Instalar mediante generación de imágenes gold

Sigue los pasos exactos que se muestran en este apartado para generar y desplegar imágenes Windows con Advanced EPDR instalado. De no seguir el procedimiento tal y como se indica, las capacidades de gestión y de protección de tu producto de seguridad se verán reducidas, y se dejarán de monitorizar las acciones ejecutadas por los procesos en los equipos clonados.

En redes grandes formadas por muchos equipos homogéneos, el procedimiento de instalación del sistema operativo y del software que lo acompaña puede automatizarse generando una imagen gold (también conocida como imagen “master”, “base”, "maqueta" o imagen “plataforma”). Posteriormente, esta imagen se distribuye a todos los equipos de la red, lo que evita gran parte del proceso manual de instalación desde cero.

Para generar una imagen gold, es necesario instalar en un equipo de la red el sistema operativo ya actualizado junto a todo el software que el usuario vaya a necesitar, incluyendo las herramientas de seguridad. Una vez listo el equipo, es necesario utilizar un software de virtualización para "sellar" o "cerrar" la instalación y distribuirla en los equipos de la red. Para obtener información especifica de tu solución de virtualización, consulta la documentación de tu proveedor.

Plataformas de virtualización compatibles

• VMware Workstation

• VMware Server

• VMware ESX

• VMware ESXi

• Citrix XenDesktop

• XenApp

• XenServer

• MS Virtual Desktop

• MS Virtual Servers

Conceptos básicos y herramientas necesarias

Identificador de los equipos VDI

Advanced EPDR genera un identificador único en el proceso de instalación, que se utiliza internamente para referenciar a cada equipo en la consola de administración.

Si Advanced EPDR se instala una única vez en la imagen gold que posteriormente se copiará en los equipos de la red pero no se instala de forma individual en cada uno de los equipos, todos los equipos clonados heredarán el mismo identificador.

Compartir un mismo identificador en varios equipos tiene las siguientes consecuencias negativas:

• Se reducen las capacidades de gestión: la consola de administración solo muestra un equipo, generalmente el primero que se integró en ella. El resto de equipos clonados no serán accesibles desde la consola de Advanced EPDR.

• Se reducen las capacidades de protección del software de seguridad.

• Se dejan de monitorizar las acciones ejecutadas por los procesos.

Para evitar compartir un mismo identificador en varios equipos, es necesario seguir un protocolo de preparación de la imagen muy estricto que tiene como fin generar una imagen gold sin identificador. Este protocolo incluye:

• Borrar el identificador de la imagen gold

• Desactivar el servicio de protección

Borrar el identificador de la imagen gold

Descarga la herramienta gratuita Endpoint Agent Tool en la página web de soporte de Cytomicen la siguiente URL (contraseña panda):

https://www.pandasecurity.com/resources/tools/endpointagenttool.zip

Desactivar el servicio de protección

Muchas soluciones de virtualización inician de forma transparente la imagen gold recién creada como parte del proceso de preparación y despliegue. Esto provoca que Advanced EPDR se inicie, y al detectar que su identificador fue borrado, genera un identificador nuevo, e invalida a imagen generada. Para evitar este escenario, es necesario desactivar el servicio de protección antes de cerrar la imagen gold y programar su lanzamiento mediante métodos alternativos en el inicio de los equipos clonados.

Hay varias formas para ejecutar este paso; la más popular y tratada en este apartado es mediante una GPO si el equipo pertenece a un dominio Windows. Si éste no es el caso, existen otras soluciones alternativas: 

• Las soluciones de virtualización pueden incorporar este tipo de herramientas, como por ejemplo Horizon en VMWare.

• RMMs como Panda Systems Management.

• Herramientas como PDQ Deploy, PSExec de Sysinternals, PowerShell de Microsoft, o scripts que utilicen WMI, entre muchos otros.

Activar y desactivar la actualización de Advanced EPDR

En entornos no persistentes donde el sistema de almacenamiento de los equipos clonados se borra cada cierto tiempo, es importante evitar la actualización del software de protección. Esta tarea se delega en el mantenimiento de la imagen gold, para evitar el consumo de red generado por los equipos clonados y un excesivo uso de la CPU en el sistema anfitrión.

Para seguir los procedimientos que permiten generar con éxito una imagen gold, es necesario asignar configuraciones que activan y/o desactivan la actualización de Advanced EPDR en el equipo a clonar:

• Para activar o desactivar la actualización del agente, consulta Actualización del agente de comunicaciones.

• Para activar o desactivar la actualización de la protección, consulta Actualización del motor de protección.

• Para asignar configuraciones a equipos, consulta Gestión de configuraciones.

• Para obtener más información acerca de los grupos en Advanced EPDR, consulta Árbol de grupos.

Ya que en algunos escenarios es necesario alternar entre un juego de configuraciones y otro, se recomienda crear dos grupos en la consola de administración: uno con las configuraciones asignadas que activan las actualizaciones de Advanced EPDR y otro con las configuraciones que las desactivan. De esta forma, para activar o desactivar las actualizaciones solo será necesario mover el equipo que contiene la imagen gold de un grupo a otro en la consola.

Adicionalmente, siempre que se hable de un cambio de configuración en la consola de Advanced EPDR, es recomendable seguir el procedimiento mostrado a continuación para asegurarse de que el cambio de configuración se recibe en el equipo utilizado para generar la imagen gold:

• Mover el equipo al grupo adecuado para que herede las configuraciones.

• En el área de notificaciones de la barra de tarea de Windows, haz clic con el botón derecho del ratón sobre el icono de Advanced EPDR. Se mostrará un menú desplegable.

• Selecciona Sincronizar. Esto forzará la descarga en el equipo de las configuraciones de seguridad pendientes de recibir desde el servidor.

Crear y desplegar una imagen gold en entornos VDI persistentes

Pasos a ejecutar en el equipo que genera la imagen gold

• Instala el sistema operativo actualizado y los programas que necesitarán los usuarios.

• Comprueba que hay conexión a Internet y que la MAC de la tarjeta de red es estática.

• Instala Advanced EPDR según los pasos mostrados en Generar el paquete de instalación y despliegue manual en un grupo con las actualizaciones activadas.

• Ejecuta la herramienta Endpoint Agent Tool, selecciona las opciones Detections, Counters y Check commands, y haz clic en el botón Send.

• Comprueba que la casilla de selección Is a gold image NO está marcada.

• Si el equipo está protegido por AntiTamper, escribe la contraseña en AntiTamper password; si no, deja este campo en blanco.

• Haz clic en el botón Prepare image.

• Deshabilita el servicio Panda Endpoint Agent.

• Apaga el equipo y genera la imagen con el software de administración de entornos virtuales que utilices.

Pasos a ejecutar para activar el servicio de protección

Este procedimiento activa el servicio Panda Endpoint Agent en los equipos clonados mediante una GPO:

• Dentro de la configuración de la GPO, navega la ruta Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent.

• El servicio aparecerá como Deshabilitado. Cámbialo a Automático.

Para conocer más detalles sobre las GPOs, consulta la URL https://www.microsoft.com/es-ES/download/details.aspx?id=21895 .

Crear, desplegar y mantener una imagen gold para entornos VDI no persistentes

Pasos a ejecutar en el equipo que genera la imagen gold

• Instala el sistema operativo actualizado y los programas que necesitarán los usuarios.

• Comprueba que el equipo tiene conexión a Internet .

• Instala Advanced EPDR según los pasos mostrados en Generar el paquete de instalación y despliegue manual en un grupo con las actualizaciones desactivadas.

• Mueve el equipo a un grupo con las actualizaciones activadas.

• Si la persistencia de los equipos clonados será inferior a una semana, es recomendable, aunque no estrictamente necesario, precargar las cachés de Advanced EPDR. Sigue uno de estos dos métodos:

  • En la herramienta Endpoint Agent Tool haz clic en el botón Start cache scan y espera a que el proceso termine.

  • o

  • Haz clic con el botón derecho del ratón en el icono de Advanced EPDR en la barra de notificaciones de Windows.

  • Haz clic en Antivirus y protección avanzada.

  • Haz clic en el botón Analizar ahora y espera a que el proceso termine.

• Ejecuta la herramienta Endpoint Agent Tool, selecciona las opciones Detections, Counters y Check commands, y haz clic en Send.

• Comprueba que la casilla de selección Is a gold image SÍ está marcada.

• Si el equipo está protegido por AntiTamper, escribe la contraseña en AntiTamper password; si no, deja este campo en blanco.

• Haz clic en el botón Prepare image.

• Deshabilita el servicio Panda Endpoint Agent.

• Apaga el equipo para generar la imagen con el software de administración de entornos virtuales que utilices.

Pasos a ejecutar en la consola de administración de Advanced EPDR

• Haz clic en el menú superior Configuración y en el panel lateral Entornos VDI .

• Define el máximo número de equipos VDI no persistentes que estarán activos simultáneamente.

Pasos para activar el servicio de protección

Este procedimiento activa el servicio Panda Endpoint Agent en los equipos clonados mediante una GPO:

• Dentro de la configuración de la GPO, navega la ruta Computer Configuration, Policies, Windows Settings, Security Settings, System Services, Panda Endpoint Agent.

• El servicio aparecerá como Deshabilitado. Cámbialo a Automático.

Ppara conocer más detalles sobre las GPO, consulta la URL https://www.microsoft.com/es-ES/download/details.aspx?id=21895

Mantener la imagen gold en entornos VDI no persistentes

Dado que los equipos VDI tienen asignada una configuración de actualización deshabilitada, para que reciban la última versión de la protección y del fichero de firmas, es necesario actualizar la imagen gold de forma manual por lo menos una vez al mes. Para ello, accede al equipo que tiene instalada la imagen gold y sigue los pasos mostrados a continuación:

• Comprueba que el equipo tiene conexión a Internet.

• Mueve el equipo a un grupo con las actualizaciones activadas.

• Las actualizaciones se hacen en segundo plano, por lo que es necesario esperar varios minutos para completar el proceso. Si hay una versión nueva de la protección, se solicitará el reinicio del equipo. En este caso, tras el reinicio se recomienda volver a forzar una sincronización para asegurar que Advanced EPDR está totalmente actualizado y con la configuración correcta.

• Precarga las cachés de Advanced EPDR. Sigue uno de estos dos métodos:

  • En la herramienta Endpoint Agent Tool haz clic en el botón Start cache scan y espera a que el proceso termine.

  • o

  • Haz clic con el botón derecho del ratón en el icono de Advanced EPDR en la barra de notificaciones de Windows.

  • Haz clic en Antivirus y protección avanzada.

  • Haz clic en el botón Analizar ahora y espera a que el proceso termine.

• En la herramienta Endpoint Agent Tool selecciona las opciones Detections, Counters y Check commands, y haz clic en Send.

• Comprueba que la casilla de selección Is a gold image SI está marcada.

• Si el equipo está protegido por AntiTamper, escribe la contraseña en AntiTamper password; de lo contrario, deja este campo en blanco.

• Haz clic en el botón Prepare image.

• Apaga el equipo para generar la imagen con el software de administración de entornos virtuales que utilices.

• Sustituye en el entorno VDI la imagen anterior por la nueva obtenida.

• Repite este proceso de mantenimiento una vez al mes por lo menos.

Comprobar que el proceso de clonación es correcto

No existe una fórmula única para comprobar que los equipos clonados son correctos en todos los escenarios posibles, pero a continuación se ofrece una lista de comprobación mínima.

Mostrar los equipos VDI persistentes y no persistentes

Un síntoma de no haber seguido correctamente el procedimiento de generación de imágenes gold, es la aparición de un número de equipos VDI en la consola de administración de Advanced EPDR menor que el realmente instalado en el parque informático. En este caso, las capacidades de gestión y de protección de tu producto de seguridad se verán severamente reducidas.

Para obtener un listado de los equipos VDI no persistentes, sigue los pasos mostrados a continuación:

• En el menú superior Configuración, panel lateral Entornos DVI haz clic en el enlace Mostrar los equipos no persistentes.

• Se mostrará el listado de equipos con el filtro Equipos no persistentes configurado.

Para obtener un listado de los equipos VDI persistentes, sigue los pasos mostrados a continuación:

• En el menú superior Equipos, haz clic en el icono de carpeta en el panel lateral. Se mostrará el árbol de grupos.

• Haz clic en el nodo raíz Todos. En el panel derecho se mostrarán todos los equipos integrados en la consola de Advanced EPDR.

• Comprueba que todos los equipos persistentes están incluidos en el listado.

Comprobar el estado de las actualizaciones de Advanced EPDR en los equipos clonados

• En el menú superior Equipos, haz clic en el icono de carpeta en el panel lateral. Se mostrará el árbol de grupos.

• Localiza en el panel de la derecha los equipos persistentes y no persistentes.

• Por cada equipo clonado haz clic en su nombre. Se abrirá una ventana con el detalle.

• Haz clic en la pestaña Configuración. Se mostrarán las configuraciones aplicadas en el equipo.

• Comprueba que las configuraciones Ajustes por equipo y Seguridad para estaciones y servidores tienen los valores correctos:

  • Para equipos persistentes las actualizaciones deben estar activadas.

  • Para equipos no persistentes las actualizaciones deben estar desactivadas.