Zu Content springen
Deutsch
Stoïk
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Wie wird CrowdStrike EDR unter Windows bereitgestellt?

Für die Installation des CrowdStrike EDR auf Windows-Systemen stehen zwei Methoden zur Verfügung: Manuell über die Benutzeroberfläche oder Automatisiert über eine Befehlszeile (z. B. per MDM oder GPO)

🧪 Empfehlung von Stoïk: Wenn Sie eine großflächige automatische Bereitstellung planen, beginnen Sie mit einem manuellen Test auf einigen Geräten, um die Kompatibilität zu prüfen.

 

  1. Voraussetzungen: Installationsdatei & Kunden-ID
  2. Manuelle Methode
  3. Automatische Methode
    1. Erstellung des Skripts im Vorfeld
    2. Per GPO
    3. Per MDM (Intune & NinjaOne)

  4. Öffnung von Netzwerkverbindungen


1. Voraussetzungen: Installationsdatei & Kunden-ID

  1. Laden Sie das Installationsprogramm (auch „Binärdatei“ genannt) über diesen Link herunter.

  2. Ihre Kunden-ID (CID) finden Sie in Stoïk Protect unter:
    👉 „MDR“ > „Einstellungen“

⚠️ Die Standard-Installationsdatei ist nur für Windows-Versionen ab Windows 8 geeignet.
Für ältere Systeme (Windows 7 und darunter) verwenden Sie bitte die alternative Version.

Andernfalls kann eine Fehlermeldung wie „Dieses Programm ist nicht für diese Windows-Version vorgesehen…“ erscheinen.

 

2. Manuelle Installation

  1. Starten Sie das Installationsprogramm auf dem betreffenden Rechner

  2. Tragen Sie Ihre Kunden-ID im Feld „Customer ID with Checksum“ ein

  3. Klicken Sie auf „Install“

Hinweis zur Kompatibilität mit Antivirensoftware: CrowdStrike ersetzt Ihre bestehende Antivirenlösung. Diese muss vollständig deinstalliert werden.

⚠️ Wenn Ihre vorherige Sicherheitslösung auch die Firewall verwaltet hat, müssen eventuell manuell benutzerdefinierte Regeln in die Windows-Firewall übertragen werden.

 

3. Automatische Methode

3.1 Erstellung des Vorab-Skripts für GPO oder MDM-Einsatz

Für den automatischen Rollout via MDM oder GPO benötigen Sie ein Skript. So erstellen Sie es:

  • Skriptdatei („.bat“ oder „.ps1“):
    <Name_der_Datei>.exe /install /quiet /norestart CID=code_client

  • Ersetzen Sie code_client durch Ihre Kundenkennung.

Tags hinzufügen (optional): Sie können ein oder mehrere Tags zur Strukturierung Ihrer Installationen (z. B. nach Standort, Land, Bereich) verwenden:

  • <Dateiname>.exe /install /quiet /norestart CID=code_client GROUPING_TAGS="TAG1,TAG2"

Für Geräte, die vorübergehend offline sind: fügen Sie ProvNoWait=1 hinzu:
<Dateiname>.exe /install /quiet /norestart ProvNoWait=1 CID=code_client

Beachten Sie: das EDR CrowdStrike benötigt dennoch eine Internetverbindung, um ordnungsgemäß zu funktionieren und erkannte Alarme zu melden.

Zur Überprüfung der Installation auf einem Gerät können Sie folgende Befehle ausführen: sc query csagent unt sc query csfalconservice

3.2 Via GPO

Erstellen Sie eine neue GPO:

  1. Öffnen Sie die Gruppenrichtlinienverwaltung (Win + R → gpmc.msc).
  2. Rechtsklick auf das gewünschte Container-Objekt (z. B. Domäne oder OU) → „Gruppenrichtlinienobjekt in dieser Domäne erstellen und hier verknüpfen“.
  3. Benennen Sie es z. B. Deployment CrowdStrike.
  4. Fügen Sie das Startskript hinzu:
    1. Rechtsklick auf die GPO → Bearbeiten
    2. Computerkonfiguration > Richtlinien > Windows-Einstellungen > Skripts (Start/Herunterfahren)
    3. Doppelklick auf Start → „Hinzufügen“
    4. Skript auswählen (InstallCrowdStrike.bat)
    5. Hinweis: Kopieren Sie das Skript in den Pfad \\<Server>\SysVol\<Domäne>\Policies\<GPO-GUID>\Machine\Scripts\Startup damit es für alle erreichbar ist.

GPO anwenden:

  1. Stellen Sie sicher, dass sie am richtigen Container hängt.
  2. Führen Sie gpupdate /force auf dem Domänencontroller aus.
  3. Überprüfen Sie die Anwendung:
    1. Starten Sie ein Zielgerät neu und überprüfen 
    2. Sie mit gpresults /h gpresults.html, dass die GPO angewendet wurde.
    3. Prüfen Sie, ob CrowdStrike korrekt installiert ist.
Bei Problemen: prüfen Sie die Datei C:\Windows\Debug\StartupLog.txt auf den Client-Computern.

 

3.3 Via MDM (Intune oder NinjaOne)

Intune

  1. Laden Sie die benötigten Tools herunter
    1. Win32 Content Prep Tool
    2. Die ausführbare Datei über den angegebenen Link
  2. Öffnen Sie das Win32 Content Prep Tool
    1. Fügen Sie die .exe hinzu
    2. Geben Sie den Befehl ein:
      Name_der_Datei.exe /install /quiet /norestart CID=code_client
    3. Replace filename.exe with the actual file name and client_code with your CrowdStrike CID.
  3. Generieren Sie die .intunewin Datei
  4. Deployment
    1. Melden Sie sich im Intune Admin Center an
    2. Importieren Sie die .intunewin Datei
    3. Weisen Sie sie Ihren Computergruppen zu
    4. Die Installation erfolgt dann auf den Zielgeräten automatisch

NinjaOne

Verwenden Sie folgendes Verfahren zur Integration von CrowdStrike via NinjaOne: Link zur Anleitung NinjaOne und CrowdStrike

 

4. Öffnung von Netzwerkverbindungen

Falls Netzwerkverbindungen blockiert sind, müssen folgende IP-Adressen und Domains im Netzausgang freigegeben werden:

 
3.121.6.180
3.121.187.176
3.121.238.86
3.125.15.130
18.158.187.80
18.198.53.88
3.78.32.129
3.121.13.180
3.123.240.202
18.184.114.155
18.194.8.224
35.156.219.65
3.69.184.79
3.76.143.53
3.77.82.22

 

🌍 IPv6-Adressen, die erlaubt werden müssen: 
2a05:d014:45e:4e00::/56
2a05:d014:45e:4e00::/56
2a05:d014:45e:4e00::/56

 

🌐 Domains, die freigegeben werden sollen: 
ts01-lanner-lion.cloudsink.net
lfoup01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net

 

Bitte kontaktieren Sie uns unter protect@stoik.io falls Sie auf Probleme stoßen.