WatchGuard Endpoint Security auf virtuellen Computern installieren — Nicht persistente VDI-Umgebung (Windows-Computer)

Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR,WatchGuard EDR Core, WatchGuard EPP

In Umgebungen mit sehr spezifischen Merkmalen könnte es nötig sein, den vom Virtualisierungsanbieter bereitgestellten Empfehlungen zu folgen, um diese allgemeinen Anweisungen an Ihre Bedürfnisse anzupassen. Wenden Sie sich für eine individuelle Lösung an den WatchGuard Support.

Bei dieser Installation wird ein Golden Image erstellt, das später auf virtuellen Computern im Netzwerk bereitgestellt werden kann. Das Verfahren zur Verwaltung nicht persistenter VDI-Umgebungen besteht aus drei Schritten:

Führen Sie nachdem Sie das Golden Image generiert und aktualisiert haben, die folgenden Schritte aus Verfahren überprüfen.

Caution: Es ist wichtig, dass Sie diesen Verfahren Schritt-für-Schritt folgen und nach Abschluss verifizieren, dass alle geklonten Geräte in der Verwaltungsoberfläche mit einer unverwechselbaren ID angezeigt werden. Falsch geklonte Geräte können die Zuverlässigkeit des erweiterten Schutzes beeinträchtigen und die Sicherheit Ihrer Infrastruktur ernsthaft gefährden. Falls Sie in der Verwaltungsoberfläche nur ein einziges Gerät sehen, müssen Sie den Prozess wiederholen, das Golden Image neu erstellen und dieses so schnell wie möglich wieder für die betroffenen Endpoints bereitstellen.

Vorbedingungen

  • Der für die Generierung des Golden Image verwendete Computer muss eine Internetverbindung haben.

  • Sie müssen Endpoint Agent Tool für Windows als Administrator ausführen. Es verfügt über eine grafische Schnittstelle, kann aber auch über die Befehlszeile ausgeführt werden. Wenn Sie das Tool von einer .bat oder .cmd Datei aus ausführen, müssen Sie den folgenden Befehl verwenden: start /wait "". Beispielweise würden Sie für die Anweisung: EndpointAgentTool.exe /sg Folgendes eingeben: start /wait "" "C:\Path\EndpointAgentTool.exe" /sg

Vor dem Erstellen des Golden Image müssen Sie den Computer, auf dem es erstellt wird, vorbereiten:

  1. Installieren oder aktualisieren Sie das Betriebssystem mit den Anwendungen des Benutzers.
  2. Erstellen Sie in der Verwaltungsoberfläche eine Gruppe, um das Golden Image (Golden Image) zu hosten und eine weitere Gruppe, um die virtuellen Computer (Virtuelle Maschinen) zu hosten.
  • Golden Image-Gruppe
    • Wählen Sie auf der Registerkarte Einstellungen Computerspezifische Einstellungen und erstellen Sie ein Einstellungsprofil für zukünftige Updates des Image. Dieses Profil wird zur Aktualisierung des vorbereiteten Golden Image und für die laufende Wartung auf der virtuellen Maschinen verwendet.
    • Stellen Sie sicher, dass automatische Updates der Schutz-Engine aktiviert sind.
    • Wählen Sie die Option Workstations und Server automatisch neu starten, um sicherzustellen, dass die Computer aktualisiert werden.

Screen shot of Settings page, Per Computer Settings, Add Settings.

  • Weisen Sie diese Einstellungen der Gruppe zu, die Sie für das Golden Image (Golden Image-Gruppe) erstellt haben.
  • Wählen Sie auf der Registerkarte Einstellungen die Option Workstations und Server und erstellen Sie ein Einstellungsprofil für zukünftige Updates des Image.
  • Stellen Sie sicher, dass Automatische Wissensaktualisierung aktiviert ist.
  • Weisen Sie diese Einstellungen der Golden-Image-Gruppe zu.
  • Gruppe virtueller Maschinen
    Virtuelle Instanzen basieren auf dem aktualisierten Golden Image. Um die VDI-Server-Ressourcen zu optimieren und Bandbreitennutzung zu verringern, deaktivieren Sie Updates:
    • Erstellen Sie ein Computerspezifische Einstellungen-Profil, bei dem Updates deaktiviert sind, und weisen Sie es der Gruppe Virtuelle Maschinen zu. Dieses Profil deaktiviert Updates, wenn das Golden Image ausgeführt wird.

Screen shot of Per Computer Settings page, Recipients.

  • Wählen Sie auf der Seite Einstellungen Workstations und Server und deaktivieren Sie Wissensaktualisierung. Weisen Sie diese Einstellungen der Gruppe Virtuelle Maschinen zu.

Screen shot of Per Computer Settings page, Recipients.

  1. Installieren Sie den Agent und den Schutz auf der Gruppe Virtuelle Maschinen, um das Golden Image zu generieren.
    • Wählen Sie auf der Registerkarte Computer die Gruppe Virtuelle Maschinen und klicken Sie auf Computer hinzufügen, um das Installationsprogramm herunterzuladen.
    • Installieren Sie den Agent auf der virtuellen Maschine, die für die Erstellung des Golden Image verwendet wurde, und warten Sie, bis das Fortschrittsfenster abgeschlossen ist. Der Schutz wird automatisch installiert und konfiguriert. Wenn die Installation abgeschlossen ist, wird der Computer auf der Liste der geschützten Computer in der Verwaltungsoberfläche angezeigt.
  1. Verschieben Sie die Maschine mit dem Golden Image zur Golden Image-Gruppe, damit sie die Einstellungen mit der Option, sie zu aktualisieren, erhält. Wir empfehlen Ihnen, mit der rechten Maustaste auf das WatchGuard-Symbol in der Systemablage der Anwendungsleiste zu klicken und eine Synchronisierung zu erzwingen. Dies sendet die Einstellungen an den Computer, so dass er ein Update beginnt.
  2. Führen Sie das Endpoint Agent Tool auf dem Computer mit dem Golden Image aus.

    • (Optional) In nicht persistenten Umgebungen mit Persistenzebenen unter einer Woche, empfehlen wir, den Computer zu scannen. Klicken Sie für WatchGuard EDR im Endpoint Agent Tool auf Cache-Scan starten, um die virtuelle Maschine zu scannen. Klicken Sie für WatchGuard EPDR und Advanced EPDR mit der rechten Maustaste auf das EPDR-Symbol in der Windows-Taskleiste und wählen Sie Virenschutz und Erweiterter Schutz > Jetzt scannen.

      Dies füllt den Goodware-Cache und sorgt dafür, dass der Schutz in einem geeigneten Zustand für virtuelle Images ist. Der Scanvorgang kann je nach Inhalt der Festplatte einige Zeit in Anspruch nehmen. Sie erhalten eine Benachrichtigung, wenn der Vorgang abgeschlossen ist.

    • Aktivieren Sie im Abschnitt Nicht-exklusive Ereignisse die Kontrollkästchen für Erkennungen, Zähler und Befehle prüfen. Klicken Sie auf Senden.
      Screen shot of Endpoint Agent Tool dialog box
  3. Wichtig: Entfernen Sie die Gerät-ID.
    • Achten Sie darauf, dass die Option Ist ein Golden Image aktiviert ist.
    • Geben Sie bei Bedarf das Anti-Manipulations-Passwort ein.
    • Klicken Sie auf Image vorbereiten.

      4. Dies entfernt die Agent-ID vom Golden Image, so dass alle virtuellen Maschinen ihre Geräte-ID erlangen, wenn sie ausgeführt und erstmals mit der Cloud verbunden werden.

Screen shot of Endpoint Agent Tool dialog box, gold image

  1. Klicken Sie auf Registrierung prüfen, um zu bestätigen, das die Agent-ID aus dem Golden Image entfernt wurde.
    1. Ist dies nicht der Fall, klicken Sie auf Dienst stoppen, danach auf Registrierung Gerät löschen, um die Agent-ID manuell zu löschen.
    2. Klicken Sie erneut auf Registrierung prüfen, um zu bestätigen, dass die Agent-ID entfernt wurde.
  2. Wichtig: Deaktivieren Sie den WatchGuard Agent-Dienst, um zu verhindern, dass er automatisch startet, wenn das Golden Image auf virtuellen Instanzen verwendet wird.

Caution: Dieser Schritt ist entscheidend, um sicherzustellen, dass jede virtuelle Instanz in der Verwaltungsoberfläche eindeutig identifiziert ist.

  1. Greifen Sie auf die VDI-Management-Tools zu und generieren Sie das Golden Image. Wenden Sie sich für weitere Informationen an Ihren Anbieter.
  2. Sie können im Abschnitt VDI-Umgebungen der Verwaltungsoberfläche die maximale Anzahl nicht persistenter Maschinen konfigurieren, die gleichzeitig aktiv sein können. Dies ermöglicht die automatische Verwaltung der von diesen Maschinen verwendeten Lizenzen.

Screen shot of VDI Environments settings page.

Wenn die individuelle Anpassung der bereitgestellten virtuellen Maschine abgeschlossen ist, müssen Sie den Startup-Typ des Agent-Dienstes ändern. Dieser Dienst wurde im vorherigen Schritt deaktiviert. Sie können in Abhängigkeit vom VDI-Bereitstellungssystem verschiedene Methoden nutzen. Um den Startup-Typ des WatchGuard Agent-Dienstes zu ändern, können Sie GPO-Richtlinien für Geräte in einer Domäne erstellen, oder mithilfe anderer Typen von Skript-Anwendungen, wie Horizon, Windows Logon Scripts etc.

Wenden Sie sich für mehr Informationen zur Verwendung der Editor-Konsole für Gruppenregeln an den Microsoft Support.

Wichtig: Nachdem Sie die virtuelle Maschine geklont haben, muss der WatchGuard Agent-Dienst erst als letzter Schritt aktiviert werden. Der Agent registriert beim ersten Start die eindeutige Geräte-ID.

Da bei den Sicherheitseinstellungen, die VDI-Computer erhalten, Updates deaktiviert sind, empfehlen wir Ihnen, das Golden Image mindestens monatlich manuell zu aktualisieren. Dies stellt sicher, dass die VDI-Computer die neueste Version des Schutzes und der Signaturdatei erhalten.

Manuelles Aktualisieren des Golden Image in einer nicht persistenten VDI-Umgebung:

  1. Starten Sie die Maschine, auf der das Golden Image installiert ist.
  2. Verschieben Sie in der Verwaltungsoberfläche die Maschine mit dem Golden Image zur Golden Image-Gruppe, damit sie die angemessenen Einstellungen mit automatischen Updates der Engine und des Wissens erhält.
  3. Erzwingen Sie mit einem Rechtsklick auf das WatchGuard-Symbol im Infobereich der Taskleiste eine Synchronisierung. Dadurch erhält die Maschine das Update.
    • Updates werden still im Hintergrund durchgeführt. Wir empfehlen Ihnen, einige Minuten zu warten, um sicherzustellen, dass das Image richtig aktualisiert wurde.
    • Falls eine neue Version des Schutzes verfügbar ist, wird ein Neustartfenster angezeigt und der Computer startet automatisch neu (wie im Profil der Computerspezifischen Einstellungen konfiguriert).

Wenn der Neustart abgeschlossen ist, empfehlen wir Ihnen, eine neue Synchronisierung zu erzwingen, um sicherzustellen, dass das Produkt auf aktuellem Stand ist.

