Hoe CrowdStrike EDR op Windows implementeren?

Uitvoerbaar bestand

Download het uitvoerbare Windows-bestand via Stoïk Protect of via deze link.

Klant-ID

Uw klant-ID is nodig voor de implementatie van de EDR. Deze vindt u op Stoïk Protect, onder het tabblad MDR en vervolgens Instellingen, in het gedeelte Informatie.

Geautomatiseerde implementatie

Als u over SCCM of Intune beschikt, hoeft u alleen maar het gedownloade uitvoerbare bestand rechtstreeks op alle werkstations en servers te implementeren. U kunt dit ook doen via GPO (hieronder vindt u een handleiding voor het aanmaken van de GPO).

Gebruik voor geautomatiseerde implementatie het volgende commando, waarbij u code_client vervangt door uw klant-ID:

<naam van het crowdstrike-bestand>.exe /install /quiet /norestart CID=code_client

Indien nodig kunt u tijdens de installatie ook een tag toevoegen die aan de agent is gekoppeld. Dit kan met name handig zijn om installaties per site of geografische locatie te onderscheiden:

<naam van het crowdstrike-bestand>.exe /install /quiet /norestart CID= code_client GROUPING_TAGS=‘INSERT_TAGS_HERE'

U kunt meerdere tags opgeven door ze met komma's te scheiden.

Handmatige implementatie 

1.   Start het uitvoerbare bestand
2.   Voer uw klant-ID in het veld Customer ID with Checksum in
3.   Klik op Install

Uw huidig antivirusprogramma verwijderen

CrowdStrike vervangt uw huidige antivirusoplossing, het is dus noodzakelijk om deze te verwijderen. Let op: Schakel uw firewall niet uit als het om een andere oplossing gaat. Als het beheer van de firewall echter door dezelfde oplossing wordt uitgevoerd en u aangepaste regels hebt aangemaakt, breng deze dan over naar de Windows-firewall.

Bijlage - Aanmaken van een GPO voor geautomatiseerde implementatie

Om een implementatie via GPO (Group Policy Object) uit te voeren, voert u de volgende stappen uit:

• Download het CrowdStrike-installatieprogrammavan Stoïk Protect of via deze link.
• Plaats dit bestand in een gedeelde netwerkmap die toegankelijk isvoor alle computers in het domein.

Voorbeeldpad: \\Server\Share\WindowsSensor.exe.

Zorg ervoor dat de gedeelde map Leesrechten heeft voor de betreffende computergroepen.

• Maak een PowerShell- of batchscriptbestand aan dat de installatieopdracht uitvoert.

Voorbeeld van een batchscript (InstallCrowdStrike.bat):

@echo off

\\Server\Share\WindowsSensor.exe /install /quiet /norestart CID=your_customer_id

Indien nodig kunt u tijdens de installatie ook een tag toewijzen aan de agent. Dit kan met name handig zijn om installaties per site of geografische locatie te onderscheiden:

@echo off

\\Server\Share\WindowsSensor.exe /install /quiet /norestart CID=your_customer_id GROUPING_TAGS=‘INSERT_TAGS_HERE'

➡️ Vervang \\Server\Share\WindowsSensor.exe door het werkelijke pad en your_customer_id door uw klant-ID .

• Test het script handmatig op een computer om te controleren of CrowdStrike correct wordt geïnstalleerd, waarbij u nagaat of deze computer wel degelijk aanwezig is in uw Stoïk Protect MDR.
• Open GPMC (Group Policy Management Console):

○ Druk op Win + R, typ gpmc.msc en druk op Enter.

• Maak een nieuwe GPO aan:

○ Klik met de rechtermuisknop op de omgeving waar u de GPO wilt toepassen (bijvoorbeeld: het domein of een specifieke OU).

○ Klik op Create a GPO in this domain, and link it here en geef het een naam (bijvoorbeeld: CrowdStrike-implementatie).

• Configureer het opstartscript:

○ Klik met de rechtermuisknop op de nieuwe GPO en selecteer Edit.

○ Ga naar Computer Configuration > Policies > Windows Settings > Scripts (Startup/Shutdown).

○ Dubbelklik op Startup en klik vervolgens op Add.

○ Klik in het venster dat wordt geopend op Browse en selecteer het script InstallCrowdStrike.bat.

Let op: Kopieer het script naar de map \\<servernaam>\SysVol\<domeinnaam>\Policies\<GUID_van_de_GPO>\Machine\Scripts\Startup, zodat het voor iedereen toegankelijk is.

• Pas de GPO toe:

○ Zorg ervoor dat de GPO gekoppeld is aan de juiste OU/domein waar uw doelmachines zich bevinden.

○ Voer op een domeincontroller de volgende opdracht uit: gpupdate /force 

• Controleer de toepassing:

○ Start een doelmachine opnieuw op om het script te activeren.

○ Controleer of CrowdStrike op deze machine is geïnstalleerd en werkt.

• Als er problemen zijn: raadpleeg het logbestand van de opstartscripts op de clientmachines:

C:\Windows\Debug\StartupLog.txt. Controleer of:

○ Het pad naar de gedeelde map correct is en toegankelijk is.

○ De NTFS- en netwerkmachtigingen ‘lezen’ toestaan voor de doelmachines.

 

Bijlage - Openen van netwerkverkeer

Bij netwerkblokkering moeten de volgende uitgaande verbindingen via poort 443 worden toegestaan in de firewall:

IPv4 

3.121.6.180

3.121.187.176

3.121.238.86

3.125.15.130

18.158.187.80

18.198.53.88

3.78.32.129

3.121.13.180

3.123.240.202

18.184.114.155

18.194.8.224

35.156.219.65

3.69.184.79

3.76.143.53

3.77.82.22

IPv6

2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and

           2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and

2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and

2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)

Domaines

ts01-lanner-lion.cloudsink.net

lfoup01-lanner-lion.cloudsink.net

lfodown01-lanner-lion.cloudsink.net