logo rss

Déployer SentinelOne dans un environnement Active Directory

Logo SentinelOne

J'ai récemment eu à déployer le tout nouveau SentinelOne super antivirus de la mort qui tue le XDR (pour Extended Detection and Response) dans un un environnement Windows

Si vous avez manqué le film, il s'agit d'un outil de sécurité qui utilise un moteur basé sur une IA et qui protège, détecte et réagit aux menaces logicielles.

C'est "blah blah blah" incroyable mais la vraie question est de savoir comment déployer ça? Et bien je n'ai pas trouvé de solution intégrée pour le faire à grand échelle.

J'ai donc du trouver un moyen de mon cru pour le déployer… Et c'est justement ce que je vais détailler ici!

Installation manuelle

Lorsque l'on lance le paquet msi, l'installeur SentinelOne demande de renseigner un Token.

On ne peut donc pas utiliser l'outil d'installation GPO natif de msi pour cela. (j'ai aussi essayé, sans succès, une solution pour ajouter les propriétés du token avec Orca).

Le programme d'installation de SentinelOne demande un jeton de site ou de groupe pendant l'assistant d'installation.
  • Avec la commande msiexec nous pouvons ajouter le TOKEN de cette façon :
    • /i : installer
    • /q : Mode silencieux, aucune interaction utilisateur
    • /norestart : ne pas redémarrer à la fin de l'installation
C:\>msiexec /i "SentinelInstaller_windows.msi" /q /norestart SITE_TOKEN="ps3GpmsPqogCBKF0ANnRhmUVptppZlKPMncnl2CGNG6cbaHia3yRHw6aWRb12AeDSj5NpabG1T4A6XPWzOsHt62jAgwK8IL5l0JibeWa"

C'est donc cette commande qui sera utilisée dans le script.

Batch Script

  • J'ai créé un petit script pour lancer l'installation de SentinelOne dans le cas ou il n'est pas déjà présent sur le poste :
@echo off

REM check if "HKLM\Software\Sentinel Labs" registry key is present
reg query "HKLM\Software\Sentinel Labs"

REM if "HKLM\Software\Sentinel Labs" registry key is present, it means that sentinel has already been installed on this host, so go to the INSTALLED switch of the script
IF %ERRORLEVEL% == 0 goto INSTALLED

REM Copy SentinelInstaller_windows.msi installer from SYSVOL share to local TEMP folder WORKSTATION
copy \\std\sysvol\std.local\scripts\SentinelOne\SentinelInstaller_windows.msi c:\windows\temp\ /Z /Y

REM install msi package
msiexec /i "c:\windows\temp\SentinelInstaller_windows.msi" /q /norestart SITE_TOKEN="ps3GpmsPqogCBKF0ANnRhmUVptppZlKPMncnl2CGNG6cbaHia3yRHw6aWRb12AeDSj5NpabG1T4A6XPWzOsHt62jAgwK8IL5l0JibeWa"

REM if install is ok go to OK switch
IF %ERRORLEVEL% == 0 goto OK

REM if install fails go to ERROR switch
goto ERROR

:INSTALLED
echo "Already Installed"
goto END

:ERROR
echo "Install Error"
goto END

:OK
echo "Install OK"

:END
  • Voici ce que fait le script:
    • Vérifie si l'entrée "HKLM\Software\Sentinel Labs" existe dans la base de registre (si l'entrée existe, cela veut dire que SentinelOne est déjà installé, donc sortir du script.).
    • Si non, copier le fichier SentinelInstaller_windows.msi depuis notre partage Active Directory vers c:\windows\temp\.
    • Enfin, lancer l'installation du msi.
  • Depuis un contrôleur de domaine Active Directory sauvegarder le script batch et le package msi SentinelOne dans le dossier C:\Windows\SYSVOL\sysvol\std.local\scripts\SentinelOne :
Dossier SYSVOL sur le serveur Active Directory montrant un script batch et le programme d'installation MSI de SentinelOne

Créer la GPO

Nous allons donc créer une GPO qui se chargera d'exécuter le script d'installation au démarrage de nos ordinateurs.

  • Ouvrir la console Utilisateurs et Ordinateurs Active Directory :
Ouvrir la console Utilisateurs et ordinateurs Active Directory
  • Déplacer les Ordinateurs sur lesquels l'on souhaite installer SentinelOne dans l'OU (Organizational Unit) Workstations :
Déplacer les ordinateurs dans l'OU
  • Ouvrir la console Gestion de stratégie de groupe :
Ouvrir la console Gestion de stratégie de groupe
  • Créer la stratégie de groupe :
Création d'une GPO
  • Donner un nom à la GPO :
Boîte de dialogue permettant de nommer une nouvelle GPO « Déploiement - SentinelOne » dans la gestion des stratégies de groupe
  • Éditer la GPO :
Menu contextuel du clic droit montrant l'option « Modifier » pour la GPO « Déployer - SentinelOner » dans la gestion de la stratégie de groupe
  • Aller dans Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt). Faire un clic droit Démarrage > Propriétés
Ouverture des propriétés de la section script de démarrage dans l'éditeur de gestion de la stratégie de groupe
  • Cliquer sur Ajouter… et Parcourir pour sélectionner le script :
Etapes pour ajouter un script de démarrage dans GPO : ouvrir les propriétés, rechercher le fichier batch et sélectionner Install_SentinelOne.bat

Et voila, finito!