Déployer SentinelOne dans un environnement Active Directory

Mise à jour le 29 mai 2022

J'ai récemment eu à déployer le tout nouveau SentinelOne ~~super antivirus de la mort qui tue~~ le XDR (pour Extended Detection and Response) dans un un environnement Windows…

Si vous avez manqué le film, il s'agit d'un outil de sécurité qui utilise un moteur basé sur une IA et qui protège, détecte et réagit aux menaces logicielles.

C'est "blah blah blah" incroyable mais la vraie question est de savoir comment déployer ça? Et bien je n'ai pas trouvé de solution intégrée pour le faire sur une large échelle.

J'ai donc du trouver un moyen de mon cru pour le déployer…

Installation manuelle

Lorsque l'on lance le paquet msi, l'installeur SentinelOne demande de renseigner un Token.

On ne peut donc pas utiliser l'outil d'installation GPO natif de msi pour cela. (j'ai aussi essayé, sans succès, une solution pour ajouter les propriétés du token avec Orca).

Fenêtre de bienvenu de l'installeur Sentinel One demandant d'insérer le jeton de licence

Avec la commande msiexec nous pouvons ajouter le token de cette façon :

/i : installer

/q : Mode silencieux, aucune interaction utilisateur

/norestart : ne pas redémarrer à la fin de l'installation

C:\>msiexec /i "SentinelInstaller_windows.msi" /q /norestart SITE_TOKEN="ps3GpmsPqogCBKF0ANnRhmUVptppZlKPMncnl2CGNG6cbaHia3yRHw6aWRb12AeDSj5NpabG1T4A6XPWzOsHt62jAgwK8IL5l0JibeWa"

C'est donc cette commande qui sera utilisée dans le script.

Batch Script

J'ai créé un petit script pour lancer l'installation de SentinelOne dans le cas ou il n'est pas déjà présent sur le poste :

@echo off

:REM check if "HKLM\Software\Sentinel Labs" registry key is present
reg query "HKLM\Software\Sentinel Labs"

:REM if "HKLM\Software\Sentinel Labs" registry key is present, it means that sentinel has already been installed on this host, so go to the INSTALLED switch of the script
IF %ERRORLEVEL% == 0 goto INSTALLED

:REM Copy SentinelInstaller_windows.msi installer from SYSVOL share to local TEMP folder WORKSTATION
copy \\std\sysvol\std.local\scripts\SentinelOne\SentinelInstaller_windows.msi c:\windows\temp\ /Z /Y

:REM install msi package
msiexec /i "c:\windows\temp\SentinelInstaller_windows.msi" /q /norestart SITE_TOKEN="ps3GpmsPqogCBKF0ANnRhmUVptppZlKPMncnl2CGNG6cbaHia3yRHw6aWRb12AeDSj5NpabG1T4A6XPWzOsHt62jAgwK8IL5l0JibeWa"

:REM if install is ok go to OK switch
IF %ERRORLEVEL% == 0 goto OK

:REM if install fails go to ERROR switch
goto ERROR

:INSTALLED
echo "Already Installed"
goto END

:ERROR
echo "Install Error"
goto END

:OK
echo "Install OK"

:END

Depuis un contrôleur de domaine Active Directory sauvegarder le script batch et le package msi SentinelOne dans le dossier C:\Windows\SYSVOL\sysvol\std.local\scripts\SentinelOne :

fenêtre explorateur de fichier windows affichant le contenu du dossier SYSVOL

Créer la GPO

Nous allons donc créer une GPO qui se chargera d'exécuter le script d'installation au démarrage de nos ordinateurs.

Ouvrir la console Utilisateurs et Ordinateurs Active Directory :

Ouvrir la console Utilisateurs et ordinateurs Active Directory

Déplacer les Ordinateurs sur lesquels l'on souhaite installer SentinelOne dans l'OU (Organizational Unit) Workstations :

Ouvrir la console Gestion de stratégie de groupe :

Ouvrir la console Gestion de stratégie de groupe

Créer la stratégie de groupe :

Donner un nom à la GPO :

Éditer la GPO :

Aller dans Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt). Faire un clic droit Démarrage > Propriétés

Dans la console de gestion de stratégie de groupe un clic droit pour accéder aux propriétés du script de démarrage

Cliquer sur Ajouter… et Parcourir pour sélectionner le script :

Plusieurs captures pour expliquer les différentes étapes du paramétrage du script de démarrage dans la console de gestion de stratégie de groupe

Finit!

Informatique

Zik

Autres

Déployer SentinelOne dans un environnement Active Directory

Installation manuelle

Batch Script

Créer la GPO