Sažetak 

Kao nastavak problema agenta CrowdStrike Falcon koji utječe na klijente i poslužitelje sustava Windows, objavili smo ažurirani alat za oporavak s dvije mogućnosti popravka kako bismo IT administratorima pomogli da ubrzaju postupak popravka. Alat automatizira ručne korake u KB5042421 (klijent) i KB5042426 (poslužitelj). Preuzmite potpisani Microsoftov alat za oporavak iz Microsoftova centra za preuzimanje. Pomoću alata možete oporaviti klijente, poslužitelje i virtualna računala hyper-V (VM) sustava Windows.

Postoje dvije mogućnosti popravka:

  • Oporavak sustava Windows PE: ta mogućnost koristi medij za pokretanje koji automatizira popravak uređaja.

  • Oporavak iz sigurnog načina rada: ta mogućnost koristi medij za pokretanje za zahvaćene uređaje za pokretanje u sigurnom načinu rada. Administrator se zatim može prijaviti pomoću računa s lokalnim administratorskim ovlastima i pokrenuti korake popravka.

Određivanje mogućnosti korištenja

Ta mogućnost oporavka iz sustava Windows PE brzo i izravno oporavlja sustave i ne zahtijeva lokalne administratorske ovlasti. Ako uređaj koristi BitLocker, možda ćete morati ručno unijeti BitLocker ključ oporavka da biste mogli popraviti zahvaćeni sustav.

Ako koristite rješenje za šifriranje diska koje nije Microsoftovo, pogledajte upute tog dobavljača. Oni bi trebali pružiti mogućnosti oporavka pogona tako da možete pokrenuti skriptu popravka iz sustava Windows PE.

Dodatne napomene

Iako je preferirana mogućnost USB-a, neki uređaji možda ne podržavaju USB veze. U tim situacijama pogledajte odjeljak o načinu korištenja okruženja Preboot Execution Environment (PXE) za oporavak.

Ako se uređaj ne može povezati s PXE mrežom, a USB nije mogućnost, isprobajte ručne korake u sljedećim člancima:

U suprotnom, vraćanje uređaja na stariju vrijednost može biti rješenje.

Uz bilo koju mogućnost oporavka najprije je testirajte na više uređaja prije nego što je općenito koristite u svom okruženju.

Stvaranje medija za pokretanje

Preduvjeti za stvaranje medija za pokretanje

  1. Windows 64-bitni klijent s najmanje 8 GB slobodnog prostora na kojem možete pokrenuti alat za stvaranje USB pogona za pokretanje.

  2. Administratorske ovlasti na klijentu sustava Windows iz preduvjeta #1.

  3. USB pogon minimalne veličine 1 GB i ne veći od 32 GB. Alat briše sve postojeće podatke na ovom pogonu i automatski ih oblikuje u FAT32.

Upute za stvaranje medija za pokretanje

Da biste stvorili medij za oporavak, iz 64-bitnog klijenta sustava Windows u preduvjetu #1 slijedite sljedeće korake:

  1. Preuzmite potpisani Microsoftov alat za oporavak iz Microsoftova centra za preuzimanje.

  2. Izdvojite skriptu komponente PowerShell iz preuzete datoteke.

  3. Otvorite Windows PowerShell kao administrator i pokrenite sljedeću skriptu:MsftRecoveryToolForCS.ps1

  4. Alat preuzima i instalira Paket za procjenu i implementaciju sustava Windows (Windows ADK). Postupak može potrajati nekoliko minuta.

  5. Odaberite jednu od dvije mogućnosti za oporavak zahvaćenih uređaja: Windows PE ili siguran način rada.

  6. Ako želite, odaberite direktorij koji sadrži datoteke upravljačkih programa za uvoz u sliku za oporavak. Preporučujemo da odaberete N da biste preskočili ovaj korak. ​​​​​​​

    1. Alat rekurzivno uvozi sve SYS i INI datoteke u navedenom direktoriju.

    2. Određeni uređaji, kao što su uređaji Surface, možda će trebati dodatne upravljačke programe za unos tipkovnice.

  7. Odaberite mogućnost generiranja ISO datoteke iliUSB pogona.

  8. Ako odaberete mogućnost USB:

    1. Umetnite USB pogon kada se to od vas zatraži i navedite slovo pogona.

    2. Kada alat dovrši stvaranje USB pogona, uklonite ga iz klijenta sustava Windows.

Upute za korištenje mogućnosti oporavka

Ako ste medij stvorili u prethodnim koracima za Windows PE, slijedite ove upute na pogođenim uređajima.

Preduvjeti za korištenje medija za pokretanje za windows PE oporavak

  • Možda će vam biti potreban BitLocker ključ oporavka za svaki uređaj s omogućenom značajkom BitLocker i zahvaćenim uređajem.

    • Ako zahvaćeni uređaj koristi TPM +PIN zaštitnike, a ne znate PIN za uređaj, možda će vam trebati ključ oporavka.

Upute za korištenje medija za pokretanje za windows PE oporavak

  1. Umetnite USB ključ u zahvaćeni uređaj.

  2. Ponovno pokrenite uređaj.

  3. Tijekom ponovnog pokretanja pritisnite F12 da biste pristupili izborniku pokretanja BIOS-a.

    Napomena: Neki uređaji mogu koristiti drugu kombinaciju tipki za pristup izborniku pokretanja BIOS-a. Slijedite upute specifične za proizvođača uređaja.

  4. Na izborniku za pokretanje BIOS-a odaberite Pokretanje s USB-a i nastavak. Alat se pokreće.

  5. Ako je BitLocker omogućen, od korisnika će se zatražiti BitLocker ključ oporavka. Uključite crtice (-) kada unesete BitLocker ključ oporavka. Dodatne informacije o mogućnostima ključa oporavka potražite u članku Gdje potražiti BitLocker ključ oporavka.

    Napomena: Rješenja za šifriranje uređaja koja nisu Microsoftova slijedite sve korake koje je naveli dobavljač da biste pristupili pogonu.

    1. Ako BitLocker nije omogućen na uređaju, možda će se i dalje od vas zatražiti BitLocker ključ oporavka. Pritisnite Enter da biste preskočili i nastavili.

  6. Alat pokreće korake popravka kao što preporučuje CrowdStrike.

  7. Kada dovršite, uklonite USB pogon i normalno ponovno pokrenite uređaj.

Korištenje medija za oporavak na virtualnim računalima Hyper-V

Pomoću medija za oporavak možete otkloniti zahvaćena virtualna računala hyper-V (VM). Kada stvorite medij za pokretanje, odaberite mogućnost za generiranje ISO datoteke.

Napomena: Za virtualna računala koja nisu Hyper-V slijedite upute proizvođača hipervizora da biste koristili medij za oporavak.

Upute za oporavak virtualnih računala Hyper-V

  1. Na zahvaćenom virtualnom računalu dodajte DVD pogon u odjeljku Postavke hyper-V >SCSI Kontroler.Snimka zaslona s postavkama virtualnog računala Hyper-V (VM) s istaknutom sekcijom SCSI Kontroler i mogućnošću Dodaj DVD pogon.

  2. Dođite do ISO-a za oporavak i dodajte je kao slikovnu datoteku u odjeljku Postavke hyper-V > SCSI Controller > DVD pogon. Snimka zaslona s postavkama virtualnog računala Hyper-V (VM) s istaknutom sekcijom DVD pogona s mogućnošću odabira slikovne datoteke. ​​​​​​​

  3. Obratite pozornost na trenutni redoslijed pokretanja da biste ga kasnije mogli ručno vratiti. Sljedeća slika primjer je redoslijeda pokretanja koji se može razlikovati od konfiguracije vašeg VM-a.Snimka zaslona s postavkama virtualnog računala Hyper-V (VM) s istaknutom sekcijom Oprema s izvornim redoslijedom pokretanja.

  4. Promijenite redoslijed pokretanja da biste premjestili DVD pogon kao prvi unos za pokretanje.Snimka zaslona s postavkama virtualnog računala Hyper-V (VM) s istaknutom sekcijom Oprema s prikazom unosa DVD pogona pri vrhu redoslijeda pokretanja.

  5. Pokrenite virtualno računalo i pritisnite bilo koju tipku da biste nastavili s pokretanjem iso slike.

  6. Ovisno o tome kako ste stvorili medij za oporavak, slijedite dodatne korake za korištenje mogućnosti oporavka sustava Windows PEili sigurnog načina rada.

