circle-info
Diese Seite wurde automatisch übersetzt und kann nicht bearbeitet werden.
search

CrowdStrike auf Windows einrichten

Es gibt zwei Möglichkeiten, das CrowdStrike EDR auf Windows zu installieren: manuell über eine grafische Benutzeroberfläche oder automatisch über die Befehlszeile. Wenn Sie das EDR großflächig mit der automatischen Methode bereitstellen möchten, empfehlen wir, mit einer manuellen Testinstallation auf einigen Endpunkten zu beginnen.

hashtag
Ausführbare Datei und Kunden-ID

  • Laden Sie die ausführbare Datei von diesem Linkarrow-up-right.

  • Finden Sie Ihre Kunden-ID auf der Endpunkt Seite > Einstellungen.

circle-exclamation

Die ausführbare Datei ist nicht mehr gültig für Workstations mit einer Windows-Version vor Windows 7.

Diese ausführbare Dateiarrow-up-right (Falcon Legacy) ist für die Verwendung mit folgenden älteren Systemen gedacht: Windows XP 32-Bit - Service Pack 3; Windows XP 64-Bit - Service Pack 2; Windows Server 2003 32-Bit und 64-Bit - Service Pack 2; Windows Server 2003 R2 32-Bit und 64-Bit - Service Pack 2; Windows Vista 32-Bit und 64-Bit - Service Pack 2; Windows Server 2008 32-Bit und 64-Bit - Service Pack 2; Windows Embedded POSReady 2009; Windows 8 32-Bit und 64-Bit; Windows 8.1 32-Bit und 64-Bit.

hashtag
Manuelle Methode

hashtag
Grafische Methode

  • Führen Sie die ausführbare Datei auf dem Endpunkt aus

  • Geben Sie die Kunden-ID in das Feld "Customer ID with Checksum" ein

  • Klicken Sie auf Installieren

circle-exclamation

CrowdStrike ersetzt Ihre vorhandene Antivirensoftware. Daher müssen Sie diese vollständig deinstallieren, bevor Sie CrowdStrike installieren.

Wenn Ihre Firewall von derselben Lösung verwaltet wird wie Ihre Antivirensoftware und Sie diese behalten möchten, deaktivieren Sie diese Lösung nicht vollständig und lassen Sie die Firewall unverändert. Wenn Sie hingegen von dieser Lösung wechseln möchten, denken Sie daran, die benutzerdefinierten Regeln in Ihrer lokalen Windows-Firewall neu zu erstellen.

hashtag
Konsole

  • Öffnen Sie eine Konsole auf Ihrem Endpunkt

  • Geben Sie den folgenden Befehl ein: <file_name>.exe /install /quiet /norestart CID=customer_ID, wobei customer_ID durch Ihre Kunden-ID ersetzt wird

hashtag
Sonderfälle

  • Hinzufügen von Tags: Sie können ein oder mehrere Tags hinzufügen, um Ihre Installationen zu organisieren (nach Standort, Land, Einheit usw.). Verwenden Sie in diesem Fall den folgenden Befehl: <file_name>.exe /install /quiet /norestart CID=customer_ID GROUPING_TAGS="INSERT_TAGS_HERE". Sie können mehrere Tags angeben, indem Sie sie durch Kommas trennen.

  • Bereitstellung des EDR auf einem vorübergehend offline befindlichen Rechner. Sie müssen die ProvNoWait=1 Option hinzufügen. Beachten Sie, dass das CrowdStrike EDR weiterhin eine Internetverbindung benötigt, um korrekt zu funktionieren, insbesondere um erkannte Warnungen zu senden.

hashtag
Automatische Methode

hashtag
Über GPO

  1. Platzieren Sie die ausführbare Datei in einem Verzeichnis, das von allen Workstations zugänglich ist

    1. Holen Sie die CrowdStrike-ausführbare Datei

    2. Legen Sie die Datei auf einem Server ab, der von allen Workstations zugänglich ist, zum Beispiel dem Dateiserver. Notieren Sie sich den Pfad, zum Beispiel \\ServerName\\SharedFolder\\Crowdstrike<file_name>.exe

  2. Erstellen Sie das Installationsskript

    1. Erstellen Sie eine neue Textdatei, zum Beispiel mit Notepad++, und speichern Sie sie als InstallCrowdStrike.bat

    2. Geben Sie die auszuführenden Befehle ein, wie im Abschnitt Konsole angegeben. Hinweis: Sie müssen den vollständigen Pfad zur ausführbaren Datei angeben. Zum Beispiel könnte der Befehl lauten: \\ServerName\\SharedFolder\\Crowdstrike<file_name>.exe /install /quiet /norestart CID=customer_ID, wobei customer_ID durch Ihre Kunden-ID ersetzt wird

  3. Erstellen Sie eine GPO, um das Skript auszuführen

    1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC): Windows + R > gpmc.msc und drücken Sie Eingabetaste

    2. Klicken Sie mit der rechten Maustaste auf den Container, auf den Sie die GPO anwenden möchten

    3. Klicken Sie Erstellen Sie in dieser Domäne ein neues Gruppenrichtlinienobjekt und verknüpfen Sie es hier, und geben Sie ihm einen Namen (zum Beispiel CrowdStrike-Bereitstellung)

    4. Fügen Sie das Skript hinzu:

      1. Kopieren Sie das Skript in den Ordner \\<server_name>\\SysVol<domain_name>\\Policies<GPO_GUID>\\Machine\\Scripts\\Startup damit es für alle zugänglich ist

      2. Kehren Sie zur Gruppenrichtlinien-Verwaltungskonsole (GPMC) zurück, klicken Sie mit der rechten Maustaste auf die neue GPO und wählen Sie Bearbeiten

      3. Gehen Sie zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Skripte (Start/Herunterfahren)

      4. Doppelklicken Sie auf Start, und klicken Sie dann auf Hinzufügen

      5. Klicken Sie im sich öffnenden Fenster auf Durchsuchen, und wählen Sie dann das zuvor erstellte InstallCrowdStrike.bat Skript aus.

  4. Wenden Sie die GPO an

    1. Stellen Sie sicher, dass die GPO korrekt mit dem entsprechenden Container verknüpft ist

    2. Verwenden Sie gpupdate /force auf einem Domänencontroller, um die Richtlinienaktualisierung zu erzwingen

    3. Überprüfen Sie die Anwendung:

      1. Starten Sie eine Zielmaschine neu, um das Skript auszulösen

      2. Führen Sie den Befehl aus gpresult /h gpresults.html und prüfen Sie, ob Ihre neue GPO auf der Maschine vorhanden ist

      3. Überprüfen Sie, ob CrowdStrike auf dieser Maschine installiert und funktionsfähig ist

Im Falle von Problemen: Prüfen Sie die Protokolldatei des Startskripts auf den Client-Computern: C:\Windows\Debug\StartupLog.txt

hashtag
Über MDM (Intune oder NinjaOne)

Für Intune:

  1. Laden Sie die notwendigen Komponenten herunter

    1. Herunterladen Win32 Content Prep Toolarrow-up-right

    2. Laden Sie die CrowdStrike-ausführbare Datei herunter von diesem Linkarrow-up-right

  2. Öffnen Sie das Win32 Content Prep Tool

    1. Fügen Sie die .exe-Datei hinzu

    2. Geben Sie den folgenden Befehl ein: file_name.exe /install /quiet /norestart CID=customer_ID. (Dies ist das zuvor geschriebene Startskript.) Ersetzen Sie file_name.exe durch den tatsächlichen Dateinamen und customer_ID durch Ihre CrowdStrike CID.

  3. Laden Sie die generierte Datei mit dem Namen herunter .intunewin

  4. Bereitstellen

    1. Melden Sie sich beim Intune Admin Center an (intune.microsoft.comarrow-up-right)

    2. Importieren Sie die .intunewin Datei

    3. Weisen Sie sie Ihren Computergruppen zu

    4. Die Installation wird automatisch auf den Zielmaschinen durchgeführt.

Für NinjaOne:

hashtag
Netzwerkverkehr öffnen

Wenn der Netzwerkverkehr blockiert ist (z. B. in einem isolierten lokalen Netzwerk), müssen für ausgehenden Verkehr die folgenden IP-Adressen und Domänennamen erlaubt werden:

  • 3.121.6.180

  • 3.121.187.176

  • 3.121.238.86

  • 3.125.15.130

  • 18.158.187.80

  • 18.198.53.88

  • 3.78.32.129

  • 3.121.13.180

  • 3.123.240.202

  • 18.184.114.155

  • 18.194.8.224

  • 35.156.219.65

  • 3.69.184.79

  • 3.76.143.53

  • 3.77.82.22

Zu erlaubende IPv6-Adressen:

  • 2a05:d014:45e:4e00::/56 (erlaube alle Adressen zwischen 2a05:d014:45e:4e00:0000:0000:0000:0000 und 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

  • 2a05:d014:45e:4e00::/56 (erlaube alle Adressen zwischen 2a05:d014:45e:4e00:0000:0000:0000:0000 und 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

  • 2a05:d014:45e:4e00::/56 (erlaube alle Adressen zwischen 2a05:d014:45e:4e00:0000:0000:0000:0000 und 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

Zu erlaubende Domänen:

  • ts01-lanner-lion.cloudsink.net

  • lfoup01-lanner-lion.cloudsink.net

  • lfodown01-lanner-lion.cloudsink.net

circle-info

Der Agent benötigt keine offenen eingehenden Ports: alles erfolgt über sicheren ausgehenden Traffic zu CrowdStrike.

hashtag
Debugging

Wenn Sie die EDR-Installation auf einem Rechner überprüfen möchten, können Sie die folgenden Befehle ausführen: sc query csagent und sc query csfalconservice.

VorherigeFehler bei der CrowdStrike EDR-EinrichtungNächsteCrowdStrike auf MacOS einrichten

Zuletzt aktualisiert

War das hilfreich?