Rezime 

Kao praćenje problema sa CrowdStrike Falcon agentom koji utiče na Windows klijente i servere, objavili smo ažuriranu alatku za oporavak sa dve opcije popravke koje pomažu IT administratorima da ubrzaju proces popravke. Alatka automatizuje ručne korake u programima KB5042421 (klijent)i KB5042426 (server). Preuzmite potpisanu Microsoft alatku za oporavak sa lokacije Microsoft Download Center. Alatku možete da koristite da biste oporavili Windows klijente, servere i Hyper-V virtuelne mašine (VM).

Postoje dve opcije popravke:

  • Oporavak iz usluge Windows PE: ova opcija koristi medijum za pokretanje koji automatizuje popravku uređaja.

  • Oporavak iz bezbednog režima: ova opcija koristi medijum za pokretanje za pogođene uređaje za pokretanje u bezbedni režim. Administrator zatim može da se prijavi pomoću naloga sa lokalnim administrativnim privilegijama i da pokrene korake za ponovno vraćanje.

Određivanje opcije koju treba koristiti

Ova opcija za brz oporavak od Windows PE i direktno oporavlja sisteme i ne zahteva lokalne administratorske privilegije. Ako uređaj koristi BitLocker, možda ćete morati ručno da unesete BitLocker ključ za oporavak da biste mogli da popravite sistem na koji to utiče.

Ako koristite rešenje za šifrovanje diska koje nije Microsoft, pogledajte uputstva tog prodavca. Oni bi trebalo da obezbede opcije za oporavak disk jedinice kako biste mogli da pokrenete skriptu za oporavak iz usluge Windows PE.

Dodatna razmatranja

Iako je usB opcija željena, neki uređaji možda ne podržavaju USB veze. Za ove situacije pogledajte odeljak o tome kako da koristite okruženje izvršavanja preboot (PXE) za oporavak.

Ako uređaj ne može da se poveže sa PXE mrežom, a USB nije opcija, isprobajte ručne korake u sledećim člancima:

U suprotnom, ponovno uspostavljanje uređaja može da bude rešenje.

Pomoću bilo koje opcije za oporavak, prvo ga testirajte na više uređaja pre nego što je koristite široko u okruženju.

Kreiraj medijum za pokretanje

Preduslovi za kreiranje medija za pokretanje

  1. Windows 64-bitni klijent sa najmanje 8 GB slobodnog prostora na kojem možete da pokrenete alatku da biste kreirali USB disk koji se može pokrenuti.

  2. Administrativne privilegije na Windows klijentu iz preduslova #1.

  3. USB disk sa minimalnom veličinom od 1 GB i ne većim od 32 GB. Alatka briše sve postojeće podatke na ovoj disk jedinici i automatski ih oblikuje u FAT32.

Uputstva za kreiranje medijuma za pokretanje

Da biste kreirali medijum za oporavak, iz 64-bitnog Windows klijenta u preduslovu #1, koristite sledeće korake:

  1. Preuzmite potpisanu Microsoft alatku za oporavak sa lokacije Microsoft Download Center.

  2. Izdvojite PowerShell skriptu iz preuzete datoteke.

  3. Otvorite Windows PowerShell kao administrator i pokrenite sledeću skriptu: MsftRecoveryToolForCS.ps1

  4. Alatka preuzima i instalira Windows assessment and Deployment Kit (Windows ADK). Dovršavanje ovog procesa može da potraje nekoliko minuta.

  5. Odaberite jednu od dve opcije za oporavak pogođenih uređaja: Windows PE ili bezbedni režim.

  6. Opcionalno izaberite direktorijum koji sadrži datoteke upravljačkog programa za uvoz u sliku za oporavak. Preporučujemo da izaberete N da biste preskočili ovaj korak. ​​​​​​​

    1. Alatka rekurzivno uvozi sve SYS i INI datoteke u navedenom direktorijumu.

    2. Određenim uređajima, kao što su Surface uređaji, možda su potrebni dodatni upravljački programi za unos pomoću tastature.

  7. Izaberite opciju da biste generisali ISO datotekuili USB disk.

  8. Ako odaberete opciju USB:

    1. Umetnite USB disk kada se to od vas zatraži i obezbedite oznaku disk jedinice.

    2. Kada alatka dovrši kreiranje USB diska, uklonite ga iz Windows klijenta.

Uputstva za korišćenje opcije oporavka

Ako ste kreirali medije u prethodnim koracima za Windows PE, koristite ova uputstva na uređajima na koje ovo utiče.

