Déployer Falcon en masse via PDQ sur un parc Windows
Packaging silencieux de l'agent CrowdStrike Falcon, options clés du déploiement, et les pièges de désinstallation qui ont cassé un test.
CrowdStrike Falcon est l’EDR principal sur le parc Windows que je gère (~800 postes). Le déploiement initial s’est fait via PDQ Deploy, sur 3 vagues de 250-300 postes. Voilà ce que j’ai appris au passage.
Le packaging silencieux
L’installeur Falcon ne se laisse pas faire facilement. Sans options, il pose des questions et plante en silent. Les flags qu’il faut absolument :
WindowsSensor.exe /install /quiet /norestart CID=<CUSTOMER_ID>Le CID (Customer ID) est dans la console CrowdStrike, sous Hosts → Sensor Downloads. Sans CID, l’agent s’installe mais ne s’enrôle pas — tu te retrouves avec 250 postes “off-grid” à faire à la main.
Le wrapping PDQ Deploy
PDQ Deploy a besoin d’un package PDQ avec deux étapes :
- Install Step :
WindowsSensor.exe /install /quiet /norestart CID=... - Service Step : démarrer le service
CSAgent(parfois nécessaire)
Pas besoin de redémarrer le poste tout de suite — Falcon s’active en live. Mais prévoir un reboot dans la semaine pour que les hooks bas niveau soient bien actifs (notamment ceux qui dépendent du noyau).
Le piège qui m’a fait revenir le lendemain
Sur la première vague de 250 postes, environ 15 ne se sont pas enrôlés correctement. Symptôme : l’agent est installé, le service tourne, mais le poste n’apparaît pas dans la console CrowdStrike.
Cause : ces postes avaient une ancienne version d’un autre EDR (Symantec Endpoint Protection, jamais désinstallé proprement) qui bloquait l’enregistrement Falcon. Le WindowsSensor.exe retournait un code 0 (succès) alors qu’il avait silencieusement échoué à enregistrer.
La solution a été un script de pré-check qui :
- Liste les services antivirus présents (
Get-Servicepuis filter sur les noms connus) - Désinstalle les autres EDR si trouvés (chaque EDR a son uninstaller spécifique)
- Reboote le poste
- Lance l’install Falcon au prochain login via une scheduled task
C’est devenu mon template pour tout déploiement EDR.
La désinstallation, ce traquenard
Falcon refuse la désinstallation directe sans token de désinstallation, par design (sinon n’importe quel malware pourrait virer l’EDR). Le token se récupère dans la console, par host. Pour 800 postes, ça veut dire 800 tokens à manipuler.
Heureusement, l’API CrowdStrike permet de générer les tokens en masse. Mon script PowerShell pulle les tokens, les pousse dans un CSV mappé par hostname, et PDQ Deploy lance la désinstallation avec le bon token pour chaque poste. À ne faire que pour les remplacements ou les retraits — pas comme procédure standard.
Stat finale
Sur les 800 postes : 781 enrôlés sans intervention, 12 nécessitant le pré-check antivirus, 7 cas hors norme (postes hors domaine, postes en BIOS legacy avec un Win10 ancien). Total ~3 jours de travail réparti sur 3 semaines.