Soporte técnico

¿Necesitas ayuda?

 

Cómo crear una imagen para entornos virtuales persistentes y no persistentes (VDI) en Windows con productos basados en Aether Platform

Información aplicable a:

Productos
Panda Adaptive Defense 360 on Aether PlatformPanda Adaptive Defense on Aether Platform
Panda Endpoint Protection on Aether PlatformPanda Endpoint Protection Plus on Aether Platform

INFORMACIÓN IMPORTANTE QUE DEBES LEER CON ATENCIÓN ANTES DE COMENZAR

Es crítico seguir este procedimiento al pie de la letra y paso a paso y que una vez finalizado, verifiques que todos los equipos clonados aparecen en la consola de administración.

¡ATENCIÓN!
Es importante clonar correctamente los equipos porque, en caso contrario, habrá consecuencias que afectarán a la visibilidad de las acciones monitorizadas, a la fiabilidad de la Protección Avanzada y por ende, se pueda comprometer la seguridad de tu infraestructura.

Si al finalizar el proceso, únicamente aparece un dispositivo clonado en la consola, es necesario repetir el procedimiento, volver a generar la imagen gold y desplegarla en el resto de los equipos nuevamente. Si tienes dudas, contacta con Soporte Técnico.

Situación
En redes grandes con equipos de similares características, se puede automatizar el proceso para instalar el sistema operativo y otro software con una imagen gold, también denominada plantilla, imagen maestra, imagen base o imagen clonada. A continuación, se despliega la imagen gold en todos los equipos de la red, lo que elimina la mayor parte del trabajo manual necesario para configurar un nuevo equipo. Para generar una imagen gold, instala un sistema operativo actualizado con todo el software que puedan necesitar los usuarios, como las herramientas de seguridad, en un equipo de tu red.

Este artículo explica paso a paso cómo instalar la protección de Panda Security en entornos persistentes y no persistentes (entornos VDI - Virtual Desktop Infrastructure) sobre la plataforma Aether. Por sus características, los equipos o instancias virtuales requieren de un procedimiento específico que garantice que las imágenes o plantillas a usar en los entornos virtuales estén actualizadas, optimizadas y sin previa identificación de máquina de forma que cuando se inicie el equipo virtual se registre de forma unívoca en la consola.

Se preparará una plantilla (entornos persistentes) o bien una imagen gold (entornos no persistentes) que se desplegará en los equipos virtuales de la red. Es importante seguir el procedimiento para:

  1. Asegurar la actualización del motor y del conocimiento.
  2. Optimizar los recursos y el consumo de ancho de banda en el caso de entornos no persistentes.
  3. Asegurar que las instancias virtuales se identifican de forma unívoca.

Prerrequisitos

  • Para entornos persistentes, los equipos deben disponer de direcciones MACs fijas.
  • El equipo utilizado para la generación de la imagen gold o plantilla, debe tener conexión a Internet.

Compatibilidades
En líneas generales, el procedimiento descrito funciona* en los siguientes tipos de máquinas virtuales:

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Servers

*Ten en cuenta las consideraciones indicadas al inicio del artículo.

Procedimiento para Entornos Persistentes
En un entorno VDI persistente, la información almacenada en el disco duro del equipo persiste entre los reinicios. Por lo tanto, para crear una plantilla basta con configurar las actualizaciones de la protección de Panda Adaptive Defense 360. Después de instalar una versión actualizada del sistema operativo y todos los programas que los usuarios necesitan, crea la plantilla

+ FASE I - PREPARAR LA MÁQUINA DESDE LA QUE SE GENERA LA PLANTILLA - FASE I - PREPARAR LA MÁQUINA DESDE LA QUE SE GENERA LA PLANTILLA

  1. Desde la consola del producto, crea un grupo llamado Virtual machines donde alojar por una parte la plantilla y las máquinas virtuales. Para ello, sigue estos pasos:

    • Selecciona la pestaña Equipos.
    • Selecciona Mi organización desde el menú de la izquierda.
    • Selecciona Añadir grupo.

  2. Crea un perfil de configuración con actualizaciones automáticas del agente de Adaptive Defense 360 activadas. Para ello, sigue estos pasos:

    • Accede a la pestaña Configuración
    • Selecciona Ajustes por equipo
    • Pulsa Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen.
    • Comprueba que están activadas las Actualizaciones Automáticas del Motor de la protección.

    • Asigna esta configuración al grupo creado para la plantilla (Grupo Virtual machines).
  3. Ahora, pulsa la pestaña Configuración, selecciona Estaciones y servidores en la sección Seguridad.
    • Pulsa Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen y que tiene activadas las actualizaciones automáticas del conocimiento.
    • Selecciona General y activa las Actualizaciones Automáticas.

    • Asigna esta configuración al grupo creado para la plantilla (Grupo Virtual machines).
  4. Instala el agente y la protección en el grupo Virtual machines:
    • Accede a la pestaña Equipos, selecciona el grupo de la plantilla (Grupo Virtual machines) y pulsa Añadir equipos. Se descargará el instalador.

    • Instala el agente en la plantilla y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección, se configurará y se actualizará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola, con icono verde. Este equipo dispondrá de la protección y el conocimiento actualizado.
  5. Ejecuta la herramienta Endpoint Agent Tool (contraseña panda) en el equipo con la plantilla.
    • Selecciona las opciones que se muestran en la siguiente imagen (Detections, Counters y Check commands) y pulsa Send, o bien, pulsa el icono de la protección con el botón derecho y selecciona la opción Sincronizar.

    • Elimina el registro del equipo, sin marcar la opción Is a gold image.
      • Si el equipo está protegido por AntiTamper, introduce la contraseña en AntiTamper password; de lo contrario, deja este campo en blanco.
      • Después, pulsa el botón Prepare image.
        Esto eliminará el registro del agente de la plantilla, de tal forma que las máquinas virtuales ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.


  6. ¡ATENCIÓN! Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente antes de que se genere la plantilla para tus instancias virtuales.

    ¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.
  7. Accede a las herramientas de administración de entornos virtuales y genera la plantilla. Si tienes dudas sobre este paso, consulta con tu proveedor.

+ FASE II - MODIFICAR EL TIPO DE INICIO DEL SERVICIO PANDA - FASE II - MODIFICAR EL TIPO DE INICIO DEL SERVICIO PANDA
Una vez completada la personalización de la VM desplegada, modifica el tipo de inicio del servicio Panda Endpoint Agent a Automático. Existen diversos métodos para ello dependiendo del sistema de despliegue de VDIs, por ejemplo, a través de GPO para máquinas dentro de un dominio o sino a través de aplicaciones de script como Horizon, Windows Logon, etc.
IMPORTANTE: Si el servicio del agente se habilita durante la preparación de la máquina virtual, antes de finalizar, es posible que distintos dispositivos se clonen de forma incorrecta.

Ejemplo a través de GPO
En este ejemplo, explicamos cómo cambiar el tipo de inicio del servicio Panda Endpoint Agent a través de GPO. Este método es viable si la imagen gold se encontraba en un grupo de trabajo y se integra en el Directorio Activo al finalizar la personalización. Sigue los pasos que se indican a continuación:
  1. Accede a la configuración de GPO y navega a la siguiente ruta: Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent.
  2. El servicio estará deshabilitado. Cambia la configuración a Automático para que se modifique en el siguiente arranque y así pueda integrarse con la consola.

    El informe para el GPO se ve así:

Procedimiento para Entornos VDI No Persistentes
En un entorno VDI no persistente, se crean dos perfiles de configuración de seguridad; uno para actualizar la imagen gold cuando se prepara y con fines de mantenimiento, y otro para desactivar las actualizaciones cuando se ejecuta la imagen gold porque no tiene sentido actualizar Panda si el sistema de almacenamiento del ordenador vuelve a su estado original con cada reinicio. El procedimiento para gestionar entornos VDI no persistentes consta de tres fases.

+ FASE I – PREPARAR Y GENERAR IMAGEN GOLD - FASE I – PREPARAR Y GENERAR IMAGEN GOLD

Antes de generar la imagen gold, es necesario preparar la máquina desde la que se va a crear:
  1. Instala/actualiza el sistema operativo con las aplicaciones del cliente.
  2. Desde la consola del producto, crea un grupo donde alojar, por una parte, la imagen gold (Grupo Gold or template image) y por otra parte, un grupo donde alojar las máquinas virtuales (Grupo Virtual machines).
    • Grupo Gold or template image
      • Accede a la pestaña Configuración, Ajustes por equipo y crea una configuración que servirá para las futuras actualizaciones de la imagen.
      • Comprueba que están activadas las actualizaciones automáticas del motor de la protección.
      • Establece el reinicio automático para asegurarnos que el equipo se actualiza.

      • Asigna esta configuración al grupo creado para la imagen gold (Grupo Gold or template image).
      • Ahora, pulsa la pestaña Configuración, selecciona Estaciones y servidores en la sección Seguridad para crear una configuración que servirá para las futuras actualizaciones de la imagen.
      • Comprueba que están activadas las actualizaciones automáticas del conocimiento.
      • Asigna esta configuración al grupo creado para la imagen gold (Grupo Gold or template image).
    • Grupo Virtual machines
      Las instancias virtuales parten de la imagen gold actualizada. Para optimizar los recursos del servidor VDI y reducir el consumo de ancho de banda, es necesario desactivar las actualizaciones siguiendo los siguientes pasos:
      • Crea otra configuración de Ajustes por equipo que tenga las actualizaciones desactivadas y asígnala al grupo de máquinas virtuales.

      • Deshabilita las actualizaciones de conocimiento en la configuración de Seguridad para Estaciones y servidores, y asigna esta configuración al grupo de máquinas virtuales (Grupo Virtual machines).

  3. Instala el agente y la protección en el grupo Virtual machines para generar la imagen gold:
    • Accede a la pestaña Equipos, selecciona el grupo de la imagen gold (Grupo Virtual machines) y pulsa Añadir equipos. Se descargará el instalador.
    • Instala el agente en la maquina usada para crear la imagen gold y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección y se configurará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola.
  4. Mueve la máquina con la imagen gold a su grupo Gold o template image para que reciba la configuración de actualización. Te recomendamos que desde el equipo, pulses el icono de la protección Panda con el botón derecho para forzar la sincronización y que reciba la configuración y comience a actualizarse. Las actualizaciones se realizan en segundo plano, por lo que debes esperar varios minutos para asegurar que se ha actualizado todo correctamente.
  5. Ejecuta la herramienta Endpoint Agent Tool (contraseña panda) en el equipo con la imagen gold.
    • Aunque no es obligatorio, en entornos no-persistentes con niveles de persistencia inferiores a una semana, te recomendamos realizar un análisis de la máquina, pulsando el botón Start cache scan. Si tienes Adaptive Defense 360, puedes analizar la partición concreta desde el menú contextual.
      Este análisis permite rellenar la caché de goodware y preparar la protección para partir de un estado adecuado para imágenes virtuales. Esta operación puede llevar algo de tiempo, en función del contenido del disco duro. Por favor, espera hasta que te avise de que ha finalizado la operación.
    • Selecciona las opciones que se muestran en la siguiente imagen (Detections, Counters y Check commands) y pulsa Send o bien, pulsa el icono de la protección con el botón derecho del ratón y selecciona Sincronizar.

    • Elimina el registro del equipo, marcando la opción Is a gold image.
      • Si el equipo está protegido por AntiTamper, introduce la contraseña en AntiTamper password; de lo contrario, deja este campo en blanco.
      • Después, pulsa el botón Prepare image. Esto eliminará el registro del agente de la imagen gold, de tal forma que las instancias ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.

        ¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.

  6. ¡IMPORTANTE! Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente al usar esta imagen gold en las instancias virtuales.

    Este punto es crítico para que se genere un ID específico para cada máquina virtual.
  7. Accede a las herramientas de administración de VDI y generar la imagen gold. Si tienes dudas sobre este paso, consulta con tu proveedor.
  8. Puedes definir en la sección Entornos VDI de la consola, el máximo número de máquinas que estarán activas simultáneamente. Esto permitirá una gestión automática de las licencias que consumen estas máquinas, por lo que no habría que hacer ningún paso adicional para eliminarlas de la plataforma Aether y recuperar la licencia.

+ FASE II - MODIFICAR EL TIPO DE INICIO DEL SERVICIO PANDA - FASE II - MODIFICAR EL TIPO DE INICIO DEL SERVICIO PANDA
Una vez completada la personalización de la VM desplegada, modifica el tipo de inicio del servicio Panda Endpoint Agent a Automático. Existen diversos métodos para ello dependiendo del sistema de despliegue de VDIs, por ejemplo, a través de GPO para máquinas dentro de un dominio o sino a través de aplicaciones de script como Horizon, Windows Logon, etc.

IMPORTANTE: Si el servicio del agente se habilita durante la preparación de la máquina virtual, antes de finalizar, es posible que distintos dispositivos se clonen de forma incorrecta.

Ejemplo a través de GPO
En este ejemplo, explicamos cómo cambiar el tipo de inicio del servicio Panda Endpoint Agent a través de GPO. Este método es viable si la imagen gold se encontraba en un grupo de trabajo y se integra en el Directorio Activo al finalizar la personalización. Sigue los pasos que se indican a continuación:
  1. Primero, tienes que crear un GPO. Para ello, dentro de la configuración de GPO, navega a la siguiente ruta: Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent.
  2. El servicio estará deshabilitado y se deberá cambiar la configuración a Automático para que se modifique en el siguiente arranque y así pueda integrarse con la consola.

    El informe para el GPO se ve así:

+ FASE III – MANTENIMIENTO DE LA IMAGEN GOLD - FASE III – MANTENIMIENTO DE LA IMAGEN GOLD
Periódicamente, al menos una vez al mes, es imprescindible actualizar el agente, la protección y las firmas de la imagen gold creada. Hay que tener en cuenta que las actualizaciones son muy necesarias para garantizar la máxima protección y poder hacer frente a los nuevos métodos de ataque utilizados por los hackers.
Para actualizar la imagen gold se debe proceder del siguiente modo:

  1. Arranca la máquina donde está instalada la imagen gold.
  2. Accede a servicios, localiza el servicio del agente Panda Endpoint Agent y asegúrate de que el Tipo de inicio es Automático y el Estado del servicio es En Ejecución.
  3. En la consola, mueve la máquina con la imagen gold al grupo (Grupo Gold or template image) para asegurarse de que tiene asignada las configuraciones correctas con las actualizaciones de motor y conocimientos activadas.
  4. Pulsa con el botón derecho del ratón el icono de la protección en el área de notificaciones de la barra de tareas y fuerza una tarea de sincronización, para asegurar que se reciben las actualizaciones pertinentes.
    • Las actualizaciones se hacen en segundo plano por lo que debes esperar varios minutos para asegurar que se ha actualizado todo correctamente.
    • Si hay una nueva versión de la protección, solicitará reiniciar y se reiniciará automáticamente (según habíamos configurado previamente en la configuración de Ajustes por equipo).

      En este caso, tras el reinicio, recomendamos volver a forzar una sincronización tras el reinicio para asegurar que el producto está totalmente actualizado y con la configuración correcta.
  5. Ejecuta la herramienta Endpoint Agent Tool (contraseña panda) en el equipo con la imagen gold.
    • Realiza un análisis de la máquina, pulsando el botón Start cache scan. Esto permite rellenar la caché de goodware y prepara la protección para partir de un estado adecuado para imágenes virtuales. Esta operación puede llevar algo de tiempo, en función del contenido del disco duro. Por favor, espera hasta que te avise de que ha finalizado la operación.
    • Selecciona las opciones que se muestran en la siguiente imagen (Detections, Counters y Check commands) y pulsa Send o bien, pulsa el icono de la protección con el botón derecho del ratón y selecciona Sincronizar.

    • Elimina el registro del equipo, marcando la opción Is a gold image.
      • Si el equipo está protegido por Anti-Tamper, introduce la contraseña en Anti-Tamper password; de lo contrario, deja este campo en blanco.
      • Después, pulsa el botón Prepare image.
        Esto eliminará el registro del agente de la imagen gold, de tal forma que las instancias ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.



        ¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.
  6. Accede a los servicios y configura el Tipo de inicio del servicio Panda Endpoint Agent como Deshabilitado.
Verificar el Procedimiento
Es esencial asegurarse de que ha seguido el procedimiento correctamente.
  • Ver los equipos no persistentes
    Panda Adaptive Defense 360 utiliza el FQDN (Fully Qualified Domain Name) para identificar los equipos cuyo ID ha sido eliminado mediante la herramienta Endpoint Agent Tool y están marcados como imagen gold.
    Para obtener una lista de ordenadores VDI no persistentes, sigue los siguientes pasos:
    • Desde la barra de navegación superior, ve a Configuración.
    • Haz clic en Entornos VDI en el panel izquierdo.
    • Haz clic en el enlace Mostrar equipos no persistentes.
    • Se muestra la lista de ordenadores, con el filtro de ordenadores no persistentes aplicado.
  • Ver ordenadores persistentes
    • En la barra de navegación superior, selecciona Equipos.
    • Comprueba que todos los equipos clonados se muestran correctamente en la interfaz web.
¡IMPORTANTE! Si ves un único dispositivo en consola o no ves todas las máquinas virtuales, debes eliminar el dispositivo de la lista de ordenadores e iniciar el procedimiento desde cero, reconstruir la imagen gold y desplegarla de nuevo en los equipos afectados.

Gestionar Licencias
Si se sigue el procedimiento correctamente, es decir, si se completa el paso de borrar el registro del agente habiendo marcado o desmarcado correctamente la opción Is a gold image como corresponde, entonces, cada vez que se arranque una máquina nueva, se calculará su identificador de máquina y se determinará si el equipo es un equipo nuevo, o bien un equipo ya existente en función del entorno previamente seleccionado.

En entornos no persistentes, si se ha configurado el número máximo de máquinas activas concurrentemente para las imágenes no persistentes, la gestión de licencias la hará automáticamente el servidor, siempre que haya licencias disponibles y no se supere el límite de concurrencia establecido.

En entornos persistentes, si se trabaja con múltiples máquinas que ya no se usan, será necesario eliminarlas de la base de datos para liberar licencias, al igual que con las máquinas físicas. Esto es posible desde la consola Aether pulsando en la opción Borrar, ya sea seleccionando previamente las máquinas o desde el menú de los tres puntitos, una a una.
Ayuda nº- 20230309 700050 ES

¿Has resuelto tu consulta con este artículo?

no

Gracias por tu respuesta


¿Cómo mejoraría este artículo?




¿Desea Contactar con Soporte?

SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

Contacta con nuestros técnicos:

Escribe un email
SIEMPRE ONLINE PARA AYUDARTE TWITTER FORO

¿Eres un Partner o cliente de WatchGuard y necesitas ayuda con los productos Panda?

+ Info