Preduslovi za korišćenje medija za pokretanje za oporavak usluge Windows PE

  • Možda će vam biti potreban BitLocker ključ za oporavak za svaki uređaj na kom je omogućen BitLocker i na koji to utiče.

    • Ako uređaj na koji ovo utiče koristi TPM+PIN zaštitne uređaje, a ne znate PIN za uređaj, možda će vam biti potreban ključ za oporavak.

Uputstva za korišćenje medija za pokretanje za oporavak usluge Windows PE

  1. Umetnite USB ključ na ugroženi uređaj.

  2. Ponovo pokrenite uređaj.

  3. Tokom ponovnog pokretanja pritisnite taster F12 da biste pristupili meniju za pokretanje BIOS-a.

    Napomena: Neki uređaji mogu da koriste drugu kombinaciju tastera za pristup meniju za pokretanje BIOS-a. Pratite uputstva specifična za proizvođača za uređaj.

  4. U meniju BIOS pokretanja odaberite stavku Pokretanje iz USB-a i nastavite. Alatka se pokreće.

  5. Ako je BitLocker omogućen, korisnik će biti upitan za BitLocker ključ za oporavak. Kada unesete BitLocker ključ za oporavak, uključite crte (-). Više informacija o opcijama ključa za oporavak potražite u članku Gde da potražite BitLocker ključ za oporavak.

    Napomena: Za rešenja za šifrovanje uređaja koja nisu Microsoft uređaji, pratite sve korake koje je dobavljač obezbedio da biste dobili pristup disk jedinici.

    1. Ako BitLocker nije omogućen na uređaju, možda će od vas i dalje biti zatraženo da pronađete BitLocker ključ za oporavak. Pritisnite taster Enter da biste preskočili i nastavili.

  6. Alatka pokreće korake za remedijaciju kao što preporučuje CrowdStrike.

  7. Kada završite, uklonite USB disk i ponovo pokrenite uređaj normalno.

Korišćenje medijuma za oporavak na Hyper-V virtuelnim mašinama

Možete da koristite medijum za oporavak da biste oporavili pogođene Hyper-V virtuelne mašine (VM). Kada kreirate medijum za pokretanje, izaberite opciju za generisanje ISO datoteke.

Napomena: Za virtuelne mašine koje nisu hiperveze, pratite uputstva koja ste dobili od prodavca hipervizora da biste koristili medijum za oporavak.

Uputstva za oporavak Hyper-V virtuelnih mašina

  1. Na virtuelnoj mašini na koju ovo utiče dodajte DVD jedinicu u okviru Hyper-V postavke > SCSI upravljač.Snimak ekrana postavki Hyper-V virtuelne mašine (VM), sa istaknutim odeljkom SCSI kontroler i opcijom za dodavanje DVD disk jedinice.

  2. Potražite ISO za oporavak i dodajte ga kao datoteku slike u okviru stavke Hyper-V postavke > SCSI upravljač > DVD disk jedinicu.Snimak ekrana postavki Hyper-V virtuelne mašine (VM) sa istaknutim odeljkom DVD disk jedinice koji prikazuje opciju za izbor datoteke slike. ​​​​​​​

  3. Obratite paznje na trenutni redosled pokretanja da biste kasnije mogli ručno da ga vratite u prethodno stanje. Sledeća slika je primer redosleda pokretanja koji se možda razlikuje od konfiguracije virtuelne mašine.Snimak ekrana postavki Hyper-V virtuelne mašine (VM) sa istaknutim odeljkom Firmver koji prikazuje originalni redosled pokretanja.

  4. Promenite redosled pokretanja da biste premestili DVD jedinicu nagore kao prvu stavku za pokretanje.Snimak ekrana postavki Hyper-V virtuelne mašine (VM) sa istaknutim odeljkom Firmver koji prikazuje stavku DVD disk jedinice na vrhu redosleda pokretanja.

  5. Pokrenite virtuelnu mašinu i pritisnite bilo koji taster da biste nastavili sa pokretanjem na ISO sliku.

  6. U zavisnosti od toga kako ste kreirali medijum za oporavak, pratite dodatne korake da biste koristili opcije oporavka Windows PE ili bezbednog režima.

  7. Vratite redosled pokretanja na prvobitne postavke pokretanja iz postavki Hyper-V virtuelne mašine.

  8. Normalno ponovo pokrenite virtuelnu mašinu.

Korišćenje PXE-a za oporavak

Za većinu klijenata, druge opcije za oporavak će vam pomoći da vratite uređaje u prethodno stanje. Međutim, ako uređaji ne mogu da koriste opciju oporavka od USB-a, na primer zbog bezbednosnih smernica ili dostupnosti porta, IT administratori mogu da koriste PXE za ponovno uspostavljanje.

Da biste koristili ovo rešenje, možete da koristite sliku Windows Imaging Format (WIM) koju Microsoft alatka za oporavak kreira u postojećem PXE okruženju. Uređaji na koje ovo utiče treba da budu na istoj mrežnoj podmreži kao i postojeći PXE server.

Druga mogućnost je da koristite pristup PXE servera naveden u nastavku. Ova opcija najbolje funkcioniše kada možete lako da premestite PXE server iz podmreže u podmrežnu radi remećenja.

Preduslovi za PXE oporavak

  1. 64-bitni Windows uređaj koji hostuje sliku za pokretanje. Ovaj uređaj se naziva "PXE server".

    1. PXE server može da se pokrene na bilo kom podržanom 64-bitnom operativnom sistemu Windows klijenta.

    2. PXE server bi trebalo da ima pristup internetu za preuzimanje alatke Microsoft PXE sa lokacije Microsoft Download Center. Možete i da ga kopirate na PXE server iz drugog sistema na mreži.

    3. PXE server treba da ima dolazna pravila zaštitnog zida kreirana za UDP portove 67, 68, 69, 547 i 4011. Preuzeta PXE alatka (MSFTPXEToolForCS.exe) ažurira postavke Windows zaštitnog zida na PXE serveru. Ako PXE server koristi rešenje koje ne koristi Microsoft zaštitni zid, kreirajte pravila prateći njihove preporuke.

      Napomena: Ova skripta ne čisti pravila zaštitnog zida. Ova pravila zaštitnog zida bi trebalo da uklonite kada se uklanjanje dovrši. Da biste ova pravila uklonili iz Windows zaštitnog zida, otvorite Windows PowerShell kao administrator i pokrenite sledeću komandu: MSFTPXEInitToolForCS.ps1 čisto

    4. Administrativne privilegije za pokretanje PXE alatke.

    5. PXE server zahteva Microsoft Visual C++ Redistributable. Preuzmite i instalirajte najnoviju verziju.

  2. Ugroženi Windows uređaji bi trebalo da budu na istoj podmreži kao IPXE server. Trebalo bi da budu žice povezane, a ne da koriste Wi-Fi mrežu.

Konfigurisanje PXE servera

  1. Preuzmite alatku Microsoft PXE sa lokacije Microsoft Download Center. Izdvojite sadržaj zip arhive u bilo koji direktorijum. Ona sadrži sve neophodne datoteke.

  2. Otvorite Windows PowerShell kao administrator. Promenite u direktorijum u kojem ste izdvojeni datoteke i pokrenite sledeću komandu: MSFTPXEInitToolForCS.ps1

    1. Skripta skenira windows ADK i Windows PE Add-On na PXE serveru. Ako nisu instalirane, skripta ih instalira. Da biste nastavili sa instalacijom, pregledajte i prihvatite uslove licenciranja.

    2. Skripta generiše skripte za oporavak i kreira važeću sliku za pokretanje.

    3. Ako je to neophodno, prihvatite odziv i obezbedite putanju koja sadrži datoteke upravljačkog programa. Datoteke upravljačkog programa mogu biti potrebne za uređaje za tastaturu ili masovno skladištenje. Obično nećete morati da dodajete upravljačke programe. Ako vam nisu potrebne dodatne datoteke upravljačkog programa, izaberite N.

    4. PXE server možete da konfigurišete tako da isporuči podrazumevanu sliku za oporavak ili sliku bezbednog režima. Videćete sledeće odzive:1. Pokretanje u WinPE da biste ponovo rešili problem. On zahteva unos BitLocker ključa za oporavak ako je sistemski disk BitLocker šifrovan. 2. Kada uđete u bezbedni režim, pokrenite komandu "Popravi" u operativnom sistemu WinPE i pokrenite komandu "Popravi". Manja je verovatnoća da će ova opcija zahtevati BitLocker ključ za oporavak ako je sistemski disk BitLocker šifrovan.

    5. Skripta generiše potrebne datoteke distribucije i obezbeđuje putanju na koju kopira alatku PXE servera.

  3. Još jednom proverite preduslove za PXE oporavak, posebno za Microsoft Visual C++ ponovnu distribuciju.

  4. Sa PowerShell konzole kao administrator, pređite u direktorijum u koji se kopira alatka za PXE server i pokrenite sledeću komandu da biste pokrenuli proces slušaoca: .\MSFTPXEToolForCS.exe

    1. Nećete videti dodatne odgovore jer PXE server rukuje vezama. Nemojte zatvarati ovaj prozor zato što će to zaustaviti PXE server.

    2. Možete da nadgledate napredak PXE servera u MSFTPXEToolForCS.log u istom direktorijumu.

      Napomena: Ako želite da pokrenete više PXE servera za različite podmreže, kopirajte direktorijum pomoću alatke PXE servera i ponovo pokrenite korake 3 & 4.

Dodatne informacije o PXE

Koristite PXE za oporavak ugroženog uređaja

Uređaj na koji ovo utiče mora biti na istoj podmreži kao IPXE server. Ako se uređaji nalaze u različitim podmrežama, konfigurišite IP pomoćnike u mrežnom okruženju da biste omogućili otkrivanje PXE servera.

Ako uređaj na koji ovo utiče nije konfigurisan za PXE pokretanje, pratite ove korake:

  1. Na uređaju na koji ovo utiče pristupite meniju BIOS\UEFI .

    1. Ova radnja se razlikuje u različitim modelima i proizvođačima. Pogledajte dokumentaciju koju je obezbedio originalni proizvođač opreme za određeno pravljenje i model uređaja.

    2. Uobičajene opcije za pristup funkciji BIOS\UEFI uključuju pritiskanje tastera kao što je F2, F12, DEL ili ESC tokom sekvence pokretanja.

  2. Uverite se da je na uređaju omogućeno pokretanje mreže. Dodatna uputstva potražite u dokumentaciji proizvođača uređaja.

  3. Konfigurišite opciju pokretanja mreže kao prvi prioritet pokretanja.

  4. Sačuvajte nove postavke. Ponovo pokrenite uređaj da bi se postavke primenile i pokrenule sa PXE računara.

Kada pokrenete PXE uređaj, ponašanje će zavisiti od toga da li ste odabrali Windows PE ili bezbedni medijum za oporavak režima za PXE server.

Dodatne informacije o ovim opcijama potražite u dodatnim koracima za korišćenje Windows PE ili opcija za oporavak bezbednog režima.

  1. Za opciju oporavka Windows PE, od korisnika će biti zatraženo da se pokrene u Windows PE i skripta za oporavak se automatski pokreće.

  2. Za opciju oporavka bezbednog režima uređaj se podiže u bezbedni režim. Korisnik mora da se prijavi pomoću lokalnog administratorskog naloga i ručno pokrene skriptu.

    1. U bezbednom režimu i prijavljeni kao lokalni administrator otvorite Windows PowerShell kao administrator.

    2. Pokrenite sledeće komande:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot shutdown -r -t 00

Kada se završi, ponovo pokrenite uređaj normalno tako što ćete odgovoriti na odziv na ekranu. Pristupite meniju BIOS\UEFI i ažurirajte redosled pokretanja da biste uklonili PXE pokretanje.

Kontakt pretrpavanje gužve

Ako nakon praćenja gorenavedenih koraka, ako i dalje imate problema sa prijavljivanjem na uređaj, obratite se preduzeću CrowdStrike za dodatnu pomoć. 

Dodatne informacije

Dodatne informacije o problemu koji utiče na Windows klijente i servere koji koriste agent "CrowdStrike Falcon" potražite u sledećim resursima:

Reference

Proizvodi nezavisnih proizvođača o kojima se govori u ovom članku proizvode kompanije koje su nezavisne od korporacije Microsoft. Ne pružamo nikakvu garanciju, podrazumevanu ni bilo koju drugi, u vezi sa performansama ili pouzdanošću ovih proizvoda.

Pružamo kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.

Facebook LinkedIn E-pošta

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost