Cómo crear una imagen para entornos virtuales persistentes y no persistentes (VDI) en Windows con productos basados en Advanced EPDR/EDR
Productos_
- Advanced EPDR
- Advanced EDR
INFORMACIÓN IMPORTANTE QUE DEBES LEER ANTES DE COMENZAR
Es crítico seguir este procedimiento al pie de la letra y paso a paso y que una vez finalizado, verifiques que todos los equipos clonados aparecen en la consola de administración.
¡ATENCIÓN!
Es importante clonar correctamente los equipos porque, en caso contrario, habrá consecuencias que afectarán a la visibilidad de las acciones monitorizadas, a la fiabilidad de la Protección Avanzada y por ende, se pueda comprometer la seguridad de tu infraestructura.
Si al finalizar el proceso, únicamente aparece un dispositivo clonado en la consola, es necesario repetir el procedimiento, volver a generar la imagen gold y desplegarla en el resto de los equipos nuevamente. Para cualquier duda, contacta con Advanced EPDR/EDR Support Services.
Situación_
En redes grandes formadas por muchos equipos homogéneos, el procedimiento de instalación del sistema operativo y del software que lo acompaña puede automatizarse generando una imagen gold (también conocida como imagen “master”, “base”, “maqueta” o imagen “plataforma”). Posteriormente, esta imagen se distribuye a todos los equipos de la red, lo que evita gran parte del proceso manual de instalación desde cero.
Para generar una imagen gold, es necesario instalar en un equipo de la red el sistema operativo ya actualizado junto a todo el software que el usuario vaya a necesitar, incluyendo las herramientas de seguridad. Una vez listo el equipo, es necesario utilizar un software de virtualización para “sellar” o “cerrar” la instalación y distribuirla en los equipos de la red. Para obtener información específica de tu solución de virtualización, consulta la documentación de tu proveedor.
Se preparará una plantilla (entornos persistentes) o bien una imagen gold (entornos no persistentes) que se desplegará en los equipos virtuales de la red.
En entornos persistentes, la información almacenada en el disco duro del equipo persiste entre los reinicios. Por lo tanto, debes instalar una versión actualizada del sistema operativo con todos los programas que los usuarios necesiten y después, crear la plantilla con las actualizaciones de la protección de tu producto configuradas.
En entornos no persistentes, se crearán dos perfiles de configuración de seguridad; uno para actualizar la imagen gold cuando se prepara y con fines de mantenimiento, y otro para desactivar las actualizaciones cuando se ejecuta la imagen gold, ya que no procede actualizar el software cliente cuando el sistema de almacenamiento del equipo vuelve a su estado original con cada reinicio.
Este artículo explica paso a paso cómo instalar la protección de Advanced EPDR/EDR en entornos persistentes y no persistentes (entornos VDI – Virtual Desktop Infrastructure) sobre la plataforma Advanced EPDR/EDR. Por sus características, los equipos o instancias virtuales requieren de un procedimiento específico que garantice que las imágenes o plantillas a usar en los entornos virtuales estén actualizadas, optimizadas y sin previa identificación de máquina de forma que cuando se inicie el equipo virtual se registre de forma unívoca en la consola.
Es importante seguir el procedimiento para:
- Asegurar la actualización del motor y del conocimiento.
- Optimizar los recursos y el consumo de ancho de banda en el caso de entornos no persistentes.
- Asegurar que las instancias virtuales se identifican de forma unívoca.
Prerrequisitos_
- Para entornos persistentes, los equipos deben disponer de direcciones MACs fijas.
- El equipo utilizado para la generación de la imagen gold o plantilla, debe tener conexión a Internet.
- La herramienta Endpoint Agent Tool para Windows requiere permisos de administración y se puede ejecutar en modo gráfico y en línea de comandos. Si la ejecutas desde un fichero de proceso por lotes .bat o .cmd, debes usar el comando start /wait “”.
Por ejemplo, si la instrucción a ejecutar es: EndpointAgentTool.exe /sg el comando a escribir es:start /wait “” “C:\Path\EndpointAgentTool.exe” /sg
Compatibilidades_
En líneas generales, el procedimiento descrito funciona* en los siguientes tipos de máquinas virtuales:
- VMware Workstation
- VMware Server
- VMware ESX
- VMware ESXi
- Citrix XenDesktop
- XenApp
- XenServer
- MS Virtual Desktop
- MS Virtual Servers
Procedimiento para Entornos Persistentes_
Pasos para preparar la máquina desde la que se generará la plantilla:
Fase I - Preparar el equipo desde el que se genera la plantilla
- Instala/actualiza el sistema operativo con las aplicaciones del cliente.
- Desde la consola del producto, crea un grupo donde alojar por una parte la plantilla y las máquinas virtuales (Grupo Virtual machines). Para ello, sigue estos pasos:
- Selecciona la pestaña Equipos.
- Selecciona Mi organización desde el menú de la izquierda.
- Selecciona Añadir grupo.
- Crea un perfil de configuración con actualizaciones automáticas del agente de Adaptive Defense 360 activadas. Para ello, sigue estos pasos:
- Accede a la pestaña Configuración.
- Selecciona Ajustes por equipo.
- Haz clic en Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen.
- Comprueba que están activadas las actualizaciones automáticas del motor de la protección.
- Asigna esta configuración al grupo creado para la plantilla (Grupo Virtual machines).
- Haz clic en la pestaña Configuración y selecciona Estaciones y servidores en la sección Seguridad.
- Haz clic en Añadir y crea una configuración que servirá para las futuras actualizaciones de la imagen y que tenga activadas las actualizaciones automáticas del conocimiento.
- Selecciona General y activa las Actualizaciones automáticas de conocimiento.
- Asigna esta configuración al grupo creado para la plantilla (Grupo Virtual machines).
- Instala el agente y la protección en el grupo Virtual machines:
- Accede a la pestaña Equipos, selecciona el grupo de la plantilla (Grupo Virtual machines) y pulsa Añadir equipos para descargar el instalador.
- Instala el agente en la plantilla y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección, se configurará y se actualizará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola, con icono verde. Este equipo dispondrá de la protección y el conocimiento actualizado.
- Descarga Endpoint Agent Tool para Windows , descomprime y ejecuta la herramienta en el equipo con la plantilla.
- En la sección Non exclusive events, selecciona las opciones Detections, Counters y Check commands y pulsa Send, o bien, pulsa el icono de la protección con el botón derecho y selecciona la opción Sincronizar.Línea de comandos equivalente: EndpointAgentTool.exe /d /c /cmd
- Elimina el ID del equipo . Para ellos, deja sin marcar la casilla de verificación Is a gold image.
- Si el equipo está protegido por AntiTamper, introduce la contraseña en el campo AntiTamper password.Línea de comandos equivalente: EndpointAgentTool.exe /pei /atp:antitamperpassword
Si no tiene contraseña, no añadas el parámetro atp. - Pulsa el botón Prepare image. Se eliminará el registro del agente de la plantilla, de tal forma que las máquinas virtuales ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Aether.¡ATENCIÓN! Este punto es crítico para conseguir que las diferentes máquinas virtuales se identifiquen en consola de forma unívoca.
- ¡ATENCIÓN! Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente antes de que se genere la plantilla para tus instancias virtuales.
- Accede a las herramientas de administración de entornos virtuales y genera la plantilla. Si tienes dudas sobre este paso, consulta con tu proveedor.
Fase II - Modificar el tipo de inicio del servicio Endpoint Agent de Advanced EDR/EPDR
Una vez completada la personalización de la VM desplegada, modifica el tipo de inicio del servicio Panda Endpoint Agent a Automático. Existen diversos métodos para ello dependiendo del sistema de despliegue de VDIs, por ejemplo, a través de GPO para máquinas dentro de un dominio o sino a través de aplicaciones de script como Horizon, Windows Logon, etc.
IMPORTANTE: Si el servicio del agente se habilita durante la preparación de la máquina virtual, antes de finalizar, es posible que distintos dispositivos se clonen de forma incorrecta.
Ejemplo a través de GPO
En este ejemplo, explicamos cómo cambiar el tipo de inicio del servicio Panda Endpoint Agent a través de GPO. Este método es viable si la imagen gold se encontraba en un grupo de trabajo y se integra en el Directorio Activo al finalizar la personalización. Sigue los pasos que se indican a continuación:
- Accede a la configuración de GPO y navega a la siguiente ruta: Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent.
- El servicio estará deshabilitado. Cambia la configuración a Automático para que se modifique en el siguiente arranque y así pueda integrarse con la consola.
El informe para el GPO se ve así:
Procedimiento para Entornos No Persistentes_
El procedimiento para gestionar entornos VDI no persistentes consta de 3 fases:
Fase I - Preparar y Generar la Imagen Gold
Antes de generar la imagen gold, es necesario preparar la máquina desde la que se va a crear:
- Instala/actualiza el sistema operativo con las aplicaciones del cliente.
- Desde la consola del producto, crea un grupo donde alojar, por una parte, la imagen gold (Grupo Gold or template image) y por otra parte, un grupo donde alojar las máquinas virtuales (Grupo Virtual machines).
- Grupo Gold or template image
- Accede a la pestaña Configuración, Ajustes por equipo y crea una configuración que servirá para las futuras actualizaciones de la imagen.
- Comprueba que están activadas las actualizaciones automáticas del motor de la protección.
- Establece el reinicio automático para asegurarnos que el equipo se actualiza.
- Asigna esta configuración al grupo creado para la imagen gold (Grupo Gold or template image).
- Ahora, pulsa la pestaña Configuración, selecciona Estaciones y servidores en la sección Seguridad para crear una configuración que servirá para las futuras actualizaciones de la imagen.
- Comprueba que están activadas las actualizaciones automáticas del conocimiento.
- Asigna esta configuración al grupo creado para la imagen gold (Grupo Gold or template image).
- Grupo Virtual machines
Las instancias virtuales parten de la imagen gold actualizada. Para optimizar los recursos del servidor VDI y reducir el consumo de ancho de banda, es necesario desactivar las actualizaciones siguiendo los siguientes pasos:- Crea otra configuración de Ajustes por equipo que tenga las actualizaciones desactivadas y asígnala al grupo de máquinas virtuales.
- Deshabilita las actualizaciones de conocimiento en la configuración de Seguridad para Estaciones y servidores, y asigna esta configuración al grupo de máquinas virtuales (Grupo Virtual machines).
- Crea otra configuración de Ajustes por equipo que tenga las actualizaciones desactivadas y asígnala al grupo de máquinas virtuales.
- Grupo Gold or template image
- Instala el agente y la protección en el grupo Virtual machines para generar la imagen gold:
- Accede a la pestaña Equipos, selecciona el grupo de la imagen gold (Grupo Virtual machines) y pulsa Añadir equipos. Se descargará el instalador.
- Instala el agente en la maquina usada para crear la imagen gold y espera a que finalice la ventana de progreso. Durante ese tiempo, se instalará automáticamente la protección y se configurará. Una vez finalizada la instalación, el equipo aparecerá en el listado de equipos protegidos de la consola.
- Mueve la máquina con la imagen gold, a su grupo Gold o template image para que reciba la configuración de actualizarse. Te recomendamos que desde el equipo, pulses el icono del osito con el botón derecho para forzar la sincronización y que reciba la configuración y comience a actualizarse. Las actualizaciones se realizan en segundo plano, por lo que debes esperar varios minutos para asegurar que se ha actualizado todo correctamente.
- Descarga la herramienta Endpoint Agent Tool para Windows, descomprímela y ejecútala en el equipo con la imagen gold.
- Aunque no es obligatorio, en entornos no-persistentes con niveles de persistencia inferiores a una semana, te recomendamos realizar un análisis de la máquina, pulsando el botón Start cache scan. Si tienes Advanced EDR/EPDR, puedes analizar la partición concreta desde el menú contextual.
Esto permite rellenar la caché de goodware y prepara la protección para partir de un estado adecuado para imágenes virtuales. Esta operación puede llevar algo de tiempo, en función del contenido del disco duro. Por favor, espera hasta que te avise de que ha finalizado la operación.Línea de comandos equivalente: EndpointAgentTool.exe /sg
Recuerda que si utilizas un fichero de proceso por lotes .bat o .cmd, debes usar este comando:start /wait “” “C:\RutadelaHerramienta\EndpointAgentTool.exe” /sg - En la sección Non exclusive events, selecciona las opciones Detections, Counters y Check commands y pulsa Send, o bien, pulsa el icono de la protección con el botón derecho y selecciona la opción Sincronizar.Línea de comandos equivalente:EndpointAgentTool.exe /d /c /cmd
- Elimina el registro del equipo, marcando la opción Is a gold image.
- Si el equipo está protegido por AntiTamper, introduce la contraseña en el campo AntiTamper password.Línea de comandos equivalente:EndpointAgentTool.exe /pei /gi /atp:antitamperpassword
Si no tiene contraseña, no es necesario pasar el parámetro atp.
- Pulsa el botón Prepare image. Esto eliminará el registro del agente de la imagen gold, de tal forma que las instancias ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Advanced EDR/EPDR.
¡ATENCIÓN! Este punto es crítico para que se genere un ID específico para cada máquina virtual.
- Aunque no es obligatorio, en entornos no-persistentes con niveles de persistencia inferiores a una semana, te recomendamos realizar un análisis de la máquina, pulsando el botón Start cache scan. Si tienes Advanced EDR/EPDR, puedes analizar la partición concreta desde el menú contextual.
- Deshabilita el servicio Panda Endpoint Agent para que el servicio no arranque automáticamente al usar esta imagen gold en las instancias virtuales.
- Accede a las herramientas de administración de VDI y generar la imagen gold. Si tienes dudas sobre este paso, consulta con tu proveedor.
- Si lo deseas, puedes definir en la sección Entornos VDI de la consola, el máximo número de máquinas que estarán activas simultáneamente. Esto permitirá una gestión automática de las licencias que consumen estas máquinas, por lo que no habría que hacer ningún paso adicional para eliminarlas de la plataforma Advanced EDR/EPDR y recuperar la licencia.
Fase II - Modificar el tipo de inicio del servicio Endpoint Agent de Advanced EDR/EPDR
Una vez completada la personalización de la VM desplegada, modifica el tipo de inicio del servicio Panda Endpoint Agent a Automático. Existen diversos métodos para ello dependiendo del sistema de despliegue de VDIs, por ejemplo, a través de GPO para máquinas dentro de un dominio o sino a través de aplicaciones de script como Horizon, Windows Logon, etc.
IMPORTANTE: Si el servicio del agente se habilita durante la preparación de la máquina virtual, antes de finalizar, es posible que distintos dispositivos se clonen de forma incorrecta.
Ejemplo a través de GPO
En este ejemplo, explicamos cómo cambiar el tipo de inicio del servicio Panda Endpoint Agent a través de GPO. Este método es viable si la imagen gold se encontraba en un grupo de trabajo y se integra en el Directorio Activo al finalizar la personalización. Sigue los pasos que se indican a continuación:
- Accede a la configuración de GPO y navega a la siguiente ruta: Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent.
- El servicio estará deshabilitado. Cambia la configuración a Automático para que se modifique en el siguiente arranque y así pueda integrarse con la consola.
El informe para el GPO se ve así:
Fase III. Mantenimiento de la imagen gold
Periódicamente, al menos una vez al mes, es imprescindible actualizar el agente, la protección y las firmas de la imagen gold creada. Hay que tener en cuenta que las actualizaciones son muy necesarias para garantizar la máxima protección y poder hacer frente a los nuevos métodos de ataque utilizados por los hackers.
Para actualizar la imagen gold se debe proceder del siguiente modo:
- Arranca la máquina donde está instalada la imagen gold.
- En la consola, mueve el equipo con la imagen gold al grupo (Grupo Gold or template image) para asegurarse de que tiene asignada las configuraciones correctas con las actualizaciones de motor y conocimientos activadas.
- Haz clic en el botón derecho del ratón sobre el icono de la protección en el área de notificaciones de la barra de tareas y fuerza una tarea de sincronización, para asegurar que se reciben las actualizaciones pertinentes.
- Las actualizaciones se hacen en segundo plano por lo que debes esperar varios minutos para asegurar que se ha actualizado todo correctamente.
- Si hay una nueva versión de la protección, solicitará reiniciar y se reiniciará automáticamente (según habíamos configurado previamente en la configuración de Ajustes por equipo).En este caso, tras el reinicio, recomendamos volver a forzar una sincronización tras el reinicio para asegurar que el producto está totalmente actualizado y con la configuración correcta.
- Descarga, descomprime y ejecuta la herramienta Endpoint Agent Tool para Windows en el equipo con la imagen gold.
- Realiza un análisis de la máquina, pulsando el botón Start cache scan. Esto permite rellenar la caché de goodware y prepara la protección para partir de un estado adecuado para imágenes virtuales. Esta operación puede llevar algo de tiempo, en función del contenido del disco duro. Por favor, espera hasta que te avise de que ha finalizado la operación.Línea de comandos equivalente: EndpointAgentTool.exe /sg
Recuerda que si utilizas un fichero de proceso por lotes .bat o .cmd, debes usar este comando:start /wait “” “C:\RutadelaHerramienta\EndpointAgentTool.exe” /sg
- En la sección Non exclusive events, selecciona las opciones que se muestran en la siguiente imagen (Detections, Counters y Check commands) y pulsa Send, o bien, pulsa el icono de la protección con el botón derecho y selecciona la opción Sincronizar.Línea de comandos equivalente: EndpointAgentTool.exe /d /c /cmd
- Elimina el registro del equipo, marcando la opción Is a gold image.
- Si el equipo está protegido por AntiTamper, introduce la contraseña en el campo Anti-Tamper password. De lo contrario, deja este campo en blanco.Línea de comandos equivalente:
EndpointAgentTool.exe /pei /gi /atp:antitamperpassword
- Haz clic en el botón Prepare image y asegúrate de que la casilla Is a gold image está seleccionada. Con estos pasos, se elimina el registro del agente de la imagen gold, de tal forma que las instancias ejecutadas obtendrán su ID correspondiente al ejecutarse y conectar por primera vez con Cytomic Platform.
¡ATENCIÓN! Este punto es crítico para conseguir que las diferentes instancias virtuales se identifiquen en consola de forma unívoca.
- Realiza un análisis de la máquina, pulsando el botón Start cache scan. Esto permite rellenar la caché de goodware y prepara la protección para partir de un estado adecuado para imágenes virtuales. Esta operación puede llevar algo de tiempo, en función del contenido del disco duro. Por favor, espera hasta que te avise de que ha finalizado la operación.Línea de comandos equivalente: EndpointAgentTool.exe /sg
Verificar Procedimiento_
Es esencial asegurarse de que has seguido el procedimiento correctamente.
- Ver los equipos no persistentes
Advanced EDR/EPDR utiliza el FQDN (Fully Qualified Domain Name) para identificar los equipos cuyo ID ha sido eliminado mediante el programa Advanced EDR/EPDR Endpoint Tool y están marcados como imagen gold.
Para obtener una lista de ordenadores VDI no persistentes, sigue los siguientes pasos:- Desde la barra de navegación superior, ve a Configuración.
- Haz clic en Entornos VDI en el panel izquierdo.
- Haz clic en el enlace Mostrar equipos no persistentes.
Se muestra la lista de ordenadores, con el filtro de ordenadores no persistentes aplicado.
- Ver ordenadores persistentes
- En la barra de navegación superior, selecciona Equipos.
- Comprueba que todos los equipos clonados se muestran correctamente en la interfaz web.
¡IMPORTANTE! Si ves un único dispositivo en consola o no ves todas las máquinas virtuales, debes eliminar el dispositivo de la lista de ordenadores e iniciar el procedimiento desde cero, reconstruir la imagen gold y desplegarla de nuevo en los equipos afectados.
Gestión de Licencias_
Si se sigue el procedimiento correctamente, es decir, si se completa el paso de borrar el registro del agente habiendo marcado o desmarcado correctamente la opción Is a gold image como corresponde, entonces, cada vez que se arranque una máquina nueva, se calculará su identificador de máquina y se determinará si el equipo es un equipo nuevo, o bien un equipo ya existente en función del entorno previamente seleccionado.
- En entornos no persistentes, si se ha configurado el número máximo de máquinas activas concurrentemente para las imágenes no persistentes, la gestión de licencias la hará automáticamente el servidor, siempre que haya licencias disponibles y no se supere el límite de concurrencia establecido.
- En entornos persistentes, si se trabaja con múltiples máquinas que ya no se usan, será necesario eliminarlas de la base de datos para liberar licencias, al igual que con las máquinas físicas. Esto es posible desde la consola Advanced EPDR/EDR pulsando en la opción Borrar, ya sea seleccionando previamente las máquinas o desde el menú de los tres puntitos, una a una.
