仮想コンピュータに WatchGuard Endpoint Security をインストールする — 非永続的な VDI 環境 (Windows コンピュータ)

適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。,WatchGuard EDR Core。, WatchGuard EPP。

非常に特殊な特徴がある環境では、仮想化ベンダーが提供する推奨事項に従って、この一般的な手順をニーズに適合させなければならない場合があります。カスタマイズされたソリューションについては、WatchGuard サポートにお問い合わせください。

このインストール手順では、後でネットワークの仮想コンピュータに配備するゴールド イメージを作成します。非永続的 VDI 環境を管理する方法には、以下の 3 つの手順が含まれます。

ゴールド イメージを生成して更新したら、手順を確認する

Caution: これらの手順を段階的に実行し、完了したら、クローンされたすべてのデバイスが、管理 UI に一意の ID で表示されていることを確認することが重要です。デバイスが正しくクローンされていないと、高度な保護の信頼性に影響を与え、インフラストラクチャのセキュリティを著しく損なう可能性があります。管理 UI に 1 つのデバイスしか表示されていない場合は、このプロセスを繰り返してゴールド イメージを再構築し、影響を受けている Endpoint にできるだけ早く再配備する必要があります。

前提条件

  • ゴールド イメージの生成を行うコンピュータには、インターネット接続が必要となります。

  • Windows 用 Endpoint エージェント ツールは、管理者として実行する必要があります。グラフィカル インターフェイスが備わっていますが、コマンド行から実行することもできます。.bat または .cmd ファイルからこのツールを実行する場合は、start /wait "" のコマンドを使用する必要があります。たとえば、命令が EndpointAgentTool.exe /sg の場合は、start /wait "" "C:\Path\EndpointAgentTool.exe" /sg と入力します。

ゴールド イメージを生成する前に、その生成場所であるマシンを準備する必要があります。

  1. ユーザーのアプリケーションでオペレーティング システムをインストールまたは更新します。
  2. 管理 UI で、ゴールド イメージ (ゴールド イメージ) をホストするグループを 1 つ、および仮想コンピュータ (仮想マシン) をホストする別のグループを 1 つ作成します。
  • ゴールド イメージ グループ
    • 設定 タブで、コンピュータごとの設定 を選択して、今後のイメージ更新のための設定プロファイルを作成します。このプロファイルは、準備が整った際のゴールド イメージの更新のため、および仮想マシンの継続的なメンテナンスのために使用されます。
    • 保護エンジンの自動更新が有効になっていることを確認します。
    • ワークステーションとサーバーの両方を自動的に再起動する オプションを選択し、コンピュータが確実に更新されるようにします。

Screen shot of Settings page, Per Computer Settings, Add Settings.

  • これらの設定を、ゴールド イメージに作成したグループ (ゴールド イメージ グループ) に割り当てます。
  • 設定 タブで ワークステーションとサーバー を選択して、今後のイメージ更新のための設定プロファイルを作成します。
  • ナレッジの自動アップデートが有効になっていることを確認します。
  • これらの設定をゴールド イメージ グループに割り当てます。
  • 仮想マシン グループ
    仮想インスタンスは、更新済みのゴールド イメージに基づきます。VDI サーバーのリソースを最適化して帯域幅使用を削減するには、更新を無効化します。
    • コンピュータごとの設定プロファイル (更新は無効化する) を作成し、これを 仮想マシン グループに割り当てます。このプロファイルにより、ゴールド イメージの実行中は更新が無効化されます。

Screen shot of Per Computer Settings page, Recipients.

  • 設定ページで ワークステーションとサーバー を選択し、ナレッジのアップデートを無効にします。これらの設定を仮想マシン グループに割り当てます。

Screen shot of Per Computer Settings page, Recipients.

  1. 仮想マシン グループにエージェントと保護をインストールしてゴールド イメージを生成します。
    • コンピュータ タブで 仮想マシン グループを選択して、コンピュータの追加 をクリックし、インストーラをダウンロードします。
    • ゴールド イメージの作成に使用した仮想マシンにエージェントをインストールして、進行状況ウィンドウが終了するまで待機します。保護が自動的にインストールおよび構成されます。インストールが完了すると、管理 UI の保護対象コンピュータのリストにマシンが表示されます。
  1. ゴールド イメージが作成されているマシンをゴールド イメージ グループに移動し、更新オプションが含まれている設定を取得できるようにします。タスク バーのシステム トレイにある WatchGuard アイコンを右クリックして、強制的に同期することが勧められます。これにより、設定がコンピュータにプッシュされ、更新が開始されます。
  2. ゴールド イメージが作成されているコンピュータで、Endpoint エージェント ツール を実行します。

    • (オプション) 持続レベルが 1 週間未満の非永続的環境では、コンピュータをスキャンすることが勧められます。WatchGuard EDR の場合は、Endpoint エージェント ツールで キャッシュ スキャンを開始する をクリックして、仮想マシンをスキャンします。WatchGuard EPDR および Advanced EPDR の場合は、Windows タスク バーにある EPDR アイコンを右クリックして、アンチウイルスと高度な保護 > 今すぐスキャンする の順に選択します。

      これによりグッドウェア キャッシュが満たされ、仮想イメージが適切な保護状態になります。ハードディスクの内容によっては、スキャン プロセスに時間がかかる場合があります。操作が完了すると、通知が表示されます。

    • 非排他的イベント セクションで、検出カウンターチェック コマンド のチェックボックスを選択します。送信 をクリックします。
      Screen shot of Endpoint Agent Tool dialog box
  3. 重要: デバイス ID を削除します。
    • ゴールド イメージ オプションが選択されていることを確認します。
    • 必要に応じて、改ざん防止パスワード を入力します。
    • イメージを準備する をクリックします。

      4. これにより、ゴールド イメージからエージェント ID が削除され、すべての仮想マシンで実行時にデバイス ID が取得されて、初めてクラウドへの接続が可能となります。

Screen shot of Endpoint Agent Tool dialog box, gold image

  1. 登録を確認する をクリックして、エージェント ID がゴールド イメージから削除されたことを確認します。
    1. 削除されていない場合は、サービスを停止する をクリックしてから、デバイスの登録を解除する をクリックして、エージェント ID を手動で削除します。
    2. 再度 登録を確認する をクリックして、エージェント ID が削除されたことを確認します。
  2. 重要: 仮想インスタンスでゴールド イメージが使用された際にサービスが自動的に開始されないように、WatchGuard エージェント サービスを無効化してください。

Caution: 各仮想インスタンスが管理 UI で一意に識別されるようにするために、この手順は非常に重要となります。

  1. VDI 管理ツールにアクセスして、ゴールド イメージを生成します。詳細については、ベンダーにお問い合わせください。
  2. 管理 UI の VDI 環境セクションで、同時にアクティブ化できる非永続的マシンの最大数を構成することができます。これにより、こうしたマシンで使用されるライセンスの自動管理が有効になります。

Screen shot of VDI Environments settings page.

展開された仮想マシンのカスタマイズが完了したら、エージェント サービスのスタートアップの種類を変更する必要があります。前の手順で、このサービスは無効化されているはずです。VDI 配備システムに応じてさまざまな方法を使用することができます。WatchGuard エージェント サービスのスタートアップの種類を変更するには、ドメイン内で、または Horizon、Windows Logon Script のような他の種類のスクリプト アプリケーションを通じて、デバイスの GPO ポリシーを作成することができます。

グループ ポリシー管理エディタの操作方法の詳細については、Microsoft サポートにお問い合わせください。

重要: 仮想マシンのクローンを作成した後は、最後に WatchGuard エージェント サービスを有効化する必要があります。エージェントが初めて起動した際に、一意のデバイス ID が登録されます。

VDI コンピュータが受け取るセキュリティ設定では更新が無効化されているため、少なくとも月に 1 回は手動でゴールド イメージを更新することが勧められます。これにより、VDI コンピュータが最新バージョンの保護機能と署名ファイルを確実に受け取れるようになります。

