Cortex XDR [Lab 05] Cấu Hình GPO Trên Domain Controller Server Để Install Hàng Loạt Cortex-Xdr Agent Bằng Script

Tài liệu này hướng dẫn viết script và dùng GPO trên domain controller install Cortex XDR Agent.
1. Mô hình và yêu cầu của bài lab

• Tạo script để install agent Cortex XDR
• Tạo GPO để install agent Cortex-XDR theo group đã xác định

2. Thực hiện cấu hình
Đầu tiên ta sẽ tiến hành tạo OU cho các computer cũng như user muốn install agent trên domain controller server bằng cách vào phần Tools->Active Directory Users and Computers.

Tại đây ta sẽ chọn domain muốn cấu hình rồi nhấn chuột phải chọn New->Organization Unit.

Hộp thoại hiện lên ta sẽ điền tên cho OU và chọn Protect container from accidental deletion để không cho phép xóa OU rồi nhấn OK.

Sau khi đã tạo xong OU ta sẽ add các user cũng như computer đã join domain vào mục đích để update policy hàng loạt trên các computer.

Các user phải có quyền cài đặt file ở đây ta thực hiện việc này bằng cách add các user vào group domain admin.

Sau đó ta sẽ tiến hành tải agent window của Cortex-XDR về máy đồng thời share folder chứa agent vừa tải để cho các user có thể install được agent theo policy.

Kiểm tra folder đã được shared cho các user trong group.

Tiếp theo ta sẽ viết script để install agent Cortex XDR dùng msiexec command, ta tạo file notepad và điền các thông tin như hình:

• @echo off: tắt prompt của CMD
• Msiexec: command dùng để install các package .MSI
• /i: install
• \\10.123.200.192\Cortex-XDR-Agent\Window_Agents_x64.msi: Đường dẫn tới thư mục chứa file agent Cortex XDR
• Proxy_list: Địa chỉ ip và port của Broker VM dùng làm agent proxy cho Cortex XDR
• ALLUSER=1: áp dụng cho tất cả user của computer
• /qb: install với UI setup normal.

Sau đó lưu file với đuôi .bat

Trước tiên ta sẽ vào phần Tools->Group Policy Management

Sau đó ta sẽ chọn Domain muốn cấu hình rồi chuột phải vào OU đã tạo ở trên và chọn Create a GPO…

Tiếp theo ta sẽ điền tên cho GPO và nhấn OK

Sau khi tạo xong GPO ta nhấn chuột phải vào edit để cấu hình policy cho GPO.

Ta sẽ cấu hình UAC tại phần Computer Configuration->Policies->Windows Settings->Security Settings->Local Policies->Security Options

Ta sẽ cho phép chạy các ứng dụng mà không hiển thị prompt yêu cầu việc accept.


Tiếp theo tại phần User Configuration->Policies->Windows Settings-> Scripts ta sẽ tạo script cho phép install agent mỗi khi user login vào computer.

Ta sẽ chọn Show File và copy file script .bat đã viết ở trên vào thư mục Logon rồi nhấn OK.

Sau đó ta nhấn phím Shift + chuột phải để copy đường dẫn của script trong thư mục Logon mục đích để tạo task schedule.

Tiếp theo ta sẽ tạo schedule task để install agent duy nhất 1 lần bằng các vào User Configuration->Policies->Preferences->Scheduled Task->New->Immediate Task.

Hộp thoại hiện lên tại tab General ta điền tên và thực hiện chạy task bằng quyền administrator.

Tại tab Actions ta tiến hành tạo mới 1 action đồng thời paste dường dẫn file script vào phần Program/Script ta và nhấn OK

Tại tab Common ta tiến hành chọn option cho phép chạy task 1 lần duy nhất rồi nhấn OK.

Quay lại hộp thoại Group Policy Management ta tiến hành chọn GPO sau ta vào tab Delegation ta chọn Advanced rồi Add các group không muốn apply policy này vào và chọn deny ở phần Apply group policy.

Cuối cùng ta tiến hành update policy cho OU mà ta muốn bằng cách tại hộp thoại Group Policy Management ta chọn OU muốn update policy rồi nhấn chuột phải chọn Group Policy Update.

Tiếp theo chọn YES để đồng ý update policy cho các computer

Ta thấy việc update đã thành công và các policy sẽ được cập nhập trong vòng 10 phút tới

Ta sẽ kiểm tra việc install agent bằng cách login vào 1 computer bất kỳ đã join domain nằm trong group cho phép apply policy sẽ thấy script chạy để install agent.


Sau khi install xong kết quả sẽ như hình dưới