Rezumat 

Ca urmare a problemei agentului CrowdStrike Falcon care afectează clienții și serverele Windows, am lansat un instrument de recuperare actualizat cu două opțiuni de reparare pentru a-i ajuta pe administratorii IT să accelereze procesul de reparare. Instrumentul automatizează pașii manuali din KB5042421 (client) și KB5042426 (server). Descărcați Instrumentul de recuperare Microsoft semnat de la Centrul de descărcare Microsoft. Puteți utiliza instrumentul pentru a recupera clienții, serverele și mașinile virtuale Hyper-V Windows (VM).

Există două opțiuni de reparare:

  • Recuperare de la Windows PE: această opțiune utilizează suportul fizic de boot care automatizează repararea dispozitivului.

  • Recuperare din modul de siguranță: această opțiune utilizează suportul de boot pentru dispozitivele afectate pentru a boota în modul de siguranță. Un administrator se poate conecta apoi utilizând un cont cu privilegii administrative locale și poate rula pașii de remediere.

Determinați ce opțiune să utilizați

Această opțiune de recuperare din Windows PE recuperează rapid și direct sistemele și nu necesită privilegii administrative locale. Dacă dispozitivul utilizează BitLocker, poate fi necesar să introduceți manual cheia de recuperare BitLocker înainte de a putea repara un sistem afectat.

Dacă utilizați o soluție de criptare a discului non-Microsoft, consultați instrucțiunile de la acel furnizor. Acestea ar trebui să ofere opțiuni pentru recuperarea unității, astfel încât să puteți rula scriptul de remediere din Windows PE.

Considerații suplimentare

Deși opțiunea USB este preferată, unele dispozitive pot să nu accepte conexiuni USB. Pentru aceste situații, consultați secțiunea despre cum se utilizează mediul de execuție preboot (PXE) pentru recuperare.

Dacă dispozitivul nu se poate conecta la o rețea PXE și USB nu este o opțiune, încercați pașii manuali din următoarele articole:

În caz contrar, reimaging dispozitivul ar putea fi o soluție.

Cu orice opțiune de recuperare, testați-o mai întâi pe mai multe dispozitive înainte de a o utiliza pe scară largă în mediul dvs.

Crearea suportului fizic de boot

Cerințe preliminare pentru a crea suportul de boot

  1. Un client Windows pe 64 de biți cu cel puțin 8 GB de spațiu liber pe care puteți rula instrumentul pentru a crea unitatea USB bootabilă.

  2. Privilegii administrative pentru clientul Windows de la cerința preliminară nr. 1.

  3. O unitate USB cu o dimensiune minimă de 1 GB și nu mai mare de 32 GB. Instrumentul șterge toate datele existente de pe această unitate și le formatează automat în FAT32.

Instrucțiuni pentru a crea suportul de boot

Pentru a crea suportul de recuperare, din clientul Windows pe 64 de biți din cerința preliminară nr. 1, urmați acești pași:

  1. Descărcați Instrumentul de recuperare Microsoft semnat de la Centrul de descărcare Microsoft.

  2. Extrageți scriptul PowerShell din fișierul descărcat.

  3. Deschideți Windows PowerShell ca administrator și rulați următorul script: MsftRecoveryToolForCS.ps1

  4. Instrumentul descarcă și instalează Windows Assessment and Deployment Kit (Windows ADK). Finalizarea acestui proces poate dura câteva minute.

  5. Alegeți una dintre cele două opțiuni pentru recuperarea dispozitivelor afectate: Windows PE sau modul de siguranță.

  6. Opțional, selectați un director care conține fișierele de driver de importat în imaginea de recuperare. Vă recomandăm să selectați N pentru a omite acest pas. ​​​​​​​

    1. Instrumentul importă recursiv toate fișierele SYS și INI sub directorul specificat.

    2. Anumite dispozitive, cum ar fi dispozitivele Surface, pot avea nevoie de drivere suplimentare pentru intrările de la tastatură.

