¿Cómo implantar CrowdStrike EDR en Windows?

Por ejecutable

Descarga el ejecutable para Windows desde Stoïk Protect o desde este enlace.

Identificación cliente

Vuestro identificacion cliente es necesario para desplegar el EDR. Está disponible en Stoïk Protect, pestaña Endpoints y luego Configuración, en la sección Datos.

Despliegue automático

Si dispone de SCCM o Intune, todo lo que tiene que hacer es desplegar el ejecutable descargado directamente en todas las estaciones de trabajo y servidores.

También puede realizar esta operación mediante un GPO (más abajo encontrará una guía para crear un GPO).

Para el despliegue automático, utilice el siguiente comando, sustituyendo client_code por su Identificación cliente:

<nombre del ejecutable CrowdStrike>.exe /install /quiet /norestart CID=Identificaciòn cliente

Si es necesario, también puede especificar un tag asociado al agente durante la instalación. Esto puede ser útil para diferenciar las instalaciones por sitio o ubicación geográfica:

<nombre del ejecutable CrowdStrike>.exe /install /quiet /norestart CID=Identificaciòn cliente GROUPING_TAGS="Insertar Tag aqui"

Puede especificar varios tags, separadas por comas.

Despliegue manual

1. Ejecutar el ejecutable
2. Introduzca su Identificaciòn clienteen la casilla Customer ID with Checksum
3. Seguir haciendo clic en Install*

Desinstalación del antivirus actual

CrowdStrike sustituye a su solución antivirus actual, por lo que es necesario desinstalarla. Advertencia: No desactive su cortafuegos si se trata de una solución diferente. Sin embargo, si el cortafuegos está gestionado por la misma solución y ha creado reglas personalizadas, transfiéralas al cortafuegos de Windows.

Apéndice - Creación de un GPO de despliegue automatizado

Para realizar un despliegue de GPO, puede llevar a cabo los siguientes pasos:

• Descarga el ejecutable para Windows desde Stoïk Protect o desde este enlace.
• Coloque este archivo en un recurso compartido de red accesible a todos los ordenadores del dominio.
  Ejemplo de ruta: \\Servidor\Share\WindowsSensor.exe.
  Asegúrese de que el recurso compartido tiene permisos de Lectura para los grupos de ordenadores afectados.
• Cree un archivo de comandos PowerShell o por batch que ejecute el comando de instalación.
  Por ejemplo, una secuencia de comandos por batch (InstallCrowdStrike.bat):
  
  @echo off
\\Servidor\Share\WindowsSensor.exe /install /quiet /norestart CID=Identificacion cliente
  Si es necesario, también puede especificar un tag asociado al agente durante la instalación. Esto puede ser útil para diferenciar instalaciones por sitio o ubicación geográfica:
  @echo off
\\Servidor\Partage\WindowsSensor.exe /install /quiet /norestart CID=Identificacion cliente GROUPING_TAGS="INSERTAR TAGS AQUI" 
  ➡️ Sustituya \\Servidor\\Share\WindowsSensor.exe por la ruta real, y code_client por su Identificacion de cliente.
• Pruebe manualmente el script en una máquina para comprobar que instala CrowdStrike correctamente, verificando la presencia de esta máquina en su espacio MDR de Stoïk Protect.
• Abra la consola de administración de directivas de grupo (GPMC) :
  • Pulse Win + R, escriba gpmc.msc y pulse entrar.
• Crear una nueva GPO :
  • Haga clic con el botón derecho en el contenedor donde desea aplicar la GPO (ejemplo: el dominio o una OU específica).
  • Haga clic en Crear un objeto de directiva de grupo en este dominio y vincúlelo aquí, y asígnele un nombre (por ejemplo: Despliegue de CrowdStrike).
• Configurar el script de inicio :
  • Haga clic con el botón derecho en la nueva GPO y seleccione Editar.
  • Vaya a Configuración del equipo > Directivas > Configuración de Windows > Scripts (Inicio/Apagado).
  • Haga doble clic en Inicio y luego en Agregar.
  • En la ventana que se abre, haga clic en Examinar y seleccione el script InstallCrowdStrike.bat.
    Nota: Copie el script en la carpeta \\<servername>\SysVol\<domainname>\Policies<GUID_de_la_GPO>\Machine\Scripts\Startup para que sea accesible a todos.
• Aplique la GPO:
  • Asegúrese de que el GPO está vinculado al contenedor correcto (dominio o OU que contiene los equipos de destino).
  • Utilice gpupdate /force en un controlador de dominio para forzar la actualización de políticas.
• Comprueba la aplicación:
  • Reinicie una máquina para activar el script.
  • Compruebe que CrowdStrike está instalado y en ejecución en esta máquina.
• En caso de problemas: consulte el archivo de registro del script de inicio en los equipos cliente:
  C:\Windows\Debug\StartupLog.txt. Asegúrese de que :
  • La ruta compartida es correcta y accesible.
  • Los permisos NTFS y de recurso compartido de red permiten la lectura para los equipos.

  Apéndice - Apertura de flujos de red

   En caso de bloqueo de la red, los siguientes flujos deben ser abiertos en el cortafuegos en el puerto 443 :

  IPv4 

  3.121.6.180
  3.121.187.176
  3.121.238.86
  3.125.15.130
  18.158.187.80
  18.198.53.88
  3.78.32.129
  3.121.13.180
  3.123.240.202
  18.184.114.155
  18.194.8.224
  35.156.219.65
  3.69.184.79
  3.76.143.53
  3.77.82.22

  IPv6

  2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
              2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
  2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
  2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
  2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
  2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

  Dominios
  ts01-lanner-lion.cloudsink.net
  lfoup01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net

Póngase en contacto con nosotros en protect@stoik.io si encuentra alguna dificultad.