Déployer SentinelOne dans un environnement Active Directory

SentinelOne logo

J'ai récemment eu à déployer le tout nouveau SentinelOne super antivirus de la mort qui tue le XDR (pour Extended Detection and Response) dans un un environnement Windows

Si vous avez manqué le film, il s'agit d'un outil de sécurité qui utilise un moteur basé sur une IA et qui protège, détecte et réagit aux menaces logicielles.

C'est "blah blah blah" incroyable mais la vraie question est de savoir comment déployer ça? Et bien je n'ai pas trouvé de solution intégrée pour le faire sur une large échelle.

J'ai donc du trouver un moyen de mon cru pour le déployer

Installation manuelle

Lorsque l'on lance le paquet msi, l'installeur SentinelOne demande de renseigner un Token.

On ne peut donc pas utiliser l'outil d'installation GPO natif de msi pour cela. (j'ai aussi essayé, sans succès, une solution pour ajouter les propriétés du token avec Orca).

Installation Sentinel One
  • Avec la commande msiexec nous pouvons ajouter le token de cette façon :
    • /i : installer
    • /q : Mode silencieux, aucune interaction utilisateur
    • /norestart : ne pas redémarrer à la fin de l'installation
C:\>msiexec /i "SentinelInstaller_windows.msi" /q /norestart SITE_TOKEN="ps3GpmsPqogCBKF0ANnRhmUVptppZlKPMncnl2CGNG6cbaHia3yRHw6aWRb12AeDSj5NpabG1T4A6XPWzOsHt62jAgwK8IL5l0JibeWa"

C'est donc cette commande qui sera utilisée dans le script.

Batch Script

  • J'ai créé un petit script pour lancer l'installation de SentinelOne dans le cas ou il n'est pas déjà présent sur le poste :
@echo off

:REM check if "HKLM\Software\Sentinel Labs" registry key is present
reg query "HKLM\Software\Sentinel Labs"

:REM if "HKLM\Software\Sentinel Labs" registry key is present, it means that sentinel has already been installed on this host, so go to the INSTALLED switch of the script
IF %ERRORLEVEL% == 0 goto INSTALLED

:REM Copy SentinelInstaller_windows.msi installer from SYSVOL share to local TEMP folder WORKSTATION
copy \\std\sysvol\std.local\scripts\SentinelOne\SentinelInstaller_windows.msi c:\windows\temp\ /Z /Y

:REM install msi package
msiexec /i "c:\windows\temp\SentinelInstaller_windows.msi" /q /norestart SITE_TOKEN="ps3GpmsPqogCBKF0ANnRhmUVptppZlKPMncnl2CGNG6cbaHia3yRHw6aWRb12AeDSj5NpabG1T4A6XPWzOsHt62jAgwK8IL5l0JibeWa"

:REM if install is ok go to OK switch
IF %ERRORLEVEL% == 0 goto OK

:REM if install fails go to ERROR switch
goto ERROR

:INSTALLED
echo "Already Installed"
goto END

:ERROR
echo "Install Error"
goto END

:OK
echo "Install OK"

:END
  • Depuis un contrôleur de domaine Active Directory sauvegarder le script batch et le package msi SentinelOne dans le dossier C:\Windows\SYSVOL\sysvol\std.local\scripts\SentinelOne :
dossier SYSVOL

Créer la GPO

Nous allons donc créer une GPO qui se chargera d'exécuter le script d'installation au démarrage de nos ordinateurs.

  • Ouvrir la console Utilisateurs et Ordinateurs Active Directory :
Ouvrir la console Utilisateurs et ordinateurs Active Directory
  • Déplacer les Ordinateurs sur lesquels l'on souhaite installer SentinelOne dans l'OU (Organizational Unit) Workstations :
Déplacer les ordinateurs dans l'OU
  • Ouvrir la console Gestion de stratégie de groupe :
Ouvrir la console Gestion de stratégie de groupe
  • Créer la stratégie de groupe :
Création d'une GPO
  • Donner un nom à la GPO :
Donner un nom à la GPO
  • Éditer la GPO :
Éditer la GPO
  • Aller dans Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt). Faire un clic droit Démarrage > Propriétés
GPO | Propriétés du script de démarrage
  • Cliquer sur Ajouter… et Parcourir pour sélectionner le script :
GPO | Paramétrage du script de démarrage

Finit!

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :