Instalar el agente de CrowdStrike en Windows es muy sencillo.
Incluso se puede desplegar de forma remota con alguna herramienta.
Los requisitos de CrowdStrike a fecha de este post tienen como sistema operativo mínimo Microsoft Windows Server 2008 R2. El cual el soporte está extendido hasta 2023 y se ha de solicitar expresamente.
¡Recomendación! Migrar cuanto antes.
Windows Server 2008 R2 también a fecha de este post sigue teniendo soporte por parte de Microsoft, así que en uno de mis servidores para no dejarlo desprotegido pasé a instalarlo de la misma forma que otros servidores con mi herramienta de despliegue.
Al realizar la comprobación de que se ha instalado correctamente me doy cuenta de que no se ha instalado.
Intento realizar una instalación manual del agente para ver si muestra algún mensaje y si, muestra un código de error que es el siguiente: 80004004
Extrañado miro los logs, pero como la mayoría de logs, si no los has visto nunca te suenan a otro idioma completamente diferente.
El error es extraño, ya que ese servidor apenas ha tenido manipulación desde que se instaló. No entiendo por qué no se instala. Podría ser algún parche de seguridad, pero es raro, ya que algún otro servidor Windows 2008 R2 que me queda por ahí se instaló sin problemas.
Me pongo a la búsqueda de información en Internet y llego al «sub» oficial en Reddit de CrowdStrike.
Otro usuario ha tenido el mismo problema 8 meses antes que yo y ahí le plantean diferentes soluciones.
CrowdStrike Falcon Sensor Setup Error 80004004 [Windows]
El hilo ya estaba cerrado, así que no podía preguntar sin abrir un nuevo hilo ni aportar mi posible solución (de aquí que haya querido publicar en mi blog).
En uno de los posts le indican añadir un parámetro extra en el comando de instalación. Decido probarlo y voilà, se deja instalar correctamente.
Bien, parece que he conseguido pasar la primera barrera.
El siguiente paso es realizar la comprobación en la consola web para ver si se ha registrado el sensor.
Pero este no aparece. Siguen los problemas.
Después de revisar incluso el foro oficial de CrowdStrike, sigo sin encontrar una solución, así que se me da por molestar a mi compañero de networking para ver si me puede echar un cable a ver si el firewall está bloqueando algo.
Mi compañera siquiera ve una mota de polvo, de ese servidor no sale nada útil, y lo poco que sale está incompleto
Para llamar a cierto programa de TV para resolver misterios.
Creemos que pueden ser los certificados que utiliza CrowdStrike, que son los de DigiCert, que puede ser que Windows 2008 R2 no los tenga actualizados.
Actualizamos manualmente, pero el resultado es el mismo. La cosa empieza a ser bastante extraña.
Vuelvo a revisar la documentación de CrowdStrike y en un punto de esta, indica que es necesario que el servidor tenga TLS 1.2.
Windows 2008 R2 soporta TLS 1.2 si problemas. Pero aún así se me enciende una bombilla y se me da por utilizar IIS Crypto, el cual puedo ver todos los tipos de cifrado que está utilizando esa máquina.
Tiene activado TLS 1.0, que a día de hoy es un cifrado inseguro, pero tiene habilitados también el resto. Así que debería conectar correctamente.
De todas formas decido deshabilitar ya que estoy ahí TLS 1.0 y posteriormente para que se apliquen bien los cambios, realizo un reinicio del servidor.
Una vez reiniciado el servidor vuelvo a comentar con mi compañero de networking si veía tráfico y efectivamente ve conectividad ya hacía afuera y yo al comprobar en la consola web, ahí estaba el servidor conectado dispuesto a recibir las políticas que se le tenían que asignar.
Así que una nueva posible solución sería asegurarnos que no estamos utilizando cifrados inseguros en los servidores (asegurándonos siempre que no afecte a otros servicios).
