Configurar CrowdStrike en Windows

Hay dos formas de instalar el EDR de CrowdStrike en Windows: manualmente mediante una interfaz gráfica o automáticamente mediante la línea de comandos. Si desea desplegar el EDR a gran escala usando el método automático, recomendamos comenzar con una instalación de prueba manual en unos pocos endpoints.

Ejecutable e ID de cliente

• Descargue el ejecutable desde este enlace.

• Encuentre su ID de cliente en la Endpoint página > Configuración.

Método manual

Método gráfico

• Ejecute el ejecutable en el endpoint

• Ingrese la ID de cliente en el campo Customer ID with Checksum

• Haga clic en Instalar

Consola

• Abra una consola en su endpoint

• Ingrese el siguiente comando: <file_name>.exe /install /quiet /norestart CID=customer_ID, reemplazando customer_ID por su ID de cliente

Casos especiales

• Agregar etiquetas: puede optar por añadir una o más etiquetas para organizar sus instalaciones (por sitio, país, entidad, etc.). En este caso, use el siguiente comando: <file_name>.exe /install /quiet /norestart CID=customer_ID GROUPING_TAGS="INSERT_TAGS_HERE". Puede especificar varias etiquetas separándolas con comas.

• Desplegar el EDR en una máquina temporalmente desconectada. Debe agregar la ProvNoWait=1 opción. Tenga en cuenta que el EDR de CrowdStrike aún requiere una conexión a Internet para funcionar correctamente, en particular para enviar las alertas detectadas.

Método automático

Via GPO

1. Coloque el ejecutable en un directorio accesible desde todas las estaciones de trabajo

   1. Recupere el ejecutable de Crowdstrike

   2. Coloque el archivo en un servidor accesible desde todas las estaciones de trabajo, por ejemplo, el servidor de archivos. Anote la ruta, por ejemplo, \\ServerName\\SharedFolder\\Crowdstrike<file_name>.exe

2. Crear el script de instalación

   1. Cree un nuevo archivo de texto, por ejemplo con Notepad++, y guárdelo como InstallCrowdStrike.bat

   2. Ingrese los comandos a ejecutar, como se indica en la sección Consola. Nota: debe especificar la ruta completa al ejecutable. Por ejemplo, el comando podría ser: \\ServerName\\SharedFolder\\Crowdstrike<file_name>.exe /install /quiet /norestart CID=customer_ID, reemplazando customer_ID por su ID de cliente

3. Crear una GPO para ejecutar el script

   1. Abra la Consola de Administración de Directivas de Grupo (GPMC): Windows + R > gpmc.msc y presione Enter

   2. Haga clic derecho en el contenedor donde desea aplicar la GPO

   3. Haga clic Crear un nuevo objeto de directiva de grupo en este dominio y vincularlo aquí, y asígnele un nombre (por ejemplo, Despliegue de CrowdStrike)

   4. Agregar el script:

      1. Copie el script a la carpeta \\\\<server_name>\\SysVol<domain_name>\\Policies<GPO_GUID>\\Machine\\Scripts\\Startup para que sea accesible a todos

      2. Vuelva a la Consola de Administración de Directivas de Grupo (GPMC), haga clic derecho en la nueva GPO y seleccione Editar

      3. Vaya a Configuración del equipo > Directivas > Configuración de Windows > Scripts (Inicio/Apagado)

      4. Haga doble clic en Inicio, y luego haga clic en Agregar

      5. En la ventana que se abre, haga clic en Examinar, y luego seleccione el InstallCrowdStrike.bat script.

4. Aplicar la GPO

   1. Asegúrese de que la GPO esté correctamente vinculada al contenedor correspondiente

   2. Use gpupdate /force en un controlador de dominio para forzar la actualización de la directiva

   3. Verificar la aplicación:

      1. Reinicie una máquina objetivo para activar el script

      2. Ejecute el comando gpresult /h gpresults.html y verifique que su nueva GPO esté presente en la máquina

      3. Verifique que CrowdStrike esté instalado y operativo en esta máquina

En caso de problemas: consulte el archivo de registro del script de inicio en los equipos clientes: C:\Windows\Debug\StartupLog.txt

Via MDM (Intune o NinjaOne)

Para Intune:

1. Descargue los componentes necesarios

   1. Descargar Win32 Content Prep Tool

   2. Descargue el ejecutable de CrowdStrike desde este enlace

2. Abra la Win32 Content Prep Tool

   1. Agregue el archivo .exe

   2. Ingrese el siguiente comando: file_name.exe /install /quiet /norestart CID=customer_ID. (Este es el script de inicio escrito anteriormente.) Reemplace file_name.exe por el nombre de archivo real y customer_ID por su CID de CrowdStrike.

3. Descargue el archivo generado llamado .intunewin

4. Implementar

   1. Inicie sesión en Intune Admin Center (intune.microsoft.com)

   2. Importe el .intunewin archivo

   3. Asígnelo a sus grupos de equipos

   4. La instalación se realizará automáticamente en las máquinas objetivo.

Para NinjaOne:

• Aquí está el enlace a un procedimiento para integrar CrowdStrike con NinjaOne: Procedimiento de CrowdStrike con NinjaOne

Apertura del tráfico de red

Si el tráfico de red está bloqueado (por ejemplo, en una red local aislada), las siguientes direcciones IP y nombres de dominio deben permitirse para tráfico saliente:

• 3.121.6.180

• 3.121.187.176

• 3.121.238.86

• 3.125.15.130

• 18.158.187.80

• 18.198.53.88

• 3.78.32.129

• 3.121.13.180

• 3.123.240.202

• 18.184.114.155

• 18.194.8.224

• 35.156.219.65

• 3.69.184.79

• 3.76.143.53

• 3.77.82.22

Direcciones IPv6 a permitir:

• 2a05:d014:45e:4e00::/56 (permitir todas las direcciones entre 2a05:d014:45e:4e00:0000:0000:0000:0000 y 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

• 2a05:d014:45e:4e00::/56 (permitir todas las direcciones entre 2a05:d014:45e:4e00:0000:0000:0000:0000 y 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

• 2a05:d014:45e:4e00::/56 (permitir todas las direcciones entre 2a05:d014:45e:4e00:0000:0000:0000:0000 y 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

Dominios a permitir:

• ts01-lanner-lion.cloudsink.net

• lfoup01-lanner-lion.cloudsink.net

• lfodown01-lanner-lion.cloudsink.net

Depuración

Si desea verificar la instalación del EDR en una máquina, puede ejecutar los siguientes comandos: sc query csagent and sc query csfalconservice.