Riassunto 

Come seguito del problema dell'agente CrowdStrike Falcon che interessa i client e i server di Windows, abbiamo rilasciato uno strumento di ripristino aggiornato con due opzioni di ripristino per aiutare gli amministratori IT ad accelerare il processo di ripristino. Lo strumento automatizza i passaggi manuali in KB5042421 (client) e KB5042426 (server).The tool automates the manual steps in KB5042421 (client) and KB5042426 (server). Scarica Microsoft Recovery Tool firmato dall'Area download Microsoft. È possibile usare lo strumento per recuperare client, server e macchine virtuali Hyper-V di Windows.

Sono disponibili due opzioni di ripristino:

  • Ripristino da Windows PE: questa opzione usa un supporto di avvio che automatizza il ripristino del dispositivo.

  • Ripristino dalla modalità provvisoria: questa opzione usa il supporto di avvio per i dispositivi interessati per eseguire l'avvio in modalità provvisoria. Un amministratore può quindi accedere con un account con privilegi amministrativi locali ed eseguire i passaggi di correzione.

Determinare l'opzione da usare

Questa opzione per il ripristino da Windows PE recupera rapidamente e direttamente i sistemi e non richiede privilegi amministrativi locali. Se il dispositivo usa BitLocker, potrebbe essere necessario immettere manualmente la chiave di ripristino di BitLocker prima di poter ripristinare un sistema interessato.

Se usi una soluzione di crittografia del disco non Microsoft, consulta le indicazioni di quel fornitore. Devono fornire opzioni per ripristinare l'unità in modo da poter eseguire lo script di correzione da Windows PE.

Considerazioni aggiuntive

Anche se l'opzione USB è preferita, alcuni dispositivi potrebbero non supportare le connessioni USB. Per queste situazioni, vedi la sezione su come usare Preboot Execution Environment (PXE) per il ripristino.

Se il dispositivo non riesce a connettersi a una rete PXE e USB non è un'opzione, prova i passaggi manuali descritti negli articoli seguenti:

In caso contrario, la rivisitazione del dispositivo potrebbe essere una soluzione.

Con qualsiasi opzione di ripristino, provala prima su più dispositivi prima di usarla su vasta scala nel tuo ambiente.

Creare il supporto di avvio

Prerequisiti per creare il supporto di avvio

  1. Un client Windows a 64 bit con almeno 8 GB di spazio libero su cui è possibile eseguire lo strumento per creare l'unità USB di avvio.

  2. Privilegi amministrativi sul client Windows dal prerequisito n. 1.

  3. Un'unità USB con dimensioni minime di 1 GB e non superiori a 32 GB. Lo strumento elimina tutti i dati esistenti in questa unità e lo formatta automaticamente in FAT32.

Istruzioni per creare il supporto di avvio

Per creare un supporto di ripristino, dal client Windows a 64 bit prerequisito 1, utilizza la procedura seguente:

  1. Scarica Microsoft Recovery Tool firmato dall'Area download Microsoft.

  2. Estrarre lo script di PowerShell dal file scaricato.

  3. Apri Windows PowerShell come amministratore ed esegui lo script seguente: MsftRecoveryToolForCS.ps1

  4. Lo strumento scarica e installa Windows Assessment and Deployment Kit (Windows ADK). Il completamento di questo processo potrebbe richiedere alcuni minuti.

  5. Scegli una delle due opzioni per il ripristino dei dispositivi interessati: Windows PE o la modalità provvisoria.

  6. Facoltativamente, seleziona una directory contenente i file dei driver da importare nell'immagine di ripristino. È consigliabile selezionare N per ignorare questo passaggio. ​​​​​​​

    1. Lo strumento importa tutti i file SYS e INI in modo ricorsivo nella directory specificata.

    2. Alcuni dispositivi, ad esempio i dispositivi Surface, potrebbero richiedere driver aggiuntivi per l'input da tastiera.

  7. Seleziona l'opzione per generare un file ISO o un'unità USB.

  8. Se scegli l'opzione USB:

    1. Inserisci l'unità USB quando richiesto e specifica la lettera di unità.

    2. Al termine della creazione dell'unità USB, rimuovila dal client Windows.

Istruzioni per usare l'opzione di ripristino

Se hai creato elementi multimediali nei passaggi precedenti per Windows PE, usa queste istruzioni nei dispositivi interessati.

Prerequisiti per usare il supporto di avvio per il ripristino di Windows PE

  • Potrebbe essere necessaria la chiave di ripristino di BitLocker per ogni dispositivo abilitato e interessato da BitLocker.

    • Se il dispositivo interessato usa protezioni TPM+PIN e non conosci il PIN per il dispositivo, potrebbe essere necessario il codice di ripristino.

Istruzioni per usare il supporto di avvio per il ripristino di Windows PE

  1. Inserisci la chiave USB in un dispositivo interessato.

  2. Riavvia il dispositivo.

  3. Durante il riavvio, premi F12 per accedere al menu di avvio del BIOS.

    Nota: Alcuni dispositivi potrebbero usare una combinazione di tasti diversa per accedere al menu di avvio del BIOS. Segui le istruzioni specifiche del produttore per il dispositivo.

  4. Dal menu di avvio del BIOS , scegli Avvia da USB e continua. Lo strumento viene eseguito.

  5. Se BitLocker è abilitato, all'utente verrà richiesta la chiave di ripristino di BitLocker. Includi i trattine (-) quando immetti la chiave di ripristino di BitLocker. Per ulteriori informazioni sulle opzioni della chiave di ripristino, vedi Dove cercare la chiave di ripristino di BitLocker.

    Nota: Per le soluzioni di crittografia dei dispositivi non Microsoft, segui tutti i passaggi forniti dal fornitore per accedere all'unità.

    1. Se BitLocker non è abilitato nel dispositivo, potrebbe comunque essere richiesto di immettere la chiave di ripristino di BitLocker. Premere INVIO per saltare e continuare.

  6. Lo strumento esegue i passaggi di correzione come consigliato da CrowdStrike.

  7. Al termine, rimuovi l'unità USB e riavvia il dispositivo normalmente.

Usare il supporto di ripristino in macchine virtuali Hyper-V

È possibile usare il supporto di ripristino per correggere le macchine virtuali Hyper-V (VM) interessate. Quando crei il supporto di avvio, seleziona l'opzione per generare un file ISO.

Nota: Per le macchine virtuali non Hyper-V, seguire le istruzioni fornite dal fornitore del sistema hypervisor per usare il supporto di ripristino.

Istruzioni per il ripristino delle macchine virtuali Hyper-V

  1. In una macchina virtuale interessata aggiungi un'unità DVD in Impostazioni Hyper-V > controller SCSI.Screenshot delle impostazioni di una macchina virtuale Hyper-V (VM), con la sezione Controller SCSI evidenziata e l'opzione Aggiungi un'unità DVD.

  2. Individua l'ISO di ripristino e aggiungilo come file di immagine in Impostazioni Hyper-V > controller SCSI > unità DVD.Screenshot delle impostazioni di una macchina virtuale Hyper-V (VM), con la sezione Unità DVD evidenziata che mostra l'opzione per selezionare un file di immagine. ​​​​​​​

  3. Prendi nota dell'ordine di avvio corrente in modo da poterlo ripristinare manualmente in un secondo momento. L'immagine seguente è un esempio di un ordine di avvio, che potrebbe essere diverso dalla configurazione della macchina virtuale.Screenshot delle impostazioni di una macchina virtuale Hyper-V (VM), con la sezione Firmware evidenziata che mostra l'ordine di avvio originale.

  4. Modifica l'ordine di avvio per spostarti verso l'alto nell'unità DVD come prima voce di avvio.Screenshot delle impostazioni di una macchina virtuale Hyper-V (VM), con la sezione Firmware evidenziata che mostra la voce Unità DVD nella parte superiore dell'ordine di avvio.

  5. Avvia la macchina virtuale e premi qualsiasi tasto per continuare l'avvio dell'immagine ISO.

  6. A seconda di come hai creato il supporto di ripristino, segui i passaggi aggiuntivi per usare Windows PE o le opzioni di ripristino in modalità provvisoria .

  7. Ripristina l'ordine di avvio alle impostazioni di avvio originali dalle impostazioni Hyper-V della macchina virtuale.

  8. Riavvia la macchina virtuale normalmente.

Usare PXE per il ripristino

Per la maggior parte dei clienti, le altre opzioni di ripristino ti aiuteranno a ripristinare i tuoi dispositivi. Tuttavia, se i dispositivi non sono in grado di usare l'opzione per il ripristino da USB, ad esempio a causa dei criteri di sicurezza o della disponibilità delle porte, gli amministratori IT possono usare PXE per correggere il problema.

Per usare questa soluzione, è possibile usare l'immagine WIM (Windows Imaging Format) creata da Microsoft Recovery Tool in un ambiente PXE esistente. I dispositivi interessati devono trovarsi nella stessa subnet di rete del server PXE esistente.

In alternativa, è possibile usare l'approccio server PXE descritto di seguito. Questa opzione funziona in modo ottimale quando è possibile spostare facilmente il server PXE dalla subnet alla subnet per scopi correttivi.

Prerequisiti per il ripristino PXE

  1. Un dispositivo Windows a 64 bit che ospita l'immagine di avvio. Questo dispositivo è definito "server PXE".

    1. Il server PXE può essere eseguito su qualsiasi sistema operativo windows client a 64 bit supportato.

    2. Il server PXE deve avere accesso a Internet per scaricare lo strumento Microsoft PXE dall'Area download Microsoft. Puoi anche copiarlo nel server PXE da un altro sistema della rete.

    3. Il server PXE deve avere regole firewall in ingresso create per le porte UDP 67, 68, 69, 547 e 4011. Lo strumento PXE scaricato (MSFTPXEToolForCS.exe) aggiorna le impostazioni di Windows Firewall nel server PXE. Se il server PXE utilizza una soluzione firewall non Microsoft, creare regole in base ai suggerimenti.

      Nota: Questo script non pulisce le regole del firewall. È consigliabile rimuovere queste regole del firewall al termine della correzione. Per rimuovere queste regole da Windows Firewall, aprire Windows PowerShell come amministratore ed eseguire il comando seguente: MSFTPXEInitToolForCS.ps1 pulire

    4. Privilegi amministrativi per eseguire lo strumento PXE.

    5. Il server PXE richiede Microsoft Visual C++ Redistributable. Scarica e installa l'ultima versione.

  2. I dispositivi Windows interessati devono trovarsi nella stessa subnet del server PXE. Devono essere cablate invece di usare una rete Wi-Fi.

Configurare il server PXE

  1. Scarica lo strumento Microsoft PXE dall'Area download Microsoft. Estrarre il contenuto dell'archivio ZIP in qualsiasi directory. Contiene tutti i file necessari.

  2. Apri Windows PowerShell come amministratore. Passare alla directory in cui sono stati estratti i file ed eseguire il comando seguente: MSFTPXEInitToolForCS.ps1

    1. Lo script esegue la ricerca dell'installazione di Windows ADK e Windows PE Add-On sul server PXE. Se non sono installate, vengono installate dallo script. Per procedere con l'installazione, rivedere e accettare le condizioni di licenza.

    2. Lo script genera gli script di correzione e crea un'immagine di avvio valida.

    3. Se necessario, accetta la richiesta e fornisci un percorso contenente i file del driver. Per i dispositivi di archiviazione di massa o di tastiera potrebbero essere necessari file dei driver. In genere, non è necessario aggiungere driver. Se non ti servono altri file di driver, seleziona N.

    4. È possibile configurare il server PXE per fornire un'immagine di correzione predefinita o un'immagine in modalità provvisoria. Verranno visualizzati i messaggi seguenti:1. Eseguire l'avvio in WinPE per risolvere il problema. È necessario immettere la chiave di ripristino di BitLocker se il disco di sistema è crittografato con BitLocker. 2. Eseguire l'avvio in WinPE per configurare la modalità provvisoria ed eseguire il comando di ripristino dopo l'attivazione della modalità provvisoria. Questa opzione ha meno probabilità di richiedere la chiave di ripristino di BitLocker se il disco di sistema è crittografato con BitLocker.

    5. Lo script genera i file di distribuzione necessari e fornisce il percorso in cui copia lo strumento server PXE.

  3. Verifica i prerequisiti per il ripristino PXE, in particolare microsoft Visual C++ Redistributable.

  4. Dalla console di PowerShell come amministratore passare alla directory in cui viene copiato lo strumento server PXE ed eseguire il comando seguente per avviare il processo listener: .\MSFTPXEToolForCS.exe

    1. Non verranno visualizzate altre risposte quando il server PXE gestisce le connessioni. Non chiudere questa finestra perché il server PXE verrà interrotto.

    2. È possibile monitorare l'avanzamento del server PXE nel file MSFTPXEToolForCS.log nella stessa directory.

      Nota: Se si desidera eseguire più server PXE per subnet diverse, copiare la directory con lo strumento server PXE ed eseguire di nuovo i passaggi 3 & 4.

Ulteriori informazioni su PXE

Usare PXE per ripristinare un dispositivo interessato dal problema

Il dispositivo interessato deve trovarsi nella stessa subnet del server PXE. Se i dispositivi si trovano in subnet diverse, configurare gli helper IP nell'ambiente di rete per consentire l'individuazione del server PXE.

Se il dispositivo interessato non è configurato per l'avvio PXE, segui questi passaggi:

  1. Nel dispositivo interessato accedi al menu BIOS\UEFI .

    1. Questa azione è diversa tra diversi modelli e produttori. Fai riferimento alla documentazione fornita dal produttore dell'apparecchiatura originale per la produzione e il modello specifici del dispositivo.

    2. Le opzioni comuni per accedere al BIOS\UEFI prevedono la pressione di un tasto come F2, F12, DEL o ESC durante la sequenza di avvio.

  2. Verifica che l'avvio in rete sia abilitato nel dispositivo. Per altre indicazioni, fai riferimento alla documentazione del produttore del dispositivo.

  3. Configura l'opzione di avvio di rete come prima priorità di avvio.

  4. Salva le nuove impostazioni. Riavvia il dispositivo per le impostazioni da applicare e avvia da PXE.

Quando PXE avvii il dispositivo interessato, il comportamento dipenderà dal fatto che tu abbia scelto Windows PE o il supporto di ripristino in modalità provvisoria per il server PXE.

Per altre informazioni su queste opzioni, vedi i passaggi aggiuntivi per usare Windows PE o le opzioni di ripristino in modalità provvisoria.

  1. Per l'opzione di ripristino di Windows PE, all'utente viene richiesto di eseguire l'avvio in Windows PE e lo script di correzione viene eseguito automaticamente.

  2. Per l'opzione di ripristino in modalità provvisoria, il dispositivo viene avviato in modalità provvisoria. L'utente deve accedere con l'account amministratore locale ed eseguire manualmente lo script.

    1. In modalità provvisoria e accedi come amministratore locale, apri Windows PowerShell come amministratore.

    2. Esegui i comandi seguenti:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot shutdown -r -t 00

Al termine, riavvia il dispositivo normalmente rispondendo al prompt sullo schermo. Accedi al menu BIOS\UEFI e aggiorna l'ordine di avvio per rimuovere l'avvio PXE.

Contatta CrowdStrike

Se, dopo aver seguito i passaggi precedenti, si verificano ancora problemi di accesso al dispositivo, contatta CrowdStrike per ulteriore assistenza. 

Informazioni aggiuntive

Per ulteriori informazioni sul problema che interessa i client e i server Windows che eseguono l'agente CrowdStrike Falcon, vedi le risorse seguenti:

Riferimenti

I prodotti di terze parti citati in questo articolo sono prodotti da società indipendenti di Microsoft. Microsoft non riconosce alcuna garanzia, implicita o espressa, in relazione alle prestazioni o all'affidabilità di questi prodotti.

Microsoft fornisce informazioni di contatto di terze parti per aiutare l'utente a trovare supporto tecnico. Le informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.

Facebook LinkedIn Posta elettronica

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità