Etiquetas

WAZUH - GPO

WAZUH - AMBASSADORS

🏢 Despliegue Centralizado de Agentes Wazuh mediante GPO en Entornos Windows

En esta práctica se implementará un despliegue centralizado de agentes Wazuh en equipos Windows de un dominio, utilizando Directivas de Grupo (GPO). El objetivo es automatizar por completo la instalación y el enrolamiento de los agentes en el Wazuh Manager, sin intervención manual por parte del usuario y garantizando un control total desde el servidor.

Para ello, se descargará el instalador del agente Wazuh y se creará un script de instalación ubicado en una carpeta compartida del Windows Server, accesible para la cuenta SYSTEM, de forma que pueda ejecutarse durante el inicio del equipo.
Se creará una Unidad Organizativa (OU) específica llamada WAZUH, donde se incluirán los equipos que deban tener instalado el agente, y se configurará una política de inicio de equipo que ejecute automáticamente el script al arrancar, independientemente de que un usuario inicie sesión.

Además, se reforzará la seguridad configurando una contraseña de enrolamiento en Wazuh, asegurando que solo los agentes autorizados puedan registrarse, y se creará un grupo específico para los nuevos agentes del dominio.
Antes del despliegue masivo, el script será probado manualmente en el servidor para validar su correcto funcionamiento y enrolamiento.

🧰 Tecnologías empleadas

Wazuh

Wazuh es una plataforma de seguridad que permite la monitorización de sistemas, detección de amenazas y gestión centralizada de agentes. En esta práctica actúa como el sistema central donde se registran y gestionan los agentes Windows desplegados por GPO.

Agente Wazuh (Windows)

El agente de Wazuh instalado en sistemas Windows recopila eventos del sistema, logs de seguridad y otra información relevante, enviándola al Wazuh Manager. Su despliegue automatizado es clave para entornos empresariales.

Windows Server / Active Directory

Windows Server con Active Directory se utilizará para gestionar el dominio, crear Unidades Organizativas y aplicar Directivas de Grupo (GPO) que permitan automatizar la instalación del agente en los equipos del dominio.

Group Policy Objects (GPO)

Las GPO permiten aplicar configuraciones y ejecutar scripts de forma centralizada en equipos del dominio. En esta práctica se utilizarán para ejecutar un script de instalación del agente Wazuh durante el arranque del sistema.

🎯 Objetivos de la práctica

  • Automatizar el despliegue del agente Wazuh en equipos Windows del dominio.

  • Descargar y preparar el instalador del agente Wazuh.

  • Crear un script de instalación accesible desde una carpeta compartida.

  • Garantizar que el script pueda ejecutarse con permisos SYSTEM.

  • Crear una Unidad Organizativa (OU) específica para equipos con Wazuh.

  • Configurar una GPO de inicio de equipo para ejecutar el script.

  • Asegurar el enrolamiento mediante contraseña en Wazuh.

  • Crear un grupo específico para los nuevos agentes del dominio.

  • Validar el script ejecutándolo manualmente antes del despliegue masivo.

🧩 Aspectos clave de la práctica

🔐 Configuración de seguridad para el enrolamiento de agentes

Antes del despliegue, se configurará en Wazuh una contraseña de enrolamiento, de modo que:

  • Solo los agentes que conozcan la contraseña puedan registrarse.

  • Se eviten registros no autorizados.

  • Se controle el alta de nuevos equipos en el entorno.

Además, se creará un grupo específico donde se asignarán automáticamente los agentes del dominio.

📦 Preparación del instalador y del script

Se descargará el agente Wazuh para Windows y se creará un script de instalación que:

  • Instale el agente de forma silenciosa.

  • Configure la conexión con el Wazuh Manager.

  • Utilice la contraseña de enrolamiento definida.

  • Asigne el agente al grupo correspondiente.

Este script se almacenará en una carpeta compartida del servidor, con permisos adecuados para su ejecución por SYSTEM.

🧪 Prueba manual del script

Antes de aplicar la GPO:

  • El script se ejecutará manualmente en el servidor.

  • Se comprobará que el agente se instala correctamente.

  • Se validará que el agente se enrola en el Wazuh Manager.

  • Se confirmará que aparece asignado al grupo correcto.

Este paso garantiza que el despliegue masivo no genere errores.

🗂️ Creación de la Unidad Organizativa WAZUH

Se creará una OU llamada WAZUH en Active Directory para:

  • Agrupar los equipos donde se instalará el agente.

  • Facilitar la aplicación selectiva de la GPO.

  • Mantener una estructura clara y organizada del dominio.

Los equipos objetivo serán movidos a esta OU.

⚙️ Configuración de la GPO de inicio de equipo

Se creará una GPO de inicio de equipo asociada a la OU WAZUH que:

  • Ejecute el script de instalación al arrancar el sistema.

  • Se ejecute independientemente de que un usuario inicie sesión.

  • Utilice la cuenta SYSTEM para garantizar permisos suficientes.

De este modo, el agente se instalará automáticamente al encender el equipo.

🔄 Enrolamiento automático de los agentes

Con la GPO aplicada:

  • Cada equipo del dominio instalará el agente al iniciar.

  • El agente se conectará automáticamente al Wazuh Manager.

  • Se registrará utilizando la contraseña configurada.

  • Quedará asignado al grupo del dominio.

Este proceso no requiere interacción del usuario.

🔍 ¿Por qué es importante esta práctica?

Esta práctica reproduce un escenario real de despliegue empresarial, donde es fundamental:

  • Automatizar instalaciones a gran escala.

  • Reducir errores humanos.

  • Garantizar la seguridad en el enrolamiento de agentes.

  • Mantener control centralizado del entorno.

