Soporte técnico

¿Necesitas ayuda?

 

Cómo crear una imagen para entornos virtuales persistentes y no persistentes (VDI) en Windows con productos basados en Aether Platform

Información aplicable a:

Productos
Panda Adaptive Defense 360 on Aether PlatformPanda Adaptive Defense on Aether Platform
Panda Endpoint Protection on Aether PlatformPanda Endpoint Protection Plus on Aether Platform

¡INFORMACIÓN IMPORTANTE! - LEE CON ATENCIÓN ANTES DE COMENZAR

Es crítico seguir este procedimiento al pie de la letra y paso a paso y que una vez finalizado, verifiques que todos los equipos clonados aparecen en la consola de administración.

¡ATENCIÓN!
Sigue los pasos exactos que se muestran en este artículo para generar y desplegar imágenes Windows con Panda Adaptive Defense 360. De no seguir el procedimiento tal y como se indica, las capacidades de gestión y de protección de tu producto de seguridad se verán reducidas, y se dejarán de monitorizar las acciones ejecutadas por los procesos en los equipos clonados.

Si al finalizar el proceso únicamente aparece un dispositivo clonado en la consola, repite el procedimiento, genera la imagen gold y despliégala en el resto de los equipos nuevamente. Si tienes dudas, contacta con Soporte Técnico.

Situación
En redes grandes formadas por muchos equipos homogéneos, el procedimiento de instalación del sistema operativo y del software que lo acompaña puede automatizarse generando una imagen gold (también conocida como imagen “master”, “base”, "maqueta" o imagen “plataforma”). Posteriormente, esta imagen se distribuye a todos los equipos de la red, lo que evita gran parte del proceso manual de instalación desde cero.

Para generar una imagen gold, es necesario instalar en un equipo de la red el sistema operativo ya actualizado junto a todo el software que el usuario vaya a necesitar, incluyendo las herramientas de seguridad. Una vez listo el equipo, es necesario utilizar un software de virtualización para "sellar" o "cerrar" la instalación y distribuirla en los equipos de la red. Para obtener información específica de tu solución de virtualización, consulta la documentación de tu proveedor.

Se preparará una plantilla (entornos persistentes) o bien una imagen gold (entornos no persistentes) que se desplegará en los equipos virtuales de la red.

En entornos persistentes, la información almacenada en el disco duro del equipo persiste entre los reinicios. Por lo tanto, debes instalar una versión actualizada del sistema operativo con todos los programas que los usuarios necesiten y después, crear la plantilla con las actualizaciones de la protección de tu producto configuradas.

En entornos no persistentes, se crearán dos perfiles de configuración de seguridad; uno para actualizar la imagen gold cuando se prepara y con fines de mantenimiento, y otro para desactivar las actualizaciones cuando se ejecuta la imagen gold, ya que no procede actualizar el software cliente cuando el sistema de almacenamiento del equipo vuelve a su estado original con cada reinicio.

En este artículo se explica paso a paso cómo instalar la protección de tu producto para Windows en entornos VDI (Virtual Desktop Infrastructure) persistentes y no persistentes sobre la plataforma Aether. Por sus características, los equipos o instancias virtuales requieren de un procedimiento específico que garantice que las imágenes o plantillas a usar en los entornos virtuales estén actualizadas, optimizadas y sin previa identificación de equipo, de forma que cuando el equipo virtual arranque, se registre de forma unívoca en la consola.

Es importante seguir el procedimiento para:

  1. Asegurar la actualización del motor y del conocimiento.
  2. Optimizar los recursos y el consumo de ancho de banda en el caso de entornos no persistentes.
  3. Asegurar que las instancias virtuales se identifican de forma unívoca.

Prerrequisitos

  • Para entornos persistentes, los equipos deben disponer de direcciones MAC fijas.
  • El equipo utilizado para la generación de la imagen gold o plantilla requiere tener conexión a Internet.
  • La herramienta Endpoint Agent Tool para Windows requiere permisos de administración y se puede ejecutar en modo gráfico y en línea de comandos. Si la ejecutas desde un fichero de proceso por lotes .bat o .cmd, debes usar el comando start /wait "".
    Por ejemplo, si la instrucción a ejecutar es: EndpointAgentTool.exe /sg el comando a escribir es:

    start /wait "" "C:\Path\EndpointAgentTool.exe" /sg

Compatibilidades
En líneas generales, el procedimiento descrito funciona en los siguientes tipos de máquinas virtuales:

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Servers
Procedimiento para Entornos Persistentes
Haz clic el signo + para visualizar las instrucciones de cada fase.
+ FASE I - PREPARAR EL EQUIPO DESDE EL QUE SE GENERA LA PLANTILLA - FASE I - PREPARAR EL EQUIPO DESDE EL QUE SE GENERA LA PLANTILLA

  1. Instala o actualiza el sistema operativo con las aplicaciones del usuario.
  2. Desde la consola de gestión Aether, crea un grupo llamado Virtual machines donde alojar la plantilla y los equipos virtuales. Para ello, sigue estos pasos:
    • Selecciona la pestaña Equipos.
    • Selecciona Mi organización desde el menú de la izquierda.
    • Selecciona Añadir grupo.

  3. Crea un perfil de configuración con actualizaciones automáticas del agente de Adaptive Defense 360 activadas. Para ello, sigue estos pasos:
    • Accede a la pestaña Configuración.
    • Selecciona Ajustes por equipo.
    • Haz clic en Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen.
    • Comprueba que están activadas las Actualizaciones Automáticas del Motor de la protección.

    • Asigna esta configuración al grupo Virtual machines.
  4. Haz clic en la pestaña Configuración y selecciona Estaciones y servidores en la sección Seguridad.
    • Haz clic en Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen y que tenga activadas las actualizaciones automáticas del conocimiento.
    • Selecciona General y activa las Actualizaciones automáticas de conocimiento.

    • Asigna esta configuración al grupo Virtual machines.
  5. Instala el agente y la protección en el grupo Virtual machines:
    • Accede a la pestaña Equipos, selecciona el grupo Virtual machines y haz clic en Añadir equipos para descargar el instalador.

    • Instala el agente en la plantilla y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección, se configurará y se actualizará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola, con icono verde. Este equipo dispondrá de la protección y el conocimiento actualizado.
  6. Descarga la herramienta Endpoint Agent Tool para Windows, descomprímela y ejecútala en el equipo con la plantilla.
    • En la sección Non exclusive events, selecciona las opciones Detections, Counters y Check commands y haz clic en Send, o bien, haz clic en el icono de la protección con el botón derecho y selecciona la opción Sincronizar.

      Línea de comandos equivalente: EndpointAgentTool.exe /d /c /cmd

    • Elimina el ID del equipo. Para ello, deja sin marcar la casilla de verificación Is a gold image.
    • Si el equipo está protegido por AntiTamper, introduce la contraseña en el campo AntiTamper password.

      Línea de comandos equivalente: EndpointAgentTool.exe /pei /atp:antitamperpassword

      Si no tiene contraseña, no añadas el parámetro atp.
    • Pulsa el botón Prepare image.
      Se eliminará el registro del agente de la plantilla, de tal forma que los equipos virtuales ejecutados obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.


  7. ¡ATENCIÓN! Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente antes de que se genere la plantilla para tus instancias virtuales.

    Este punto es crítico para que se genere un ID específico para cada equipo virtual.
  8. Accede a las herramientas de administración de entornos virtuales y genera la plantilla. Si tienes dudas sobre este paso, consulta con tu proveedor.
+ FASE II - MODIFICAR EL TIPO DE INICIO DEL SERVICIO PANDA - FASE II - MODIFICAR EL TIPO DE INICIO DEL SERVICIO PANDA

Una vez creada la plantilla, ya puedes modificar el tipo de inicio del servicio Panda Endpoint Agent, ya sea a través de GPO para equipos dentro de un dominio o con aplicaciones de script como Horizon, Windows Logon, etc.

En este ejemplo, explicamos cómo hacerlo a través de GPO. Primero se debe crear una GPO para cambiar el tipo de inicio del servicio Panda Endpoint Agent. Para ello, dentro de la configuración de GPO, navega a la siguiente ruta: Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent. El servicio estará deshabilitado. Cambia la configuración a Automático para que se modifique en el siguiente arranque y así pueda integrarse con la consola.

El informe para el GPO se ve así:

Procedimiento para Entornos No Persistentes
Haz clic en el signo + para desplegar la información de cada fase.
+ FASE I – PREPARAR Y GENERAR IMAGEN GOLD - FASE I – PREPARAR Y GENERAR IMAGEN GOLD

Antes de generar la imagen gold, prepara el equipo desde el que se va a crear:
  1. Instala/actualiza el sistema operativo con las aplicaciones del cliente.
  2. Desde la consola del producto, crea un grupo donde alojar, por una parte, la imagen gold (Grupo Gold or template image) y por otra parte, un grupo donde alojar los equipos virtuales (Grupo Virtual machines).
    • Grupo Gold or template image
      • Accede a la pestaña Configuración, Ajustes por equipo y crea una configuración que servirá para las futuras actualizaciones de la imagen.
      • Comprueba que están activadas las actualizaciones automáticas del motor de la protección.
      • Establece el reinicio automático para asegurarnos que el equipo se actualiza.

      • Asigna esta configuración al grupo Gold or template image.
      • Haz clic en la pestaña Configuración, selecciona Estaciones y servidores en la sección Seguridad para crear una configuración que servirá para las futuras actualizaciones de la imagen.
      • Comprueba que están activadas las actualizaciones automáticas del conocimiento.
      • Asigna esta configuración al grupo Gold or template image.
    • Grupo Virtual machines
      Las instancias virtuales parten de la imagen gold actualizada. Para optimizar los recursos del servidor VDI y reducir el consumo de ancho de banda, desactiva las actualizaciones siguiendo los siguientes pasos:
      • Crea otra configuración de Ajustes por equipo que tenga las actualizaciones desactivadas y asígnala al grupo Virtual machines.

      • Deshabilita las actualizaciones de conocimiento en la configuración de Seguridad para Estaciones y servidores, y asigna esta configuración al grupo Virtual machines.

  3. Instala el agente y la protección en el grupo Virtual machines para generar la imagen gold:
    • Accede a la pestaña Equipos, selecciona el grupo de la imagen gold Virtual machines y haz clic en Añadir equipos. Se descargará el instalador.
    • Instala el agente en el equipo usado para crear la imagen gold y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección y se configurará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola.
  4. Mueve el equipo con la imagen gold a su grupo Gold o template image para que reciba la configuración de actualización. Te recomendamos hacer clic con el botón derecho del ratón en el icono de la protección del equipo para forzar la sincronización, que reciba la configuración y comience a actualizarse. Las actualizaciones se realizan en segundo plano, por lo que debes esperar varios minutos hasta que el proceso se complete.
  5. Descarga la herramienta Endpoint Agent Tool para Windows, descomprímela y ejecútala en el equipo con la imagen gold.
    • Aunque no es obligatorio, en entornos no-persistentes con niveles de persistencia inferiores a una semana, te recomendamos realizar un análisis del equipo.

      Si tienes Panda Adaptive Defense 360, puedes analizar la partición concreta desde el menú contextual o desde el propio programa.
      Si tienes Panda Adaptive Defense, debes hacerlo pulsando el botón Start cache scan desde la interfaz de la herramienta Endpoint Agent Tool para Windows.

      Este análisis permite rellenar la caché de goodware y preparar la protección para partir de un estado adecuado para imágenes virtuales. Esta operación puede llevar un tiempo, en función del contenido del disco duro. Espera hasta que aparezca un aviso que indique que ha finalizado la operación.

      Línea de comandos equivalente: EndpointAgentTool.exe /sg

      Recuerda que si utilizas un fichero de proceso por lotes .bat o .cmd, debes usar este comando:

      start /wait "" "C:\RutadelaHerramienta\EndpointAgentTool.exe" /sg
    • En la sección Non Exclusive Events, selecciona las opciones Detections, Counters y Check commands y pulsa el botón Send o bien, haz clic con el botón derecho del ratón en el icono de la protección y selecciona Sincronizar.

      Línea de comandos equivalente:

      EndpointAgentTool.exe /d /c /cmd

    • Elimina el ID del equipo, marcando la casilla de verificación Is a gold image.
    • Si el equipo está protegido por AntiTamper, introduce la contraseña en el campo AntiTamper password.

      Línea de comandos equivalente
      :

      EndpointAgentTool.exe /pei /gi /atp:antitamperpassword

      Si no tiene contraseña, no es necesario pasar el parámetro atp.
    • Pulsa el botón Prepare image. Esto eliminará el registro del agente de la imagen gold, de tal forma que las instancias ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.

      ¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.

  6. ¡IMPORTANTE! Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente al usar esta imagen gold en las instancias virtuales.
  7. Accede a las herramientas de administración de VDI y genera la imagen gold. Si tienes dudas sobre este paso, consulta con tu proveedor.
  8. En la sección Entornos VDI de la consola, puedes definir el máximo número de equipos que estarán activos simultáneamente. Esto permitirá una gestión automática de las licencias que consumen estos equipos, por lo que no es necesario realizar ningún paso adicional para eliminarlos de la plataforma Aether y recuperar la licencia.

+ FASE II - MODIFICAR EL TIPO DE INICIO DEL SERVICIO PANDA - FASE II - MODIFICAR EL TIPO DE INICIO DEL SERVICIO PANDA

Una vez creada la plantilla, ya puedes modificar el tipo de inicio del servicio Panda Endpoint Agent, ya sea a través de GPO para máquinas dentro de un dominio o con aplicaciones de script como Horizon, Windows Logon, etc.,

En este ejemplo, explicamos como usar GPO. Primero, tienes que crear un GPO. Para ello, dentro de la configuración de GPO, navega a la siguiente ruta: Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent. El servicio estará deshabilitado y se deberá cambiar la configuración a automática para que se modifique en el siguiente arranque y así pueda integrarse con la consola.

El informe para el GPO se ve así:

+ FASE III – MANTENIMIENTO DE LA IMAGEN GOLD - FASE III – MANTENIMIENTO DE LA IMAGEN GOLD
Periódicamente, al menos una vez al mes, es imprescindible actualizar el agente, la protección y las firmas de la imagen gold creada. Hay que tener en cuenta que las actualizaciones son necesarias para garantizar la máxima protección y poder hacer frente a los nuevos métodos de ataque utilizados por los hackers.
Para actualizar la imagen gold sigue estos pasos:
  1. Arranca el equipo donde está instalada la imagen gold.
  2. En la consola, mueve el equipo con la imagen gold al grupo (Grupo Gold or template image) para asegurarse de que tiene asignada las configuraciones correctas con las actualizaciones de motor y conocimientos activadas.
  3. Haz clic en el botón derecho del ratón sobre el icono de la protección en el área de notificaciones de la barra de tareas y fuerza una tarea de sincronización, para asegurar que se reciben las actualizaciones pertinentes.
    • Las actualizaciones se hacen en segundo plano por lo que debes esperar varios minutos para asegurar que se ha actualizado todo correctamente.
    • Si hay una nueva versión de la protección, solicitará reiniciar y se reiniciará automáticamente (según habíamos configurado previamente en la configuración de Ajustes por equipo).

      En este caso, tras el reinicio, recomendamos volver a forzar una sincronización tras el reinicio para asegurar que el producto está totalmente actualizado y con la configuración correcta.
  4. Descarga la herramienta Endpoint Agent Tool para Windows, descomprímela y ejecútala en el equipo con la imagen gold.
    • Realiza un análisis del equipo, pulsando el botón Start cache scan. Esto permite rellenar la caché de goodware y prepara la protección para partir de un estado adecuado para imágenes virtuales. Esta operación puede llevar algo de tiempo, en función del contenido del disco duro. Espera hasta que se indique que ha finalizado la operación.

      Línea de comandos equivalente: EndpointAgentTool.exe /sg

      Recuerda que si utilizas un fichero de proceso por lotes .bat o .cmd, debes usar este comando:

      start /wait "" "C:\RutadelaHerramienta\EndpointAgentTool.exe" /sg
    • En la sección Non exclusive events, selecciona las opciones Detections, Counters y Check commands y pulsa Send o bien, haz clic el icono de la protección con el botón derecho del ratón y selecciona Sincronizar.

      Línea de comandos equivalente: EndpointAgentTool.exe /d /c /cmd

    • Elimina el registro del equipo, marcando la casilla de verificación Is a gold image.
    • Si el equipo está protegido por AntiTamper, introduce la contraseña en el campo Anti-Tamper password. De lo contrario, deja este campo en blanco.

      Línea de comandos equivalente:

      EndpointAgentTool.exe /pei /gi /atp:antitamperpassword
    • Haz clic en el botón Prepare image y asegúrate de que la casilla Is a gold image está seleccionada.

      Con estos pasos, se elimina el registro del agente de la imagen gold, de tal forma que las instancias ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.



      ¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.

Verificar el Procedimiento
Es esencial asegurarse de que ha seguido el procedimiento correctamente.

  • Ver los equipos no persistentes
    Panda Adaptive Defense 360 utiliza el FQDN (Fully Qualified Domain Name) para identificar los equipos cuyo ID ha sido eliminado mediante la herramienta Endpoint Agent Tool y están marcados como imagen gold. Para obtener una lista de equipos VDI no persistentes, sigue estos pasos:
    • Desde la barra de navegación superior, haz clic en Configuración.
    • Selecciona Entornos VDI en el panel izquierdo.
    • Haz clic en el enlace Mostrar equipos no persistentes.
    • Se muestra la lista de equipos, con el filtro de ordenadores no persistentes aplicado.
  • Ver los equipos persistentes
    • En la barra de navegación superior, selecciona Equipos.
    • Comprueba que todos los equipos clonados se muestran correctamente en la interfaz web.

¡IMPORTANTE! Si ves un único dispositivo en consola o no ves todas los equipos virtuales, debes eliminar el dispositivo de la lista de equipos e iniciar el procedimiento desde cero, reconstruir la imagen gold y desplegarla de nuevo en los equipos afectados.

Gestionar Licencias
Si sigues el procedimiento correctamente y completas el paso de borrar el registro del agente habiendo configurado la opción Is a gold image, cada vez que se arranque un equipo nuevo, se calculará su identificador de equipo y se determinará si el equipo es uno nuevo, o un equipo existente.
En entornos no persistentes, si se ha configurado el número máximo de equipos activos concurrentemente para las imágenes no persistentes, la gestión de licencias la hará automáticamente el servidor, siempre que haya licencias disponibles y no se supere el límite de concurrencia establecido.
En entornos persistentes, si se trabaja con múltiples equipos que ya no se usan, será necesario eliminarlos de la base de datos para liberar licencias, al igual que con los equipos físicos. Esto es posible desde la consola Aether pulsando en la opción Borrar, ya sea seleccionando previamente los equipos, o desde el menú, uno a uno.

Ayuda nº- 20240109 700050 ES
SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

Contacta con nuestros técnicos:

Escribe un email
SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

¿Eres un Partner o cliente de WatchGuard y necesitas ayuda con los productos Panda?

+ Info