CrowdStrike: Instalasi Agent CrowdStrike Falcon - Windows Menggunakan GPO

 

Assalamu'alaikum wr. wb

 

Melanjutkan dari tutorial sebelumnya yaitu "Instalasi Agent CrowdStrike Falcon - Windows - Manual Deployment", kali ini Saya akan membagikan tutorial cara instalasi agent CrowdStrike Falcon di Windows menggunakan GPO.

Berikut ini adalah hal-hal yang harus dipersiapkan terlebih dahulu:

• OS komputer harus disupport
• Koneksi internet atau minimal akses https ke URL cloud CrowdStrike
• Installer agent CrowdStrike untuk Windows
• Active Directory Domain Controller Server
• Komputer yang sudah join Domain

Baiklah langsung saja berikut adalah langkah-langkahnya:

 

Download PowerShell script 

 

1. Untuk dapat melakukan deployment agent CrowdStrike Falcon via GPO, kita memerlukan PowerShell script yang dapat di download melalui link berikut: CrowdStrike Install Script 

2. Setelah di download, masukkan PowerShell script tersebut ke file sharing folder yang dapat diakses oleh komputer yang akan diinstall agen CrowdStrike Falcon. Disini saya akan memasukkan script tersebut ke folder sharing file yang ada di Active Directory Server.

 

Pastikan komputer user dapat mengakses share folder tersebut.

Setup API Client and Key

 

1. Login ke management console CrowdStrike Falcon, kemudian masuk ke menu Support and resources > API clients and keys

2. Kemudian, klik tombol Create API client untuk membuat API client dan key baru

3. Isi nama dan deskripsi sesuai kebutuhan, kemudian berikan izin Read untuk Sensor download dan Sensor update policy, setelah itu klik create

4. Copy detail client id, secret dan base url nya ke notepad atau word karena API secret hanya akan muncul sekali.

API berhasil dibuat

Active Directory Server

 

1. Login ke Active Directory Server menggunakan akun administrator

 

2. Setelah itu, masuk ke menu Windows Administrative Tools > Active Directory Users and Computers, setelah itu buat OU yang nantinya akan digunakan untuk menampung komputer yang akan dideploy agent CrowdStrike Falcon.

 

Untuk membuat OU, pertama klik kanan root domain, kemudian pilih New, dan terakhir pilih Organization Unit.

Setelah itu, beri nama OU sesuai kebutuhan, setalah itu klik OK.

OU berhasil dibuat.

3. Masukkan komputer yang ingin diinstall agent CrowdStrike Falcon ke dalam OU yang sudah dibuat.

Untuk memindahkan komputer, kita dapat masuk ke folder Computer, lalu klik komputer yang ingin dipindahkan, setelah itu pencet tombol keyboard CTRL + X.

Setelah itu masuk ke OU yang sudah kita buat dan pencet tombol keyboard CTRL + V atau klik kanan pada bagian yang kosong lalu pilih paste.

4. Selanjutnya, buka menu Windows Administrative Tools > Group Policy Management, lalu buat Group Policy Object (GPO) baru.

Berikan nama sesuai kebutuhan, lalu klik OK

Edit GPO yang sudah dibuat

Setelah itu akan muncul window Group Policy Management Editor. Masuk ke menu Computer Configuration > Preferences > Control Panel Settings > Scheduled Tasks

Setelah itu, klik kanan pada bagian yang kosong pada kolom scheduled task untuk membuat schedule task baru, lalu pilih New dan terakhir pilih Scheduled Task (At least Windows 7)

Pada tab General, pilih action Update, lalu beri nama sesuai kebutuhan. Lalu pada bagian when running user task, gunakan user NT AUTHORITY\System, lalu pada bagian configure for, pilih Windows 7

Kemudian pada tab Triggers, klik tombol New lalu buat schedule sesuai kebutuhan lalu klik OK

Berikut hasilnya

Kemudian, masuk ke tab Action lalu klik New. Lalu sesuaikan dengan settingan berikut:

Action: Start a program

Program/script: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Add arguments (optional): Sesuaikan dengan kondisi berikut:

- Tanpa installation token: -ExecutionPolicy Bypass -F <PowerShell Script Location> -FalconClientId <API Client ID> -FalconClientSecret <API Secret>

- Dengan installation token: -ExecutionPolicy Bypass -F <PowerShell Script Location> -FalconClientId <API Client ID> -FalconClientSecret <API Secret> -ProvToken <Installation token>

 

Berikut hasilnya

Terakhir klik OK untuk menyimpan Scheduled Task

 

Windows Client

1. Buka CMD, lalu jalankan perintah gpudate /force untuk memperbarui settingan GPO

2. Buka Task Scheduler untuk melihat apakah Scheduled Task yang kita buat sudah masuk.

Dari gambar diatas dapat dilihat bahwa telah muncul scheduled task baru yaitu Deploy CrowdStrike Falcon Agent. Itu artinya scheduled task yang kita buat sudah masuk ke komputer user.

3. Tunggu hingga waktu yang sudah ditentukan agar scheduled task berjalan. Apabila scheduled task sudah selesai dijalankan dan berhasil, maka agent CrowdStrike Falcon akan secara otomatis terinstall. Hal ini dapat dilihat di control panel seperti gambar berikut:

Kalian dapat melihat log PowerShell Script instalasi agent CrowdStrike Falcon pada file C:\Windows\Temp\InstallFalcon.log

Management Console CrowdStrike Falcon

1. Konfirmasi apakah komputer sudah masuk ke console CrowdStrike Falcon dengan cara masuk ke menu Host setup and management > Hosts management

2. Filter by Hostname: <hostname komputer>, berikut hasilnya:

 

 

Nah itu tadi langkah-langkah mass deployment agent CrowdStrike Falcon menggunakan GPO. Apabila kalian ada pertanyaan terkait artikel kali ini, silakan tuliskan di kolom komentar di bawah ini. Sekian yang dapat Saya sampaikan, semoga artikel kali ini bermanfaat. Terima kasih.

 

Wassalamu'alaikum wr. wb