INFORMACIÓN IMPORTANTE QUE DEBES LEER CON ATENCIÓN ANTES DE COMENZAR ¡ATENCIÓN! Si al finalizar el proceso, únicamente aparece un dispositivo clonado en la consola, es necesario repetir el procedimiento, volver a generar la imagen gold y desplegarla en el resto de los equipos nuevamente. Si tienes dudas, contacta con Soporte Técnico. |
Situación
En redes grandes con equipos de similares características, se puede automatizar el proceso para instalar el sistema operativo y otro software con una imagen gold, también denominada plantilla, imagen maestra, imagen base o imagen clonada. A continuación, se despliega la imagen gold en todos los equipos de la red, lo que elimina la mayor parte del trabajo manual necesario para configurar un nuevo equipo. Para generar una imagen gold, instala un sistema operativo actualizado con todo el software que puedan necesitar los usuarios, como las herramientas de seguridad, en un equipo de tu red.
Este artículo explica paso a paso cómo instalar la protección de Panda Security en entornos persistentes y no persistentes (entornos VDI - Virtual Desktop Infrastructure) sobre la plataforma Aether. Por sus características, los equipos o instancias virtuales requieren de un procedimiento específico que garantice que las imágenes o plantillas a usar en los entornos virtuales estén actualizadas, optimizadas y sin previa identificación de máquina de forma que cuando se inicie el equipo virtual se registre de forma unívoca en la consola.
Se preparará una plantilla (entornos persistentes) o bien una imagen gold (entornos no persistentes) que se desplegará en los equipos virtuales de la red. Es importante seguir el procedimiento para:
- Asegurar la actualización del motor y del conocimiento.
- Optimizar los recursos y el consumo de ancho de banda en el caso de entornos no persistentes.
- Asegurar que las instancias virtuales se identifican de forma unívoca.
Prerrequisitos
- Para entornos persistentes, los equipos deben disponer de direcciones MACs fijas.
- El equipo utilizado para la generación de la imagen gold o plantilla, debe tener conexión a Internet.
Compatibilidades
En líneas generales, el procedimiento descrito funciona* en los siguientes tipos de máquinas virtuales:
- VMware Workstation
- VMware Server
- VMware ESX
- VMware ESXi
- Citrix XenDesktop
- XenApp
- XenServer
- MS Virtual Desktop
- MS Virtual Servers
*Ten en cuenta las consideraciones indicadas al inicio del artículo.
Procedimiento para Entornos Persistentes
En un entorno VDI persistente, la información almacenada en el disco duro del equipo persiste entre los reinicios. Por lo tanto, para crear una plantilla basta con configurar las actualizaciones de la protección de Panda Adaptive Defense 360. Después de instalar una versión actualizada del sistema operativo y todos los programas que los usuarios necesitan, crea la plantilla
- Desde la consola del producto, crea un grupo llamado Virtual machines donde alojar por una parte la plantilla y las máquinas virtuales. Para ello, sigue estos pasos:
- Selecciona la pestaña Equipos.
- Selecciona Mi organización desde el menú de la izquierda.
- Selecciona Añadir grupo.
- Crea un perfil de configuración con actualizaciones automáticas del agente de Adaptive Defense 360 activadas. Para ello, sigue estos pasos:
- Accede a la pestaña Configuración
- Selecciona Ajustes por equipo
- Pulsa Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen.
- Comprueba que están activadas las Actualizaciones Automáticas del Motor de la protección.
- Asigna esta configuración al grupo creado para la plantilla (Grupo Virtual machines).
- Ahora, pulsa la pestaña Configuración, selecciona Estaciones y servidores en la sección Seguridad.
- Pulsa Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen y que tiene activadas las actualizaciones automáticas del conocimiento.
- Selecciona General y activa las Actualizaciones Automáticas.
- Asigna esta configuración al grupo creado para la plantilla (Grupo Virtual machines).
- Instala el agente y la protección en el grupo Virtual machines:
- Accede a la pestaña Equipos, selecciona el grupo de la plantilla (Grupo Virtual machines) y pulsa Añadir equipos. Se descargará el instalador.
- Instala el agente en la plantilla y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección, se configurará y se actualizará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola, con icono verde. Este equipo dispondrá de la protección y el conocimiento actualizado.
- Accede a la pestaña Equipos, selecciona el grupo de la plantilla (Grupo Virtual machines) y pulsa Añadir equipos. Se descargará el instalador.
- Ejecuta la herramienta Endpoint Agent Tool (contraseña panda) en el equipo con la plantilla.
- Selecciona las opciones que se muestran en la siguiente imagen (Detections, Counters y Check commands) y pulsa Send, o bien, pulsa el icono de la protección con el botón derecho y selecciona la opción Sincronizar.
- Elimina el registro del equipo, sin marcar la opción Is a gold image.
- Si el equipo está protegido por AntiTamper, introduce la contraseña en AntiTamper password; de lo contrario, deja este campo en blanco.
- Después, pulsa el botón Prepare image.
Esto eliminará el registro del agente de la plantilla, de tal forma que las máquinas virtuales ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.
- Selecciona las opciones que se muestran en la siguiente imagen (Detections, Counters y Check commands) y pulsa Send, o bien, pulsa el icono de la protección con el botón derecho y selecciona la opción Sincronizar.
- ¡ATENCIÓN! Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente antes de que se genere la plantilla para tus instancias virtuales.
¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual. - Accede a las herramientas de administración de entornos virtuales y genera la plantilla. Si tienes dudas sobre este paso, consulta con tu proveedor.
IMPORTANTE: Si el servicio del agente se habilita durante la preparación de la máquina virtual, antes de finalizar, es posible que distintos dispositivos se clonen de forma incorrecta.
Ejemplo a través de GPO
En este ejemplo, explicamos cómo cambiar el tipo de inicio del servicio Panda Endpoint Agent a través de GPO. Este método es viable si la imagen gold se encontraba en un grupo de trabajo y se integra en el Directorio Activo al finalizar la personalización. Sigue los pasos que se indican a continuación:
- Accede a la configuración de GPO y navega a la siguiente ruta: Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent.
- El servicio estará deshabilitado. Cambia la configuración a Automático para que se modifique en el siguiente arranque y así pueda integrarse con la consola.
El informe para el GPO se ve así:
Procedimiento para Entornos VDI No Persistentes
En un entorno VDI no persistente, se crean dos perfiles de configuración de seguridad; uno para actualizar la imagen gold cuando se prepara y con fines de mantenimiento, y otro para desactivar las actualizaciones cuando se ejecuta la imagen gold porque no tiene sentido actualizar Panda si el sistema de almacenamiento del ordenador vuelve a su estado original con cada reinicio. El procedimiento para gestionar entornos VDI no persistentes consta de tres fases.
Antes de generar la imagen gold, es necesario preparar la máquina desde la que se va a crear:
- Instala/actualiza el sistema operativo con las aplicaciones del cliente.
- Desde la consola del producto, crea un grupo donde alojar, por una parte, la imagen gold (Grupo Gold or template image) y por otra parte, un grupo donde alojar las máquinas virtuales (Grupo Virtual machines).
- Grupo Gold or template image
- Accede a la pestaña Configuración, Ajustes por equipo y crea una configuración que servirá para las futuras actualizaciones de la imagen.
- Comprueba que están activadas las actualizaciones automáticas del motor de la protección.
- Establece el reinicio automático para asegurarnos que el equipo se actualiza.
- Asigna esta configuración al grupo creado para la imagen gold (Grupo Gold or template image).
- Ahora, pulsa la pestaña Configuración, selecciona Estaciones y servidores en la sección Seguridad para crear una configuración que servirá para las futuras actualizaciones de la imagen.
- Comprueba que están activadas las actualizaciones automáticas del conocimiento.
- Asigna esta configuración al grupo creado para la imagen gold (Grupo Gold or template image).
- Grupo Virtual machines
Las instancias virtuales parten de la imagen gold actualizada. Para optimizar los recursos del servidor VDI y reducir el consumo de ancho de banda, es necesario desactivar las actualizaciones siguiendo los siguientes pasos:- Crea otra configuración de Ajustes por equipo que tenga las actualizaciones desactivadas y asígnala al grupo de máquinas virtuales.
- Deshabilita las actualizaciones de conocimiento en la configuración de Seguridad para Estaciones y servidores, y asigna esta configuración al grupo de máquinas virtuales (Grupo Virtual machines).
- Crea otra configuración de Ajustes por equipo que tenga las actualizaciones desactivadas y asígnala al grupo de máquinas virtuales.
- Grupo Gold or template image
- Instala el agente y la protección en el grupo Virtual machines para generar la imagen gold:
- Accede a la pestaña Equipos, selecciona el grupo de la imagen gold (Grupo Virtual machines) y pulsa Añadir equipos. Se descargará el instalador.
- Instala el agente en la maquina usada para crear la imagen gold y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección y se configurará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola.
- Mueve la máquina con la imagen gold a su grupo Gold o template image para que reciba la configuración de actualización. Te recomendamos que desde el equipo, pulses el icono de la protección Panda con el botón derecho para forzar la sincronización y que reciba la configuración y comience a actualizarse. Las actualizaciones se realizan en segundo plano, por lo que debes esperar varios minutos para asegurar que se ha actualizado todo correctamente.
- Ejecuta la herramienta Endpoint Agent Tool (contraseña panda) en el equipo con la imagen gold.
- Aunque no es obligatorio, en entornos no-persistentes con niveles de persistencia inferiores a una semana, te recomendamos realizar un análisis de la máquina, pulsando el botón Start cache scan. Si tienes Adaptive Defense 360, puedes analizar la partición concreta desde el menú contextual.
Este análisis permite rellenar la caché de goodware y preparar la protección para partir de un estado adecuado para imágenes virtuales. Esta operación puede llevar algo de tiempo, en función del contenido del disco duro. Por favor, espera hasta que te avise de que ha finalizado la operación. - Selecciona las opciones que se muestran en la siguiente imagen (Detections, Counters y Check commands) y pulsa Send o bien, pulsa el icono de la protección con el botón derecho del ratón y selecciona Sincronizar.
- Elimina el registro del equipo, marcando la opción Is a gold image.
- Si el equipo está protegido por AntiTamper, introduce la contraseña en AntiTamper password; de lo contrario, deja este campo en blanco.
- Después, pulsa el botón Prepare image. Esto eliminará el registro del agente de la imagen gold, de tal forma que las instancias ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.
¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.
- Aunque no es obligatorio, en entornos no-persistentes con niveles de persistencia inferiores a una semana, te recomendamos realizar un análisis de la máquina, pulsando el botón Start cache scan. Si tienes Adaptive Defense 360, puedes analizar la partición concreta desde el menú contextual.
- ¡IMPORTANTE! Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente al usar esta imagen gold en las instancias virtuales.
Este punto es crítico para que se genere un ID específico para cada máquina virtual. - Accede a las herramientas de administración de VDI y generar la imagen gold. Si tienes dudas sobre este paso, consulta con tu proveedor.
- Puedes definir en la sección Entornos VDI de la consola, el máximo número de máquinas que estarán activas simultáneamente. Esto permitirá una gestión automática de las licencias que consumen estas máquinas, por lo que no habría que hacer ningún paso adicional para eliminarlas de la plataforma Aether y recuperar la licencia.
IMPORTANTE: Si el servicio del agente se habilita durante la preparación de la máquina virtual, antes de finalizar, es posible que distintos dispositivos se clonen de forma incorrecta.
Ejemplo a través de GPO
En este ejemplo, explicamos cómo cambiar el tipo de inicio del servicio Panda Endpoint Agent a través de GPO. Este método es viable si la imagen gold se encontraba en un grupo de trabajo y se integra en el Directorio Activo al finalizar la personalización. Sigue los pasos que se indican a continuación:
- Primero, tienes que crear un GPO. Para ello, dentro de la configuración de GPO, navega a la siguiente ruta: Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent.
- El servicio estará deshabilitado y se deberá cambiar la configuración a Automático para que se modifique en el siguiente arranque y así pueda integrarse con la consola.
El informe para el GPO se ve así:
Para actualizar la imagen gold se debe proceder del siguiente modo:
- Arranca la máquina donde está instalada la imagen gold.
- Accede a servicios, localiza el servicio del agente Panda Endpoint Agent y asegúrate de que el Tipo de inicio es Automático y el Estado del servicio es En Ejecución.
- En la consola, mueve la máquina con la imagen gold al grupo (Grupo Gold or template image) para asegurarse de que tiene asignada las configuraciones correctas con las actualizaciones de motor y conocimientos activadas.
- Pulsa con el botón derecho del ratón el icono de la protección en el área de notificaciones de la barra de tareas y fuerza una tarea de sincronización, para asegurar que se reciben las actualizaciones pertinentes.
- Las actualizaciones se hacen en segundo plano por lo que debes esperar varios minutos para asegurar que se ha actualizado todo correctamente.
- Si hay una nueva versión de la protección, solicitará reiniciar y se reiniciará automáticamente (según habíamos configurado previamente en la configuración de Ajustes por equipo).
En este caso, tras el reinicio, recomendamos volver a forzar una sincronización tras el reinicio para asegurar que el producto está totalmente actualizado y con la configuración correcta.
- Ejecuta la herramienta Endpoint Agent Tool (contraseña panda) en el equipo con la imagen gold.
- Realiza un análisis de la máquina, pulsando el botón Start cache scan. Esto permite rellenar la caché de goodware y prepara la protección para partir de un estado adecuado para imágenes virtuales. Esta operación puede llevar algo de tiempo, en función del contenido del disco duro. Por favor, espera hasta que te avise de que ha finalizado la operación.
- Selecciona las opciones que se muestran en la siguiente imagen (Detections, Counters y Check commands) y pulsa Send o bien, pulsa el icono de la protección con el botón derecho del ratón y selecciona Sincronizar.
- Elimina el registro del equipo, marcando la opción Is a gold image.
- Si el equipo está protegido por Anti-Tamper, introduce la contraseña en Anti-Tamper password; de lo contrario, deja este campo en blanco.
- Después, pulsa el botón Prepare image.
Esto eliminará el registro del agente de la imagen gold, de tal forma que las instancias ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.
¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.
- Accede a los servicios y configura el Tipo de inicio del servicio Panda Endpoint Agent como Deshabilitado.
Es esencial asegurarse de que ha seguido el procedimiento correctamente.
- Ver los equipos no persistentes
Panda Adaptive Defense 360 utiliza el FQDN (Fully Qualified Domain Name) para identificar los equipos cuyo ID ha sido eliminado mediante la herramienta Endpoint Agent Tool y están marcados como imagen gold.
Para obtener una lista de ordenadores VDI no persistentes, sigue los siguientes pasos:- Desde la barra de navegación superior, ve a Configuración.
- Haz clic en Entornos VDI en el panel izquierdo.
- Haz clic en el enlace Mostrar equipos no persistentes.
- Se muestra la lista de ordenadores, con el filtro de ordenadores no persistentes aplicado.
- Ver ordenadores persistentes
- En la barra de navegación superior, selecciona Equipos.
- Comprueba que todos los equipos clonados se muestran correctamente en la interfaz web.
Gestionar Licencias
Si se sigue el procedimiento correctamente, es decir, si se completa el paso de borrar el registro del agente habiendo marcado o desmarcado correctamente la opción Is a gold image como corresponde, entonces, cada vez que se arranque una máquina nueva, se calculará su identificador de máquina y se determinará si el equipo es un equipo nuevo, o bien un equipo ya existente en función del entorno previamente seleccionado.
En entornos no persistentes, si se ha configurado el número máximo de máquinas activas concurrentemente para las imágenes no persistentes, la gestión de licencias la hará automáticamente el servidor, siempre que haya licencias disponibles y no se supere el límite de concurrencia establecido.
En entornos persistentes, si se trabaja con múltiples máquinas que ya no se usan, será necesario eliminarlas de la base de datos para liberar licencias, al igual que con las máquinas físicas. Esto es posible desde la consola Aether pulsando en la opción Borrar, ya sea seleccionando previamente las máquinas o desde el menú de los tres puntitos, una a una.