  1. Führen Sie das Endpoint Agent Tool auf der Maschine mit dem Golden Image aus.

    • (Optional) In nicht persistenten Umgebungen mit Persistenzebenen unter einer Woche, empfehlen wir, den Computer zu scannen. Klicken Sie für WatchGuard EDR im Endpoint Agent Tool auf Cache-Scan starten, um die virtuelle Maschine zu scannen. Klicken Sie für WatchGuard EPDR und Advanced EPDR mit der rechten Maustaste auf das EPDR-Symbol in der Windows-Taskleiste und wählen Sie Virenschutz und Erweiterter Schutz > Jetzt scannen.

    • Dies füllt den Goodware-Cache und sorgt dafür, dass der Schutz in einem geeigneten Zustand für virtuelle Images ist. Der Scanvorgang kann je nach Inhalt der Festplatte einige Zeit in Anspruch nehmen. Sie erhalten eine Benachrichtigung, wenn der Vorgang abgeschlossen ist.

    • Aktivieren Sie im Abschnitt Nicht-exklusive Ereignisse die Kontrollkästchen für Erkennungen, Zähler und Befehle prüfen. Klicken Sie auf Senden.

      Screen shot of Endpoint Agent Tool dialog box

    • Wichtig: Entfernen Sie die Maschinen-ID.
      • Achten Sie darauf, dass die Option Ist ein Golden Image aktiviert ist.
      • Geben Sie bei Bedarf das Anti-Manipulations-Passwort ein.
      • Klicken Sie auf Image vorbereiten.
        Dies entfernt die Agent-ID vom Golden Image, so dass alle virtuellen Instanzen ihre Geräte-ID erlangen, wenn sie ausgeführt und erstmals mit der Cloud verbunden werden.

Caution: Dieser Schritt ist entscheidend, um sicherzustellen, dass jede virtuelle Instanz in der Verwaltungsoberfläche eindeutig identifiziert ist.

  • Klicken Sie auf Registrierung prüfen, um zu bestätigen, das die Agent-ID aus dem Golden Image entfernt wurde. Ist dies nicht der Fall, klicken Sie auf Dienst stoppen, danach auf Registrierung Gerät löschen, um die Agent-ID manuell zu löschen. Klicken Sie erneut auf Registrierung prüfen, um zu bestätigen, dass die Agent-ID entfernt wurde.
  • Deaktivieren Sie den WatchGuard Agent-Dienst, damit er nicht automatisch gestartet wird, wenn dieses Bild auf virtuellen Instanzen verwendet wird.
    Screen shot of Endpoint Agent Tool dialog box, gold image
  • Greifen Sie auf die VDI-Management-Tools zu und generieren Sie das Golden Image. Wenden Sie sich für weitere Informationen an Ihren Anbieter.

Verfahren überprüfen

Stellen Sie sicher, dass die Verfahren erfolgreich waren. Falls die Liste nur ein Gerät beinhaltet, müssen Sie das Gerät von der Computer-Liste entfernen und dieses Verfahren neu starten (d.h. das Golden Image neu erstellen und wieder auf den betroffenen Endpoints bereitstellen).

WatchGuard Endpoint Security nutzt den voll qualifizierten Domänennamen, um Computer zu identifizieren, deren ID mit dem Endpoint Agent Tool gelöscht wurde und die als Golden Image gekennzeichnet sind.

Anzeige einer Liste der nicht persistenten VDI-Computer:

  1. Wählen Sie in der Verwaltungsoberfläche Einstellungen > Computerwartung.
  2. Klicken Sie im Abschnitt VDI-Umgebungen auf den Link Nicht persistente Computer anzeigen.
    Die Liste Computer zeigt die nicht persistenten Computer.

Ähnliche Themen

Endpoint-Software auf virtuellen Umgebungen mit einer Vorlage oder Golden Image installieren (Windows-Computer)

WatchGuard Endpoint Security auf virtuellen Computern installieren — Persistente VDI-Umgebung (Windows-Computer)