Creazione di immagini gold e clonazione di nuovi dispositivi

È possibile creare immagini gold dal software di protezione Sophos. La procedura è supportata su computer e server Windows, se si utilizza il thin installer con versioni aggiornate dei core agent. Le versioni richieste sono le seguenti:

Windows 10 o versioni successive
Windows Server 2016 o versioni successive
Thin Installer versione 1.14 o successiva
Sophos Core Agent versione 2022.1.0.78 o successiva
Sophos Server Core Agent versione 2022.1.0.78 o successiva

Quando si utilizzano virtual machine in una Virtual Desktop Infrastructure (VDI), è possibile creare nuove virtual machine da un’immagine gold. L’immagine gold funge da modello per le virtual machine. Bisogna accertarsi che ogni nuova virtual machine abbia un’identità diversa dal dispositivo utilizzato come immagine gold.

È possibile creare immagini gold da Endpoint Protection o Server Protection per la creazione di nuove virtual machine. Seguire queste istruzioni per installare Endpoint Protection o Server Protection su un’immagine gold, in modo che ogni istanza di una virtual machine eseguita da quella singola immagine gold ottenga un’identità univoca. Queste virtual machine verranno registrate come dispositivi in Sophos Central Admin. Successivamente, sarà possibile gestirle in Sophos Central Admin.

Restrizione

Non è possibile creare un’immagine gold per un server che esegue le funzionalità Lockdown del server o Cache degli aggiornamenti.

Per assistenza con l’installazione di Endpoint Protection, vedere Endpoint Protection.

Per assistenza con l’installazione di Server Protection, vedere Server Protection.

Per assistenza con la configurazione del firewall o del proxy in modo da abilitare la comunicazione tra Sophos Central Admin e i endpoint gestiti, vedere Domini e porte da autorizzare.

Questo video offre ulteriori informazioni su come configurare un’immagine gold.

Preparazione dell’immagine

Aggiornare il dispositivo che si desidera utilizzare per l’immagine, in modo che sia il sistema operativo che le app siano configurati come si desidera.

Configurazione dell’immagine

È possibile creare una nuova installazione su un nuovo dispositivo. Per farlo, procedere come segue:

Installare Endpoint Protection o Server Protection utilizzando l’opzione con immagine gold ed eventuali altre opzioni applicabili.
Eseguire uno dei seguenti comandi:
- SophosSetup.exe --goldimage: eseguire questo comando per effettuare l’installazione utilizzando la modalità di timeout.
- SophosSetup.exe --goldimage --notificationmode: eseguire questo comando per effettuare l’installazione utilizzando la modalità di notifica. Per maggiori informazioni sulla modalità di notifica per l’immagine gold, vedere Modalità di notifica per l’immagine gold.
Questo comando indica che il dispositivo è un’immagine gold e installa tutte le opzioni per le quali si ha una licenza.

Nota

Questo comando richiede una sola esecuzione, per configurare il software in modo che consideri il dispositivo come un’immagine gold. Se si ha già un dispositivo utilizzato come immagine gold che non segue questo processo, eseguire il comando sul dispositivo, in modo che inizi a utilizzarlo.

Assicurarsi che il Blocco rimozione sia disattivato sul dispositivo che ospita l’immagine gold.

Per maggiori informazioni sul Blocco rimozione, vedere le seguenti pagine:
- Disattiva Blocco rimozione
- Recupero di un sistema nel quale è attivato il Blocco rimozione
Durante la creazione dell’immagine gold, si possono utilizzare alcune delle opzioni di installazione tramite riga di comando di Sophos. Le opzioni disponibili sono le seguenti:
- Installazione dei prodotti selezionati nell’immagine gold, con l’opzione --products.
  
  Esempio
  
  SophosSetup.exe --goldimage --products=antivirus crea un’immagine gold nella quale sono installati solo i prodotti antivirus.
- Assegnazione dei dispositivi clonati a un gruppo, con l’opzione --devicegroup.
  
  Esempio
  
  SophosSetup.exe --goldimage --devicegroup=Virtual crea un’immagine gold nella quale sono installati tutti i prodotti per i quali si possiede una licenza. I dispositivi clonati da quell’immagine verranno aggiunti a un gruppo chiamato "Virtual" in Sophos Central Admin.

Vedere Opzioni della riga di comando del programma di installazione per Windows.

Al termine dell’installazione, sarà possibile spegnere il dispositivo con l’immagine gold.

Avviso

Assicurarsi che il Blocco rimozione venga riattivato una volta completata l’installazione.

Sarà ora possibile creare virtual machine o cloni. Se si desidera aggiornare l’immagine gold, riavviare il dispositivo.

Come Sophos procede per determinare se la virtual machine è un clone

Quando si avvia una virtual machine, viene applicata una modifica al nome del dispositivo, per determinare se si sta avviando un nuovo clone. Se il nome viene modificato, la configurazione Sophos esistente verrà rimossa e procederemo a registrare un nuovo dispositivo in Sophos Admin Central. Questo clone verrà gestito come un dispositivo a sé stante.

Se non viene applicata alcuna modifica al nome del dispositivo, presumeremo che si sta avviando il dispositivo con l’immagine gold.

Per impostazione predefinita, dopo l’avvio del dispositivo con l’immagine gold attenderemo due minuti prima di stabilire la comunicazione con Sophos Central. Questo accorgimento impedisce la creazione di dispositivi duplicati, se la modifica dell’identità di un nuovo clone dovesse richiedere più tempo del previsto.

Se la modifica dell’identità richiede più tempo dei due minuti predefiniti, utilizzare l’opzione --goldimagetimeout per modificare il valore predefinito.

Esempio

Per impostare il timeout su 4 minuti, aggiungere la seguente opzione al comando di installazione:

--goldimagetimeout=240

Dopo questo intervallo di due minuti, verrà ripristinata la comunicazione regolare con Sophos Central per il dispositivo con l’immagine gold. Sarà quindi possibile aggiornare il sistema operativo, le app, Endpoint Protection o Server Protection.

L’identità verrà verificata a ogni riavvio del dispositivo con l’immagine gold.

Nota

Questo processo funziona solo se tutti i cloni vengono creati dall’immagine gold, non da altri cloni. Se sono presenti cloni che non vengono creati dall’immagine gold, utilizzare il processo manuale o basato su script per creare nuovi cloni. Vedere Come evitare di creare identità duplicate durante l’installazione su un’immagine gold.

Modalità di notifica per l’immagine gold

Dopo aver installato e creato un’immagine gold utilizzando la modalità di notifica, verrà effettuata la registrazione a Sophos Central e la comunicazione sarà consentita fino al riavvio. Al riavvio, la comunicazione verrà disattivata finché non sarà svolta una delle seguenti azioni:

Eseguire GoldImageCli.exe activate.
Dall’agente Sophos Endpoint, cliccare su Informazioni e successivamente su Attiva e aggiorna.

Si verificheranno i seguenti comportamenti:

GoldImageCli.exe non consentirà a un computer di diventare un clone, se il nome del dispositivo non è cambiato. Il processo dell’immagine gold bloccherà questa azione anche se viene tentata manualmente.
GoldImageCli.exe non consentirà l’attivazione di un computer se il nome del dispositivo è cambiato.

Esecuzione di uno script post-sincronizzazione

Quando si crea un pool di cloni istantanei in VMware Horizon, è possibile eseguire uno script post-sincronizzazione. Questo script può essere eseguito al termine del processo di clonazione sulle virtual machine finali che vengono prodotte.

Per eseguire uno script post-sincronizzazione, procedere come segue:

In *Post-Synchronization Script Name* (Nome dello script post-sincronizzazione), inserire il percorso del programma di installazione GoldImageCli.exe.

Esempio

C:\Program Files\Sophos\AutoUpdate\GoldImageCli.exe
In Post-Synchronization Script Parameters (Parametri dello script post-sincronizzazione), inserire il comando clone.

Al termine del processo, sarà disponibile un pool di virtual machine pronte per l’accesso, tutte registrate a Sophos Central e contenenti i dettagli dell’endpoint corretti.