作为影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续行动,Microsoft 发布了一个更新的恢复工具,其中包含两个修复选项,以帮助 IT 管理员加快修复过程。签名的 Microsoft 恢复工具可在 Microsoft 下载中心找到:https://go.microsoft.com/fwlink/?linkid=2280386。在这篇文章中,我们包括 Hyper-V 上托管的 Windows 客户端、服务器和操作系统的详细恢复步骤。两种修复选项如下:
- 从 WinPE 恢复 – 此选项会生成有助于促进设备修复的启动介质。
- 从安全模式恢复 – 此选项生成启动介质,以便受影响的设备可以启动到安全模式。然后,用户可以使用具有本地管理员权限的帐户登录并运行修正步骤。
确定要使用的选项
从 WinPE 恢复(推荐选项)
此选项可快速直接恢复系统,不需要本地管理员权限。但是,可能需要手动输入 BitLocker 恢复密钥(如果在设备上使用 BitLocker),然后修复受影响的系统。如果使用第三方磁盘加密解决方案,请参阅供应商指南,以确定恢复驱动器的选项,以便可以从 WinPE 运行修正脚本。
从安全模式
恢复 此选项可以在启用了 BitLocker 的设备上启用恢复,而无需输入 BitLocker 恢复密钥。对于此选项,您必须有权访问在设备上具有本地管理员权限的帐户。对于使用仅 TPM 保护程序的设备、未加密的设备或 BitLocker 恢复密钥未知的情况,请使用此方法。但是,如果使用 TPM+PIN BitLocker 保护程序,则用户需要输入 PIN(如果已知),或者必须使用 BitLocker 恢复密钥。如果未启用 BitLocker,则用户只需使用具有本地管理员权限的帐户登录。如果使用第三方磁盘加密解决方案,请与这些供应商合作,确定恢复驱动器的选项,以便可以运行修正脚本。
其他注意事项
尽管 USB 选项是首选,但某些设备可能不支持 USB 连接。在这种情况下,我们在下面提供了使用预引导执行环境 (PXE) 选项的详细步骤。如果设备无法连接到 PXE 网络,并且无法选择 USB,则重新映像设备可能是一种解决方案。
与任何恢复选项一样,在环境中广泛使用它之前,请先在多个设备上进行测试。
创建启动媒体的先决条件
- 具有至少 8GB 可用空间的 Windows 64 位客户端,可以从中运行该工具以创建可启动 USB 驱动器。
- 先决条件 #1 中对 Windows 客户端的管理权限。
- 最小 1GB 且最大 32GB 的 USB 驱动器。此 USB 上的所有现有数据都将被擦除,并自动格式化为 FAT32。
生成 WinPE 恢复媒体
的说明 若要创建恢复媒体,请在先决条件 #1 中提到的 64 位 Windows 客户端上执行以下步骤:
- 从 Microsoft 下载中心下载已签名的 Microsoft 恢复工具。
- 从下载的解决方案中提取 PowerShell 脚本。
- 从提升的 PowerShell 提示符运行 MsftRecoveryToolForCSv2.ps1。
- ADK 将下载并开始创建媒体。可能需要几分钟才能完成。
- 选择上述两个选项之一来恢复受影响的设备(请参阅下面的其他详细信息)。
- (可选)选择包含要导入到恢复映像中的驱动程序文件的目录。可能需要键盘和大容量存储驱动程序。不需要网络或其他驱动程序。我们建议您选择“N”以跳过此步骤。该工具将递归导入指定目录下的任何 SYS 和 INI。
- 选择生成 ISO 或 USB 驱动器并指定驱动器号的选项。
使用启动媒体
的先决条件 可能需要使用恢复媒体的每个启用了 BitLocker 的受影响设备的 BitLocker 恢复密钥。如果使用仅 TPM 保护程序并使用安全启动选项,则不需要恢复密钥。如果使用的是 TPM+PIN 保护程序,则在不知道设备的 PIN 时可能需要恢复密钥。
使用从 WinPE 媒体恢复
- 将 USB 闪存盘插入受影响的设备。
- 重新启动设备。
- 在重新启动期间,按 F12(或按照特定于制造商的说明启动到 BIOS)。
- 从 BIOS 启动菜单中,选择从 USB 启动并继续。
- 该工具将运行。
- 如果启用了 BitLocker,系统将提示用户输入 BitLocker 恢复密钥,包括破折号。此处提供了恢复密钥选项。对于第三方设备加密解决方案,请按照供应商提供的任何步骤访问驱动器。
- 该工具将按照 CrowdStrike 的建议运行问题修复脚本。
- 完成后,取出 USB 驱动器并正常重新启动设备。
使用安全启动媒体
若要在不使用 BitLocker 恢复密钥的情况下修复受影响的设备,并且你有权访问本地管理员帐户,请执行以下操作:
- 将 USB 闪存盘插入受影响的设备。
- 重新启动设备。
- 在重新启动期间,按 F12(或按照特定于制造商的说明启动到 BIOS)。
- 从 BIOS 启动菜单中,选择从 USB 启动并继续。
- 该工具将运行。
- 此时将显示以下消息:“此工具会将此计算机配置为在安全模式下启动。警告:在某些情况下,可能需要在运行后输入 BitLocker 恢复密钥。
- 按任意键继续。
- 此时将显示以下消息:“你的电脑已配置为立即启动到安全模式。
- 按任意键继续。
- 计算机将重新启动到安全模式。
- 用户从媒体/USB 驱动器的根目录运行repair.cmd。该脚本将按照 CrowdStrike 的建议运行修正步骤。
- 此时将显示以下消息:“此工具将删除受影响的文件并恢复正常的启动配置。警告:在某些情况下,可能需要 BitLocker 恢复密钥。警告:此脚本必须在提升的命令提示符下运行。
- 按任意键继续。
- 用户修复将运行,正常启动流将恢复。
- 成功后,用户将看到以下消息:“成功。系统现在将重新启动。
- 按任意键继续。设备将正常重启。
在 Hyper-V 虚拟机上使用恢复媒体 恢复媒体可用于修正受影响的 Hyper-V 虚拟机。
为此,请选择在使用上述步骤创建恢复介质时生成 ISO 的选项。对于非 Hyper-V 虚拟机,请按照虚拟机监控程序供应商提供的说明使用恢复媒体。
恢复 Hyper-V 虚拟机的步骤
- 在受影响的虚拟机上,在“SCSI 控制器”>“Hyper-V 设置”下添加 DVD 驱动器。
添加DVD驱动器的位置的屏幕截图。
- 浏览到恢复 ISO 并将其添加为“Hyper-V 设置”下的“> SCSI 控制器> DVD 驱动器”下的映像文件。
添加图像文件的位置的屏幕截图。
- 记下当前的启动顺序,以便以后可以手动恢复。
原始启动顺序的屏幕截图。
- 更改启动顺序以将添加的 DVD 驱动器移动到第一个启动项。
启动顺序更改的屏幕截图。
- 启动虚拟机并选择键盘上的任意键以继续引导至 ISO 映像。
- 根据创建恢复介质时使用的是使用 WinPE 选项还是安全模式,请按照上述步骤修复系统。
- 从虚拟机的 Hyper-V 设置中将启动顺序设置回原始启动设置。
- 正常重启。
使用 PXE 进行恢复
对于大多数客户来说,上面列出的选项或按照本文末尾链接的知识库中的步骤操作将有助于恢复您的设备。但是,如果设备无法使用从 USB 恢复的选项(例如,由于安全策略或端口可用性),IT 管理员可以使用 PXE 进行修正。
若要使用此解决方案,可以使用 Microsoft 恢复工具在现有 PXE 环境中创建的 Windows 映像格式 (WIM),只要受影响的设备与 PXE 服务器位于同一子网上即可。或者,您可以使用下面的 PXE 服务器方法概述。当 PXE 服务器可以轻松地移动到子网以进行修正时,此选项效果最佳。
PXE 恢复的先决条件
- 将托管启动映像的 x64 计算机(称为“PXE 服务器”)。
- PXE 服务器可以在任何受支持的 Windows 客户端 x64 操作系统上运行。
- PXE 服务器应具有网络访问权限,以便从 https://go.microsoft.com/fwlink/?linkid=2281008 或网络上的内部链接下载工具。
- PXE 服务器应为 UDP 端口 67、68、69、547 和 4011 创建入站防火墙规则。下载的 PXE 工具 (MSFTPXEToolForCS.exe) 将更新 PXE 服务器上的 Windows 防火墙设置。如果使用第三方防火墙,请按照其建议创建规则。
注意:此脚本不会清理防火墙规则。修正完成后,应删除这些防火墙规则。可以从提升的 PowerShell 提示符运行 MSFTPXEInitToolForCS.ps1 Clean,以从 Windows 防火墙中删除这些规则。 - 您需要管理员权限才能运行 PXE 工具。
- PXE 服务器需要 VC Redistributable。最新版本可以从以下位置下载和安装:https://aka.ms/vs/17/release/vc_redist.x64.exe
- 受影响的 Windows 设备应与 PXE 服务器位于同一子网中,并且应进行硬连线,而不是使用 Wi-Fi 网络。
配置 PXE 服务器
- 从 https://go.microsoft.com/fwlink/?linkid=2281008 下载软件包。
- zip 文件包含所需的所有文件。将 zip 的内容解压缩到任何目录。
- 在提升的 PowerShell 提示符下,切换到提取文件的目录,并从提升的 PowerShell 提示符执行以下操作:MSFTPXEInitToolForCS.ps1
- 该脚本将在计算机上启动对 ADK 和 ADK WinPE 加载项安装的扫描,并在缺少时安装它们。接受屏幕上的许可证请求以继续安装。
- 该脚本将生成修正脚本并创建有效的启动映像。
- 如果需要,请接受提示并提供包含驱动程序文件的路径。键盘和/或大容量存储可能需要驱动程序文件。通常不需要添加驱动程序。如果不需要其他驱动程序文件,请选择“n”。
- 系统将提供设置 PXE 服务器的选项,以提供默认修正映像或安全模式映像,并出现以下提示:
- “1. 启动到 WinPE 以修正问题。如果系统磁盘是 BitLocker 加密的,则需要输入 BitLocker 恢复密钥。
- “2.启动到WinPE,配置安全模式,进入安全模式后运行修复命令。如果系统磁盘是 BitLocker 加密的,则此选项不太可能需要 BitLocker 恢复密钥。
- 该脚本将生成所需的分发文件,并提供复制 PXE 服务器工具的路径。
- 确保已安装先决条件 https://aka.ms/vs/17/release/vc_redist.x64.exe 并满足所有先决条件。
- 在提升的命令提示符下,切换到复制 PXE 服务器工具的目录。运行 .\MSFTPXEToolForCS.exe 以启动侦听器进程。
- 您不会收到其他响应,因为这是处理连接的 PXE 服务器。不要关闭此窗口,因为它将停止 PXE 服务器。
- 您应该在目录内的 MSFTPXEToolForCS.log 文件中监视 PXE 服务器进度。
注意:如果要为不同的子网运行多个 PXE 服务器,则需要复制 PXE 服务器工具的目录,并执行上述步骤 3 和 4。 - 其他参考资料:
恢复受影响的设备
- 受影响的设备必须与 PXE 服务器位于同一子网上。
- 如果设备位于其他子网中,请在网络环境中配置 IP 帮助程序以启用 PXE 服务器的发现。
- 如果受影响的设备未配置为 PXE 启动,请按照下列步骤操作:
- 在受影响的设备上,输入 BIOS\UEFI
- 此操作在不同型号和制造商之间是不同的。请参阅制造商为您的机器提供的文档(品牌和型号)。
- 访问 BIOS\UEFI 的常见选项包括在启动过程中输入 F2、F12、DEL 或 ESC 等密钥。
- 确保在设备上启用了网络启动。
- 有关其他指导,请参阅制造商的文档
- 将网络启动选项配置为第一个启动优先级。
- 保存新设置并重新启动客户端设备以应用设置。
- 设备现在将从 PXE 启动。
- PXE 启动受影响的计算机
- 根据你选择创建 WinPE 还是安全模式媒体,系统将提示用户启动到 Windows PE,并且修正脚本将自动执行,或者他们将启动到安全模式,用户需要使用本地管理员凭据登录并手动执行脚本。有关 WinPE 和安全模式的体验,请参阅上面的详细步骤。
- 如果创建了安全模式选项,则需要以管理员身份从提升的 PowerShell 提示符运行以下命令
a. del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys
b. bcdedit /deletevalue {current} 安全启动
c. shutdown -r -t 00
- 如果创建了安全模式选项,则需要以管理员身份从提升的 PowerShell 提示符运行以下命令
- 根据你选择创建 WinPE 还是安全模式媒体,系统将提示用户启动到 Windows PE,并且修正脚本将自动执行,或者他们将启动到安全模式,用户需要使用本地管理员凭据登录并手动执行脚本。有关 WinPE 和安全模式的体验,请参阅上面的详细步骤。
- 完成后,通过响应屏幕上的提示正常重启设备。输入 BIOS\UEFI 并手动更新引导顺序,以根据需要删除 PXE 引导。
有关影响运行 CrowdStrike Falcon 代理的 Windows 客户端和服务器的问题的更多信息,请参阅:
- aka.ms/WRH 上提供了各种 Windows 信息
- 以下文章中介绍了其他恢复选项:
- KB5042421:影响 Windows 终结点的 CrowdStrike 问题导致 Windows 端点出现0x50或0x7E错误消息。
- KB5042426:影响 Windows 服务器的 CrowdStrike 问题0x7E 0x50导致 bl…
- KB:新的恢复工具可帮助解决影响 Windows 终结点的 CrowdStrike 问题 – Microsoft 支持
- Windows 365 云电脑,客户可能会尝试在更新发布之前(2024 年 7 月 19 日)将其云电脑还原到已知的良好状态,如下所述:企业或企业
- 对于在 Azure 上运行的 Windows 虚拟机,请按照 Azure 状态中的缓解步骤操作
- 有关 CrowdStrike 的其他详细信息,请访问:关于 Windows 主机的 Falcon 内容更新的声明 – CrowdStrike 博客
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun298926.html
微信扫一扫不于多少! 
支付宝扫一扫礼轻情意重 