KB5042429: เครื่องมือการกู้คืนใหม่เพื่อช่วยเหลือเกี่ยวกับปัญหา CrowdStrike ที่ส่งผลกระทบต่ออุปกรณ์ Windows

ข้อกําหนดเบื้องต้นสําหรับการสร้างสื่อการเริ่มต้นระบบ

1. ไคลเอ็นต์ Windows 64 บิตที่มีเนื้อที่ว่างอย่างน้อย 8 GB ซึ่งคุณสามารถเรียกใช้เครื่องมือเพื่อสร้างไดรฟ์ USB ที่สามารถบูตได้

2. สิทธิ์ระดับผู้ดูแลระบบบนไคลเอ็นต์ Windows จากข้อกําหนดเบื้องต้น #1

3. ไดรฟ์ USB ที่มีขนาดต่ําสุด 1 กิกะไบต์ และไม่เกิน 32 กิกะไบต์ เครื่องมือนี้จะลบข้อมูลที่มีอยู่ทั้งหมดบนไดรฟ์นี้และฟอร์แมตเป็น FAT32 โดยอัตโนมัติ

คําแนะนําในการสร้างสื่อการเริ่มต้นระบบ

เมื่อต้องการสร้างสื่อการกู้คืน จากไคลเอ็นต์ Windows รุ่น 64 บิตในข้อกําหนดเบื้องต้น #1 ให้ใช้ขั้นตอนต่อไปนี้:

1. ดาวน์โหลด เครื่องมือการกู้คืนของ Microsoft ที่ลงชื่อจากศูนย์ดาวน์โหลด Microsoft

2. แยกสคริปต์ PowerShell ออกจากไฟล์ที่ดาวน์โหลด

3. เปิด Windows PowerShell ในฐานะผู้ดูแลระบบและเรียกใช้สคริปต์ต่อไปนี้: MsftRecoveryToolForCS.ps1

4. เครื่องมือจะดาวน์โหลดและติดตั้ง Windows Assessment and Deployment Kit (Windows ADK) การดําเนินการนี้อาจใช้เวลาหลายนาทีเพื่อให้เสร็จสมบูรณ์

5. เลือกหนึ่งในสองตัวเลือกสําหรับการกู้คืนอุปกรณ์ที่ได้รับผลกระทบ: Windows PE หรือเซฟโหมด

6. หรือเลือกไดเรกทอรีที่มีไฟล์โปรแกรมควบคุมที่จะนําเข้าไปยังอิมเมจการกู้คืน เราขอแนะนําให้คุณเลือก N เพื่อข้ามขั้นตอนนี้ ​​​​​​​

   1. เครื่องมือจะนําเข้าไฟล์ SYS และ INI ใดๆ ซ้ําภายใต้ไดเรกทอรีที่ระบุ

   2. อุปกรณ์บางอย่าง เช่น อุปกรณ์ Surface อาจต้องใช้โปรแกรมควบคุมเพิ่มเติมสําหรับการป้อนข้อมูลจากแป้นพิมพ์

7. เลือกตัวเลือกเพื่อสร้าง ไฟล์ ISO หรือ ไดรฟ์ USB อย่างใดอย่างหนึ่ง

8. หากคุณเลือกตัวเลือก USB:

   1. เสียบไดรฟ์ USB เมื่อได้รับพร้อมท์และระบุอักษรไดรฟ์

   2. เมื่อเครื่องมือสร้างไดรฟ์ USB เสร็จแล้ว ให้ลบออกจากไคลเอ็นต์ Windows

คําแนะนําในการกู้คืนเครื่องเสมือน Hyper-V

1. บน VM ที่ได้รับผลกระทบ ให้เพิ่มไดรฟ์ดีวีดีภายใต้ การตั้งค่า Hyper-V > ตัวควบคุม SCSI
   
   

2. เรียกดูการกู้คืน ISO และเพิ่มเป็นไฟล์อิมเมจภายใต้ การตั้งค่า Hyper-V > ตัวควบคุม SCSI > ไดรฟ์ดีวีดี
   
   
   ​​​​​​​

3. จด ลําดับการเริ่มต้นระบบ ปัจจุบันเพื่อให้คุณสามารถคืนค่าได้ด้วยตนเองในภายหลัง รูปต่อไปนี้เป็นตัวอย่างของลําดับการบูต ซึ่งอาจแตกต่างจากการกําหนดค่า VM ของคุณ
   
   

4. เปลี่ยน ลําดับการเริ่มต้นระบบ เพื่อย้าย ไดรฟ์ดีวีดีเป็นรายการเริ่มต้นระบบรายการแรก
   
   

5. เริ่มต้น VM และกดแป้นใดก็ได้เพื่อเริ่มต้นระบบไปยังอิมเมจ ISO ต่อไป

6. ทําตามขั้นตอน เพิ่มเติม เพื่อใช้ ตัวเลือกการกู้คืนของ Windows PE หรือ เซฟโหมด ทั้งนี้ขึ้นอยู่กับวิธีที่คุณสร้างสื่อการกู้คืน

7. ตั้งค่าลําดับการบูตกลับเป็นการตั้งค่าเริ่มต้นระบบเดิมจากการตั้งค่า Hyper-V ของ VM

8. รีสตาร์ต VM ตามปกติ

ข้อกําหนดเบื้องต้นสําหรับการกู้คืน PXE

1. อุปกรณ์ Windows รุ่น 64 บิตที่โฮสต์อิมเมจการเริ่มต้นระบบ อุปกรณ์นี้เรียกว่า "เซิร์ฟเวอร์ PXE"

   1. เซิร์ฟเวอร์ PXE สามารถทํางานบนระบบปฏิบัติการ 64 บิตของไคลเอ็นต์ Windows ที่สนับสนุน

   2. เซิร์ฟเวอร์ PXE ควรมีการเข้าถึงอินเทอร์เน็ตเพื่อดาวน์โหลด เครื่องมือ PXE ของ Microsoft จากศูนย์ดาวน์โหลด Microsoft นอกจากนี้คุณยังสามารถคัดลอกไปยังเซิร์ฟเวอร์ PXE จากระบบอื่นบนเครือข่ายของคุณ

   3. เซิร์ฟเวอร์ PXE ควรมีกฎไฟร์วอลล์ขาเข้าที่สร้างขึ้นสําหรับพอร์ต UDP 67, 68, 69, 547 และ 4011 เครื่องมือ PXE ที่ดาวน์โหลด (MSFTPXEToolForCS.exe) จะปรับปรุงการตั้งค่า ไฟร์วอลล์ Windows บนเซิร์ฟเวอร์ PXE หากเซิร์ฟเวอร์ PXE ใช้โซลูชันไฟร์วอลล์ที่ไม่ใช่ของ Microsoft ให้สร้างกฎตามคําแนะนําของพวกเขา

      หมายเหตุ: สคริปต์นี้ไม่ล้างกฎของไฟร์วอลล์ คุณควรเอากฎของไฟร์วอลล์เหล่านี้ออกหลังจากการแก้ไขเสร็จสมบูรณ์ เมื่อต้องการลบกฎเหล่านี้ออกจาก ไฟร์วอลล์ Windows ให้เปิด Windows PowerShell ในฐานะผู้ดูแลระบบ และเรียกใช้คําสั่งต่อไปนี้ :MSFTPXEInitToolForCS.ps1 ล้างข้อมูล

   4. สิทธิ์ระดับผู้ดูแลระบบเพื่อเรียกใช้เครื่องมือ PXE

   5. เซิร์ฟเวอร์ PXE ต้องการ Microsoft Visual C++ Redistributable ดาวน์โหลดและติดตั้งเวอร์ชันล่าสุด

2. อุปกรณ์ Windows ที่ได้รับผลกระทบควรอยู่ในเครือข่ายย่อยเดียวกันกับเซิร์ฟเวอร์ PXE ซึ่งควรมีการเชื่อมต่อแบบผ่านสายแทนการใช้เครือข่าย Wi-Fi

กําหนดค่าเซิร์ฟเวอร์ PXE

1. ดาวน์โหลด เครื่องมือ Microsoft PXE จากศูนย์ดาวน์โหลด Microsoft แยกเนื้อหาของที่เก็บถาวรแบบ zip ไปยังไดเรกทอรีใดๆ มีไฟล์ที่จําเป็นทั้งหมด

2. เปิด Windows PowerShell ในฐานะผู้ดูแลระบบ เปลี่ยนเป็นไดเรกทอรีที่คุณแยกแฟ้มไว้ และเรียกใช้คําสั่งต่อไปนี้ :MSFTPXEInitToolForCS.ps1

   1. สคริปต์จะสแกนหาการติดตั้ง Windows ADK และ Windows PE Add-On บนเซิร์ฟเวอร์ PXE หากยังไม่ได้ติดตั้ง สคริปต์จะติดตั้งสคริปต์เหล่านั้น หากต้องการดําเนินการติดตั้งต่อ ให้ตรวจสอบและยอมรับเงื่อนไขการอนุญาตให้ใช้สิทธิ

   2. สคริปต์จะสร้างสคริปต์การแก้ไขและสร้างอิมเมจการเริ่มต้นระบบที่ถูกต้อง

   3. ถ้าจําเป็น ให้ยอมรับพร้อมท์และระบุเส้นทางที่มีไฟล์โปรแกรมควบคุม อาจจําเป็นต้องใช้ไฟล์โปรแกรมควบคุมสําหรับแป้นพิมพ์หรืออุปกรณ์เก็บข้อมูลขนาดใหญ่ โดยทั่วไปแล้ว คุณไม่จําเป็นต้องเพิ่มโปรแกรมควบคุม หากคุณไม่ต้องการไฟล์โปรแกรมควบคุมเพิ่มเติม ให้เลือก N

   4. คุณสามารถกําหนดค่าเซิร์ฟเวอร์ PXE เพื่อให้มีอิมเมจการแก้ไขเริ่มต้นหรือรูปเซฟโหมดได้ คุณจะเห็นพร้อมท์ต่อไปนี้:
      1 เริ่มต้นระบบไปยัง WinPE เพื่อแก้ไขปัญหา จําเป็นต้องใส่คีย์การกู้คืน BitLocker หากดิสก์ระบบมี
      การเข้ารหัสลับ BitLocker 2. เริ่มต้นระบบไปยัง WinPE กําหนดค่าเซฟโหมดและเรียกใช้คําสั่งซ่อมแซมหลังจากเข้าสู่เซฟโหมด ตัวเลือกนี้มีแนวโน้มน้อยที่จะต้องใช้คีย์การกู้คืน BitLocker ถ้าดิสก์ระบบคือ BitLocker เข้ารหัสลับ

   5. สคริปต์จะสร้างไฟล์การแจกจ่ายที่จําเป็น และแสดงพาธที่คัดลอกเครื่องมือเซิร์ฟเวอร์ PXE

3. ตรวจสอบ ข้อกําหนดเบื้องต้นสําหรับการกู้คืน PXE อีกครั้ง โดยเฉพาะ Microsoft Visual C++ Redistributable

4. จากคอนโซล PowerShell ในฐานะผู้ดูแลระบบ ให้เปลี่ยนเป็นไดเรกทอรีที่คัดลอกเครื่องมือเซิร์ฟเวอร์ PXE และเรียกใช้คําสั่งต่อไปนี้เพื่อเปิดใช้กระบวนการรอรับ: .\MSFTPXEToolForCS.exe

   1. คุณจะไม่เห็นการตอบสนองเพิ่มเติมเป็นเซิร์ฟเวอร์ PXE จัดการการเชื่อมต่อ อย่าปิดหน้าต่างนี้เนื่องจากจะเป็นการหยุดเซิร์ฟเวอร์ PXE

   2. คุณสามารถตรวจสอบความคืบหน้าของเซิร์ฟเวอร์ PXE ในไฟล์ MSFTPXEToolForCS.log ในไดเรกทอรีเดียวกัน

      หมายเหตุ: หากคุณต้องการเรียกใช้เซิร์ฟเวอร์ PXE หลายเซิร์ฟเวอร์สําหรับเครือข่ายย่อยที่แตกต่างกัน ให้คัดลอกไดเรกทอรีด้วยเครื่องมือเซิร์ฟเวอร์ PXE และเรียกใช้ขั้นตอนที่ 3 & 4 อีกครั้ง

ใช้ PXE เพื่อกู้คืนอุปกรณ์ที่ได้รับผลกระทบ

อุปกรณ์ที่ได้รับผลกระทบต้องอยู่บนเครือข่ายย่อยเดียวกันกับเซิร์ฟเวอร์ PXE หากอุปกรณ์อยู่ในเครือข่ายย่อยที่แตกต่างกัน ให้กําหนดค่าตัวช่วยเหลือ IP ในสภาพแวดล้อมเครือข่ายของคุณเพื่อเปิดใช้งานการค้นพบเซิร์ฟเวอร์ PXE

หากอุปกรณ์ที่ได้รับผลกระทบไม่ได้กําหนดค่าสําหรับการบูตแบบ PXE ให้ทําตามขั้นตอนเหล่านี้:

1. บนอุปกรณ์ที่ได้รับผลกระทบ ให้เข้าถึงเมนู BIOS\UEFI

   1. การดําเนินการนี้จะแตกต่างกันไปตามรุ่นและผู้ผลิตที่แตกต่างกัน โปรดดูเอกสารที่ได้รับจากผู้ผลิตอุปกรณ์ดั้งเดิมสําหรับผู้ผลิตและรุ่นของอุปกรณ์เฉพาะ

   2. ตัวเลือกทั่วไปสําหรับการเข้าถึง BIOS\UEFI เกี่ยวข้องกับการกดแป้น เช่น F2, F12, DEL หรือ ESC ระหว่างลําดับการเริ่มต้นระบบ

2. ตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน การเริ่มต้นระบบเครือข่าย บนอุปกรณ์ สําหรับคําแนะนําเพิ่มเติม โปรดดูคู่มือจากผู้ผลิตอุปกรณ์

3. กําหนดค่าตัวเลือกการบูตเครือข่ายเป็นลําดับความสําคัญแรกในการบูต

4. บันทึกการตั้งค่าใหม่ รีสตาร์ตอุปกรณ์สําหรับการตั้งค่าเพื่อนําไปใช้และเริ่มต้นระบบจาก PXE

เมื่อคุณบูต PXE อุปกรณ์ที่ได้รับผลกระทบ ลักษณะการทํางานจะขึ้นอยู่กับว่าคุณเลือก Windows PE หรือสื่อการกู้คืนเซฟโหมดสําหรับเซิร์ฟเวอร์ PXE

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกเหล่านี้ ให้ดู ขั้นตอนเพิ่มเติม ในการใช้ตัวเลือกการกู้คืนของ Windows PE หรือเซฟโหมด

1. สําหรับตัวเลือกการกู้คืน Windows PE ผู้ใช้จะได้รับพร้อมท์ให้เริ่มต้นระบบไปยัง Windows PE และสคริปต์การแก้ไขจะทํางานโดยอัตโนมัติ

2. สําหรับตัวเลือกการกู้คืนเซฟโหมด อุปกรณ์จะเริ่มต้นระบบไปยังเซฟโหมด ผู้ใช้จําเป็นต้องลงชื่อเข้าใช้ด้วยบัญชีผู้ดูแลระบบภายในและเรียกใช้สคริปต์ด้วยตนเอง

   1. ในเซฟโหมดและลงชื่อเข้าใช้เป็นผู้ดูแลระบบภายใน ให้เปิด Windows PowerShell ในฐานะผู้ดูแลระบบ

   2. เรียกใช้คําสั่งต่อไปนี้:
      del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys
      bcdedit /deletevalue {current} safeboot
      shutdown -r -t 00

เมื่อเสร็จสมบูรณ์ ให้รีสตาร์ตอุปกรณ์ตามปกติโดยการตอบสนองต่อพร้อมท์บนหน้าจอ เข้าถึงเมนู BIOS\UEFI และอัปเดตลําดับการบูตเพื่อลบการบูตแบบ PXE