Resumo 

Como acompanhamento do problema do agente CrowdStrike Falcon que afeta clientes e servidores do Windows, lançamos uma ferramenta de recuperação atualizada com duas opções de reparo para ajudar os administradores de TI a acelerar o processo de reparo. A ferramenta automatiza as etapas manuais em KB5042421 (cliente) e KB5042426 (servidor). Baixe a Ferramenta de Recuperação da Microsoft assinada do Centro de Download da Microsoft. Você pode usar a ferramenta para recuperar clientes, servidores e máquinas virtuais do Windows (VM).

Há duas opções de reparo:

  • Recuperar do Windows PE: essa opção usa mídia de inicialização que automatiza o reparo do dispositivo.

  • Recuperar-se do modo de segurança: essa opção usa mídia de inicialização para dispositivos afetados para inicializar no modo de segurança. Em seguida, um administrador pode entrar usando uma conta com privilégios administrativos locais e executar as etapas de correção.

Determinar qual opção usar

Essa opção de recuperação do Windows PE recupera rapidamente e diretamente sistemas e não requer privilégios administrativos locais. Se o dispositivo usar o BitLocker, talvez seja necessário inserir manualmente a chave de recuperação do BitLocker antes de poder reparar um sistema afetado.

Se você usar uma solução de criptografia de disco que não seja da Microsoft, consulte as diretrizes desse fornecedor. Eles devem fornecer opções para recuperar a unidade para que você possa executar o script de correção do Windows PE.

Considerações adicionais

Embora a opção USB seja preferencial, alguns dispositivos podem não dar suporte a conexões USB. Para essas situações, consulte a seção sobre como usar o PXE (Ambiente de Execução de Preboot) para recuperação.

Se o dispositivo não puder se conectar a uma rede PXE e o USB não for uma opção, experimente as etapas manuais nos seguintes artigos:

Caso contrário, reimaginar o dispositivo pode ser uma solução.

Com qualquer opção de recuperação, primeiro teste-o em vários dispositivos antes de usá-lo amplamente em seu ambiente.

Criar a mídia de inicialização

Pré-requisitos para criar a mídia de inicialização

  1. Um cliente do Windows 64 bits com pelo menos 8 GB de espaço livre no qual você pode executar a ferramenta para criar a unidade USB inicializável.

  2. Privilégios administrativos no cliente Windows do pré-requisito #1.

  3. Uma unidade USB com um tamanho mínimo de 1 GB e não maior que 32 GB. A ferramenta exclui todos os dados existentes nesta unidade e formata-os automaticamente para FAT32.

Instruções para criar a mídia de inicialização

Para criar mídia de recuperação, do cliente Windows de 64 bits no pré-requisito #1, use as seguintes etapas:

  1. Baixe a Ferramenta de Recuperação da Microsoft assinada do Centro de Download da Microsoft.

  2. Extraia o script do PowerShell do arquivo baixado.

  3. Abra o Windows PowerShell como administrador e execute o seguinte script: MsftRecoveryToolForCS.ps1

  4. A ferramenta baixa e instala o Windows Assessment and Deployment Kit (Windows ADK). Esse processo pode levar vários minutos para ser concluído.

  5. Escolha uma das duas opções para recuperar dispositivos afetados: Windows PE ou modo seguro.

  6. Opcionalmente, selecione um diretório que contém arquivos de driver para importar para a imagem de recuperação. Recomendamos que você selecione N para ignorar esta etapa. ​​​​​​​

    1. A ferramenta importa todos os arquivos SYS e INI de forma recursiva no diretório especificado.

    2. Determinados dispositivos, como dispositivos Surface, podem precisar de drivers adicionais para entrada de teclado.

  7. Selecione a opção para gerar um arquivo ISO ou uma unidade USB.

  8. Se você escolher a opção USB:

    1. Insira a unidade USB quando solicitado e forneça a letra da unidade.

    2. Depois que a ferramenta concluir a criação da unidade USB, remova-a do cliente Windows.

Instruções para usar a opção de recuperação

Se você criou mídia nas etapas anteriores do Windows PE, use essas instruções em dispositivos afetados.

Pré-requisitos para usar a mídia de inicialização para recuperação do Windows PE

  • Você pode precisar da chave de recuperação do BitLocker para cada dispositivo habilitado para BitLocker e afetado.

    • Se o dispositivo afetado usa protetores TPM+PIN e você não conhece o PIN para o dispositivo, talvez seja necessário a chave de recuperação.

Instruções para usar a mídia de inicialização para recuperação do Windows PE

  1. Insira a chave USB em um dispositivo afetado.

  2. Reinicie o dispositivo.

  3. Durante a reinicialização, pressione F12 para acessar o menu de inicialização do BIOS.

    Observação: Alguns dispositivos podem usar uma combinação de chaves diferente para acessar o menu de inicialização do BIOS. Siga as instruções específicas do fabricante para o dispositivo.

  4. No menu de inicialização do BIOS , escolha Inicializar no USB e continue. A ferramenta é executada.

  5. Se o BitLocker estiver habilitado, o usuário será solicitado para a chave de recuperação do BitLocker. Inclua os traços (-) ao inserir a chave de recuperação do BitLocker. Para obter mais informações sobre as opções de chave de recuperação, consulte Onde procurar a chave de recuperação do BitLocker.

    Observação: Para soluções de criptografia de dispositivos que não são da Microsoft, siga todas as etapas fornecidas pelo fornecedor para obter acesso à unidade.

    1. Se o BitLocker não estiver habilitado no dispositivo, você ainda poderá ser solicitado para a chave de recuperação do BitLocker. Pressione Enter para ignorar e continuar.

  6. A ferramenta executa as etapas de correção conforme recomendado pelo CrowdStrike.

  7. Depois de concluído, remova a unidade USB e reinicie o dispositivo normalmente.

Utilizar suportes de dados de recuperação em máquinas virtuais Hyper-V

Pode utilizar o suporte de dados de recuperação para remediar as máquinas virtuais (VMs) do Hyper-V afetadas. Quando criar o suporte de dados de arranque, selecione a opção para gerar um ficheiro ISO.

Observação: Para VMs não Hyper-V, siga as instruções fornecidas pelo fornecedor do hipervisor para utilizar o suporte de dados de recuperação.

Instruções para recuperar máquinas virtuais hyper-V

  1. Numa VM afetada, adicione uma Unidade de DVD em Definições do Hyper-V > Controlador SCSI.Captura de ecrã a mostrar as definições de uma máquina virtual (VM) Hyper-V, com a secção Controlador SCSI realçada e a opção Adicionar uma Unidade de DVD.

  2. Navegue para o ISO de recuperação e adicione-o como um ficheiro de Imagem em Definições do Hyper-V > Controlador SCSI > Unidade de DVD.Uma captura de ecrã das definições de uma máquina virtual (VM) hyper-V, com a secção Unidade de DVD realçada, a mostrar a opção para selecionar um Ficheiro de imagem. ​​​​​​​

  3. Anote a ordem de Arranque atual para que possa restaurá-la manualmente mais tarde. A imagem seguinte é um exemplo de uma ordem de arranque, que pode ser diferente da configuração da VM.Captura de ecrã a mostrar as definições de uma máquina virtual (VM) hyper-V, com a secção Firmware realçada, a mostrar a ordem de arranque original.

  4. Altere a Ordem de arranque para mover a Unidade de DVD como a primeira entrada de arranque.Uma captura de ecrã das definições de uma máquina virtual (VM) hyper-V, com a secção Firmware realçada, a mostrar a entrada Unidade de DVD na parte superior da ordem de arranque.

  5. Inicie a VM e prima qualquer tecla para continuar a arrancar na imagem ISO.

  6. Consoante a forma como criou o suporte de dados de recuperação, siga os passos adicionais para utilizar as opções de recuperação do Windows PE ou do modo de segurança .

  7. Defina a ordem de arranque novamente para as definições de arranque originais a partir das definições do Hyper-V da VM.

  8. Reinicie a VM normalmente.

Utilizar o PXE para recuperação

Para a maioria dos clientes, as outras opções de recuperação ajudarão a restaurar os seus dispositivos. No entanto, se os dispositivos não conseguirem utilizar a opção para recuperar a partir de USB, por exemplo, devido a políticas de segurança ou disponibilidade de portas, os administradores de TI podem utilizar o PXE para remediar.

Para utilizar esta solução, pode utilizar a imagem wim (Windows Imaging Format) que a ferramenta de recuperação da Microsoft cria num ambiente PXE existente. Os dispositivos afetados têm de estar na mesma sub-rede de rede que o servidor PXE existente.

Em alternativa, pode utilizar a abordagem do servidor PXE descrita abaixo. Esta opção funciona melhor quando pode mover facilmente o servidor PXE da sub-rede para a sub-rede para fins de remediação.

Pré-requisitos para a recuperação PXE

  1. Um dispositivo Windows de 64 bits que aloja a imagem de arranque. Este dispositivo é referido como o "servidor PXE".

    1. O servidor PXE pode ser executado em qualquer SO windows de 64 bits suportado.

    2. O servidor PXE deve ter acesso à Internet para transferir a ferramenta Microsoft PXE a partir do Centro de Transferências da Microsoft. Também pode copiá-lo para o servidor PXE a partir de outro sistema na sua rede.

    3. O servidor PXE deve ter regras de firewall de entrada criadas para as portas UDP 67, 68, 69, 547 e 4011. A ferramenta PXE (MSFTPXEToolForCS.exe) transferida atualiza as definições da Firewall do Windows no servidor PXE. Se o servidor PXE utilizar uma solução de firewall que não seja da Microsoft, crie regras seguindo as respetivas recomendações.

      Observação: Este script não limpa as regras da firewall. Deve remover estas regras de firewall após a remediação estar concluída. Para remover estas regras da Firewall do Windows, abra o Windows PowerShell como administrador e execute o seguinte comando: MSFTPXEInitToolForCS.ps1 limpo

    4. Privilégios administrativos para executar a ferramenta PXE.

    5. O servidor PXE requer o Microsoft Visual C++ Redistributable. Transfira e instale a versão mais recente.

  2. Os dispositivos Windows afetados devem estar na mesma sub-rede que o servidor PXE. Devem ter fios rígidos em vez de utilizar uma rede Wi-Fi.

Configurar o servidor PXE

  1. Transfira a ferramenta Microsoft PXE a partir do Centro de Transferências da Microsoft. Extraia o conteúdo do arquivo zip para qualquer diretório. Contém todos os ficheiros necessários.

  2. Abra o Windows PowerShell como administrador. Mude para o diretório onde extraiu os ficheiros e execute o seguinte comando: MSFTPXEInitToolForCS.ps1

    1. O script analisa a instalação do Windows ADK e do Windows PE Add-On no servidor PXE. Se não estiverem instalados, o script instala-os. Para prosseguir com a instalação, reveja e aceite os termos de licenciamento.

    2. O script gera os scripts de remediação e cria uma imagem de arranque válida.

    3. Se necessário, aceite o pedido e forneça um caminho que contenha os ficheiros do controlador. Podem ser necessários ficheiros de controlador para dispositivos de armazenamento em massa ou de teclado. Geralmente, não terá de adicionar controladores. Se não precisar de ficheiros de controlador adicionais, selecione N.

    4. Pode configurar o servidor PXE para fornecer uma imagem de remediação predefinida ou uma imagem de modo de segurança. Verá as seguintes indicações:1. Arranque para WinPE para remediar o problema. É necessário introduzir a chave de recuperação BitLocker se o disco do sistema estiver encriptado pelo BitLocker. 2. Inicie para o WinPE configurar o modo de segurança e execute o comando de reparação depois de entrar no modo de segurança. É menos provável que esta opção exija a chave de recuperação BitLocker se o disco do sistema estiver encriptado pelo BitLocker.

    5. O script gera os ficheiros de distribuição necessários e fornece o caminho onde copia a ferramenta de servidor PXE.

  3. Verifique novamente os pré-requisitos da recuperação PXE, especialmente o Microsoft Visual C++ Redistributable.

  4. Na consola do PowerShell como administrador, mude para o diretório onde a ferramenta de servidor PXE é copiada e execute o seguinte comando para iniciar o processo do serviço de escuta: .\MSFTPXEToolForCS.exe

    1. Não verá respostas adicionais à medida que o servidor PXE processa as ligações. Não feche esta janela, pois esta ação irá parar o servidor PXE.

    2. Pode monitorizar o progresso do servidor PXE no ficheiro MSFTPXEToolForCS.log no mesmo diretório.

      Observação: Se quiser executar vários servidores PXE para sub-redes diferentes, copie o diretório com a ferramenta de servidor PXE e execute novamente os passos 3 & 4.

Informações adicionais sobre o PXE

Utilizar o PXE para recuperar um dispositivo afetado

O dispositivo afetado tem de estar na mesma sub-rede que o servidor PXE. Se os dispositivos estiverem em sub-redes diferentes, configure os programa auxiliares de IP no seu ambiente de rede para permitir a deteção do servidor PXE.

Se o dispositivo afetado não estiver configurado para o arranque PXE, siga estes passos:

  1. No dispositivo afetado, aceda ao menu BIOS\UEFI .

    1. Esta ação é diferente em diferentes modelos e fabricantes. Veja a documentação fornecida pelo fabricante do equipamento original para obter a estrutura e o modelo específicos do dispositivo.

    2. As opções comuns para aceder ao BIOS\UEFI envolvem premir uma tecla como F2, F12, DEL ou ESC durante a sequência de arranque.

  2. Certifique-se de que o Arranque da rede está ativado no dispositivo. Para obter orientações adicionais, veja a documentação do fabricante do dispositivo.

  3. Configure a opção de arranque de rede como a primeira prioridade de arranque.

  4. Guarde as novas definições. Reinicie o dispositivo para que as definições se apliquem e arranquem a partir de PXE.

Quando arranca o PXE no dispositivo afetado, o comportamento dependerá se escolheu o Windows PE ou o suporte de dados de recuperação do modo de segurança para o servidor PXE.

Para obter mais informações sobre estas opções, consulte os passos adicionais para utilizar o Windows PE ou as opções de recuperação do modo de segurança.

  1. Para a opção de recuperação do Windows PE, é pedido ao utilizador para iniciar o Windows PE e o script de remediação é executado automaticamente.

  2. Para a opção de recuperação do modo de segurança, o dispositivo arranca para o modo de segurança. O utilizador tem de iniciar sessão com a conta de Administrador local e executar manualmente o script.

    1. No modo de segurança e com sessão iniciada como Administrador local, abra o Windows PowerShell como administrador.

    2. Execute os seguintes comandos:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot shutdown -r -t 00

Depois de concluído, reinicie o dispositivo normalmente ao responder à linha de comandos no ecrã. Aceda ao menu BIOS\UEFI e atualize a ordem de arranque para remover o arranque PXE.

Contactar a CrowdStrike

Se, depois de seguir os passos acima, se ainda tiver problemas ao iniciar sessão no seu dispositivo, contacte o CrowdStrike para obter assistência adicional. 

Informações adicionais

Para obter mais informações sobre o problema que afeta os clientes e servidores Windows que executam o agente CrowdStrike Falcon, veja os seguintes recursos:

Referências

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. Não oferecemos nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.

Facebook LinkedIn Email

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade