Comment déployer l'EDR CrowdStrike sur Windows ?

Deux méthodes sont possibles pour installer l’EDR CrowdStrike sur Windows : manuelle via interface graphique ou automatique via ligne de commande.  

Si vous souhaitez déployer l'EDR à large échelle par la méthode automatique, Stoïk vous recommande de débuter par une installation manuelle test sur quelques postes.

 

1. Préalable : exécutable et identifiant client
2. Méthode manuelle (déploiement poste par poste)
   1. Graphique 
   2. Console
3. Méthode automatique (déploiement à large échelle)  
   1. Par GPO
   2. Par MDM (Intune & NinjaOne)
4. Ouverture de flux 
5. Debug

1. Préalable : exécutable et identifiant

• Télécharger l’exécutable (aussi appelé "binaire d’installation") depuis ce lien.
• Trouver votre identifiant client : disponible depuis votre espace Stoïk Protect 👉 Onglet "MDR" > "Paramètres"

 

 

2. Méthode manuelle

2.1. Graphique 

1. Lancez l’exécutable sur le poste concerné depuis ce lien.

2. Renseignez l’identifiant client dans le champ Customer ID with Checksum

3. Cliquez sur Install

CrowdStrike remplace votre antivirus actuel. Il est donc nécessaire de le désinstaller complètement avant d'installer CrowdStrike.

⚠️ Gestion du pare-feu :

• Si le pare-feu est géré par la même solution que l'antivirus et que vous souhaitez la conserver, ne désactivez pas entièrement cette solution et gardez le pare-feu tel quel.
• A l'inverse, si vous souhaitez vous séparer de cette solution, pensez à retranscrire les règles personnalisées dans le pare-feu Windows local.

2.2. Console

1. Ouvrez une console sur votre endpoint.
2. Entrez la commande suivante :  <nom_du_fichier>.exe /install /quiet /norestart CID=code_client en remplaçant code_client par votre identifiant client.

Cas particuliers

1. Ajout de tags
   1. Vous pouvez choisir d'ajouter un ou plusieurs tags pour organiser vos installations (par site, pays, entité, etc.), dans ce cas utilisez plutôt la commande suivante : <nom du fichier crowdstrike>.exe /install /quiet /norestart CID=code_client GROUPING_TAGS="INSERER_ICI_LES_TAGS" 
   2. Il vous est possible de spécifier plusieurs tag en les séparant par des virgules.

2. Déployer l'EDR sur un poste temporairement hors-ligne 

   1. Vous devez rajouter l'option ProvNoWait=1 . La ligne de commande ressemblera alors à ceci : <nom du fichier crowdstrike>.exe /install /quiet /norestart ProvNoWait=1 CID=code_client

   2. Attention, l'EDR Crowdstrike a tout de même besoin d'une connexion internet pour fonctionner correctement, et notamment remonter les alertes détectées.

3. Méthode automatique

3.1 Par GPO 

A) Placer l'exécutable dans un répertoire accessible depuis l'ensemble des postes

1. Récupérez l'exécutable Crowdstrike (c.f. Préalable)
2. Placez le fichier sur un serveur accessible de tous les postes, par exemple le serveur de fichiers.
   Notez le chemin d'accès, par exemple \\NomDuServeur\DossierPartage\Crowdstrike\<nom du fichier Crowdstrike>.exe

B) Créer le script l'installation

1. Créez un nouveau fichier texte, avec par exemple Notepad++, et enregistrez-le sous le nom InstallCrowdStrike.bat .
2. Entrez les commandes à exécuter, telles qu'indiquées dans la partie Console.
   Attention, il faut bien indiquer tout le chemin d'accès à l'exécutable.
   Par exemple, la commande peut être :
   \\NomDuServeur\DossierPartage\Crowdstrike\<nom du fichier Crowdstrike>.exe /install /quiet /norestart CID=code_client en remplaçant code_client par votre identifiant client.

C) Créez une GPO pour exécuter le script

1. Ouvrez la console de gestion des stratégies de groupe (GPMC) : Wind. + R > gpmc.msc et appuyez sur Entrée.

2. Faites un clic droit sur le conteneur où vous souhaitez appliquer la GPO (exemple : le domaine ou une OU spécifique).

3. Cliquez sur "Créer un objet de stratégie de groupe dans ce domaine et le lier ici", et donnez-lui un nom (par exemple : Déploiement CrowdStrike).

4. Ajoutez le script:

   1. Copiez le script de l'étape B dans le dossier \\<nom_serveur>\SysVol\<nom_domaine>\Policies\<GUID_de_la_GPO>\Machine\Scripts\Startup pour qu’il soit accessible à tous.

   2. Retournez dans la console de gestion des stratégies de groupe (GPMC), faites un clic droit sur la nouvelle GPO et sélectionnez Modifier.

   3. Accédez à Configuration de l'ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt).

   4. Double-cliquez sur Démarrage, puis cliquez sur Ajouter.

   5. Dans la fenêtre qui s’ouvre, cliquez sur Parcourir, puis sélectionnez le script préalablement rédigé  InstallCrowdStrike.bat.

D) Appliquez la GPO

1. Assurez-vous que la GPO est bien liée au bon conteneur (domaine ou OU contenant les machines cibles).
2. Utilisez gpupdate /force sur un contrôleur de domaine pour forcer la mise à jour des stratégies.
3. Vérifiez l’application :
   
   1. Redémarrez une machine cible pour déclencher le script.
   2. Lancez la commande gpresult /h gpresults.html et vérifiez que votre nouvelle GPO est bien sur présente sur la machine
   3. Vérifiez que CrowdStrike est installé et opérationnel sur cette machine.

En cas de problèmes : consultez le fichier journal des scripts de démarrage sur les machines clientes C:\Windows\Debug\StartupLog.txt

 

3.3 Par MDM (Intune ou NinjaOne)

Intune

1. Téléchargez les éléments nécessaires

1. Téléchargez l'outil (interface graphique) Win32 Content Prep Tool 
2. Télécharger l'exécutable CrowdStrike depuis ce lien

2. Ouvrez Win32 Content Prep Tool

1. Ajoutez le fichier .exe

2. Renseignez la commande suivante : nom_du_fichier.exe /install /quiet /norestart CID=code_client
   Il s'agit du script de démarrage préalablement rédigé (cf. 2.2 Console).

3. Remplacez nom_du_fichier.exe par le nom réel du fichier et code_client par votre CID CrowdStrike

3. Téléchargez le fichier généré nommé .intunewin

4. Déployez  

1. Connectez-vous à Intune Admin Center (intune.microsoft.com)

2. Importez le fichier .intunewin

3. Assignez-le à vos groupes d’ordinateurs

4. L’installation sera effectuée automatiquement sur les postes cibles

NinjaOne

Voici le lien vers une procédure pour l'intégration de Crowdstrike via NinjaOne : Lien procédure Crowdstrike avec NinjaOne

 

4. Ouverture de flux réseau

En cas de blocage des flux réseau (réseau local isolé par exemple), les adresses IP et les noms de domaine suivants doivent être autorisés en sortie de réseau :

🌍 Adresses IPv6 à autoriser : 

2a05:d014:45e:4e00::/56
(allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56
(allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56
(allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and 2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

🌐 Domaines à autoriser :

ts01-lanner-lion.cloudsink.net
lfoup01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net

5. Debug

Si vous souhaitez vérifier l'installation de l'EDR sur un poste, vous pouvez lancer la commande suivante :

sc query csagent et sc query csfalconservice.