KB5042429: Nowe narzędzie do odzyskiwania ułatwiające rozwiązywanie problemów z crowdstrike wpływających na urządzenia z systemem Windows

Wymagania wstępne dotyczące tworzenia nośnika rozruchu

1. Klient 64-bitowy systemu Windows z co najmniej 8 GB wolnego miejsca, na którym można uruchomić narzędzie w celu utworzenia rozruchowego dysku USB.

2. Uprawnienia administracyjne klienta systemu Windows z wymagania wstępnego nr 1.

3. Dysk USB o minimalnym rozmiarze 1 GB i nie większym niż 32 GB. Narzędzie usunie wszystkie istniejące dane na tym dysku i automatycznie sformatuje je do wersji FAT32.

Instrukcje tworzenia nośnika rozruchowego

Aby utworzyć nośnik odzyskiwania z 64-bitowego klienta systemu Windows w wymaganiu wstępnym nr 1, wykonaj następujące czynności:

1. Pobierz podpisane narzędzie Microsoft Recovery Tool z Centrum pobierania Microsoft.

2. Wyodrębnij skrypt programu PowerShell z pobranego pliku.

3. Otwórz program Windows PowerShell jako administrator i uruchom następujący skrypt: MsftRecoveryToolForCS.ps1

4. Narzędzie pobiera i instaluje zestaw Windows Assessment and Deployment Kit (Windows ADK). Ten proces może potrwać kilka minut.

5. Wybierz jedną z dwóch opcji odzyskiwania urządzeń, na które ma to wpływ: Windows PE lub tryb awaryjny.

6. Opcjonalnie wybierz katalog zawierający pliki sterowników do zaimportowania do obrazu odzyskiwania. Zalecamy wybranie pozycji N, aby pominąć ten krok. ​​​​​​​

   1. Narzędzie importuje wszystkie pliki SYS i INI cyklicznie w ramach określonego katalogu.

   2. Niektóre urządzenia, takie jak urządzenia Surface, mogą wymagać dodatkowych sterowników do wprowadzania klawiatury.

7. Wybierz opcję wygenerowania pliku ISO lub dysku USB.

8. Jeśli wybierzesz opcję USB:

   1. Po wyświetleniu monitu włóż dysk USB i podaj literę dysku.

   2. Gdy narzędzie zakończy tworzenie dysku USB, usuń go z klienta systemu Windows.

Instrukcje odzyskiwania maszyn wirtualnych Hyper-V

1. Na maszynie wirtualnej, na która ma to wpływ, dodaj dysk DVD w obszarze Ustawienia funkcji Hyper-V > kontrolera SCSI.
   
   

2. Przejdź do obrazu ISO odzyskiwania i dodaj go jako plik obrazu w obszarze Ustawienia funkcji Hyper-V > kontrolerem SCSI > dysku DVD.
   
   
   ​​​​​​​

3. Zwróć uwagę na bieżącą kolejność rozruchu , aby można było ręcznie przywrócić ją później. Na poniższej ilustracji przedstawiono przykładową kolejność rozruchu, która może różnić się od konfiguracji maszyny wirtualnej.
   
   

4. Zmień kolejność rozruchu , aby przenieść dysk DVD w górę jako pierwszy wpis rozruchu.
   
   

5. Uruchom maszynę wirtualną i naciśnij dowolny, aby kontynuować rozruch obrazu ISO.

6. W zależności od sposobu utworzenia nośnika odzyskiwania wykonaj dodatkowe czynności , aby użyć opcji odzyskiwania środowiska Windows PE lub trybu awaryjnego .

7. W ustawieniach funkcji Hyper-V maszyny wirtualnej ustaw kolejność rozruchu z powrotem na oryginalne ustawienia rozruchu.

8. Uruchom ponownie maszynę wirtualną normalnie.

Wymagania wstępne odzyskiwania środowiska PXE

1. 64-bitowe urządzenie z systemem Windows hostuje obraz rozruchu. To urządzenie jest nazywane "serwerem PXE".

   1. Serwer PXE może działać w dowolnym obsługiwanym kliencie systemu Windows w wersji 64-bitowej.

   2. Serwer PXE powinien mieć dostęp do Internetu, aby pobrać narzędzie Microsoft PXE z Centrum pobierania Microsoft. Możesz również skopiować ją na serwer PXE z innego systemu w twojej sieci.

   3. Serwer PXE powinien mieć reguły zapory przychodzącej utworzone dla portów UDP 67, 68, 69, 547 i 4011. Pobrane narzędzie PXE (MSFTPXEToolForCS.exe) aktualizuje ustawienia Zapory systemu Windows na serwerze PXE. Jeśli serwer PXE korzysta z rozwiązania zapory firmy innej niż Microsoft, utwórz reguły zgodnie z zaleceniami.

      Uwaga: Ten skrypt nie oczyszcza reguł zapory. Po zakończeniu działania naprawczego należy usunąć te reguły zapory. Aby usunąć te reguły z Zapory systemu Windows, otwórz program Windows PowerShell jako administrator i uruchom następujące polecenie: MSFTPXEInitToolForCS.ps1 wyczyść

   4. Uprawnienia administracyjne do uruchamiania narzędzia PXE.

   5. Serwer PXE wymaga narzędzia redystrybucyjnego Microsoft Visual C++. Pobierz i zainstaluj najnowszą wersję.

2. Urządzenia z systemem Windows, których dotyczy problem, powinny znajdować się w tej samej podsieci co serwer PXE. Powinny być podłączone przewodowo zamiast sieci Wi-Fi.

Konfigurowanie serwera PXE

1. Pobierz narzędzie Microsoft PXE z Centrum pobierania Microsoft. Wyodrębnij zawartość archiwum zip do dowolnego katalogu. Zawiera wszystkie niezbędne pliki.

