Endpoint-Software von einem Golden Image installieren

Gilt für: WatchGuard Advanced EPDR Dieses Thema betrifft das WatchGuard Advanced EPDR Endpoint Security-Produkt.WatchGuard EPDR Dieses Thema betrifft das WatchGuard EPDR Endpoint Security-Produkt., WatchGuard EDR Dieses Thema betrifft das WatchGuard EDR Endpoint Security-Produkt., WatchGuard EPP Dieses Thema betrifft das WatchGuard EPP Endpoint Security-Produkt.WatchGuard EDR Core Dieses Thema betrifft WatchGuard EDR Core, verfügbar mit Total Security Suite-Lizenz.

In großen Netzwerken mit vielen ähnlichen Computern können Sie den Prozess zur Installation des Betriebssystems und anderer Systeme mit einem Golden Image automatisieren. Dies wird auch als Master Image, Basis-Abbild, Klon-Abbild oder Vorlagen-Image bezeichnet. Sie stellen dann das Golden Image für alle Computer im Netzwerk bereit, wodurch der Großteil der manuellen Arbeit zum Einrichten eines neuen Computers eliminiert wird.

Um ein Golden Image zu erstellen, installieren Sie ein akutelles Betriebssystem mit der gesamten Software, die Benutzer benötigen, wie Sicherheits-Tools, auf einem Computer im Netzwerk.

Dieses Installationsverfahren erfordert, dass eine Vorlage (für persistente Umgebungen) oder ein Golden Image (für nicht persistente Umgebungen) vorbereitet wird, die/das später auf den virtuellen Computern im Netzwerk bereitgestellt wird.

WatchGuard Endpoint Security unterstützt Golden Images auf den folgenden virtuellen Plattformen:

• VMware Workstation
• VMware Server
• VMware ESX
• VMware ESXi
• Citrix XenDesktop
• XenApp
• XenServer
• MS Virtual Desktop
• MS Virtual Servers

Eindeutige WatchGuard ID

Jedem Computer, auf dem WatchGuard Endpoint Security installiert ist, ist eine unverwechselbare ID zugewiesen. WatchGuard nutzt diese ID, um den Computer in der Verwaltungsoberfläche zu identifizieren. Wenn Sie ein Golden Image von einem Computer erstellen und dann auf andere Systeme kopieren, erben alle Computer, die dieses erhalten, dieselbe WatchGuard Endpoint Security-ID und die Verwaltungsoberfläche zeigt nur einen Computer.

Um dies zu verhindern, können Sie das Endpoint Agent Tool nutzen, um die ID zu löschen. Das Tool steht zum Download zur Verfügung. Weitere Informationen finden Sie unter Erstellen eines Image für persistente und nicht persistente Windows-Umgebungen.

In nicht persistenten VDI-Umgebungen können sich einige virtuelle Hardware-Parameter, wie die MAC-Adresse der Netzwerkschnittstellenkarten, bei jedem Neustart ändern. Deshalb kann Geräte-Hardware nicht verwendet werden, um Computer oder diesen zugewiesene Lizenzen zu identifizieren. Außerdem wird das Speichersystem von nicht persistenten VDI-Computern bei jedem Neustart geleert, wodurch auch die dem Computer zugewiesene ID gelöscht wird.

Es ist wichtig, dass Sie diese Verfahren Schritt-für-Schritt befolgen und nach Abschluss verifizieren, dass alle geklonten Geräte in der Endpoint Security-Verwaltungsoberfläche mit einer eindeutigen ID angezeigt werden. Falsch geklonte Geräte können die Zuverlässigkeit von Erweiterter Schutz beeinträchtigen und die Sicherheit Ihrer Infrastruktur ernsthaft gefährden. Falls Sie in der Verwaltungsoberfläche nur ein einziges Gerät sehen, müssen Sie den Prozess wiederholen, die Vorlage neu erstellen und sie so schnell wie möglich neu für die betroffenen Endpoints bereitstellen.

Erstellen einer Vorlage für persistente VDI-Umgebungen

In einer persistenten VDI-Umgebung bleiben die auf der Festplatte eines Computers gespeicherten Daten zwischen Neustarts unverändert. Um eine Vorlage zu erstellen, müssen Sie deshalb nur Updates des WatchGuard Endpoint Security-Schutzes konfigurieren.

Nachdem Sie eine aktualisierte Version des Betriebssystems und aller Programme installiert haben, die die Benutzer brauchen, erstellen Sie eine Vorlage.

So erstellen Sie eine Vorlage für persistente VDI-Umgebungen:

1. Installieren Sie eine aktualisierte Version des Betriebssystem und aller für die Benutzer erforderlichen Programme auf dem Gerät, das für das Golden Image verwendet werden soll.
2. Installieren Sie die WatchGuard Endpoint Security-Software.
   Weitere Informationen finden Sie unter WatchGuard Endpoint Agent-Installationsprogramm herunterladen.
3. Stellen Sie sicher, dass der Computer mit dem Internet verbunden ist.
4. Weisen Sie dem Computer ein Sicherheitseinstellungsprofil zu, bei dem Updates des WatchGuard Endpoint Security-Schutzes und Wissens aktiviert sind.
   Weitere Informationen finden Sie unter Automatische Wissensaktualisierungen (Signaturdateien) konfigurieren, Computerspezifische Einstellungen konfigurieren und Ein Einstellungsprofil zuweisen.
5. Öffnen Sie das Endpoint Agent Tool.
   1. Um den Computer zu scannen und den WatchGuard Endpoint Security Goodware-Cache im Voraus zu laden, klicken Sie auf Cache-Scan starten.
   2. Um die Computer-Id zu löschen, klicken Sie auf Registrierung Gerät löschen.
   3. Achten Sie darauf, dass das Kontrollkästchen Ist ein Golden Image NICHT aktiviert ist.
      Dies entfernt die Agent-ID von der Vorlage, so dass alle virtuellen Maschinen ihre ID erlangen, wenn sie sich erstmals mit der Cloud verbinden.
6. Wichtig: Deaktivieren Sie den Endpoint Agent-Dienst, damit der Service nicht automatisch startet, wenn die Vorlage auf virtuellen Instanzen verwendet wird.
   Der Service wird mit GPO-Richtlinien für Geräte innerhalb einer Domäne gestartet, wie im Folgenden beschrieben.

Dieser Schritt ist entscheidend, um sicherzustellen, dass jede virtuelle Maschine in der Verwaltungsoberfläche eindeutig identifiziert ist.

7. Schalten Sie den Computer aus.
8. Generieren Sie mit Ihrer Software für die Verwaltung virtueller Umgebungen ein Golden Image.

9. Um den Endpoint Agent-Dienst zu starten, können Sie ein GPO auf einem Gerät mit ausreichenden Berechtigungen erstellen, das mit der Domäne verbunden ist:

   1. Wählen Sie in den GPO-Einstellungen Computerkonfiguration > Regeln > Windows-Einstellungen > Sicherheitseinstellungen > Systemdienste > WatchGuard Endpoint Agent aus.

   2. Aktualisieren Sie die Einstellung für diesen Dienst zu Automatisch.
      Der Dienst startet automatisch beim nächsten Neustart und der Client wird in die Verwaltungsoberfläche integriert.

Um den Startup-Typ des Endpoint Agent-Dienstes zu ändern, können Sie GPO-Regeln für Geräte in einer Domäne erstellen, oder mithilfe anderer Typen von Skript-Anwendungen, wie Horizon, Windows Logon Scripts etc.

Erstellen eines Golden Image für nicht persistenten VDI-Umgebungen

In einer nicht persistenten VDI-Umgebung erstellen Sie zwei Sicherheitseinstellungsprofile — eines, um das Golden Image bei Erstellung und zu Wartungszwecken zu aktualisieren, und eines, um Updates zu deaktivieren, wenn Sie das Golden Image ausführen, da es keinen Sinn macht, WatchGuard Endpoint Security zu aktualisieren, wenn das Computer-Speichersystem bei jedem Neustart zu seinem ursprünglichen Zustand zurückkehrt.

Vorbereiten des Golden Image

Nachdem Sie eine aktualisierte Version des Betriebssystem und aller von Benutzern benötigten Programme installiert haben, erstellen Sie ein Golden Image.

Es ist wichtig, diese Schritte sorgfältig zu befolgen. Wenn Sie ein Golden Image fehlerhaft erstellen, können die folgenden Probleme auftreten:

• Einschränkungen bei der Verwaltung geklonter Geräte in der Endpoint Security-Verwaltungsoberfläche — In der Verwaltungsoberfläche wird nur ein Gerät angezeigt. Jede darauf ausgeführte Aktion wirkt sich nur auf eines der integrierten Geräte aus und es wird nicht offensichtlich sein, welches Gerät betroffen sein würde.
• Verringerung der Anzahl der Erkennungen durch den erweiterten Schutz: Die von nicht richtig in die Verwaltungsoberfläche integrierten Geräten generierte Telemetrie wird verworfen. Die Zuverlässigkeit des Schutzes ist gefährdet.

Erstellen eines Golden Image für nicht persistente VDI-Umgebungen:

1. Installieren Sie eine aktualisierte Version des Betriebssystem und aller für die Benutzer erforderlichen Programme auf dem Gerät, das für das Golden Image verwendet werden soll.
2. Installieren Sie die WatchGuard Endpoint Security-Software.
   Weitere Informationen finden Sie unter WatchGuard Endpoint Agent-Installationsprogramm herunterladen.
3. Stellen Sie sicher, dass der Computer mit dem Internet verbunden ist.
4. Weisen Sie dem Computer, bei dem Updates des WatchGuard Endpoint Security-Schutzes und -Wissens aktiviert sind, ein Sicherheitseinstellungsprofil zu.
   Weitere Informationen finden Sie unter Automatische Wissensaktualisierungen (Signaturdateien) konfigurieren und Computerspezifische Einstellungen konfigurieren.
5. Öffnen Sie das Endpoint Agent Tool.
   1. Um den Computer zu scannen und den WatchGuard Endpoint Security Goodware-ache im Voraus zu laden, klicken Sie auf Cache-Scan starten.
   2. Um die Computer-Id zu löschen, klicken Sie auf Registrierung Gerät löschen.
   3. Achten Sie darauf, dass das Kontrollkästchen Ist ein Golden Image aktiviert ist.
      Dies entfernt die Agent-ID vom Golden Image, so dass alle virtuellen Maschinen ihre ID erlangen, wenn sie ausgeführt und erstmals mit der Cloud verbunden werden. Dieser Schritt ist entscheidend, um sicherzustellen, dass jede virtuelle Instanz in der Verwaltungsoberfläche eindeutig identifiziert ist.
   4. Falls das Gerät durch den Manipulationsschutz geschützt ist, geben Sie das Passwort ein.
   5. Klicken Sie auf Image vorbereiten, um die Agent-ID von dem Image zu löschen.
      Die virtuellen Maschinen erhalten ihre jeweilige ID, wenn sie ausgeführt werden und sich erstmals mit den WatchGuard-Servern verbinden.
6. Weisen Sie dem Computer ein Sicherheitseinstellungsprofil zu, das Updates des WatchGuard Endpoint Security-Schutzes und -Wissens deaktiviert.
   Weitere Informationen finden Sie unter Automatische Wissensaktualisierungen (Signaturdateien) konfigurieren, Computerspezifische Einstellungen konfigurieren und Ein Einstellungsprofil zuweisen.
7. Wichtig: Deaktivieren Sie den Endpoint Agent-Dienst, um sicherzustellen, dass er nicht automatisch startet, wenn Sie das Golden Image auf virtuellen Instanzen nutzen.
8. Schalten Sie den Computer ab und generieren Sie ein Golden Image mit Ihrer Management-Software für virtuelle Umgebungen.
9. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
10. Wählen Sie Einstellungen.
11. Wählen Sie im linken Fenster VDI-Umgebungen.
12. Konfigurieren Sie die maximale Anzahl Computer, die gleichzeitig aktiv sein können.
    Dies erlaubt die automatische Verwaltung der von diesen Computern verwendeten Lizenzen. Weitere Informationen finden Sie unter VDI-Umgebungen konfigurieren.

Ausführen von WatchGuard Endpoint Security in einer nicht persistenten VDI-Umgebung

Damit WatchGuard Endpoint Security richtig funktioniert, müssen Sie den Startup-Typ des Endpoint Agent-Dienstes ändern, der zuvor im Golden Image deaktiviert war.

Um den Startup-Typ des Endpoint Agent-Dienstes zu ändern, können Sie GPO-Regeln für Geräte in einer Domäne erstellen, oder mithilfe anderer Typen von Skript-Anwendungen, wie Horizon, Windows Logon Scripts etc.

So ändern Sie den Startup-Typ des Endpoint Agent-Dienstes im GPO Management Tool:

1. Stellen Sie sicher, dass die GPO Management Tools auf einem domänenverbundenem physischen Computer sind.
2. Erstellen Sie ein GPO, um den Startup-Typ des Agent-Dienstes zu ändern.
3. Gehen Sie in den GPO-Einstellungen zu Computerkonfiguration > Regeln > Windows-Einstellungen > Sicherheitseinstellungen > Systemdienste > WatchGuard Endpoint Agent.
4. Ändern Sie die Diensteinstellung zu Automatisch.
   Der Dienst startet automatisch beim nächsten Neustart und der Client wird in die Verwaltungsoberfläche integriert.

Manuelles Aktualisieren des Golden Image in einer nicht persistenten VDI-Umgebung

Da bei den Sicherheitseinstellungen, die VDI-Computer erhalten, Aktualisierungen deaktiviert sind, empfehlen wir Ihnen, das Golden Image mindestens monatlich manuell zu aktualisieren. Dies stellt sicher, dass die VDI-Computer die neueste Version des Schutzes und der Signaturdatei erhalten.

Manuelles Aktualisieren des Golden Image in einer nicht persistenten VDI-Umgebung:

1. Aktivieren Sie in der Windows Service App den Agent-Dienst.
2. Stellen Sie sicher, dass der Computer mit dem Internet verbunden ist.
3. Weisen Sie ein Sicherheitseinstellungsprofil zu, bei dem Updates von WatchGuard Endpoint Security-Schutz und -Wissen aktiviert sind.
   Weitere Informationen finden Sie unter Automatische Wissensaktualisierungen (Signaturdateien) konfigurieren, Computerspezifische Einstellungen konfigurieren und Ein Einstellungsprofil zuweisen.
4. Öffnen Sie das Endpoint Agent Tool.
   1. Um den Computer zu scannen und den WatchGuard Endpoint Security Goodware-Cache im Voraus zu laden, klicken Sie auf Cache-Scan starten.
   2. Um die Computer-Id zu löschen, klicken Sie auf Registrierung Gerät löschen.
   3. Aktivieren Sie das Kontrollkästchen Ist ein Golden Image.
   4. Falls das Gerät durch den Manipulationsschutz geschützt ist, geben Sie das Passwort ein.
   5. Klicken Sie auf Image vorbereiten, um die Agent-ID von dem Image zu löschen.
      Die virtuellen Maschinen erhalten ihre jeweilige ID, wenn sie ausgeführt werden und sich erstmals mit den WatchGuard-Servern verbinden.
5. Weisen Sie dem Computer ein Sicherheitseinstellungsprofil zu, das Updates des WatchGuard Endpoint Security-Schutzes und -Wissens deaktiviert.
   Weitere Informationen finden Sie unter Automatische Wissensaktualisierungen (Signaturdateien) konfigurieren, Computerspezifische Einstellungen konfigurieren und Ein Einstellungsprofil zuweisen.
6. Wichtig: Deaktivieren Sie den Endpoint Agent-Dienst, um sicherzustellen, dass er nicht automatisch startet, wenn Sie das Golden Image auf virtuellen Instanzen nutzen.
7. Schalten Sie den Computer ab und generieren Sie ein Golden Image mit Ihrer Management-Software für virtuelle Umgebungen.
8. Ersetzen Sie in der VDI-Umgebung das vorherige Image mit dem neuen.

Anzeige nicht persistenter Computer

WatchGuard Endpoint Security nutzt den vollständig qualifizierten Domänennamen (FQDN), um Computer zu identifizieren, deren ID mit dem Endpoint Agent Tool gelöscht wurden und die als Golden Image gekennzeichnet sind.

Anzeige einer Liste der nicht persistenten VDI-Computer:

1. Wählen Sie in WatchGuard Cloud Konfigurieren > Endpoints.
2. Wählen Sie Einstellungen.
3. Wählen Sie im linken Fenster VDI-Umgebungen.
4. Klicken Sie auf den Link Nicht persistente Computer anzeigen link.
   Die Computer-Liste zeigt nur nicht persistente Computer.

Related Topics

Einstellungen verwalten

Automatische Wissensaktualisierungen (Signaturdateien) konfigurieren

Computerspezifische Einstellungen konfigurieren

Erstellen eines Image für persistente und nicht persistente Windows-Umgebungen