# CrowdStrike instellen in virtuele omgevingen Het installeren van de Falcon-sensor in een virtuele omgeving vereist een specifieke aanpak, afhankelijk van of uw VM's **persistent** of **niet-persistent**. {% hint style="warning" %} Het gebruik van de verkeerde methode kan ertoe leiden dat alle gekloonde VM's dezelfde Agent ID (AID) delen, waardoor detecties van meerdere machines lijken te komen van één enkele host. {% endhint %} {% hint style="info" %} Deze handleiding behandelt de installatie op een **VMware vSphere + Citrix Cloud (DaaS) MCS** omgeving. Raadpleeg voor andere hypervisors of provisioningtechnologieën hun respectieve documentatie. Voor de volledige Citrix DaaS-documentatie: {% endhint %} {% stepper %} {% step %} ### Bepaal uw VM-type Voordat u installeert, bepaalt u met welk type VDI-omgeving u werkt: | Type | Beschrijving | | ------------------------- | ----------------------------------------------------------------------------------------------------------------- | | **Niet-persistent** | De VM behoudt geen wijzigingen na herstart. Opnieuw opgebouwd vanaf de master image bij elke aanmelding/herstart. | | **Persistent (statisch)** | De VM behoudt alle wijzigingen na herstart. Gebruiker maakt altijd verbinding met dezelfde machine. | | {% endstep %} | | {% step %} ### Bereid de gouden image voor De gouden image (ook wel master image, basis-VM of basisimage genoemd) moet correct geconfigureerd zijn voordat de Falcon-sensor wordt geïnstalleerd. De sensor moet altijd de **laatst geïnstalleerde software zijn**. #### Besturingssysteem en netwerk * Installeer het Windows-besturingssysteem en voer alle nieuwste Windows-updates uit. * Configureer netwerkinstellingen (DNS, gateway) en open het noodzakelijke netwerkverkeer. Raadpleeg [Netwerkverkeer](https://docs.stoik.io/stoik-mdr/edr-setup-crowdstrike/edr-main-module/setup-crowdstrike-on-windows#ip-addresses-domains-and-dns-names). * Koppel de machine aan het Active Directory-domein. * Controleer de vertrouwensrelatie van het domein: ```powershell Test-ComputerSecureChannel ``` Verwacht resultaat: `True` {% hint style="info" %} Schakel de **Windows Security Center** service niet uit. CrowdStrike vereist dat deze actief is. {% endhint %} #### Hypervisor-tools Installeer de integratietools voor uw hypervisor (Citrix VM Tools, Hyper-V Integration Services of VMware Tools) **voordat** u de VDA en de Falcon-sensor installeert. #### Citrix Virtual Delivery Agent (VDA) De VDA moet op de master image worden geïnstalleerd voordat de Machine Catalog wordt aangemaakt. 1. Download de VDA van `Citrix Cloud` > `Downloads` > `Virtual Delivery Agent voor Windows Single-session OS`. 2. Voer het installatieprogramma uit als beheerder. 3. Op de `Omgeving` pagina, selecteer `Maak een master MCS-image aan`. 4. Op de `Delivery Controller` pagina, voer de FQDN van uw Citrix Cloud Connector in (`Citrix Cloud` > `Resource Locations` > selecteer uw locatie > `Cloud Connectors`). 5. Voltooi de installatie en start opnieuw op. {% hint style="info" %} Voer Sysprep niet uit op master images wanneer u MCS gebruikt. MCS zorgt voor generalisatie en toewijzing van een unieke identiteit aan elke gekloonde VM. {% endhint %} {% endstep %} {% step %} ### Download het installatieprogramma voor de Falcon-sensor 1. Meld u aan bij de Falcon Console. 2. Ga naar `Hostconfiguratie en beheer` > `Implementeren` > `Sensor-downloads`, of download van [Stoïk Drive](https://drive.google.com/drive/folders/1uArKoJPk_AEFxijbyv6rW_udiq3joywW). 3. Kopieer uw CCID (Customer ID Checksum) die op dezelfde pagina wordt weergegeven. 4. Kopieer het installatieprogramma naar de gouden image. {% endstep %} {% step %} ### Communiceer informatie aan Stoïk Stuur de volgende informatie naar : * De **naamgevingsconventie** van uw VDI-machines (bijv. `SRV-VDA-*`, `VDA-USER-###`). * De **naam van de gouden image** die als master image wordt gebruikt. Deze informatie is vereist om aan Stoïk-zijde de hostgroep en het sensorupdatebeleid te configureren. {% endstep %} {% step %} ### Installeer de sensor op de gouden image {% tabs %} {% tab title="Niet-persistent" %} #### Vereisten De hostmachines moeten aan alle drie de volgende criteria voldoen: * Zijn niet-persistent * Zijn gekoppeld aan een domein * Gebruiken een FQDN die niet verandert #### Installeren Open `cmd` als beheerder op de gouden image en voer uit: ```cmd WindowsSensor.exe /install CID= VDI=1 ``` #### Controleer of de service wordt uitgevoerd ```powershell Get-Service CSFalconService ``` Verwacht: `Status = Wordt uitgevoerd` #### Laat de VM online staan (minimaal 1 uur) Laat de gouden image na de installatie lang genoeg ingeschakeld om: * De sensor verbinding te laten maken met de CrowdStrike-cloud en te laten bijwerken naar de versie die is gedefinieerd in het toegewezen sensorupdatebeleid. * Alle benodigde bestanden te laten downloaden. #### Sluit af en maak een snapshot 1. Sluit af vanuit Windows (niet met de uitschakelknop van de hypervisor). 2. Wacht tot de VM de **Uitgeschakeld** status in uw hypervisor bereikt. 3. Maak een snapshot van de uitgeschakelde VM: * Naam: `CS-VDI-Clean-[date]` * Niet aanvinken `Maak een snapshot van het geheugen van de virtuele machine`. {% endtab %} {% tab title="Persistent" %} Met `NO_START=1`, wordt de sensor geïnstalleerd zonder te starten en zonder contact op te nemen met de CrowdStrike-cloud. De unieke AID wordt toegewezen bij de eerste keer dat elke gekloonde VM opstart. {% hint style="warning" %} Na installatie met `NO_START=1`, **start de gouden image nooit opnieuw op** de gouden image voordat u deze uitschakelt. Een herstart activeert cloudcommunicatie en genereert een AID die door alle clones wordt gedeeld. {% endhint %} #### Installeren Open `cmd` als beheerder op de gouden image en voer uit: ```cmd WindowsSensor.exe /install CID= NO_START=1 ``` #### Controleer of de service gestopt is (verwacht gedrag) ```powershell Get-Service CSFalconService ``` Verwacht: `Status = Gestopt` De service start automatisch bij de eerste keer opstarten van elke gekloonde VM, en de cloud wijst op dat moment een unieke AID toe. #### Sluit af en maak een snapshot 1. Sluit af vanuit Windows (niet met de uitschakelknop van de hypervisor). 2. Wacht tot de VM de **Uitgeschakeld** status in uw hypervisor bereikt. 3. Maak een snapshot van de uitgeschakelde VM: * Naam: `CS-Template-Clean-[date]` * Niet aanvinken `Maak een snapshot van het geheugen van de virtuele machine`. {% endtab %} {% endtabs %} {% endstep %} {% step %} ### Maak de Machine Catalog aan in Citrix Cloud Web Studio Zodra de snapshot van de gouden image gereed is, maakt of werkt u de Machine Catalog bij in Citrix Cloud Web Studio. Belangrijke instellingen om te configureren in de wizard voor het aanmaken van de catalogus: | Pagina | Niet-persistent | Persistent | | ---------------- | --------------------------------------------- | -------------------------------------------------- | | Machinetype | Besturingssysteem voor één sessie | Besturingssysteem voor één sessie | | Machinebeheer | MCS | MCS | | Desktopervaring | **Willekeurig** | **Statisch** | | Image | Gouden image + snapshot `CS-VDI-Clean-[date]` | Gouden image + snapshot `CS-Template-Clean-[date]` | | {% endstep %} | | | | {% endstepper %} | | | --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.stoik.io/help/help-nl/stoik-mdr/edr-setup-crowdstrike/edr-main-module/setup-crowdstrike-on-virtual-environments.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.