  7. Selectați opțiunea de a genera un fișier ISO sau o unitate USB.

  8. Dacă alegeți opțiunea USB:

    1. Introduceți unitatea USB atunci când vi se solicită și furnizați litera unității.

    2. După ce instrumentul se termină de creat unitatea USB, eliminați-o din clientul Windows.

Instrucțiuni pentru a utiliza opțiunea de recuperare

Dacă ați creat conținut media în pașii anteriori pentru Windows PE, utilizați aceste instrucțiuni pe dispozitivele afectate.

Cerințe preliminare pentru utilizarea suportului fizic de boot pentru recuperarea Windows PE

  • Este posibil să aveți nevoie de cheia de recuperare BitLocker pentru fiecare dispozitiv cu BitLocker activat și afectat.

    • Dacă dispozitivul afectat utilizează protectori TPM+PIN și nu știți codul PIN pentru dispozitiv, este posibil să aveți nevoie de cheia de recuperare.

Instrucțiuni pentru utilizarea suportului fizic de boot pentru recuperarea Windows PE

  1. Introduceți cheia USB într-un dispozitiv afectat.

  2. Reporniți dispozitivul.

  3. În timpul repornirii, apăsați F12 pentru a accesa meniul de boot BIOS.

    Notă: Unele dispozitive pot utiliza o altă combinație de taste pentru a accesa meniul de bootARE BIOS. Urmați instrucțiunile specifice producătorului pentru dispozitiv.

  4. Din meniul de boot BIOS , alegeți Bootare de pe USB și continuați. Instrumentul rulează.

  5. Dacă este activat BitLocker, utilizatorului i se va solicita cheia de recuperare BitLocker. Includeți cratimele (-) atunci când introduceți cheia de recuperare BitLocker. Pentru mai multe informații despre opțiunile cheii de recuperare, consultați Unde să căutați cheia de recuperare BitLocker.

    Notă: Pentru soluțiile de criptare a dispozitivelor non-Microsoft, urmați toți pașii furnizați de furnizor pentru a obține acces la unitate.

    1. Dacă BitLocker nu este activat pe dispozitiv, este posibil să vi se solicite în continuare cheia de recuperare BitLocker. Apăsați pe Enter pentru a omite și a continua.

  6. Instrumentul rulează pașii de remediere recomandați de CrowdStrike.

  7. După ce terminați, eliminați unitatea USB și reporniți dispozitivul în mod normal.

Utilizarea suportului de recuperare pe mașini virtuale Hyper-V

Puteți utiliza suportul de recuperare pentru a remedia mașinile virtuale Hyper-V afectate (VM). Atunci când creați suportul de boot, selectați opțiunea de a genera un fișier ISO.

Notă: Pentru mașinile virtuale non-Hyper-V, urmați instrucțiunile furnizate de furnizorul hipervizorului pentru a utiliza suportul de recuperare.

Instrucțiuni pentru recuperarea mașinilor virtuale Hyper-V

  1. Pe o mașină virtuală afectată, adăugați o unitate DVD sub Setări Hyper-V > Controler SCSI.Captură de ecran a setărilor unei mașini virtuale Hyper-V (VM), cu secțiunea Controler SCSI evidențiată și opțiunea Adăugați o unitate DVD.

  2. Navigați la ISO-ul de recuperare și adăugați-l ca fișier imagine sub Setări Hyper-V > Controler SCSI > unitate DVD.Captură de ecran a setărilor unei mașini virtuale Hyper-V (VM), cu secțiunea Unitate DVD evidențiată, afișând opțiunea de a selecta un fișier imagine. ​​​​​​​

  3. Rețineți ordinea curentă de bootare , astfel încât să o puteți restaura manual mai târziu. Următoarea imagine este un exemplu de comandă de bootare, care poate fi diferită de configurația mașinii virtuale.Captură de ecran a setărilor unei mașini virtuale Hyper-V (VM), cu secțiunea Firmware evidențiată, afișând ordinea de bootare inițială.

  4. Modificați ordinea de bootare pentru a vă deplasa în sus pe unitatea DVD ca prima intrare de bootare.Captură de ecran a setărilor unei mașini virtuale Hyper-V (VM), cu secțiunea Firmware evidențiată, afișând intrarea Unitate DVD în partea de sus a ordinii de bootare.

  5. Porniți VM și apăsați orice tastă pentru a continua bootarea la imaginea ISO.

  6. În funcție de modul în care ați creat suportul de recuperare, urmați pașii suplimentari pentru a utiliza opțiunile de recuperare Windows PE sau modul de siguranță .

  7. Setați ordinea de boot înapoi la setările originale de boot din setările Hyper-V ale VM.

  8. Reporniți VM în mod normal.

Utilizați PXE pentru recuperare

Pentru majoritatea clienților, celelalte opțiuni de recuperare vă vor ajuta să vă restaurați dispozitivele. Totuși, dacă dispozitivele nu pot utiliza opțiunea de recuperare de pe USB, de exemplu, din cauza politicilor de securitate sau a disponibilității porturilor, administratorii IT pot utiliza PXE pentru remediere.

Pentru a utiliza această soluție, puteți utiliza imaginea Windows Imaging Format (WIM) creată de instrumentul de recuperare Microsoft într-un mediu PXE existent. Dispozitivele afectate trebuie să fie pe aceeași subrețea de rețea ca serverul PXE existent.

Alternativ, puteți utiliza abordarea server PXE prezentată mai jos. Această opțiune funcționează cel mai bine atunci când puteți muta cu ușurință serverul PXE din subrețea în subrețea pentru remediere.

Cerințe preliminare pentru recuperarea PXE

  1. Un dispozitiv Windows pe 64 de biți care găzduiește imaginea de boot. Acest dispozitiv este denumit "server PXE".

    1. Serverul PXE poate rula pe orice sistem de operare Windows pe 64 de biți acceptat.

    2. Serverul PXE ar trebui să aibă acces la internet pentru a descărca instrumentul Microsoft PXE de la Centrul de descărcare Microsoft. De asemenea, o puteți copia pe serverul PXE din alt sistem din rețea.

    3. Serverul PXE ar trebui să aibă reguli de firewall de intrare create pentru porturile UDP 67, 68, 69, 547 și 4011. Instrumentul PXE descărcat (MSFTPXEToolForCS.exe) actualizează setările Paravanului de protecție Windows pe serverul PXE. Dacă serverul PXE utilizează o soluție firewall care nu este Microsoft, creați reguli care urmează recomandările acestora.

      Notă: Acest script nu curăță regulile paravanului de protecție. Trebuie să eliminați aceste reguli de firewall după ce se termină remedierea. Pentru a elimina aceste reguli din Paravanul de protecție Windows, deschideți Windows PowerShell ca administrator și rulați următoarea comandă: MSFTPXEInitToolForCS.ps1 curățare

    4. Privilegii administrative pentru a rula instrumentul PXE.

    5. Serverul PXE necesită Microsoft Visual C++ Redistributable. Descărcați și instalați cea mai recentă versiune.

  2. Dispozitivele Windows afectate ar trebui să fie pe aceeași subrețea ca serverul PXE. Acestea ar trebui să fie cu fir în loc să utilizeze o rețea Wi-Fi.

Configurare server PXE

  1. Descărcați instrumentul Microsoft PXE de la Centrul de descărcare Microsoft. Extrageți conținutul arhivei zip în orice director. Conține toate fișierele necesare.

  2. Deschideți Windows PowerShell ca administrator. Treceți la directorul în care ați extras fișierele și rulați următoarea comandă: MSFTPXEInitToolForCS.ps1

    1. Scriptul scanează după instalarea windows ADK și Windows PE Add-On pe serverul PXE. Dacă nu sunt instalate, scriptul le instalează. Pentru a continua instalarea, revizuiți și acceptați termenii licenței.

    2. Scriptul generează scripturile de remediere și creează o imagine de boot validă.

    3. Dacă este necesar, acceptați solicitarea și furnizați o cale care conține fișierele de driver. Fișierele de driver pot fi necesare pentru tastatura sau dispozitivele de stocare în masă. În general, nu va trebui să adăugați drivere. Dacă nu aveți nevoie de fișiere de driver suplimentare, selectați N.

    4. Puteți configura serverul PXE pentru a livra o imagine de remediere implicită sau o imagine a modului de siguranță. Veți vedea următoarele solicitări:1. Bootați în WinPE pentru a remedia problema. Necesită introducerea cheii de recuperare BitLocker dacă discul sistemului este criptat cu BitLocker. 2. Bootați în WinPE configurați modul de siguranță și rulați comanda de reparare după ce intrați în modul de siguranță. Această opțiune are mai puține șanse să solicite cheia de recuperare BitLocker dacă discul de sistem este criptat cu BitLocker.

    5. Scriptul generează fișierele de distribuire necesare și furnizează calea în care copiază instrumentul server PXE.

  3. Verificați de două ori cerințele preliminare pentru recuperarea PXE, în special Microsoft Visual C++ Redistributable.

  4. Din consola PowerShell ca administrator, treceți la directorul unde este copiat instrumentul server PXE și rulați următoarea comandă pentru a lansa procesul de ascultare: .\MSFTPXEToolForCS.exe

    1. Nu veți vedea răspunsuri suplimentare în timp ce serverul PXE gestionează conexiunile. Nu închideți această fereastră, deoarece acest lucru va opri serverul PXE.

    2. Puteți monitoriza progresul serverului PXE în fișierul MSFTPXEToolForCS.log din același director.

      Notă: Dacă doriți să rulați mai multe servere PXE pentru subrețele diferite, copiați directorul cu instrumentul server PXE și rulați din nou pașii 3 & 4.

Informații suplimentare despre PXE

Utilizați PXE pentru a recupera un dispozitiv afectat

Dispozitivul afectat trebuie să fie pe aceeași subrețea ca serverul PXE. Dacă dispozitivele se află în subrețele diferite, configurați instrumente de asistență IP în mediul de rețea pentru a permite descoperirea serverului PXE.

Dacă dispozitivul afectat nu este configurat pentru bootarea PXE, urmați acești pași:

  1. Pe dispozitivul afectat, accesați meniul BIOS\UEFI .

    1. Această acțiune este diferită în funcție de modelele și producătorii diferiți. Consultați documentația furnizată de producătorul echipamentului original pentru producătorul și modelul specific al dispozitivului.

    2. Opțiunile comune pentru accesarea BIOS\UEFI implică apăsarea unei taste, cum ar fi F2, F12, DEL sau ESC în timpul secvenței de pornire.

  2. Asigurați-vă că este activată bootarea rețelei pe dispozitiv. Pentru instrucțiuni suplimentare, consultați documentația de la producătorul dispozitivului.

  3. Configurați opțiunea de boot de rețea ca prioritate de bootare.

  4. Salvați setările noi. Reporniți dispozitivul pentru ca setările să se aplice și să booteze de la PXE.

Atunci când porniți PXE dispozitivul afectat, comportamentul va depinde de modul în care ați ales Windows PE sau suportul de recuperare în modul de siguranță pentru serverul PXE.

Pentru mai multe informații despre aceste opțiuni, consultați pașii suplimentari pentru a utiliza opțiunile de recuperare Windows PE sau modul de siguranță.

  1. Pentru opțiunea de recuperare Windows PE, utilizatorului i se solicită să booteze în Windows PE, iar scriptul de remediere rulează automat.

  2. Pentru opțiunea de recuperare a modului de siguranță, dispozitivul se încarcă în modul de siguranță. Utilizatorul trebuie să se conecteze cu contul local de administrator și să ruleze manual scriptul.

    1. În modul de siguranță și conectați ca administrator local, deschideți Windows PowerShell ca administrator.

    2. Rulați următoarele comenzi:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot închidere -r -t 00

După ce terminați, reporniți dispozitivul în mod normal, răspunzând la solicitarea de pe ecran. Accesați meniul BIOS\UEFI și actualizați ordinea de bootare pentru a elimina bootarea PXE.

Contactare grup de persoane de contact

Dacă după ce ați urmat pașii de mai sus, dacă întâmpinați în continuare probleme la conectarea la dispozitiv, contactați CrowdStrike pentru asistență suplimentară. 

Informații suplimentare

Pentru mai multe informații despre problema care afectează clienții și serverele Windows care rulează agentul CrowdStrike Falcon, consultați următoarele resurse:

Referințe

Produsele de la terți prezentate în acest articol sunt create de companii independente de Microsoft. Nu oferim nicio garanție, implicită sau de altă natură, despre performanța sau fiabilitatea acestor produse.

Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.

Facebook LinkedIn E-mail

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate