Cómo instalar Wazuh Agent en Windows 10/11 mediante GPO de inicio de equipo sin orca.exe

Desplegar de forma masiva el agente de monitorización Wazuh en equipos Windows 10/11 es mucho más sencillo si se aprovecha una Directiva de Grupo (GPO) de startup. A continuación encontrarás un procedimiento paso a paso —sin uso de orca.exe— que automatiza la instalación silenciosa directamente desde tu Controlador de Dominio 2022, acompañado de buenas prácticas y consejos de depuración.

Ventajas de usar una GPO de inicio de equipo

• El script se ejecuta antes del logon de usuario, garantizando que el servicio del agente esté activo desde el primer minuto.
• Corre bajo la cuenta SYSTEM, lo que evita problemas de permisos locales y permite escribir en el registro y en %ProgramFiles%.
• El código y el instalador residen en SysVol; así, todos los controladores de dominio mantienen copia automática y firmada del recurso.
• No se requieren herramientas adicionales ni costos de licencias; todo se gestiona con utilidades nativas de Windows Server.

Requisitos previos

• Controlador de Dominio con Windows Server 2022 + Rol ADDS.
• Equipos cliente Windows 10 20H2 o superior / Windows 11 21H2 o superior.
• Agente Wazuh en formato MSI (ej.: wazuh-agent-4.8.0-1.msi).
• Credenciales de administrador de dominio.
• Servicios DNS y DHCP funcionando y sincronizados.

Pasos detallados de implementación

Crear una Unidad Organizativa dedicada

1. En Active Directory Users and Computers crea una OU nueva, p. ej. Wazuh-Managed.
2. Mueve o delega los equipos que deban recibir el agente a dicha OU.

Generar y ubicar la GPO

1. Abre Group Policy Management y crea una GPO llamada Wazuh Agent – Startup Install.
2. Al guardarla, Windows asignará un {GUID} único.
3. Navega en el propio controlador a:
   \<dominio>\SysVol<dominio>\Policies\{GUID}\Machine\Scripts\Startup
4. Copia dentro:
   • El instalador .msi.
   • Un archivo de lote o PowerShell con el comando silencioso (ver más abajo).

Ejemplo de script install_wazuh.cmd

@echo off
msiexec /i "wazuh-agent-4.8.0-1.msi" /qn ^
  WAZUHMANAGER="192.168.10.15" ^
  WAZUHREGISTRATION_PASSWORD="P4s$Wazuh" ^
  > "%windir%\Temp\wazuh_install.log" 2>&1
exit /b %ERRORLEVEL%

Registrar el script en la GPO

1. Edita la GPO: Computer Configuration → Policies → Windows Settings → Scripts (Startup/Shutdown) → Startup.
2. Haz clic en Add, Browse y selecciona install_wazuh.cmd. Importante: usa la ruta que se muestra por defecto (%windir%\SysVol\...); no apuntes a una ruta UNC externa.

Vincular la GPO y forzar actualización

1. En Group Policy Management vincula la GPO a la OU Wazuh‑Managed.
2. En un equipo cliente abre una consola elevada y ejecuta:
   gpupdate /force
3. Reinicia el equipo (o espera el siguiente arranque); el script se disparará antes del logon.

Verificación y registro

• Revisa C:\Program Files (x86)\ossec-agent\; allí debe existir ossec-agent.exe.
• Confirma que el servicio Wazuh Agent aparezca en services.msc y esté en modo Running y Automatic.
• Abre Event Viewer → Applications and Services Logs → Microsoft → Windows → GroupPolicy → Operational. Busca el ID 4016 (ejecución satisfactoria de script de inicio).
• Consulta el log indicado wazuh_install.log para errores de MSI.

Buenas prácticas recomendadas

Aspecto	Recomendación
Cadena MSI	Utiliza siempre /qn para total silencio; define el FQDN o IP del manager y la clave de registro.
Permisos NTFS	Todo archivo dentro de SysVol hereda automáticamente lectura para Authenticated Users, suficiente para la cuenta SYSTEM.
Orden de políticas	Si empleas varias GPO de startup, establece la de Wazuh con un vínculo de precedencia alto o deja la herencia por defecto y evita conflictos.
Arranque de red	Activa en la misma GPO: Computer Configuration → Administrative Templates → System → Group Policy → “Always wait for the network at computer startup and logon” para garantizar conectividad antes de ejecutar.
Reintentos	El script se ejecuta en cada arranque. Si deseas evitar reinstalaciones agrega un chequeo previo: sc query "WazuhSvc" | find "RUNNING" && exit /b 0
Depuración	Redirige salida de msiexec a un log y habilita /l*v para mayor detalle si encuentras fallos.
Política de reinicio	El MSI de Wazuh no obliga a reiniciar, pero si instalas junto a drivers o C++ runtime conviene programar un reinicio diferido.

Solución de problemas frecuentes

El script no se ejecuta: Confirma que el equipo realmente pertenezca a la OU, que la hora esté sincronizada y que no existan errores de replicación DFS sobre el SysVol.

Error 1619 o 1620 de MSI: Indica que el instalador no se encuentra. Verifica que la ruta del script contenga comillas y coincida con el nombre exacto del MSI.

Eventos 1055 + 1130: Ocurre cuando la red tarda en levantarse. Revisa la directiva “Always wait for the network…” y deshabilita el arranque rápido en BIOS si es necesario.

Buenas prácticas de seguridad

• No escribas datos sensibles (contraseñas) en texto plano; limita el permiso de lectura de la GPO a Domain Admins si usas claves de registro.
• Firma el script con tu PKI y habilita AppLocker o Constrained Language Mode para evitar alteraciones maliciosas.
• Supervisa en el servidor Wazuh que cada endpoint aparezca como Active; puedes disparar alertas de abandono o desinstalación no autorizada.

Alternativas de despliegue

• Software Installation GPO: asigna el MSI directamente sin script; útil si no necesitas parámetros personalizados.
• PowerShell Remoting o psexec: adecuado para dominios pequeños sin reboot, pero requiere más scripting de control.
• Microsoft Intune / Endpoint Manager: ideal en entornos híbridos Azure AD + ADDS.

Preguntas frecuentes (FAQ)

¿Necesito abrir puertos adicionales tras la instalación?

El agente establece conexión saliente TCP 1514/UDP 1514 (según tu configuración). Si tienes firewall restrictivo en salida, crea una regla que permita este puerto hacia el servidor Wazuh.

¿Cómo desinstalo el agente vía GPO?

Crea un segundo script de startup con msiexec /x wazuh-agent-4.8.0-1.msi /qn. Antes de aplicarlo, quita el primero o incluye lógica condicional.

¿Puedo actualizar automáticamente versiones futuras?

Sí. Reemplaza el .msi y ajusta el nombre en el script. Al detectar una versión superior, Windows instalará encima sin desinstalar manualmente.

Conclusión

Siguiendo este procedimiento, tu organización obtendrá una instalación consistente del agente Wazuh sin interacción humana, con registros claros para auditoría y la garantía de que cada estación Windows 10/11 se integre en tu plataforma de seguridad desde el primer arranque. La clave está en centralizar el instalador dentro de SysVol, aprovechar la cuenta SYSTEM y validar cada paso con eventos y logs. Con ello lograrás un despliegue robusto, repetible y libre de herramientas externas.