Uitvoerbaar bestand
Download het uitvoerbare Windows-bestand via Stoïk Protect of via deze link.
Klant-ID
Uw klant-ID is nodig voor de implementatie van de EDR. Deze vindt u op Stoïk Protect, onder het tabblad MDR en vervolgens Instellingen, in het gedeelte Informatie.
Geautomatiseerde implementatie
Als u over SCCM of Intune beschikt, hoeft u alleen maar het gedownloade uitvoerbare bestand rechtstreeks op alle werkstations en servers te implementeren. U kunt dit ook doen via GPO (hieronder vindt u een handleiding voor het aanmaken van de GPO).
Gebruik voor geautomatiseerde implementatie het volgende commando, waarbij u code_client vervangt door uw klant-ID:
<naam van het crowdstrike-bestand>.exe /install /quiet /norestart CID=code_client
Indien nodig kunt u tijdens de installatie ook een tag toevoegen die aan de agent is gekoppeld. Dit kan met name handig zijn om installaties per site of geografische locatie te onderscheiden:
<naam van het crowdstrike-bestand>.exe /install /quiet /norestart CID= code_client GROUPING_TAGS=‘INSERT_TAGS_HERE'
U kunt meerdere tags opgeven door ze met komma's te scheiden.
Handmatige implementatie
- Start het uitvoerbare bestand
- Voer uw klant-ID in het veld Customer ID with Checksum in
- Klik op Install
Uw huidig antivirusprogramma verwijderen
CrowdStrike vervangt uw huidige antivirusoplossing, het is dus noodzakelijk om deze te verwijderen. Let op: Schakel uw firewall niet uit als het om een andere oplossing gaat. Als het beheer van de firewall echter door dezelfde oplossing wordt uitgevoerd en u aangepaste regels hebt aangemaakt, breng deze dan over naar de Windows-firewall.
Bijlage - Aanmaken van een GPO voor geautomatiseerde implementatie
Om een implementatie via GPO (Group Policy Object) uit te voeren, voert u de volgende stappen uit:
- Download het CrowdStrike-installatieprogrammavan Stoïk Protect of via deze link.
- Plaats dit bestand in een gedeelde netwerkmap die toegankelijk isvoor alle computers in het domein.
Voorbeeldpad: \\Server\Share\WindowsSensor.exe.
Zorg ervoor dat de gedeelde map Leesrechten heeft voor de betreffende computergroepen.
- Maak een PowerShell- of batchscriptbestand aan dat de installatieopdracht uitvoert.
Voorbeeld van een batchscript (InstallCrowdStrike.bat):
@echo off
\\Server\Share\WindowsSensor.exe /install /quiet /norestart CID=your_customer_id
Indien nodig kunt u tijdens de installatie ook een tag toewijzen aan de agent. Dit kan met name handig zijn om installaties per site of geografische locatie te onderscheiden:
@echo off
\\Server\Share\WindowsSensor.exe /install /quiet /norestart CID=your_customer_id GROUPING_TAGS=‘INSERT_TAGS_HERE'
➡️ Vervang \\Server\Share\WindowsSensor.exe door het werkelijke pad en your_customer_id door uw klant-ID .
- Test het script handmatig op een computer om te controleren of CrowdStrike correct wordt geïnstalleerd, waarbij u nagaat of deze computer wel degelijk aanwezig is in uw Stoïk Protect MDR.
- Open GPMC (Group Policy Management Console):
○ Druk op Win + R, typ gpmc.msc en druk op Enter.
- Maak een nieuwe GPO aan:
○ Klik met de rechtermuisknop op de omgeving waar u de GPO wilt toepassen (bijvoorbeeld: het domein of een specifieke OU).
○ Klik op Create a GPO in this domain, and link it here en geef het een naam (bijvoorbeeld: CrowdStrike-implementatie).
- Configureer het opstartscript:
○ Klik met de rechtermuisknop op de nieuwe GPO en selecteer Edit.
○ Ga naar Computer Configuration > Policies > Windows Settings > Scripts (Startup/Shutdown).
○ Dubbelklik op Startup en klik vervolgens op Add.
○ Klik in het venster dat wordt geopend op Browse en selecteer het script InstallCrowdStrike.bat.
Let op: Kopieer het script naar de map \\<servernaam>\SysVol\<domeinnaam>\Policies\<GUID_van_de_GPO>\Machine\Scripts\Startup, zodat het voor iedereen toegankelijk is.
- Pas de GPO toe:
○ Zorg ervoor dat de GPO gekoppeld is aan de juiste OU/domein waar uw doelmachines zich bevinden.
○ Voer op een domeincontroller de volgende opdracht uit: gpupdate /force
- Controleer de toepassing:
○ Start een doelmachine opnieuw op om het script te activeren.
○ Controleer of CrowdStrike op deze machine is geïnstalleerd en werkt.
- Als er problemen zijn: raadpleeg het logbestand van de opstartscripts op de clientmachines:
C:\Windows\Debug\StartupLog.txt. Controleer of:
○ Het pad naar de gedeelde map correct is en toegankelijk is.
○ De NTFS- en netwerkmachtigingen ‘lezen’ toestaan voor de doelmachines.
Bijlage - Openen van netwerkverkeer
Bij netwerkblokkering moeten de volgende uitgaande verbindingen via poort 443 worden toegestaan in de firewall:
IPv4
3.121.6.180
3.121.187.176
3.121.238.86
3.125.15.130
18.158.187.80
18.198.53.88
3.78.32.129
3.121.13.180
3.123.240.202
18.184.114.155
18.194.8.224
35.156.219.65
3.69.184.79
3.76.143.53
3.77.82.22
IPv6
2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
2a05:d014:45e:4e00::/56 (allow all addresses between 2a05:d014:45e:4e00:0000:0000:0000:0000 and
2a05:d014:45e:4eff:ffff:ffff:ffff:ffff)
Domaines
ts01-lanner-lion.cloudsink.net
lfoup01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net
Neem contact met ons op via protect@stoik.io als u problemen ondervindt.