  7. Postavite redoslijed pokretanja na izvorne postavke pokretanja iz hyper-V postavki VM-a.

  8. Normalno ponovno pokrenite virtualno računalo.

Korištenje PXE-a za oporavak

Za većinu korisnika druge mogućnosti oporavka pomoći će vratiti uređaje. No ako uređaji ne mogu koristiti mogućnost oporavka s USB-a, primjerice zbog sigurnosnih pravilnika ili dostupnosti priključka, IT administratori mogu koristiti PXE za otklanjanje problema.

Da biste koristili to rješenje, možete koristiti sliku oblika Windows Imaging Format (WIM) koju stvara Microsoftov alat za oporavak u postojećem PXE okruženju. Zahvaćeni uređaji moraju biti na istoj mrežnoj podmreži kao postojeći PXE poslužitelj.

Umjesto toga, možete koristiti pristup PXE poslužitelju koji je opisan u nastavku. Ta mogućnost najbolje funkcionira kada možete jednostavno premjestiti PXE poslužitelj s podmreže u podmrežu radi popravka.

Preduvjeti za oporavak PXE-a

  1. 64-bitni uređaj sa sustavom Windows koji hostira sliku pokretanja. Ovaj se uređaj naziva "PXE poslužitelj".

    1. PXE poslužitelj može se izvoditi na bilo kojem podržanom 64-bitnom operacijskom sustavu Windows klijenta.

    2. PXE poslužitelj trebao bi imati pristup internetu za preuzimanje Alata Microsoft PXE iz Microsoftova centra za preuzimanje. Možete ga i kopirati na PXE poslužitelj iz drugog sustava na mreži.

    3. Na PXE poslužitelju trebala bi biti stvorena pravila ulaznog vatrozida za UDP priključke 67, 68, 69, 547 i 4011. Preuzeti PXE alat (MSFTPXEToolForCS.exe) ažurira postavke vatrozida za Windows na PXE poslužitelju. Ako PXE poslužitelj koristi rješenje koje nije Microsoftov vatrozid, stvorite pravila prema njihovim preporukama.

      Napomena: Ova skripta ne čisti pravila vatrozida. Trebali biste ukloniti ta pravila vatrozida nakon dovršetka popravka. Da biste uklonili ta pravila iz vatrozida za Windows, otvorite Windows PowerShell kao administrator i pokrenite sljedeću naredbu: MSFTPXEInitToolForCS.ps1 čišćenje

    4. Administratorske ovlasti za pokretanje PXE alata.

    5. Za PXE poslužitelj potreban je Microsoft Visual C++ redistributable. Preuzmite i instalirajte najnoviju verziju.

  2. Zahvaćeni uređaji sa sustavom Windows moraju biti na istoj podmreži kao PXE poslužitelj. Trebali bi biti ožičeni umjesto korištenja Wi-Fi mreže.

Konfiguriranje PXE poslužitelja

  1. Preuzmite Alat Microsoft PXE iz Microsoftova centra za preuzimanje. Izdvojite sadržaj zip arhive u bilo koji direktorij. Sadrži sve potrebne datoteke.

  2. Otvorite Windows PowerShell kao administrator. Promijenite direktorij u koji ste izdvojili datoteke i pokrenite sljedeću naredbu: MSFTPXEInitToolForCS.ps1

    1. Skripta traži windows ADK i Windows PE Add-On na PXE poslužitelju. Ako nisu instalirane, skripta će ih instalirati. Da biste nastavili s instalacijom, pregledajte i prihvatite licencne odredbe.

    2. Skripta generira skripte popravka i stvara valjanu sliku pokretanja.

    3. Ako je potrebno, prihvatite upit i navedite put koji sadrži datoteke upravljačkih programa. Za tipkovnicu ili uređaje za masovnu pohranu možda će biti potrebne datoteke upravljačkih programa. Općenito, nećete morati dodavati upravljačke programe. Ako vam nisu potrebne dodatne datoteke upravljačkog programa, odaberite N.

    4. PXE poslužitelj možete konfigurirati tako da isporuči zadanu sliku popravka ili sliku sigurnog načina rada. Vidjet ćete sljedeće upite:1. Pokrenite WinPE da biste riješili problem. Ako je sistemski disk BitLocker šifriran, potreban je unos BitLocker ključa oporavka. 2. Pokrenite winPE konfigurirajte siguran način rada i pokrenite naredbu za popravak nakon ulaska u siguran način rada. Ta je mogućnost manja vjerojatnost da će biti potreban BitLocker ključ oporavka ako je sistemski disk BitLocker šifriran.

