CrowdStrike installeren op Windows

Er zijn twee manieren om de CrowdStrike EDR op Windows te installeren: handmatig via een grafische interface of automatisch via de opdrachtregel. Als u de EDR op grote schaal wilt uitrollen met de automatische methode, raden wij aan te beginnen met een handmatige testinstallatie op een paar endpoints.

Uitvoerbaar bestand en klant-ID

• Download het uitvoerbare bestand vanaf deze link.

• Vind uw klant-ID op de Endpoint pagina > Instellingen.

Handmatige methode

Grafische methode

• Voer het uitvoerbare bestand uit op het endpoint

• Voer de klant-ID in het veld Customer ID with Checksum in

• Klik op Installeren

Console

• Open een console op uw endpoint

• Voer de volgende opdracht in: <file_name>.exe /install /quiet /norestart CID=customer_ID, waarbij u customer_ID vervangt door uw klant-ID

Bijzondere gevallen

• Tags toevoegen: u kunt ervoor kiezen één of meer tags toe te voegen om uw installaties te organiseren (per locatie, land, entiteit, enz.). Gebruik in dat geval de volgende opdracht: <file_name>.exe /install /quiet /norestart CID=customer_ID GROUPING_TAGS="INSERT_TAGS_HERE". U kunt meerdere tags opgeven door ze met komma's van elkaar te scheiden.

• EDR uitrollen op een tijdelijk offline machine. U moet de ProvNoWait=1 optie toevoegen. Houd er rekening mee dat de CrowdStrike EDR nog steeds een internetverbinding nodig heeft om correct te functioneren, met name om gedetecteerde meldingen te verzenden.

Automatische methode

Via GPO

1. Plaats het uitvoerbare bestand in een map die toegankelijk is vanaf alle werkstations

   1. Haal het CrowdStrike-uitvoerbare bestand op

   2. Plaats het bestand op een server die toegankelijk is vanaf alle werkstations, bijvoorbeeld de bestandsserver. Noteer het pad, bijvoorbeeld \ServerName\SharedFolder\Crowdstrike<file_name>.exe

2. Maak het installatiescript

   1. Maak een nieuw tekstbestand, bijvoorbeeld met Notepad++, en sla het op als InstallCrowdStrike.bat

   2. Voer de opdrachten in die uitgevoerd moeten worden, zoals aangegeven in de Console-sectie. Opmerking: u moet het volledige pad naar het uitvoerbare bestand opgeven. Bijvoorbeeld kan de opdracht zijn: \ServerName\SharedFolder\Crowdstrike<file_name>.exe /install /quiet /norestart CID=customer_ID, waarbij u customer_ID vervangt door uw klant-ID

3. Maak een GPO om het script uit te voeren

   1. Open de Group Policy Management Console (GPMC): Windows + R > gpmc.msc en druk op Enter

   2. Klik met de rechtermuisknop op de container waar u de GPO wilt toepassen

   3. Klik Create a new group policy Objeco in this domain and link it here, en geef het een naam (bijvoorbeeld CrowdStrike Deployment)

   4. Voeg het script toe:

      1. Kopieer het script naar de map \\<server_name>\SysVol<domain_name>\Policies<GPO_GUID>\Machine\Scripts\Startup zodat het voor iedereen toegankelijk is

      2. Ga terug naar de Group Policy Management Console (GPMC), klik met de rechtermuisknop op de nieuwe GPO en selecteer Bewerken

      3. Ga naar Computerconfiguratie > Beleidsregels > Windows-instellingen > Scripts (Opstarten/Shutdown)

      4. Dubbelklik op Opstarten, en klik vervolgens op Toevoegen

      5. Klik in het geopende venster op Bladeren, en selecteer vervolgens het eerder geschreven InstallCrowdStrike.bat script.

4. Pas de GPO toe

   1. Zorg ervoor dat de GPO correct is gekoppeld aan de juiste container

   2. Gebruik gpupdate /force op een domeincontroller om de beleidsupdate af te dwingen

   3. Controleer de toepassing:

      1. Start een doelmachine opnieuw op om het script te activeren

      2. Voer de opdracht uit gpresult /h gpresults.html en controleer of uw nieuwe GPO op de machine aanwezig is

      3. Controleer of CrowdStrike op deze machine is geïnstalleerd en operationeel

Bij problemen: raadpleeg het logbestand van het opstartscript op de clientmachines: C:\Windows\Debug\StartupLog.txt

Via MDM (Intune of NinjaOne)

Voor Intune:

1. Download de benodigde componenten

   1. Download Win32 Content Prep Tool

   2. Download het CrowdStrike-uitvoerbare bestand van deze link

2. Open de Win32 Content Prep Tool

   1. Voeg het .exe-bestand toe

   2. Voer de volgende opdracht in: file_name.exe /install /quiet /norestart CID=customer_ID. (Dit is het eerder geschreven opstartscript.) Vervang file_name.exe door de daadwerkelijke bestandsnaam en customer_ID door uw CrowdStrike CID.

3. Download het gegenereerde bestand met de naam .intunewin

4. Uitrollen

   1. Meld u aan bij Intune Admin Center (intune.microsoft.com)

   2. Importeer het .intunewin bestand

   3. Wijs het toe aan uw computergroepen

   4. De installatie wordt automatisch uitgevoerd op de doelmachines.

Voor NinjaOne:

• Hier is de link naar een procedure voor het integreren van CrowdStrike met NinjaOne: CrowdStrike with NinjaOne Procedure

Netwerkverkeer openen

Als netwerkverkeer wordt geblokkeerd (bijvoorbeeld op een geïsoleerd lokaal netwerk), moeten de volgende IP-adressen en domeinnamen zijn toegestaan voor uitgaand verkeer:

• 3.121.6.180

• 3.121.187.176

• 3.121.238.86

• 3.125.15.130

• 18.158.187.80

• 18.198.53.88

• 3.78.32.129

• 3.121.13.180

• 3.123.240.202

• 18.184.114.155

• 18.194.8.224

• 35.156.219.65

• 3.69.184.79

• 3.76.143.53

• 3.77.82.22

IPv6-adressen om toe te staan:

• 2a05:d014:45e:4e00::/56 (sta alle adressen toe tussen 2a05:d014:45e:4e00:0000:0000:0000:0000 en 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

• 2a05:d014:45e:4e00::/56 (sta alle adressen toe tussen 2a05:d014:45e:4e00:0000:0000:0000:0000 en 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

• 2a05:d014:45e:4e00::/56 (sta alle adressen toe tussen 2a05:d014:45e:4e00:0000:0000:0000:0000 en 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

Domeinen om toe te staan:

• ts01-lanner-lion.cloudsink.net

• lfoup01-lanner-lion.cloudsink.net

• lfodown01-lanner-lion.cloudsink.net

Debuggen

Als u de EDR-installatie op een machine wilt verifiëren, kunt u de volgende opdrachten uitvoeren: sc query csagent en sc query csfalconservice.