Wie wird CrowdStrike EDR unter Windows bereitgestellt?

Für die Installation des CrowdStrike EDR auf Windows-Systemen stehen zwei Methoden zur Verfügung: Manuell über die Benutzeroberfläche oder Automatisiert über eine Befehlszeile (z. B. per MDM oder GPO)

🧪 Empfehlung von Stoïk: Wenn Sie eine großflächige automatische Bereitstellung planen, beginnen Sie mit einem manuellen Test auf einigen Geräten, um die Kompatibilität zu prüfen.

1. Voraussetzungen: Installationsdatei & Kunden-ID

2. Manuelle Installation

3. Automatisierte Installation (MDM / GPO)

4. Anhänge

   1. GPO für automatisierte Bereitstellung erstellen

   2. Netzwerk-Freigaben (Firewall-Öffnungen)

1. Voraussetzungen: Installationsdatei & Kunden-ID

• Laden Sie das Installationsprogramm (auch „Binärdatei“ genannt) über diesen Link herunter.

• Ihre Kunden-ID (CID) finden Sie in Stoïk Protect unter:
  👉 „MDR“ > „Einstellungen“

2. Manuelle Installation

1. Starten Sie das Installationsprogramm auf dem betreffenden Rechner

2. Tragen Sie Ihre Kunden-ID im Feld „Customer ID with Checksum“ ein

3. Klicken Sie auf „Install“

Hinweis zur Kompatibilität mit Antivirensoftware: CrowdStrike ersetzt Ihre bestehende Antivirenlösung. Diese muss vollständig deinstalliert werden.

⚠️ Wenn Ihre vorherige Sicherheitslösung auch die Firewall verwaltet hat, müssen eventuell manuell benutzerdefinierte Regeln in die Windows-Firewall übertragen werden.

3. Automatisierte Installation (MDM / GPO)

Sie können die EDR-Installation auf mehreren Geräten automatisieren mithilfe von:

1. MDM-Tools wie SCCM oder Intune

2. GPO (Group Policy Object) über Ihre Windows-Domänenstruktur

• Auszuführender Befehl
  • <dateiname>.exe /install /quiet /norestart CID=code_client
  • ➡️ Ersetzen Sie code_client durch Ihre Kunden-ID.
• Hinzufügen von Tags (optional): Sie können einen oder mehrere Tags hinzufügen, um Ihre Installationen zu organisieren (z. B. nach Standort, Land, Abteilung usw.)
  
  • <dateiname>.exe /install /quiet /norestart CID=code_client GROUPING_TAGS="HIER_TAGS_EINFÜGEN"
  • Es ist möglich, mehrere Tags durch Kommas zu trennen.
• Installation auf einem vorübergehend offline geschalteten Gerät : CrowdStrike EDR benötigt eine Internetverbindung, um korrekt installiert und betrieben zu werden. Wenn Sie CrowdStrike jedoch auf einem Gerät installieren möchten, das vorübergehend nicht mit dem Internet verbunden ist, müssen Sie die Option ProvNoWait=1 hinzufügen, also:
  • <dateiname>.exe /install /quiet /norestart ProvNoWait=1 CID=code_client
  • Sobald CrowdStrike EDR installiert ist, bleiben Ihre Geräte auch dann geschützt, wenn sie vorübergehend offline sind.

4. Anhänge

4.a. GPO für automatisierte Bereitstellung erstellen

1. Laden Sie das CrowdStrike-Installationsprogramm von Stoïk Protect oder über diesen Link herunter.
2. latzieren Sie diese Datei auf einer Netzwerkfreigabe, auf die alle Computer in der Domäne zugreifen können.
   Beispielpfad: \\Server\Freigabe\WindowsSensor.exe
   

   Stellen Sie sicher, dass die Freigabeberechtigungen korrekt gesetzt sind.

3. Skript erstellen (z. B. Batch-Datei)

   1. Beispiel: InstallCrowdStrike.bat

      @echo off

      \\Server\Freigabe\WindowsSensor.exe /install /quiet /norestart CID=code_client

   2. Geben Sie bei Bedarf während der Installation ein Tag an, das dem Agenten zugeordnet ist. Dies kann insbesondere hilfreich sein, um Installationen nach Standort oder geografischem Standort zu unterscheiden:
      
      @echo off
\\Server\Freigabe\WindowsSensor.exe /install /quiet /norestart CID=code_client GROUPING_TAGS="STANDORT1" 
      Ersetzen Sie \\Server\Freigabe\... und code_client mit Ihren tatsächlichen Werten.
   3. Skript testen: Führen Sie es manuell auf einem Testgerät aus und prüfen Sie, ob das Gerät korrekt in Stoïk Protect > MDR angezeigt wird.
4. GPO konfigurieren
   1. Öffnen Sie die Gruppenrichtlinienverwaltung: Win + R → gpmc.msc
   2. Rechtsklick auf die gewünschte OU oder Domäne → Neue GPO erstellen und hier verknüpfen → z. B. CrowdStrike Deployment
   3. Startskript zuweisen
      1. GPO bearbeiten > Computerkonfiguration > Richtlinien > Windows-Einstellungen > Skripts (Start/Herunterfahren)
      2. Doppelklick auf Start > Hinzufügen > wählen Sie InstallCrowdStrike.bat
      3. Skriptplatzierung:\\<server>\SysVol\<domain>\Policies\<GPO-GUID>\Machine\Scripts\Startup
5. GPO anwenden
   1.  Vergewissern Sie sich, dass die GPO korrekt mit der Ziel-OU verbunden ist.
   2. Führen Sie auf dem Domänencontroller gpupdate /force aus.
   3. Starten Sie ein Testgerät neu → CrowdStrike sollte automatisch installiert werden.

4.b. Netzwerk-Freigaben (Firewall-Öffnungen)

Bei Netzwerksperren müssen folgende Ports auf TCP 443 geöffnet werden:

📡IPv4-Adressen 

🌍 IPv6-Bereiche

2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
            2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

🌐 Zuzulassende Domains