2. Otwórz program Windows PowerShell jako administrator. Przejdź do katalogu, w którym zostały wyodrębnione pliki, i uruchom następujące polecenie: MSFTPXEInitToolForCS.ps1

   1. Skrypt skanuje w poszukiwaniu dodatku Windows ADK i systemu Windows PE Add-On instalacji na serwerze PXE. Jeśli nie są zainstalowane, skrypt je instaluje. Aby kontynuować instalację, przejrzyj i zaakceptuj postanowienia licencyjne.

   2. Skrypt generuje skrypty naprawcze i tworzy prawidłowy obraz rozruchu.

   3. W razie potrzeby zaakceptuj monit i podaj ścieżkę zawierającą pliki sterowników. Pliki sterowników mogą być wymagane dla klawiatury lub urządzeń magazynujące masowo. Na ogół nie trzeba dodawać sterowników. Jeśli nie potrzebujesz żadnych dodatkowych plików sterownika, wybierz pozycję N.

   4. Serwer PXE można skonfigurować tak, aby dostarczał domyślny obraz korygowania lub obrazu trybu awaryjnego. Zostaną wyświetlone następujące monity:
      1. Uruchom ponownie do systemu WinPE, aby rozwiązać ten problem. Wymaga wprowadzenia klucza odzyskiwania funkcji BitLocker, jeśli dysk systemowy jest zaszyfrowany za pomocą funkcji BitLocker.
      2. Rozruch do WinPE skonfiguruj tryb awaryjny i uruchom polecenie naprawy po przejściu do trybu awaryjnego. Ta opcja jest mniej prawdopodobne, aby wymagać klucza odzyskiwania funkcji BitLocker, jeśli dysk systemowy jest zaszyfrowany za pomocą funkcji BitLocker.

   5. Skrypt generuje wymagane pliki dystrybucyjne i udostępnia ścieżkę, w której kopiuje narzędzie serwera PXE.

3. Sprawdź dokładnie wymagania wstępne odzyskiwania PXE, zwłaszcza pakiet redystrybucyjny Microsoft Visual C++.

4. Z konsoli programu PowerShell jako administrator przejdź do katalogu, w którym jest kopiowane narzędzie serwera PXE, i uruchom następujące polecenie, aby uruchomić proces słuchacza: .\MSFTPXEToolForCS.exe

   1. Nie zobaczysz dodatkowych odpowiedzi, ponieważ serwer PXE obsługuje połączenia. Nie zamykaj tego okna, ponieważ spowoduje to zatrzymanie serwera PXE.

   2. Możesz monitorować postęp serwera PXE w pliku MSFTPXEToolForCS.log w tym samym katalogu.

      Uwaga: Jeśli chcesz uruchomić wiele serwerów PXE dla różnych podsieci, skopiuj katalog za pomocą narzędzia serwera PXE i ponownie wykonaj kroki 3 & 4.

Użyj środowiska PXE, aby odzyskać urządzenie, którego dotyczy problem

Urządzenie, którego dotyczy problem, musi znajdować się w tej samej podsieci co serwer PXE. Jeśli urządzenia znajdują się w różnych podsieciach, skonfiguruj pomocników adresów IP w środowisku sieciowym, aby umożliwić odnajdowanie serwera PXE.

Jeśli urządzenie, którego dotyczy problem, nie zostało skonfigurowane do rozruchu PXE, wykonaj następujące czynności:

1. Na urządzeniu, którego dotyczy problem, przejdź do menu BIOS\UEFI .

   1. Ta akcja różni się w różnych modelach i producentach. Zapoznaj się z dokumentacją dostarczoną przez producenta oryginalnego sprzętu dla konkretnej marki i modelu urządzenia.

   2. Typowe opcje uzyskiwania dostępu do systemu BIOS\UEFI obejmują naciśnięcie, takiego jak F2, F12, DEL lub ESC podczas sekwencji uruchamiania.

2. Upewnij się , że rozruch sieciowy jest włączony na urządzeniu. Dodatkowe wskazówki można znaleźć w dokumentacji producenta urządzenia.

3. Skonfiguruj opcję rozruchu sieci jako priorytet pierwszego rozruchu.

4. Zapisz nowe ustawienia. Uruchom ponownie urządzenie, aby ustawienia zostały zastosowane i uruchomione z poziomu środowiska PXE.

Podczas rozruchu środowiska PXE na danym urządzeniu zachowanie będzie zależeć od tego, czy wybrano nośnik odzyskiwania środowiska Windows PE, czy nośnik odzyskiwania trybu awaryjnego dla serwera PXE.

Aby uzyskać więcej informacji na temat tych opcji, zobacz dodatkowe kroki korzystania z opcji odzyskiwania środowiska Windows PE lub trybu awaryjnego.

1. W przypadku opcji odzyskiwania środowiska Windows PE użytkownik jest monitowany o rozruch do środowiska Windows PE, a skrypt korygowania jest uruchamiany automatycznie.

2. W przypadku opcji odzyskiwania w trybie awaryjnym urządzenie uruchamia się w trybie awaryjnym. Użytkownik musi zalogować się przy użyciu lokalnego konta administratora i ręcznie uruchomić skrypt.

   1. W trybie awaryjnym, zalogowanym jako administrator lokalny, otwórz program Windows PowerShell jako administrator.

   2. Uruchom następujące polecenia:
      del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys
      bcdedit /deletevalue {current} safeboot
      shutdown -r -t 00

Po zakończeniu normalnego ponownego uruchomienia urządzenia, odpowiadając na monit wyświetlany na ekranie. Uzyskaj dostęp do menu BIOS\UEFI i zaktualizuj kolejność rozruchu, aby usunąć rozruch PXE.