適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。,WatchGuard EDR Core。, WatchGuard EPP。
非常に特殊な特徴がある環境では、仮想化ベンダーが提供する推奨事項に従って、この一般的な手順をニーズに適合させなければならない場合があります。カスタマイズされたソリューションについては、WatchGuard サポートにお問い合わせください。
このインストール手順では、後でネットワークの仮想コンピュータに配備するテンプレートを作成します。永続的 VDI 環境を管理する方法には、以下の 3 つの手順が含まれます。
テンプレートを生成して更新したら、手順を確認する。
Caution: これらの手順を段階的に実行し、完了したら、クローンされたすべてのデバイスが、管理 UI に一意の ID で表示されていることを確認することが重要です。デバイスが正しくクローンされていないと、高度な保護の信頼性に影響を与え、ネットワークのセキュリティが著しく損なわれる可能性があります。管理 UI に 1 つのデバイスしか表示されていない場合は、このプロセスを繰り返してテンプレートを再構築し、影響を受けている Endpoint にできるだけ早く再配備する必要があります。
前提条件
- 永続的環境では、コンピュータに固定 MAC アドレスが必要となります。
- テンプレートの生成を行うコンピュータには、インターネット接続が必要となります。
-
Windows 用 Endpoint エージェント ツールは、管理者として実行する必要があります。グラフィカル インターフェイスが備わっていますが、コマンド行から実行することもできます。.bat または .cmd ファイルからこのツールを実行する場合は、start /wait "" のコマンドを使用する必要があります。たとえば、命令が EndpointAgentTool.exe /sg の場合は、start /wait "" "C:\Path\EndpointAgentTool.exe" /sg と入力します。
- ユーザー アプリケーションでオペレーティング システムをインストールまたは更新します。
永続環境の場合は、コンピュータのハード ディスクに保存されている情報が再起動後も保持されます。ユーザーに必要なすべてのプログラムが含まれているオペレーティング システムの更新バージョンをインストールして、製品保護のアップデートが構成されているテンプレートを作成する必要があります。 - 管理 UI で、テンプレート (テンプレート グループ) をホストするグループと仮想マシン グループを作成します。
- 仮想マシン グループ
- 設定 タブで、コンピュータごとの設定 を選択して、今後のイメージ更新のための設定プロファイルを作成します。
- 保護エンジンの自動更新が有効になっていることを確認します。
- このテンプレート用に以前に作成した 仮想マシン グループにこれらの設定を割り当てます。
- 設定 タブで ワークステーションとサーバー を選択して、今後のイメージ更新のための設定プロファイルを作成します。
- ナレッジの自動アップデート が有効になっていることを確認します。
- これらの設定を 仮想マシン グループに割り当てます。
- 仮想マシン グループにエージェントと保護をインストールします:
- コンピュータ を選択してから、仮想マシン グループを選択します。
- コンピュータの追加 をクリックして、インストーラをダウンロードします。
- テンプレートにエージェントをインストールして、進行状況ウィンドウが終了するまで待機します。保護が自動的にインストール、構成、更新されます。インストールが完了すると、管理 UI の保護対象コンピュータのリストに緑色のアイコンでコンピュータが表示されます。コンピュータの保護とナレッジは最新です。
- テンプレートを使用して、コンピュータで Endpoint エージェント ツール (パスワード:panda) を実行します。
-
(オプション) WatchGuard EDR の場合は、Endpoint エージェント ツールで キャッシュ スキャンを開始する をクリックして、仮想マシンをスキャンします。WatchGuard EPDR および Advanced EPDR の場合は、Windows タスク バーにある EPDR アイコンを右クリックして、アンチウイルスと高度な保護 > 今すぐスキャンする の順に選択します。
-
これによりグッドウェア キャッシュが満たされ、仮想イメージが適切な保護状態になります。ハードディスクの内容によっては、スキャン プロセスに時間がかかる場合があります。操作が完了すると、通知が表示されます。
- 非排他的イベント セクションで、検出、カウンター、チェック コマンド のチェックボックスを選択します。送信 をクリックします。
- 重要: コンピュータ ID を削除します。
- ゴールド イメージ チェックボックスが 選択されていない ことを確認します。
- 必要に応じて、改ざん防止パスワード を入力します。
- イメージを準備する をクリックします。
- 重要: 仮想インスタンスでこのテンプレートが使用された際にサービスが自動的に開始されないように、WatchGuard エージェント サービスを無効化してください。
Caution: これにより、テンプレートからデバイス ID が削除されるため、WatchGuard Endpoint Security で初めて実行および接続された際に、実行されるすべての仮想マシンでデバイス ID が取得されます。各仮想インスタンスが管理 UI で一意に識別されるようにするために、これを行うことが非常に重要となります。
- 仮想環境管理ツールにアクセスして、テンプレートを生成します。詳細については、ベンダーにお問い合わせください。
展開された仮想マシンのカスタマイズが完了したら、エージェント サービスのスタートアップの種類を変更する必要があります。前の手順で、このサービスは無効化されているはずです。VDI 配備システムに応じてさまざまな方法を使用することができます。エージェント サービスのスタートアップの種類を変更するには、ドメイン内で、または Horizon、Windows Logon Script のような他の種類のスクリプト アプリケーションを通じて、デバイスの GPO ポリシーを作成することができます。
グループ ポリシー管理エディタの操作方法の詳細については、Microsoft サポートにお問い合わせください。
重要: 仮想マシンのクローンを作成した後は、最後にエージェント サービスを有効化する必要があります。エージェントが初めて起動した際に、一意のデバイス ID が登録されます。
VDI コンピュータが受け取るセキュリティ設定では更新が無効化されているため、少なくとも月に 1 回は手動でテンプレートを更新することが勧められます。これにより、VDI コンピュータが最新バージョンの保護機能と署名ファイルを確実に受け取れるようになります。
永続的 VDI 環境でテンプレートを手動で更新するには、以下の手順を実行します。
- テンプレートとして使用している仮想マシンを再起動します。
- エージェント サービスを有効化して起動します。
- 仮想マシンの WatchGuard Endpoint ソフトウェアのアップグレードなど、システム メンテナンスを完了します。
- システムの準備が整ったら、以下の手順を完了します。手順 1 — テンプレートを生成するコンピュータを準備する。
手順を確認する
手順が成功したことを確認してください。リストに 1 つのデバイスしか含まれていない場合は、コンピュータ リストからそのデバイスを削除し、この手順を再開する (つまり、テンプレートを再構築して、影響を受ける Endpoint に再度配備する) 必要があります。
- 管理 UI で コンピュータ を選択します。
- クローンされたデバイスが、リストに正しく表示されていることを確認します。
テンプレートまたはゴールド イメージを使用して仮想環境に Endpoint ソフトウェアをインストールする (Windows コンピュータ)
仮想コンピュータに WatchGuard Endpoint Security をインストールする — 非永続的な VDI 環境 (Windows コンピュータ)