    5. Skripta generira potrebne datoteke za raspodjelu i omogućuje put na kojem kopira alat PXE poslužitelja.

  3. Dvaput provjerite preduvjete za oporavak PXE-a, osobito Microsoft Visual C++ redistributable.

  4. S konzole PowerShell kao administratora promijenite u direktorij u koji se kopira alat PXE poslužitelja i pokrenite sljedeću naredbu da biste pokrenuli proces slušanja: .\MSFTPXEToolForCS.exe

    1. Nećete vidjeti dodatne odgovore jer PXE poslužitelj rukuje vezama. Nemojte zatvoriti ovaj prozor jer će to zaustaviti PXE poslužitelj.

    2. Tijek PXE poslužitelja možete pratiti u MSFTPXEToolForCS.log u istom direktoriju.

      Napomena: Ako želite pokrenuti više PXE poslužitelja za različite podmreže, kopirajte direktorij pomoću alata PXE poslužitelja i ponovno pokrenite treći korak & 4.

Dodatne informacije o PXE-u

Oporavak zahvaćenog uređaja pomoću PXE-a

Zahvaćeni uređaj mora biti na istoj podmreži kao PXE poslužitelj. Ako se uređaji nalaze u različitim podmrežima, konfigurirajte IP pomoćnike u mrežnom okruženju da biste omogućili otkrivanje PXE poslužitelja.

Ako zahvaćeni uređaj nije konfiguriran za pokretanje PXE-a, slijedite ove korake:

  1. Na zahvaćenom uređaju pristupite izborniku BIOS\UEFI .

    1. Ta se akcija razlikuje u različitim modelima i proizvođačima. Specifične proizvođače opreme i model uređaja potražite u dokumentaciji proizvođača originalne opreme.

    2. Uobičajene mogućnosti pristupa BIOS-u\UEFI obuhvaćaju pritisak tipke kao što su F2, F12, DEL ili ESC tijekom slijeda pokretanja.

  2. Provjerite je li na uređaju omogućeno pokretanje mreže. Dodatne upute potražite u dokumentaciji proizvođača uređaja.

  3. Konfigurirajte mogućnost pokretanja mreže kao prioritet prvog pokretanja.

  4. Spremite nove postavke. Ponovno pokrenite uređaj da bi se postavke primijenile i pokrenule s PXE-a.

Kada PXE pokrećete zahvaćeni uređaj, ponašanje ovisi o tome jeste li odabrali Windows PE ili medij za oporavak sigurnog načina rada za PXE poslužitelj.

Dodatne informacije o tim mogućnostima potražite u dodatnim koracima za korištenje mogućnosti oporavka sustava Windows PE ili sigurnog načina rada.

  1. Za mogućnost oporavka windows PE korisnik se od korisnika traži da se pokrene na Windows PE i skripta popravka pokreće se automatski.

  2. Za mogućnost oporavka sigurnog načina rada uređaj će se učisti u siguran način rada. Korisnik se mora prijaviti pomoću lokalnog administratorskog računa i ručno pokrenuti skriptu.

    1. U sigurnom načinu rada i prijavljeni ste kao lokalni administrator otvorite Windows PowerShell kao administrator.

    2. Pokrenite sljedeće naredbe:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot shutdown -r -t 00

Kada dovršite, ponovno pokrenite uređaj normalno tako da na zaslonu odgovarate na upit. Pristupite izborniku BIOS\UEFI i ažurirajte redoslijed pokretanja da biste uklonili PXE pokretanje.

Kontakt CrowdStrike

Ako nakon navedenih koraka i dalje nailazite na probleme prilikom prijave na uređaj, obratite se CrowdStrikeu za dodatnu pomoć. 

Dodatne informacije

Dodatne informacije o problemu koji utječe na klijente sustava Windows i poslužitelje na kojima je pokrenut agent CrowdStrike Falcon potražite u sljedećim resursima:

Reference

Proizvodi trećih strana o kojima se radi u članku proizvode tvrtke koje su neovisne o Microsoftu. Ne jamčimo, implicirana ili na neki drugi način, o performansama ili pouzdanosti tih proizvoda.

Podatke za kontakt drugih proizvođača pružamo da bismo vam pomogli pronaći tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez najave. Ne jamčimo točnost tih podataka za kontakt treće strane.

Facebook LinkedIn E-pošta

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost