Resumen 

Como seguimiento del problema del agente CrowdStrike Falcon que afecta a los clientes y servidores de Windows, hemos lanzado una herramienta de recuperación actualizada con dos opciones de reparación para ayudar a los administradores de TI a acelerar el proceso de reparación. La herramienta automatiza los pasos manuales en KB5042421 (cliente) y KB5042426 (servidor). Descarga la herramienta de recuperación de Microsoft firmada desde el Centro de descarga de Microsoft. Puede usar la herramienta para recuperar clientes, servidores y máquinas virtuales de Hyper-V (VM) de Windows.

Hay dos opciones de reparación:

  • Recuperar desde Windows PE: esta opción usa medios de arranque que automatizan la reparación de dispositivos.

  • Recuperar del modo seguro: esta opción usa medios de arranque para los dispositivos afectados para arrancar en modo seguro. A continuación, un administrador puede iniciar sesión con una cuenta con privilegios administrativos locales y ejecutar los pasos de corrección.

Determinar qué opción usar

Esta opción para recuperar de Windows PE recupera rápida y directamente los sistemas y no requiere privilegios administrativos locales. Si el dispositivo usa BitLocker, es posible que tengas que escribir manualmente la clave de recuperación de BitLocker para poder reparar un sistema afectado.

Si usa una solución de cifrado de disco que no sea de Microsoft, consulte las instrucciones de ese proveedor. Deberían proporcionar opciones para recuperar la unidad, de modo que puedas ejecutar el script de corrección desde Windows PE.

Consideraciones adicionales

Aunque se prefiere la opción USB, es posible que algunos dispositivos no admitan conexiones USB. Para estas situaciones, consulta la sección sobre cómo usar el entorno de ejecución de preboot (PXE) para la recuperación.

Si el dispositivo no se puede conectar a una red PXE y USB no es una opción, prueba los pasos manuales de los artículos siguientes:

De lo contrario, volver a compilar el dispositivo podría ser una solución.

Con cualquier opción de recuperación, prueba primero en varios dispositivos antes de usarla ampliamente en tu entorno.

Crear el medio de arranque

Requisitos previos para crear el medio de arranque

  1. Un cliente de Windows de 64 bits con al menos 8 GB de espacio libre en el que puedes ejecutar la herramienta para crear la unidad USB de arranque.

  2. Privilegios administrativos en el cliente de Windows desde el requisito previo n.º 1.

  3. Una unidad USB con un tamaño mínimo de 1 GB y no superior a 32 GB. La herramienta elimina todos los datos existentes en esta unidad y la formatea automáticamente a FAT32.

Instrucciones para crear el medio de arranque

Para crear medios de recuperación, desde el cliente de Windows de 64 bits en el requisito previo n.º 1, siga estos pasos:

  1. Descarga la herramienta de recuperación de Microsoft firmada desde el Centro de descarga de Microsoft.

  2. Extraiga el script de PowerShell del archivo descargado.

  3. Abra Windows PowerShell como administrador y ejecute el siguiente script: MsftRecoveryToolForCS.ps1

  4. La herramienta descarga e instala Windows Assessment and Deployment Kit (Windows ADK). Este proceso puede tardar varios minutos en completarse.

  5. Elige una de las dos opciones para recuperar los dispositivos afectados: Windows PE o modo seguro.

  6. Opcionalmente, selecciona un directorio que contenga archivos de controlador para importarlos a la imagen de recuperación. Le recomendamos que seleccione N para omitir este paso. ​​​​​​​

    1. La herramienta importa los archivos SYS e INI recursivamente en el directorio especificado.

    2. Algunos dispositivos, como los dispositivos Surface, pueden necesitar controladores adicionales para la entrada de teclado.

  7. Selecciona la opción para generar un archivo ISO o una unidad USB.

  8. Si eliges la opción USB:

    1. Inserta la unidad USB cuando se te solicite y proporciona la letra de la unidad.

    2. Una vez que la herramienta termine de crear la unidad USB, quítala del cliente de Windows.

Instrucciones para usar la opción de recuperación

Si creaste un medio en los pasos anteriores para Windows PE, usa estas instrucciones en los dispositivos afectados.

Requisitos previos para usar los medios de arranque para la recuperación de Windows PE

  • Es posible que necesites la clave de recuperación de BitLocker para cada dispositivo afectado y habilitado para BitLocker.

    • Si el dispositivo afectado usa protectores TPM+PIN y no conoces el PIN del dispositivo, es posible que necesites la clave de recuperación.

Instrucciones para usar los medios de arranque para la recuperación de Windows PE

  1. Inserta la clave USB en un dispositivo afectado.

  2. Reinicie el dispositivo.

  3. Durante el reinicio, presiona F12 para acceder al menú de arranque del BIOS.

    Nota: Algunos dispositivos pueden usar una combinación de teclas diferente para acceder al menú de arranque del BIOS. Sigue las instrucciones específicas del fabricante del dispositivo.

  4. En el menú de arranque del BIOS , elige Iniciar desde USB y continúa. Se ejecuta la herramienta.

  5. Si BitLocker está habilitado, se le pedirá al usuario la clave de recuperación de BitLocker. Incluye los guiones (-) al escribir la clave de recuperación de BitLocker. Para obtener más información sobre las opciones de clave de recuperación, consulta Dónde buscar la clave de recuperación de BitLocker.

    Nota: Para soluciones de cifrado de dispositivos que no sean de Microsoft, sigue los pasos proporcionados por el proveedor para obtener acceso a la unidad.

    1. Si BitLocker no está habilitado en el dispositivo, es posible que se te solicite la clave de recuperación de BitLocker. Presione Entrar para omitir y continuar.

  6. La herramienta ejecuta los pasos de corrección recomendados por CrowdStrike.

  7. Una vez completada, quita la unidad USB y reinicia el dispositivo normalmente.

Usar medios de recuperación en máquinas virtuales Hyper-V

Puedes usar los medios de recuperación para solucionar las máquinas virtuales (VM) Hyper-V afectadas. Al crear el medio de arranque, selecciona la opción para generar un archivo ISO.

Nota: En el caso de máquinas virtuales que no son Hyper-V, sigue las instrucciones proporcionadas por el proveedor del hipervisor para usar los medios de recuperación.

Instrucciones para recuperar máquinas virtuales Hyper-V

  1. En una VM afectada, agrega una unidad DVD en configuración de Hyper-V > controlador SCSI.Captura de pantalla de la configuración de una máquina virtual (VM) de Hyper-V, con la sección Controlador SCSI resaltada y la opción Agregar una unidad de DVD.

  2. Busca la imagen ISO de recuperación y agrégala como archivo de imagen en Configuración de Hyper-V > controlador SCSI > unidad DVD.Captura de pantalla de la configuración de una máquina virtual (VM) de Hyper-V, con la sección Unidad de DVD resaltada, que muestra la opción de seleccionar un archivo de imagen. ​​​​​​​

  3. Ten en cuenta el orden de arranque actual, para que puedas restaurarlo manualmente más adelante. La imagen siguiente es un ejemplo de un orden de arranque, que puede ser diferente de la configuración de la máquina virtual.Captura de pantalla de la configuración de una máquina virtual (VM) de Hyper-V, con la sección Firmware resaltada, que muestra el orden de arranque original.

  4. Cambia el orden de arranque para subir la unidad de DVD como la primera entrada de arranque.Captura de pantalla de la configuración de una máquina virtual (VM) de Hyper-V, con la sección Firmware resaltada, que muestra la entrada de unidad de DVD en la parte superior del orden de arranque.

  5. Inicia la vm y presiona cualquier tecla para seguir arrancando con la imagen ISO.

  6. Según cómo hayas creado los medios de recuperación, sigue los pasos adicionales para usar las opciones de recuperación de Windows PE o modo seguro .

  7. Vuelve a establecer el orden de arranque en la configuración de arranque original desde la configuración de Hyper-V de la máquina virtual.

  8. Reinicia la máquina virtual normalmente.

Usar PXE para recuperación

Para la mayoría de los clientes, las demás opciones de recuperación te ayudarán a restaurar los dispositivos. Sin embargo, si los dispositivos no pueden usar la opción para recuperarse de USB, por ejemplo, debido a las directivas de seguridad o a la disponibilidad de puertos, los administradores de TI pueden usar PXE para corregirlo.

Para usar esta solución, puedes usar la imagen de Windows Imaging Format (WIM) que crea la herramienta de recuperación de Microsoft en un entorno PXE existente. Los dispositivos afectados deben estar en la misma subred de red que el servidor PXE existente.

Como alternativa, puede usar el enfoque del servidor PXE que se describe a continuación. Esta opción funciona mejor cuando se puede mover fácilmente el servidor PXE de subred a subred con fines de corrección.

Requisitos previos para la recuperación pxe

  1. Un dispositivo Windows de 64 bits que hospeda la imagen de arranque. Este dispositivo se conoce como el "servidor PXE".

    1. El servidor PXE puede ejecutarse en cualquier sistema operativo windows de 64 bits compatible.

    2. El servidor PXE debe tener acceso a Internet para descargar la herramienta Microsoft PXE desde el Centro de descarga de Microsoft. También puede copiarlo al servidor PXE desde otro sistema de su red.

    3. El servidor PXE debe tener reglas de firewall de entrada creadas para los puertos UDP 67, 68, 69, 547 y 4011. La herramienta PXE descargada (MSFTPXEToolForCS.exe) actualiza la configuración del Firewall de Windows en el servidor PXE. Si el servidor PXE usa una solución de firewall que no sea de Microsoft, cree reglas siguiendo sus recomendaciones.

      Nota: Este script no limpia las reglas del firewall. Debes quitar estas reglas de firewall una vez completada la corrección. Para quitar estas reglas del Firewall de Windows, abra Windows PowerShell como administrador y ejecute el siguiente comando: MSFTPXEInitToolForCS.ps1 limpiar

    4. Privilegios administrativos para ejecutar la herramienta PXE.

    5. El servidor PXE requiere que Microsoft Visual C++ redistribuible. Descarga e instala la versión más reciente.

  2. Los dispositivos Windows afectados deben estar en la misma subred que el servidor PXE. Deben estar conectados por cable en lugar de usar una red Wi-Fi.

Configurar el servidor PXE

  1. Descarga la herramienta Microsoft PXE desde el Centro de descarga de Microsoft. Extraiga el contenido del archivo zip en cualquier directorio. Contiene todos los archivos necesarios.

  2. Abra Windows PowerShell como administrador. Cambie al directorio donde extrajo los archivos y ejecute el siguiente comando: MSFTPXEInitToolForCS.ps1

    1. El script busca la instalación de Windows ADK y Windows PE Add-On en el servidor PXE. Si no están instalados, el script los instala. Para continuar con la instalación, revise y acepte los términos de licencia.

    2. El script genera los scripts de corrección y crea una imagen de arranque válida.

    3. Si es necesario, acepta el mensaje y proporciona una ruta de acceso que contenga los archivos de controlador. Los archivos de controlador pueden ser necesarios para el teclado o los dispositivos de almacenamiento masivo. Por lo general, no tendrás que agregar controladores. Si no necesitas archivos de controlador adicionales, selecciona N.

    4. Puede configurar el servidor PXE para que proporcione una imagen de corrección predeterminada o una imagen de modo seguro. Verá las siguientes indicaciones:1. Arranca en WinPE para solucionar el problema. Es necesario escribir la clave de recuperación de BitLocker si el disco del sistema está cifrado con BitLocker. 2. Arranca en WinPE configura el modo seguro y ejecuta el comando de reparación después de entrar en modo seguro. Esta opción es menos probable que requiera la clave de recuperación de BitLocker si el disco del sistema está cifrado con BitLocker.

    5. El script genera los archivos de distribución necesarios y proporciona la ruta de acceso donde copia la herramienta del servidor PXE.

  3. Vuelva a comprobar los requisitos previos para la recuperación PXE, especialmente el Redistribuible de Microsoft Visual C++.

  4. Desde la consola de PowerShell como administrador, cambie al directorio donde se copia la herramienta de servidor PXE y ejecute el siguiente comando para iniciar el proceso de escucha: .\MSFTPXEToolForCS.exe

    1. No verá respuestas adicionales cuando el servidor PXE controle las conexiones. No cierre esta ventana, ya que detendrá el servidor PXE.

    2. Puede supervisar el progreso del servidor PXE en el archivo MSFTPXEToolForCS.log en el mismo directorio.

      Nota: Si desea ejecutar varios servidores PXE para diferentes subredes, copie el directorio con la herramienta del servidor PXE y vuelva a ejecutar los pasos 3 & 4.

Información adicional sobre PXE

Usar PXE para recuperar un dispositivo afectado

El dispositivo afectado debe estar en la misma subred que el servidor PXE. Si los dispositivos están en subredes diferentes, configura las aplicaciones auxiliares IP en el entorno de red para habilitar la detección del servidor PXE.

Si el dispositivo afectado no está configurado para arranque PXE, sigue estos pasos:

  1. En el dispositivo afectado, accede al menú BIOS\UEFI .

    1. Esta acción es diferente en diferentes modelos y fabricantes. Consulte la documentación proporcionada por el fabricante del equipo original para la marca y el modelo específicos del dispositivo.

    2. Las opciones comunes para acceder a BIOS\UEFI implican presionar una tecla como F2, F12, SUPR o ESC durante la secuencia de inicio.

  2. Asegúrate de que arranque de red esté habilitado en el dispositivo. Para obtener instrucciones adicionales, consulta la documentación del fabricante del dispositivo.

  3. Configura la opción de arranque de red como la primera prioridad de arranque.

  4. Guarde la nueva configuración. Reinicia el dispositivo para que se aplique la configuración y arranque desde PXE.

Cuando arranque PXE el dispositivo afectado, el comportamiento dependerá de si eligió Windows PE o medios de recuperación en modo seguro para el servidor PXE.

Para obtener más información sobre estas opciones, consulta los pasos adicionales para usar Windows PE o las opciones de recuperación en modo seguro.

  1. Para la opción de recuperación de Windows PE, se pide al usuario que arranque en Windows PE y el script de corrección se ejecuta automáticamente.

  2. Para la opción de recuperación de modo seguro, el dispositivo arranca en modo seguro. El usuario debe iniciar sesión con la cuenta de administrador local y ejecutar manualmente el script.

    1. En modo seguro e iniciado sesión como administrador local, abre Windows PowerShell como administrador.

    2. Ejecuta los siguientes comandos:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot shutdown -r -t 00

Una vez completado, reinicia el dispositivo normalmente respondiendo al mensaje de la pantalla. Accede al menú BIOS\UEFI y actualiza el orden de arranque para quitar el arranque PXE.

Contact CrowdStrike

Si después de seguir los pasos anteriores, si sigues teniendo problemas para iniciar sesión en el dispositivo, ponte en contacto con CrowdStrike para obtener ayuda adicional. 

Información adicional

Para obtener más información sobre el problema que afecta a los clientes y servidores de Windows que ejecutan el agente CrowdStrike Falcon, consulte los siguientes recursos:

Referencias

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. No ofrecemos ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

Proporcionamos información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. No garantizamos la precisión de esta información de contacto de terceros.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad