Comment déployer l'EDR CrowdStrike sur Windows ?

Deux méthodes sont possibles pour installer l’EDR CrowdStrike sur Windows : manuelle via interface graphique ou automatique via ligne de commande.

Si vous souhaitez déployer l'EDR à large échelle par la méthode automatique, Stoïk vous recommande de débuter par une installation manuelle test sur quelques postes.

1. Préalable : exécutable et identifiant client
2. Méthode manuelle
3. Méthode automatique (MDM ou GPO)
4. Annexes
   1. Création d'une GPO
   2. Ouverture de flux réseaux

1. Préalable : exécutable et identifiant client

• Télécharger l’exécutable (aussi appelé "binaire d’installation") depuis ce lien.
• Trouver votre identifiant client : il est disponible dans Stoïk Protect 👉 Onglet "MDR" > "Paramètres"

2. Déploiement manuel

1. Lancez l’exécutable sur le poste concerné

2. Renseignez l’identifiant client dans le champ Customer ID with Checksum

3. Cliquez sur Install

CrowdStrike remplace votre antivirus actuel. Il est donc nécessaire de le désinstaller complètement.

⚠️ Exception : si le pare-feu est géré séparément, ne le désactivez pas.
Si le pare-feu est intégré à la même solution, pensez à retranscrire les règles personnalisées dans le pare-feu Windows

3. Déploiement automatique

Vous pouvez automatiser l’installation de l’EDR CrowdStrike sur vos postes et serveurs via

1. MDM (SCCM, Intune) : Mobile Device Management
2. ou GPO : Group Policy Object

• Commande à exécuter
  • <nom_du_fichier>.exe /install /quiet /norestart CID=code_client
  • ➡️ Remplacez code_client par votre identifiant client.
• Ajout de tags (optionnel) : Vous pouvez ajouter un ou plusieurs tags pour organiser vos installations (par site, pays, entité, etc.)
  • <nom du fichier crowdstrike>.exe /install /quiet /norestart CID=code_client GROUPING_TAGS="INSERER_ICI_LES_TAGS" 
  • Il vous est possible de spécifier plusieurs tag en les séparant par des virgules.

4. Annexes

4.1. Création d'une GPO de déploiement automatisé

Dans le but d'effectuer un déploiement par GPO, vous pouvez réaliser les étapes suivantes : 

1. Téléchargez l’installateur CrowdStrike depuis Stoïk Protect ou depuis ce lien.
2. Placez ce fichier dans un partage réseau accessible à tous les ordinateurs du domaine.
   Exemple de chemin : \\Serveur\Partage\WindowsSensor.exe.
   Assurez-vous que le partage a les permissions de Lecture pour les groupes d’ordinateurs concernés.

3. Créez un script PowerShell de déploiement, ou batch qui exécute la commande d’installation.

   1. Exemple : un script batch (InstallCrowdStrike.bat) comme suit
      @echo off
\\Serveur\Partage\WindowsSensor.exe /install /quiet /norestart CID=code_client

   2. Au besoin, précisez un tag associé à l'agent lors de l'installation. Cela peut notamment être utile pour différencier les installations par site ou lieu géographique :

      @echo off
\\Serveur\Partage\WindowsSensor.exe /install /quiet /norestart CID=code_client GROUPING_TAGS="INSERER_ICI_LES_TAGS"
      ➡️ Remplacez \\Serveur\Partage\WindowsSensor.exe par le chemin réel, et code_client par votre identifiant client .

   3. Testez le script sur une machine manuellement pour vérifier qu’il installe CrowdStrike correctement, en vérifiant la bonne présence de cette machine sur votre espace Stoïk Protect MDR.

       

4. Créez une GPO

   1. Ouvrez la console de gestion des stratégies de groupe (GPMC) : Wind. + R > gpmc.msc et appuyez sur Entrée.

   2. Faites un clic droit sur le conteneur où vous souhaitez appliquer la GPO (exemple : le domaine ou une OU spécifique).

   3. Cliquez sur "Créer un objet de stratégie de groupe dans ce domaine et le lier ici", et donnez-lui un nom (par exemple : Déploiement CrowdStrike).

   4. Ajoutez le script de démarrage :

      1. Faites un clic droit sur la nouvelle GPO et sélectionnez Modifier.

      2. Accédez à Configuration de l'ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt).

      3. Double-cliquez sur Démarrage, puis cliquez sur Ajouter.

      4. Dans la fenêtre qui s’ouvre, cliquez sur Parcourir, puis sélectionnez le script InstallCrowdStrike.bat.

      5. Note : Copiez le script dans le dossier \\<nom_serveur>\SysVol\<nom_domaine>\Policies\<GUID_de_la_GPO>\Machine\Scripts\Startup pour qu’il soit accessible à tous.

5. Appliquez la GPO

1. 1. Assurez-vous que la GPO est bien liée au bon conteneur (domaine ou OU contenant les machines cibles).
   2. Utilisez gpupdate /force sur un contrôleur de domaine pour forcer la mise à jour des stratégies.
   3. Vérifiez l’application :

• • • Redémarrez une machine cible pour déclencher le script.
    • Vérifiez que CrowdStrike est installé et opérationnel sur cette machine.
  • En cas de problèmes : consultez le fichier journal des scripts de démarrage sur les machines clientes C:\Windows\Debug\StartupLog.txt

4.2. Annexe - Ouverture de flux réseau

En cas de blocage réseau, les flux suivants doivent être ouverts sur le parefeu au niveau du Port 443 :

📡 Adresses IPv4 à autoriser :

🌍 Adresses IPv6 à autoriser : 

2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
            2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

🌐 Domaines à autoriser :