# Configuration de CrowdStrike dans les environnements virtuels

L’installation du capteur Falcon dans un environnement virtuel nécessite une approche spécifique selon que vos VM sont **persistantes** ou **non persistantes**.

{% hint style="warning" %}
L’utilisation de la mauvaise méthode peut entraîner le partage du même ID d’agent (AID) par toutes les VM clonées, ce qui fait apparaître les détections provenant de plusieurs machines comme si elles provenaient d’un seul hôte.
{% endhint %}

{% hint style="info" %}
Ce guide couvre l’installation dans un environnement **VMware vSphere + Citrix Cloud (DaaS) MCS** . Pour les autres hyperviseurs ou technologies de provisioning, consultez leur documentation respective. Pour la documentation complète de Citrix DaaS : <https://docs.citrix.com/en-us/citrix-daas>
{% endhint %}

{% stepper %}
{% step %}

### Déterminez votre type de VM

Avant l’installation, identifiez le type d’environnement VDI avec lequel vous travaillez :

| Type                       | Description                                                                                                                           |
| -------------------------- | ------------------------------------------------------------------------------------------------------------------------------------- |
| **Non persistante**        | La VM ne conserve pas les modifications après le redémarrage. Reconstruite à partir de l’image maître à chaque connexion/redémarrage. |
| **Persistante (statique)** | La VM conserve toutes les modifications après le redémarrage. L’utilisateur se connecte toujours à la même machine.                   |
| {% endstep %}              |                                                                                                                                       |

{% step %}

### Préparez l’image dorée

L’image dorée (également appelée image maître, VM de base ou image de base) doit être correctement configurée avant l’installation du capteur Falcon. Le capteur doit toujours être **le dernier logiciel installé**.

#### Système d’exploitation et réseau

* Installez le système d’exploitation Windows et appliquez toutes les dernières mises à jour Windows.
* Configurez les paramètres réseau (DNS, passerelle) et ouvrez le trafic réseau nécessaire. Reportez-vous à [Trafic réseau](https://docs.stoik.io/stoik-mdr/edr-setup-crowdstrike/edr-main-module/setup-crowdstrike-on-windows#ip-addresses-domains-and-dns-names).
* Joignez la machine au domaine Active Directory.
* Vérifiez la relation d’approbation du domaine :

```powershell
Test-ComputerSecureChannel
```

Résultat attendu : `True`

{% hint style="info" %}
Ne désactivez pas le service **Centre de sécurité Windows** . CrowdStrike exige qu’il soit actif.
{% endhint %}

#### Outils de l’hyperviseur

Installez les outils d’intégration pour votre hyperviseur (Citrix VM Tools, Hyper-V Integration Services ou VMware Tools) **avant** d’installer le VDA et le capteur Falcon.

#### Citrix Virtual Delivery Agent (VDA)

Le VDA doit être installé sur l’image maître avant la création du catalogue de machines.

1. Téléchargez le VDA depuis `Citrix Cloud` > `Téléchargements` > `Virtual Delivery Agent pour Windows Single-session OS`.
2. Exécutez le programme d’installation en tant qu’administrateur.
3. Sur la `Environnement` page, sélectionnez `Créer une image MCS maître`.
4. Sur la `Delivery Controller` page, saisissez le FQDN de votre Citrix Cloud Connector (`Citrix Cloud` > `Emplacements des ressources` > sélectionnez votre emplacement > `Cloud Connectors`).
5. Terminez l’installation et redémarrez.

{% hint style="info" %}
N’exécutez pas Sysprep sur les images maîtres lors de l’utilisation de MCS. MCS gère la généralisation et l’attribution d’une identité unique à chaque VM clonée.
{% endhint %}
{% endstep %}

{% step %}

### Téléchargez le programme d’installation du capteur Falcon

1. Connectez-vous à la console Falcon.
2. Accédez à `Configuration et gestion de l’hôte` > `Déployer` > `Téléchargements du capteur`, ou téléchargez depuis [Stoïk Drive](https://drive.google.com/drive/folders/1uArKoJPk_AEFxijbyv6rW_udiq3joywW).
3. Copiez votre CCID (Customer ID Checksum) affiché sur la même page.
4. Copiez le programme d’installation sur l’image dorée.
   {% endstep %}

{% step %}

### Communiquer les informations à Stoïk

Envoyez les informations suivantes à <protect@stoik.io>:

* Le **convention de nommage** de vos machines VDI (par ex. `SRV-VDA-*`, `VDA-USER-###`).
* Le **nom de l’image dorée** utilisée comme image maître.

Ces informations sont nécessaires pour configurer le groupe d’hôtes et la politique de mise à jour du capteur côté Stoïk.
{% endstep %}

{% step %}

### Installez le capteur sur l’image dorée

{% tabs %}
{% tab title="Non persistante" %}

#### Prérequis

Les machines hôtes doivent satisfaire aux trois critères suivants :

* Être non persistantes
* Être jointes au domaine
* Utiliser un FQDN qui ne change pas

#### Installer

Ouvrez `cmd` en tant qu’administrateur sur l’image dorée et exécutez :

```cmd
WindowsSensor.exe /install CID=<votre_CCID> VDI=1
```

#### Vérifiez que le service est en cours d’exécution

```powershell
Get-Service CSFalconService
```

Attendu : `Statut = En cours d’exécution`

#### Laissez la VM en ligne (1 heure minimum)

Après l’installation, laissez l’image dorée sous tension suffisamment longtemps pour :

* Le capteur se connecte au cloud CrowdStrike et se mette à jour vers la version définie dans la politique de mise à jour du capteur attribuée.
* Que tous les fichiers nécessaires soient téléchargés.

#### Arrêter et prendre un instantané

1. Arrêtez-la depuis Windows (et non avec le bouton d’alimentation de l’hyperviseur).
2. Attendez que la VM atteigne l’état **Hors tension** dans votre hyperviseur.
3. Prenez un instantané de la VM hors tension :
   * Nom : `CS-VDI-Clean-[date]`
   * Ne cochez pas `Capturer la mémoire de la machine virtuelle`.
     {% endtab %}

{% tab title="Persistante" %}
Avec `NO_START=1`, le capteur est installé sans démarrer et sans contacter le cloud CrowdStrike. L’AID unique est attribué au premier démarrage de chaque VM clonée.

{% hint style="warning" %}
Après l’installation avec `NO_START=1`, **ne redémarrez jamais** l’image dorée avant de l’arrêter. Un redémarrage déclenche la communication avec le cloud et génère un AID qui sera partagé par tous les clones.
{% endhint %}

#### Installer

Ouvrez `cmd` en tant qu’administrateur sur l’image dorée et exécutez :

```cmd
WindowsSensor.exe /install CID=<votre_CCID> NO_START=1
```

#### Vérifiez que le service est arrêté (comportement attendu)

```powershell
Get-Service CSFalconService
```

Attendu : `Statut = Arrêté`

Le service démarrera automatiquement au premier démarrage de chaque VM clonée, et le cloud attribuera alors un AID unique.

#### Arrêter et prendre un instantané

1. Arrêtez-la depuis Windows (et non avec le bouton d’alimentation de l’hyperviseur).
2. Attendez que la VM atteigne l’état **Hors tension** dans votre hyperviseur.
3. Prenez un instantané de la VM hors tension :
   * Nom : `CS-Template-Clean-[date]`
   * Ne cochez pas `Capturer la mémoire de la machine virtuelle`.
     {% endtab %}
     {% endtabs %}
     {% endstep %}

{% step %}

### Créer le catalogue de machines dans Citrix Cloud Web Studio

Une fois l’instantané de l’image dorée prêt, créez ou mettez à jour le catalogue de machines dans Citrix Cloud Web Studio.

Paramètres clés à configurer dans l’assistant de création du catalogue :

| Page                 | Non persistante                                | Persistante                                         |
| -------------------- | ---------------------------------------------- | --------------------------------------------------- |
| Type de machine      | Système d’exploitation à session unique        | Système d’exploitation à session unique             |
| Gestion des machines | MCS                                            | MCS                                                 |
| Expérience de bureau | **Aléatoire**                                  | **Statique**                                        |
| Image                | Image dorée + instantané `CS-VDI-Clean-[date]` | Image dorée + instantané `CS-Template-Clean-[date]` |
| {% endstep %}        |                                                |                                                     |
| {% endstepper %}     |                                                |                                                     |


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.stoik.io/help/help-center-fr/stoik-mdr/edr-setup-crowdstrike/edr-main-module/setup-crowdstrike-on-virtual-environments.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.