Stoïk MDR
      Revenir à l'accueil
      1. Centre d'aide
      2. Stoïk Protect
      3. Stoïk MDR

      Comment déployer l'EDR CrowdStrike sur Windows ?

      Exécutable

      Télécharger l'exécutable Windows depuis Stoïk Protect ou depuis ce lien.

      Identifiant client

      Votre identifiant client est nécessaire pour le déploiement de l'EDR. Celui-ci est disponible sur Stoïk Protect, onglet MDR puis Paramètres, dans la section Informations.

      MDRDéploiement automatique

      Si vous disposez de SCCM ou Intune, il vous suffira de déployer l'executable téléchargé directement sur l'ensemble des postes et serveurs. Vous pouvez aussi réaliser cette opération par GPO (un guide est disponible ci-dessous pour créer la GPO).

      Pour le déploiement automatique, utilisez la commande suivante en remplaçant code_client par votre identifiant client :
      <nom du fichier crowdstrike>.exe /install /quiet /norestart CID=code_client 

      Si nécessaire vous pouvez également préciser un tag associé à l'agent lors de l'installation. Cela peut notamment être utile pour différencier les installations par site ou lieu géographique :

      <nom du fichier crowdstrike>.exe /install /quiet /norestart CID=code_client GROUPING_TAGS="INSERER_ICI_LES_TAGS" 

      Il vous est possible de spécifier plusieurs tag en les séparant par des virgules.

      Déploiement manuel

      1. Lancer l'exécutable
      2. Insérer votre identifiant client dans la case Customer ID with Checksum
      3. Cliquer sur Install

        Désinstallation de votre antivirus actuel

        CrowdStrike remplace votre solution antivirale actuelle, il est donc nécesaire de la désinstaller. Attention : Ne désactivez pas votre parefeu si c'est une solution différente, toutefois si la gestion du parefeu est effectué par la même solution et que vous aviez créé des règles personnalisées, veuillez les transférer sur le parefeu Windows.

         

      Annexe - Création d'une GPO de déploiement automatisé

      Dans le but d'effectuer un déploiement par GPO, vous pouvez réaliser les étapes suivantes : 

      • Téléchargez l’installateur CrowdStrike depuis Stoïk Protect ou depuis ce lien.
      • Placez ce fichier dans un partage réseau accessible à tous les ordinateurs du domaine.
        Exemple de chemin : \\Serveur\Partage\WindowsSensor.exe.
        Assurez-vous que le partage a les permissions de Lecture pour les groupes d’ordinateurs concernés.

      • Créez un fichier script PowerShell ou batch qui exécute la commande d’installation.
        Par exemple, un script batch (InstallCrowdStrike.bat) :

        @echo off
        \\Serveur\Partage\WindowsSensor.exe /install /quiet /norestart CID=code_client
        Si nécessaire vous pouvez également préciser un tag associé à l'agent lors de l'installation. Cela peut notamment être utile pour différencier les installations par site ou lieu géographique :
        @echo off
        \\Serveur\Partage\WindowsSensor.exe /install /quiet /norestart CID=code_client GROUPING_TAGS="INSERER_ICI_LES_TAGS" 

        ➡️ Remplacez \\Serveur\Partage\WindowsSensor.exe par le chemin réel, et code_client par votre identifiant client .

      • Testez le script sur une machine manuellement pour vérifier qu’il installe CrowdStrike correctement, en vérifiant la bonne présence de cette machine sur votre espace Stoïk Protect MDR.

      • Ouvrez la console de gestion des stratégies de groupe (GPMC) :

        • Appuyez sur Win + R, tapez gpmc.msc et appuyez sur Entrée.

      • Créez une nouvelle GPO :

        • Faites un clic droit sur le conteneur où vous souhaitez appliquer la GPO (exemple : le domaine ou une OU spécifique).
        • Cliquez sur Créer un objet de stratégie de groupe dans ce domaine et le lier ici, et donnez-lui un nom (par exemple : Déploiement CrowdStrike).

      • Configurez le script de démarrage :

        • Faites un clic droit sur la nouvelle GPO et sélectionnez Modifier.
        • Accédez à Configuration de l'ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt).
        • Double-cliquez sur Démarrage, puis cliquez sur Ajouter.
        • Dans la fenêtre qui s’ouvre, cliquez sur Parcourir, puis sélectionnez le script InstallCrowdStrike.bat.

          Note : Copiez le script dans le dossier \\<nom_serveur>\SysVol\<nom_domaine>\Policies\<GUID_de_la_GPO>\Machine\Scripts\Startup pour qu’il soit accessible à tous.

      • Appliquez la GPO :

        • Assurez-vous que la GPO est bien liée au bon conteneur (domaine ou OU contenant les machines cibles).
        • Utilisez gpupdate /force sur un contrôleur de domaine pour forcer la mise à jour des stratégies.

      • Vérifiez l’application :

        • Redémarrez une machine cible pour déclencher le script.
        • Vérifiez que CrowdStrike est installé et opérationnel sur cette machine.
      • En cas de problèmes : consultez le fichier journal des scripts de démarrage sur les machines clientes :
        C:\Windows\Debug\StartupLog.txt. Assurez-vous que :
        • Le chemin du partage est correct et accessible.
        • Les permissions NTFS et de partage réseau permettent la lecture pour les machines cibles.

      Annexe - Ouverture de flux réseau

      En cas de blocage réseau, les flux suivants doivent être ouverts sur le parefeu au niveau du port 443 :

      IPv4 

      3.121.6.180
      3.121.187.176
      3.121.238.86
      3.125.15.130
      18.158.187.80
      18.198.53.88
      3.78.32.129
      3.121.13.180
      3.123.240.202
      18.184.114.155
      18.194.8.224
      35.156.219.65
      3.69.184.79
      3.76.143.53
      3.77.82.22
      IPv6
      2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
                  2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
      2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
      2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
      2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
      2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
      Domaines
      ts01-lanner-lion.cloudsink.net
      lfoup01-lanner-lion.cloudsink.net
      lfodown01-lanner-lion.cloudsink.net

      Veuillez nous contacter sur protect@stoik.io si vous rencontrez des difficultés.