  • Gestionar decenas o cientos de equipos Windows de forma eficiente.

Es una práctica esencial para administradores de sistemas y entornos SOC con infraestructura Windows.

✅ Resultados esperados

  • Agente Wazuh descargado y preparado correctamente.

  • Script de instalación funcional y validado manualmente.

  • Carpeta compartida accesible para SYSTEM.

  • OU WAZUH creada y organizada.

  • GPO de inicio aplicada correctamente.

  • Agentes instalados automáticamente al arrancar los equipos.

  • Enrolamiento seguro mediante contraseña.

  • Agentes asignados al grupo del dominio en Wazuh.

  • Gestión centralizada de agentes Windows plenamente operativa.

🔗 Enlaces de interés

      DOCUMENTACIÓN                        

⚙️ Estructura de red


🏢Centralized Deployment of Wazuh Agents Using GPO in Windows Environments

In this practice, we will implement a centralized deployment of Wazuh agents on Windows domain-joined computers using Group Policy Objects (GPO). The goal is to fully automate the installation and enrollment of Wazuh agents into the Wazuh Manager, without any user interaction and with full administrative control from the server side.

The Wazuh agent installer will be downloaded, and an installation script will be created and stored in a shared folder on the Windows Server, ensuring it can be executed by the SYSTEM account during system startup.
A dedicated Organizational Unit (OU) named WAZUH will be created, where all computers requiring the agent will be placed. A computer startup GPO will then be configured to execute the script automatically every time the system boots, regardless of whether a user logs in.

To improve security, an enrollment password will be configured in Wazuh so that only authorized agents can register. Additionally, a dedicated group will be created for the newly enrolled domain agents.
Before deploying the solution domain-wide, the script will be tested manually on the server to ensure proper installation and successful enrollment.

🧰 Technologies Used

Wazuh

Wazuh is a security platform that provides system monitoring, threat detection, and centralized agent management. In this practice, it serves as the central system where all Windows agents are enrolled and managed.

Wazuh Agent (Windows)

The Wazuh agent installed on Windows systems collects security events, system logs, and other relevant data, sending it to the Wazuh Manager. Automated deployment is essential in enterprise environments.

Windows Server / Active Directory

Windows Server with Active Directory is used to manage the domain, create Organizational Units, and apply Group Policy Objects to automate the installation of Wazuh agents across multiple systems.

Group Policy Objects (GPO)

GPOs allow centralized configuration and execution of scripts across domain-joined computers. In this practice, they are used to run the Wazuh agent installation script during system startup.

🎯 Objectives of the Practice

  • Automate the deployment of Wazuh agents on Windows domain computers.

  • Download and prepare the Wazuh agent installer.

  • Create an installation script stored in a shared folder.

  • Ensure the script can be executed with SYSTEM privileges.

  • Create a dedicated Organizational Unit (OU) for Wazuh-managed computers.

  • Configure a computer startup GPO to execute the script.

  • Secure agent enrollment using a password.

  • Create a dedicated group for newly enrolled domain agents.

  • Validate the script by executing it manually before mass deployment.

🧩 Key Aspects of the Practice

🔐 Securing Agent Enrollment

Before deployment, an enrollment password will be configured in Wazuh to:

  • Ensure that only authorized agents can register.

  • Prevent unauthorized or rogue agent enrollment.

  • Maintain control over agent onboarding.

A dedicated group will also be created to organize domain agents.

📦 Preparing the Installer and Installation Script

The Wazuh agent installer will be downloaded, and an installation script will be created to:

  • Perform a silent installation of the agent.

  • Configure communication with the Wazuh Manager.

  • Use the predefined enrollment password.

  • Assign the agent to the appropriate group.

The script will be stored in a shared folder with proper permissions for SYSTEM access.

🧪 Manual Script Validation

Before applying the GPO:

  • The script will be executed manually on the server.

  • The agent installation will be verified.

  • Successful enrollment with the Wazuh Manager will be confirmed.

  • Group assignment will be checked.

This step ensures that the mass deployment will run smoothly.

🗂️ Creating the WAZUH Organizational Unit

A dedicated WAZUH OU will be created in Active Directory to:

  • Group computers requiring the Wazuh agent.

  • Apply GPOs selectively and cleanly.

  • Maintain an organized and manageable domain structure.

Target computers will be moved into this OU.

⚙️ Configuring the Computer Startup GPO

A computer startup GPO will be created and linked to the WAZUH OU to:

  • Execute the installation script during system startup.

  • Run regardless of user login.

  • Use the SYSTEM account to ensure sufficient privileges.

This guarantees automatic agent installation when the computer boots.

🔄 Automatic Agent Enrollment

With the GPO in place:

  • Each domain computer installs the Wazuh agent automatically at startup.

  • The agent connects to the Wazuh Manager.

  • Enrollment occurs using the configured password.

  • The agent is assigned to the domain group.

The entire process is fully automated and transparent to the user.

🔍 Why This Practice Is Important

This practice reflects a real-world enterprise deployment scenario, where it is essential to:

  • Automate large-scale installations.

  • Reduce human error.

  • Secure the agent enrollment process.

  • Maintain centralized visibility and control.

  • Efficiently manage dozens or hundreds of Windows systems.

It is a key practice for system administrators and SOC environments operating in Windows infrastructures.

✅ Expected Results

  • Wazuh agent installer downloaded and prepared.

  • Installation script tested and validated.

  • Shared folder accessible by the SYSTEM account.

  • WAZUH OU created and properly structured.

  • Startup GPO applied successfully.

  • Agents installed automatically at system startup.

  • Secure enrollment using a password.

  • Agents assigned to the appropriate domain group in Wazuh.

  • Fully centralized management of Windows agents achieved.





Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares