Installer CrowdStrike sur Windows

Il existe deux façons d'installer le CrowdStrike EDR sur Windows : manuellement via une interface graphique ou automatiquement via la ligne de commande. Si vous souhaitez déployer l'EDR à grande échelle en utilisant la méthode automatique, nous recommandons de commencer par une installation de test manuelle sur quelques points de terminaison.

Exécutable et ID client

Téléchargez l'exécutable depuis ce lien.
Trouvez votre ID client sur la Point de terminaison page > Paramètres.

L'exécutable n'est plus valide pour les postes de travail avec une version de Windows antérieure à Windows 7.

Cet exécutable (Falcon Legacy) est destiné à être utilisé avec les systèmes hérités suivants : Windows XP 32 bits - Service Pack 3 ; Windows XP 64 bits - Service Pack 2 ; Windows Server 2003 32 bits et 64 bits - Service Pack 2 ; Windows Server 2003 R2 32 bits et 64 bits - Service Pack 2 ; Windows Vista 32 bits et 64 bits - Service Pack 2 ; Windows Server 2008 32 bits et 64 bits - Service Pack 2 ; Windows Embedded POSReady 2009 ; Windows 8 32 bits et 64 bits ; Windows 8.1 32 bits et 64 bits.

Méthode manuelle

Méthode graphique

Exécutez l'exécutable sur le point de terminaison
Saisissez l'ID client dans le champ Customer ID with Checksum
Cliquez sur Installer

CrowdStrike remplace votre logiciel antivirus actuel. Par conséquent, vous devez le désinstaller complètement avant d'installer CrowdStrike.

Si votre pare-feu est géré par la même solution que votre antivirus et que vous souhaitez le conserver, ne désactivez pas complètement cette solution et laissez le pare-feu tel quel. À l'inverse, si vous souhaitez passer à une autre solution, n'oubliez pas de recréer les règles personnalisées dans votre pare-feu Windows local.

Console

Ouvrez une console sur votre point de terminaison
Saisissez la commande suivante : <file_name>.exe /install /quiet /norestart CID=customer_ID, en remplaçant customer_ID par votre ID client

Cas particuliers

Ajout de balises : vous pouvez choisir d'ajouter une ou plusieurs balises pour organiser vos installations (par site, pays, entité, etc.). Dans ce cas, utilisez la commande suivante : <file_name>.exe /install /quiet /norestart CID=customer_ID GROUPING_TAGS="INSERT_TAGS_HERE". Vous pouvez spécifier plusieurs balises en les séparant par des virgules.
Déploiement de l'EDR sur une machine temporairement hors ligne. Vous devez ajouter l'option ProvNoWait=1 Notez que le CrowdStrike EDR nécessite toujours une connexion Internet pour fonctionner correctement, notamment pour envoyer les alertes détectées.

Méthode automatique

Via GPO

Placez l'exécutable dans un répertoire accessible depuis tous les postes de travail
1. Récupérez l'exécutable CrowdStrike
2. Placez le fichier sur un serveur accessible depuis tous les postes de travail, par exemple le serveur de fichiers. Notez le chemin, par exemple, \\ServerName\\SharedFolder\\Crowdstrike<file_name>.exe
Créez le script d'installation
1. Créez un nouveau fichier texte, par exemple avec Notepad++, et enregistrez-le sous InstallCrowdStrike.bat
2. Saisissez les commandes à exécuter, comme indiqué dans la section Console. Remarque : vous devez spécifier le chemin complet vers l'exécutable. Par exemple, la commande pourrait être : \\ServerName\\SharedFolder\\Crowdstrike<file_name>.exe /install /quiet /norestart CID=customer_ID, en remplaçant customer_ID par votre ID client
Créez une GPO pour exécuter le script
1. Ouvrez la console de gestion des stratégies de groupe (GPMC) : Windows + R > gpmc.msc et appuyez sur Entrée
2. Cliquez avec le bouton droit sur le conteneur où vous souhaitez appliquer la GPO
3. Cliquez sur Créer un nouvel objet de stratégie de groupe dans ce domaine et le lier ici, et donnez-lui un nom (par exemple, Déploiement CrowdStrike)
4. Ajoutez le script :
  1. Copiez le script dans le dossier \\<server_name>\\SysVol<domain_name>\\Policies<GPO_GUID>\\Machine\\Scripts\\Startup afin qu'il soit accessible à tous
  2. Revenez à la console de gestion des stratégies de groupe (GPMC), cliquez avec le bouton droit sur la nouvelle GPO et sélectionnez Modifier
  3. Allez à Configuration de l'ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt)
  4. Double-cliquez sur Démarrage, puis cliquez sur Ajouter
  5. Dans la fenêtre qui s'ouvre, cliquez sur Parcourir, puis sélectionnez le InstallCrowdStrike.bat script.
Appliquez la GPO
1. Assurez-vous que la GPO est correctement liée au conteneur approprié
2. Utilisez gpupdate /force sur un contrôleur de domaine pour forcer la mise à jour de la stratégie
3. Vérifiez l'application :
  1. Redémarrez une machine cible pour déclencher le script
  2. Exécutez la commande gpresult /h gpresults.html et vérifiez que votre nouvelle GPO est présente sur la machine
  3. Vérifiez que CrowdStrike est installé et opérationnel sur cette machine

En cas de problème : consultez le fichier journal du script de démarrage sur les machines clientes : C:\\Windows\\Debug\\StartupLog.txt

Via MDM (Intune ou NinjaOne)

Pour Intune:

Téléchargez les composants nécessaires
1. Télécharger Win32 Content Prep Tool
2. Téléchargez l'exécutable CrowdStrike depuis ce lien
Ouvrez le Win32 Content Prep Tool
1. Ajoutez le fichier .exe
2. Saisissez la commande suivante : file_name.exe /install /quiet /norestart CID=customer_ID. (Ceci est le script de démarrage précédemment écrit.) Remplacez file_name.exe par le nom de fichier réel et customer_ID par votre CID CrowdStrike.
Téléchargez le fichier généré nommé .intunewin
Déployer
1. Connectez-vous au Centre d'administration Intune (intune.microsoft.com)
2. Importez le .intunewin fichier
3. Attribuez-le à vos groupes d'ordinateurs
4. L'installation sera effectuée automatiquement sur les machines cibles.

Pour NinjaOne:

Voici le lien vers une procédure d'intégration de CrowdStrike avec NinjaOne : Procédure CrowdStrike avec NinjaOne

Ouverture du trafic réseau

Si le trafic réseau est bloqué (par exemple, sur un réseau local isolé), les adresses IP et noms de domaine suivants doivent être autorisés pour le trafic sortant :

3.121.6.180
3.121.187.176
3.121.238.86
3.125.15.130
18.158.187.80
18.198.53.88
3.78.32.129
3.121.13.180
3.123.240.202
18.184.114.155
18.194.8.224
35.156.219.65
3.69.184.79
3.76.143.53
3.77.82.22

Adresses IPv6 à autoriser :

2a05:d014:45e:4e00::/56 (autoriser toutes les adresses entre 2a05:d014:45e:4e00:0000:0000:0000:0000 et 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56 (autoriser toutes les adresses entre 2a05:d014:45e:4e00:0000:0000:0000:0000 et 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56 (autoriser toutes les adresses entre 2a05:d014:45e:4e00:0000:0000:0000:0000 et 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

Domaines à autoriser :

ts01-lanner-lion.cloudsink.net
lfoup01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net

L'agent n'exige pas l'ouverture de ports entrants : tout se fait via un trafic sortant sécurisé vers CrowdStrike.

Débogage

Si vous souhaitez vérifier l'installation de l'EDR sur une machine, vous pouvez exécuter les commandes suivantes : sc query csagent et sc query csfalconservice.

PrécédentErreurs lors de la configuration de CrowdStrike EDR SuivantInstaller CrowdStrike sur macOS

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?

hashtagExécutable et ID client

hashtagMéthode manuelle

hashtagMéthode graphique

hashtagConsole

hashtagCas particuliers

hashtagMéthode automatique

hashtagVia GPO

hashtagVia MDM (Intune ou NinjaOne)

hashtagOuverture du trafic réseau

hashtagDébogage