwechselbar identifiziert ist.

Verfahren verifizieren

Stellen Sie sicher, dass die Verfahren erfolgreich waren.

Anzeige nicht persistenter Computer

WatchGuard Endpoint Security nutzt den voll qualifizierten Domänennamen, um Computer zu identifizieren, deren ID mit dem Endpoint Agent Tool gelöscht wurde und die als Golden Image gekennzeichnet sind.

Anzeige einer Liste der nicht persistenten VDI-Computer:

  1. Wählen Sie Einstellungen > Computer-Wartung.
  2. Klicken Sie im Abschnitt VDI-Umgebungen auf den Link Nicht persistente Computer anzeigen.
    Die Liste Computer zeigt die nicht persistenten Computer.

Anzeige persistenter Computer

  1. Wählen Sie Computer.
  2. Verifizieren Sie, dass Ihre geklonten Geräte in der Verwaltungsoberfläche richtig angezeigt werden.

Caution: Falls die Liste nur ein Gerät beinhaltet, müssen Sie das Gerät von der Computer-Liste entfernen und dieses Verfahren neu starten (d.h. das Golden Image neu erstellen und wieder auf den betroffenen Endpoints bereitstellen).

Lizenzverwaltung

Nachdem Sie die Agent-ID gelöscht und die Option Ist ein Golden Image deaktiviert haben, berechnet das System, wenn eine neue Maschine gestartet wird, ihre Maschinen-ID und entscheidet anhand der ausgewählten Umgebung, ob der Computer ein neuer oder bestehender Computer ist.

Nicht persistente Umgebungen

Wenn die maximale Zahl Maschinen, die für nicht persistente Images gleichzeitig aktiv sind, festgelegt ist, verwaltet der Server die Lizenzen automatisch, vorausgesetzt es gibt verfügbare Lizenzen und die Anzahl gleichzeitiger Maschinen wird nicht überschritten.

Persistente Umgebungen

Wenn es mehrere Maschinen gibt, die nicht mehr verwendet werden, löschen Sie sie aus der Datenbank, um Lizenzen freizugeben, genau wie Sie es bei physischen Maschinen tun würden. Sie können alle Maschinen löschen oder eine einzelne Maschine zum Löschen auswählen.