KB5042429 : Nouvel outil de récupération pour aider à résoudre le problème CrowdStrike impactant les appareils Windows

Conditions préalables à la création du média de démarrage

1. Un client Windows 64 bits avec au moins 8 Go d’espace libre sur lequel vous pouvez exécuter l’outil pour créer le lecteur USB démarrable.

2. Privilèges d’administration sur le client Windows à partir de la condition préalable n°1.

3. Un lecteur USB d’une taille minimale de 1 Go et d’une taille maximale de 32 Go. L’outil supprime toutes les données existantes sur ce lecteur et les formate automatiquement en FAT32.

Instructions pour créer le média de démarrage

Pour créer un support de récupération, à partir du client Windows 64 bits dans le prérequis #1, procédez comme suit :

1. Téléchargez l’outil de récupération Microsoft signé à partir du Centre de téléchargement Microsoft.

2. Extrayez le script PowerShell du fichier téléchargé.

3. Ouvrez Windows PowerShell en tant qu’administrateur et exécutez le script suivant : MsftRecoveryToolForCS.ps1

4. L’outil télécharge et installe le Kit de déploiement et d’évaluation Windows (Windows ADK). Ce processus peut prendre plusieurs minutes.

5. Choisissez l’une des deux options de récupération des appareils affectés : Windows PE ou mode sans échec.

6. Sélectionnez éventuellement un répertoire qui contient les fichiers de pilote à importer dans l’image de récupération. Nous vous recommandons de sélectionner N pour ignorer cette étape. ​​​​​​​

   1. L’outil importe tous les fichiers SYS et INI de manière récursive dans le répertoire spécifié.

   2. Certains appareils, tels que les appareils Surface, peuvent nécessiter des pilotes supplémentaires pour la saisie au clavier.

7. Sélectionnez l’option permettant de générer un fichier ISO ou un lecteur USB.

8. Si vous choisissez l’option USB :

   1. Insérez le lecteur USB lorsque vous y êtes invité et fournissez la lettre du lecteur.

   2. Une fois que l’outil a créé le lecteur USB, supprimez-le du client Windows.

Instructions pour récupérer des machines virtuelles Hyper-V

1. Sur une machine virtuelle affectée, ajoutez un lecteur de DVD sous les paramètres Hyper-V > contrôleur SCSI.
   
   

2. Accédez à l’ISO de récupération et ajoutez-le en tant que fichier image sous Paramètres Hyper-V > contrôleur SCSI > lecteur DVD.
   
   
   ​​​​​​​

3. Notez l’ordre de démarrage actuel afin de pouvoir le restaurer manuellement ultérieurement. L’image suivante est un exemple d’ordre de démarrage, qui peut être différent de la configuration de votre machine virtuelle.
   
   

4. Modifiez l’ordre de démarrage pour monter le lecteur de DVD en tant que première entrée de démarrage.
   
   

5. Démarrez la machine virtuelle et appuyez sur n’importe quelle touche pour continuer à démarrer vers l’image ISO.

6. Selon la façon dont vous avez créé le support de récupération, suivez les étapes supplémentaires pour utiliser les options de récupération Windows PE ou en mode sans échec .

7. Définissez l’ordre de démarrage sur les paramètres de démarrage d’origine à partir des paramètres Hyper-V de la machine virtuelle.

8. Redémarrez la machine virtuelle normalement.

Prérequis pour la récupération PXE

1. Un appareil Windows 64 bits qui héberge l’image de démarrage. Cet appareil est appelé « serveur PXE ».

   1. Le serveur PXE peut s’exécuter sur n’importe quel système d’exploitation client Windows 64 bits pris en charge.

   2. Le serveur PXE doit disposer d’un accès Internet pour télécharger l’outil Microsoft PXE à partir du Centre de téléchargement Microsoft. Vous pouvez également le copier sur le serveur PXE à partir d’un autre système de votre réseau.

   3. Le serveur PXE doit avoir des règles de pare-feu de trafic entrant créées pour les ports UDP 67, 68, 69, 547 et 4011. L’outil PXE téléchargé (MSFTPXEToolForCS.exe) met à jour les paramètres du Pare-feu Windows sur le serveur PXE. Si le serveur PXE utilise une solution de pare-feu non-Microsoft, créez des règles en suivant leurs recommandations.

      Remarque : Ce script ne nettoie pas les règles de pare-feu. Vous devez supprimer ces règles de pare-feu une fois la correction terminée. Pour supprimer ces règles du Pare-feu Windows, ouvrez Windows PowerShell en tant qu’administrateur et exécutez la commande suivante : MSFTPXEInitToolForCS.ps1 nettoyer

   4. Privilèges administratifs pour exécuter l’outil PXE.

   5. Le serveur PXE nécessite microsoft Visual C++ Redistributable. Téléchargez et installez la dernière version.

2. Les appareils Windows concernés doivent se trouver sur le même sous-réseau que le serveur PXE. Ils doivent être câblés en dur au lieu d’utiliser un réseau Wi-Fi.

Configurer le serveur PXE

1. Téléchargez l’outil Microsoft PXE à partir du Centre de téléchargement Microsoft. Extrayez le contenu de l’archive zip dans n’importe quel répertoire. Il contient tous les fichiers nécessaires.

2. Ouvrez Windows PowerShell en tant qu’administrateur. Accédez au répertoire dans lequel vous avez extrait les fichiers et exécutez la commande suivante : MSFTPXEInitToolForCS.ps1

   1. Le script analyse l’installation de Windows ADK et Windows PE Add-On sur le serveur PXE. S’ils ne sont pas installés, le script les installe. Pour poursuivre l’installation, passez en revue et acceptez les termes du contrat de licence.

   2. Le script génère les scripts de correction et crée une image de démarrage valide.

   3. Si nécessaire, acceptez l’invite et fournissez un chemin contenant les fichiers de pilote. Des fichiers de pilote peuvent être requis pour les périphériques de stockage de masse ou de clavier. En règle générale, vous n’avez pas besoin d’ajouter de pilotes. Si vous n’avez pas besoin de fichiers de pilote supplémentaires, sélectionnez N.

   4. Vous pouvez configurer le serveur PXE pour fournir une image de correction par défaut ou une image en mode sans échec. Les invites suivantes s’affichent :
      1. Démarrez sur WinPE pour corriger le problème. Il nécessite l’entrée de la clé de récupération BitLocker si le disque système est chiffré par BitLocker.
      2. Démarrez sur WinPE configurez le mode sans échec et exécutez la commande de réparation après avoir passé en mode sans échec. Cette option est moins susceptible d’exiger une clé de récupération BitLocker si le disque système est chiffré par BitLocker.

   5. Le script génère les fichiers de distribution requis et fournit le chemin d’accès où il copie l’outil serveur PXE.

3. Vérifiez les prérequis pour la récupération PXE, en particulier microsoft Visual C++ Redistributable.

4. À partir de la console PowerShell en tant qu’administrateur, accédez au répertoire où l’outil serveur PXE est copié, puis exécutez la commande suivante pour lancer le processus d’écouteur : .\MSFTPXEToolForCS.exe

   1. Vous ne verrez pas de réponses supplémentaires, car le serveur PXE gère les connexions. Ne fermez pas cette fenêtre, car cela arrêtera le serveur PXE.

   2. Vous pouvez surveiller la progression du serveur PXE dans le fichier MSFTPXEToolForCS.log dans le même répertoire.

      Remarque : Si vous souhaitez exécuter plusieurs serveurs PXE pour différents sous-réseaux, copiez le répertoire avec l’outil serveur PXE et réexécutez les étapes 3 & 4.

Utiliser PXE pour récupérer un appareil affecté

L’appareil concerné doit se trouver sur le même sous-réseau que le serveur PXE. Si les appareils se trouvent dans des sous-réseaux différents, configurez des assistances IP dans votre environnement réseau pour activer la détection du serveur PXE.

Si l’appareil affecté n’est pas configuré pour le démarrage PXE, procédez comme suit :

1. Sur l’appareil concerné, accédez au menu BIOS\UEFI .

   1. Cette action est différente selon les modèles et les fabricants. Reportez-vous à la documentation fournie par le fabricant de l’équipement d’origine pour connaître la marque et le modèle spécifiques de l’appareil.

   2. Les options courantes pour accéder au BIOS\UEFI impliquent d’appuyer sur une touche telle que F2, F12, DEL ou Échap pendant la séquence de démarrage.

2. Vérifiez que le démarrage réseau est activé sur l’appareil. Pour obtenir des conseils supplémentaires, consultez la documentation du fabricant de l’appareil.

3. Configurez l’option de démarrage réseau comme première priorité de démarrage.

4. Enregistrez les nouveaux paramètres. Redémarrez l’appareil pour que les paramètres s’appliquent et démarrent à partir de PXE.

Lorsque vous démarrez PXE sur l’appareil concerné, le comportement varie selon que vous avez choisi Windows PE ou un support de récupération en mode sans échec pour le serveur PXE.

Pour plus d’informations sur ces options, consultez les étapes supplémentaires pour utiliser les options de récupération windows PE ou en mode sans échec.

1. Pour l’option de récupération Windows PE, l’utilisateur est invité à démarrer sur Windows PE et le script de correction s’exécute automatiquement.

2. Pour l’option de récupération en mode sans échec, l’appareil démarre en mode sans échec. L’utilisateur doit se connecter avec le compte administrateur local et exécuter manuellement le script.

   1. En mode sans échec et connecté en tant qu’administrateur local, ouvrez Windows PowerShell en tant qu’administrateur.

   2. Exécutez les commandes suivantes :
      del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys
      bcdedit /deletevalue {current} safeboot
      shutdown -r -t 00

Une fois l’opération terminée, redémarrez l’appareil normalement en répondant à l’invite à l’écran. Accédez au menu BIOS\UEFI et mettez à jour l’ordre de démarrage pour supprimer le démarrage PXE.