Crear una Imagen para Entornos Windows Persistentes y No Persistentes

Se aplica a: WatchGuard EPDR, WatchGuard EDR, WatchGuard EPP

Antes de Empezar

Los entornos virtuales son complejos y variados. Este tema describe instrucciones paso a paso para instalar WatchGuard Endpoint Security en entornos de Infraestructura de Escritorio Virtual (VDI) persistentes y no persistentes. Por sus características, los equipos o instancias virtuales requieren que se siga un procedimiento específico para que las imágenes o plantillas que se usarán en entornos virtuales estén actualizadas, optimizadas y no tengan un ID de la máquina previamente asignado. De este modo, cuando se inicie un equipo virtual, se registrará de manera única en la Web UI.

En entornos con características muy específicas, puede que debas seguir las recomendaciones proporcionadas por el proveedor de virtualización para adaptar las instrucciones generales a tus necesidades. Si deseas obtener una solución personalizada, contacta con el Soporte de WatchGuard.

Este procedimiento de instalación requiere preparar una plantilla (entornos persistentes) o una imagen gold (entornos no persistentes) que luego se desplegará en los equipos virtuales de la red. Es importante seguir este procedimiento para:

  • Asegurarte de que el motor y el archivo de firmas (conocimientos) se actualizan.
  • Optimizar el consumo de recursos y ancho de banda en entornos no persistentes.
  • Asegurarte de que las instancias virtuales estén identificadas de forma única.

Requisitos previos

  • En entornos persistentes, los equipos deben tener direcciones MAC fijas.
  • El equipo que se utiliza para generar la plantilla o la imagen gold debe tener una conexión a Internet.

Sistemas Compatibles

Generalmente, este procedimiento funciona con estos tipos de máquinas virtuales:

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Servers

Instalar la Protección en Entornos Persistentes

  1. Instala o actualiza el sistema operativo con las aplicaciones de usuario.
  2. En la consola del producto, crea un grupo para alojar la plantilla y el grupo Máquinas Virtuales.

  • Grupo de máquinas virtuales
    • En la pestaña Ajustes, selecciona Ajustes por Equipo y crea un perfil de ajustes para futuras actualizaciones de imágenes.
    • Asegúrate de que las actualizaciones automáticas del motor de protección estén habilitadas.

  • Asigna estos ajustes al grupo que creaste para la plantilla del grupo Máquinas Virtuales.
  • Selecciona la pestaña Ajustes y haz clic en Estaciones y Servidores en la sección Seguridad si deseas crear un perfil de ajustes para futuras actualizaciones de imágenes.
  • Asegúrate de que las actualizaciones automáticas de los conocimientos estén habilitadas:

  • Asigna estos ajustes al grupo que creaste para la plantilla del grupo Máquinas Virtuales.
  1. Instala el agente y la protección:
    • En la pestaña Equipos, selecciona el grupo de plantillas del grupo Máquinas Virtuales.
    • Haz clic en Añadir Equipos para descargar el instalador.

  • Instala el agente en la plantilla y espera a que finalice la ventana de progreso. En ese momento, la protección se instalará, configurará y actualizará automáticamente. Una vez que la instalación finalice, el equipo aparecerá en la lista de equipos protegidas en la Web UI con un icono verde. La protección y los conocimientos del equipo estarán actualizados.
  1. Ejecuta la Herramienta Endpoint Agent (contraseña panda) en el equipo con la plantilla.
    • Escanéala con el botón Iniciar Análisis de Caché. Esto llenará la caché de goodware y dejará la protección en un estado apropiado para las imágenes virtuales. Este proceso puede llevar algún tiempo, según el contenido del disco duro. Se te notificará cuando la operación finalice.
    • En la sección Eventos No Exclusivos, marca las casillas de selección para Detecciones, Contadores y Verificar Comandos. Haz clic en Enviar.
    • Elimina la ID de la máquina. Según sea necesario, introduce la Contraseña AntiTamper. Asegúrate de que la opción Es una Imagen Gold no esté seleccionada y haz clic en Preparar Imagen. Esto eliminará la ID del agente de la plantilla, por lo que todas las máquinas virtuales obtienen su ID cuando se ejecutan y se conectan a WatchGuard Endpoint Security por primera vez.
      Screen shot of Endpoint Agent Tool dialog box, anti-tamper password

Este paso es fundamental para que cada máquina virtual se identifique de forma única en la Web UI.

  1. Deshabilita el servicio Endpoint Agent para que el servicio no se inicie automáticamente al usar esta plantilla en instancias virtuales. El servicio se inicia con políticas de GPO, que se explican en detalle a continuación.
  2. Accede a la herramienta de gestión del entorno virtual y genera la plantilla. Para obtener más información, contacta con tu proveedor.

A continuación, debes cambiar el tipo de inicio del servicio del agente. Este servicio se deshabilitó en el paso anterior. Para ello, usa la Consola de Gestión de Políticas de Grupo en una máquina física conectada al dominio. Para obtener más información sobre cómo trabajar con la Consola de Gestión de Políticas de Grupo, contacta con el soporte de Microsoft.

Para cambiar el tipo de inicio de servicio Endpoint Agent, debes crear un GPO. Para ello, en los ajustes de GPO, ve a Configuración del Equipo > Políticas > Ajustes de Windows > Ajustes de Seguridad > Servicios del Sistema > Endpoint Agent. Cambia el ajuste a Automático. El servicio se iniciará automáticamente en el próximo reinicio y se integrará en la consola.

Screen shot of the Group Policy Management Editor dialog box

La pantalla Editor de Gestión de Políticas de Grupo:

Screen shot of the New Group Policy Object page

Instalar la Protección en Entornos de VDI No Persistentes

El procedimiento para gestionar entornos de VDI no persistentes consiste en tres fases.

Antes de generar la imagen gold, debes preparar la máquina desde la que se creará:

  1. Instala o actualiza el sistema operativo con las aplicaciones de usuario.
  2. En la consola del producto, crea un grupo para alojar el grupo de la imagen gold Imagen Gold o de la Plantilla y otro para alojar el grupo de máquinas virtuales Máquinas Virtuales.
  • Grupo Imagen Gold o de la Plantilla
    • En la pestaña Ajustes, selecciona Ajustes por Equipo y crea un perfil de ajustes para futuras actualizaciones de imágenes.
    • Asegúrate de que las actualizaciones automáticas del motor de protección estén habilitadas.
    • Selecciona la opción de reinicio automático para asegurarte de que el equipo esté actualizado.

  • Asigna estos ajustes al grupo que creaste para el grupo de la imagen gold Imagen Gold o de la Plantilla.
  • Selecciona la pestaña Ajustes y haz clic en Estaciones y Servidores en la sección Seguridad si deseas crear un perfil de ajustes para futuras actualizaciones de imágenes.
  • Asegúrate de que las actualizaciones automáticas de los conocimientos estén habilitadas.
  • Asigna estos ajustes al grupo que creaste para el grupo de la imagen gold Imagen Gold o de la Plantilla.
  • Grupo de Máquinas Virtuales. Las instancias virtuales se basan en la imagen gold actualizada. Si deseas optimizar los recursos del servidor VDI y reducir el uso de ancho de banda, sigue estos pasos para deshabilitar las actualizaciones:
    • Crea un perfil de Ajustes Por equipo que tenga las actualizaciones deshabilitadas y asígnalo al grupo Máquinas Virtuales.

  • Ve a Estaciones y Servidores en la sección Seguridad de la pestaña Ajustes, deshabilita las actualizaciones de los conocimientos y asigna esos ajustes al grupo Máquinas Virtuales.

  1. Instala el agente y la protección en el grupo Máquinas Virtuales para generar la imagen gold.
    • En la pestaña Equipos, selecciona el grupo de imagen gold Máquinas Virtuales y haz clic en Añadir Equipos para descargar el instalador.
    • Instala el agente en la máquina utilizada para crear la imagen gold y espera a que finalice la ventana de progreso. Durante ese tiempo, la protección se instalará y configurará automáticamente. Una vez que la instalación finalice, el equipo aparece en la lista de equipos protegidos en la Web UI.
  1. Mueve la máquina con la imagen gold a su grupo Imagen Gold o de la Plantilla para que reciba los ajustes con la opción de actualizar. Te recomendamos hacer clic con el botón derecho en el icono de WatchGuard situado en la bandeja de sistemas de la barra de tareas y forzar una sincronización. Esto enviará los ajustes al equipo para que comience a actualizarse.
  1. Ejecuta la Herramienta Endpoint Agent en el equipo con la imagen gold.
    • Escanéala con el botón Iniciar Análisis de Caché. Esto llenará la caché de goodware y dejará la protección en un estado apropiado para las imágenes virtuales. Este proceso puede llevar algún tiempo, según el contenido del disco duro. Se te notificará cuando la operación finalice.
    • En la sección Eventos No Exclusivos, marca las casillas de selección para Detecciones, Contadores y Verificar Comandos. Haz clic en Enviar.
      Screen shot of Endpoint Agent Tool dialog box
    • Elimina la ID de la máquina. Según sea necesario, introduce la Contraseña AntiTamper. Asegúrate de que la opción Es una Imagen Gold esté seleccionada y haz clic en Preparar Imagen. Esto eliminará la ID del agente de la plantilla, por lo que todas las máquinas virtuales obtienen su ID cuando se ejecutan y se conectan a WatchGuard Endpoint Security por primera vez.
      Screen shot of Endpoint Agent Tool dialog box, gold image

Este paso es fundamental para que cada máquina virtual se identifique de forma única en la Web UI.

  1. Deshabilita el servicio Endpoint Agent para evitar que se inicie automáticamente al usar la imagen gold en instancias virtuales. El servicio se puede iniciar mediante políticas de GPO, que se explican en la siguiente sección.
  2. Accede a las herramientas de gestión de VDI y genera la imagen gold. Para obtener más información, contacta con tu proveedor.
  3. En la sección de entornos de VDI de la Web UI, puedes configurar el número máximo de máquinas no persistentes que pueden estar activas al mismo tiempo. Esto permitirá la gestión automática de las licencias que utilizan esas máquinas.

A continuación, debes cambiar el tipo de inicio del servicio del agente de WatchGuard. Este servicio se deshabilitó en el paso anterior. Para ello, usa la Consola de Gestión de Políticas de Grupo en una máquina física conectada al dominio. Para obtener más información sobre cómo trabajar con la Consola de Gestión de Políticas de Grupo, contacta con el soporte de Microsoft.

Para cambiar el tipo de inicio de servicio Endpoint Agent, debes crear un GPO. Para ello, en los ajustes de GPO, ve a Configuración del Equipo > Políticas > Ajustes de Windows > Ajustes de Seguridad > Servicios del Sistema > Endpoint Agent. Cambia el ajuste a Automático. El servicio se iniciará automáticamente en el próximo reinicio y se integrará en la consola.

Screen shot of the Group Policy Management Editor dialog box

La pantalla Editor de Gestión de Políticas de Grupo:

Screen shot of the New Group Policy Object page

El agente, la protección y las firmas de la imagen gold creada deben actualizarse con frecuencia, al menos una vez al mes. Estas actualizaciones son esenciales para garantizar la máxima protección contra las nuevas técnicas de ataque desarrolladas por los hackers.

Para actualizar la imagen gold:

  1. Inicia la máquina donde está instalada la imagen gold.
  2. En la Web UI, mueve la máquina con la imagen gold al grupo Imagen Gold o de la Plantilla para que reciba los ajustes adecuados con actualizaciones automáticas del motor y de los conocimientos.
  3. Haz clic con el botón derecho en el icono de WatchGuard situado en la bandeja del sistema de la barra de tareas para forzar una sincronización. Esto actualizará la máquina.
    • Las actualizaciones se realizan de forma silenciosa en segundo plano. Te recomendamos esperar unos minutos para asegurarte de que la imagen se he actualizado correctamente.
    • Si hay una nueva versión de la protección disponible, se muestra una ventana de reinicio y el equipo se reinicia automáticamente (tal y como se configuró en los Ajustes Por Equipo).

Una vez completado el reinicio, te recomendamos forzar una nueva sincronización para asegurarte de que el producto esté completamente actualizado.

  1. Ejecuta la Herramienta Endpoint Agent en el equipo con la imagen gold.
    • Escanéala con el botón Iniciar Análisis de Caché. Esto llenará la caché de goodware y dejará la protección en un estado apropiado para las imágenes virtuales. Este proceso puede llevar algún tiempo, según el contenido del disco duro. Se te notificará cuando la operación finalice.
    • En la sección Eventos No Exclusivos, marca las casillas de selección para Detecciones, Contadores y Verificar Comandos. Haz clic en Enviar.

      Screen shot of Endpoint Agent Tool dialog box
    • Elimina la ID de la máquina. Según sea necesario, introduce la Contraseña AntiTamper. Asegúrate de que la opción Es una Imagen Gold esté seleccionada y haz clic en Preparar Imagen. Esto eliminará la ID del agente de la plantilla, por lo que todas las máquinas virtuales obtienen su ID cuando se ejecutan y se conectan a WatchGuard Endpoint Security por primera vez.
      Screen shot of Endpoint Agent Tool dialog box, gold image

Este paso es fundamental para que cada máquina virtual se identifique de forma única en la Web UI.

Gestión de Licencias

Después de borrar la ID del agente y deshabilitar la opción Es una Imagen Gold, cuando se inicia una nueva máquina, el sistema calcula su ID de la máquina y determina si el equipo es nuevo o existente, según el entorno seleccionado.

Entornos No Persistentes

Si se establece el número máximo de máquinas que están activas simultáneamente para imágenes no persistentes, el servidor gestiona las licencias automáticamente, siempre que existan licencias disponibles y no se exceda el número de máquinas concurrentes.

Entornos Persistentes

Si hay varias máquinas que ya no se utilizan, bórralas de la base de datos para liberar licencias, tal y como lo harías con las máquinas físicas. Puedes borrar todas las máquinas o seleccionar una máquina individual.