非永続的 VDI 環境でゴールド イメージを手動で更新するには、以下の手順を実行します。

  1. ゴールド イメージがインストールされているマシンを起動します。
  2. 管理 UI で、ゴールド イメージが作成されているマシンをゴールド イメージ グループに移動すると、エンジンとナレッジが自動更新される適切な設定が適用されます。
  3. タスク バーのシステム トレイにある WatchGuard アイコンを右クリックして、強制的に同期します。これによりマシンが更新されます。
    • 更新はバックグラウンドでサイレントに実行されます。数分待って、イメージが正しく更新されたことを確認することが勧められます。
    • 新規バージョンの保護機能が利用できる場合、再起動ウィンドウが表示され、マシンが自動的に再起動します (コンピュータごとの設定 プロファイルで構成されている通り)。

再起動が完了したら、製品が最新な状態になっていることを確認するために、新しく同期を強制することが勧められます。

  1. ゴールド イメージが作成されているマシンで、Endpoint エージェント ツール を実行します。

    • (オプション) 持続レベルが 1 週間未満の非永続的環境では、コンピュータをスキャンすることが勧められます。WatchGuard EDR の場合は、Endpoint エージェント ツールで キャッシュ スキャンを開始する をクリックして、仮想マシンをスキャンします。WatchGuard EPDR および Advanced EPDR の場合は、Windows タスク バーにある EPDR アイコンを右クリックして、アンチウイルスと高度な保護 > 今すぐスキャンする の順に選択します。

    • これによりグッドウェア キャッシュが満たされ、仮想イメージが適切な保護状態になります。ハードディスクの内容によっては、スキャン プロセスに時間がかかる場合があります。操作が完了すると、通知が表示されます。

    • 非排他的イベント セクションで、検出カウンターチェック コマンド のチェックボックスを選択します。送信 をクリックします。

      Screen shot of Endpoint Agent Tool dialog box

    • 重要: マシン ID を削除します。
      • ゴールド イメージ オプションが選択されていることを確認します。
      • 必要に応じて、改ざん防止パスワード を入力します。
      • イメージを準備する をクリックします。
        これにより、ゴールド イメージからエージェント ID が削除され、すべての仮想インスタンスで実行時にデバイス ID が取得されて、初めてクラウドへの接続が可能となります。

Caution: 各仮想インスタンスが管理 UI で一意に識別されるようにするために、この手順は非常に重要となります。

  • 登録を確認する をクリックして、エージェント ID がゴールド イメージから削除されたことを確認します。削除されていない場合は、サービスを停止する をクリックしてから、デバイスの登録を解除する をクリックして、エージェント ID を手動で削除します。再度 登録を確認する をクリックして、エージェント ID が削除されたことを確認します。
  • 仮想インスタンスでゴールド イメージが使用された際にサービスが自動的に開始されないように、WatchGuard エージェント サービスを無効化してください。
    Screen shot of Endpoint Agent Tool dialog box, gold image
  • VDI 管理ツールにアクセスして、ゴールド イメージを生成します。詳細については、ベンダーにお問い合わせください。

手順を確認する

手順が成功したことを確認してください。リストに 1 つのデバイスしか含まれていない場合は、コンピュータ リストからそのデバイスを削除し、この手順をやり直す (つまり、ゴールド イメージを再構築し、影響を受けている Endpoint に再展開する) 必要があります。

WatchGuard Endpoint Security は、完全修飾ドメイン名を使用して、Endpoint エージェント ツールにより ID が削除され、ゴールド イメージとしてマーク付けされたコンピュータを識別します。

非永続的 VDI コンピュータのリストを表示するには、以下の手順を実行します。

  1. 管理 UI で、設定 > コンピュータ メンテナンス の順に選択します。
  2. VDI 環境 セクションで 非永続的コンピュータを表示 リンクをクリックします。
    コンピュータ リストに非永続的コンピュータが表示されます。

関連トピック

テンプレートまたはゴールド イメージを使用して仮想環境に Endpoint ソフトウェアをインストールする (Windows コンピュータ)

仮想コンピュータに WatchGuard Endpoint Security をインストールする — 永続的な VDI 環境 (Windows コンピュータ)