Зведення 

Після вирішення проблеми агента CrowdStrike Falcon, що впливає на клієнти та сервери Windows, ми випустили оновлений засіб відновлення з двома варіантами ремонту, щоб допомогти ІТ-адміністраторам прискорити процес ремонту. Цей засіб автоматизує ручні кроки в KB5042421 (клієнті) і KB5042426 (сервері)." Завантажте підписаний засіб Відновлення Microsoft із Центру завантажень Microsoft. За допомогою цього засобу можна відновити клієнти Windows, сервери та віртуальні машини Hyper-V (ВМ).

Є два варіанти ремонту:

  • Відновлення за допомогою Компонента Windows PE. Цей параметр використовує завантажувальний носій, який автоматизує відновлення пристрою.

  • Відновлення з безпечного режиму. Цей параметр використовує завантажувальний носій для пристроїв, на які впливає проблема, для завантаження в безпечний режим. Після цього адміністратор може ввійти за допомогою облікового запису з локальними правами адміністратора та виконати кроки з виправлення неполадок.

Визначення параметра для використання

Цей параметр дає змогу швидко й безпосередньо відновлювати систему за допомогою Windows PE, і для цього не потрібні локальні права адміністратора. Якщо пристрій використовує BitLocker, можливо, знадобиться вручну ввести ключ відновлення BitLocker, перш ніж ви зможете відновити систему, на що впливає проблема.

Якщо використовується рішення для шифрування диска не від корпорації Майкрософт, див. рекомендації від цього постачальника. Вони мають надати параметри для відновлення диска, щоб ви могли запустити сценарій виправлення з Windows PE.

Додаткові зауваження

Хоча краще використовувати USB-носій, деякі пристрої можуть не підтримувати USB-підключення. У таких випадках див. розділ про те, як використовувати середовище попереднього виконання (PXE) для відновлення.

Якщо пристрій не вдалося підключитися до мережі PXE, а USB не підтримується, спробуйте виконати дії вручну в наведених нижче статтях.

В іншому разі відновлення пристрою може бути рішенням.

Якщо використовується будь-який варіант відновлення, спочатку перевірте його на кількох пристроях, перш ніж використовувати його широко у своєму середовищі.

Створення завантажувального носія

Необхідні компоненти для створення завантажувального носія

  1. 64-розрядний клієнт Windows із принаймні 8 ГБ вільного місця, на якому можна запустити засіб для створення завантажувального USB-носія.

  2. Права адміністратора в клієнті Windows від обов'язкової умови #1.

  3. USB-носій із мінімальним розміром 1 ГБ і розміром не більше 32 ГБ. Засіб видаляє всі наявні дані на цьому диску та автоматично форматує їх на FAT32.

Інструкції зі створення завантажувального носія

Щоб створити носій для відновлення, у 64-розрядній версії клієнта Windows на попередній вимогі #1 виконайте такі дії:

  1. Завантажте підписаний засіб Відновлення Microsoft із Центру завантажень Microsoft.

  2. Видобути сценарій PowerShell із завантаженого файлу.

  3. Відкрийте Windows PowerShell як адміністратор і виконайте такий сценарій: MsftRecoveryToolForCS.ps1

  4. Засіб завантажує та інсталює пакет оцінювання та розгортання Windows (Windows ADK). Цей процес може тривати кілька хвилин.

  5. Виберіть один із двох варіантів відновлення пристроїв, на які впливає проблема: Windows PE або безпечний режим.

  6. За потреби виберіть каталог, який містить файли драйверів для імпорту в образ для відновлення. Радимо натиснути клавішу N, щоб пропустити цей крок. ​​​​​​​

    1. Засіб імпортує будь-які файли SYS та INI рекурсивно під вказаним каталогом.

    2. Для певних пристроїв, наприклад пристроїв Surface, можуть знадобитися додаткові драйвери для введення клавіатури.

  7. Виберіть параметр створення ISO-файлу або USB-носія.

  8. Якщо вибрати параметр USB, виконайте наведені нижче дії.

    1. Вставте USB-носій, коли з'явиться відповідний запит, і надайте букву диска.

    2. Після завершення створення USB-носія видаліть його з клієнта Windows.

Інструкції з використання варіанта відновлення

Якщо ви створили медіавміст на попередніх кроках для Windows PE, виконайте ці вказівки на відповідних пристроях.

Обов'язкові умови для використання завантажувального носія для відновлення Windows PE

  • Можливо, знадобиться ключ відновлення BitLocker для кожного пристрою з підтримкою BitLocker і відповідного пристрою.

    • Якщо на пристрої, на якому це вплинуло, використовуються блоки захисту TPM+PIN і ви не знаєте PIN-код для пристрою, можливо, знадобиться ключ відновлення.

Інструкції з використання завантажувального носія для відновлення Windows PE

  1. Вставте USB-ключ у пристрій, на який впливає проблема.

  2. Перезавантажте пристрій.

  3. Під час перезавантаження натисніть клавішу F12, щоб отримати доступ до меню завантаження BIOS.

    Примітка.: Для доступу до меню завантаження BIOS на деяких пристроях може використовуватися інше сполучення клавіш. Дотримуйтеся вказівок виробника пристрою.

  4. У меню завантаження BIOS виберіть завантаження з USB-носія та продовжуйте. Інструмент запускається.

  5. Якщо BitLocker увімкнуто, користувачу буде запропоновано ввести ключ відновлення BitLocker. Додайте тире (-) під час введення ключа відновлення BitLocker. Докладні відомості про варіанти ключа відновлення див. в статті Пошук ключа відновлення BitLocker.

    Примітка.: Щоб отримати доступ до диска, виконайте будь-які кроки, надані постачальником для рішень, відмінних від Microsoft device encryption solutions.

    1. Якщо BitLocker не ввімкнуто на пристрої, вам все одно може бути запропоновано ввести ключ відновлення BitLocker. Натисніть клавішу Enter , щоб пропустити та продовжити.

  6. Інструмент виконує кроки виправлення, як рекомендовано CrowdStrike.

  7. Після завершення видаліть USB-носій і перезавантажте пристрій у звичайному режимі.

Використання носія для відновлення на віртуальних машинах Hyper-V

Ви можете скористатися носіями відновлення, щоб виправити проблему з віртуальними машинами Hyper-V (VM). Під час створення завантажувального носія виберіть параметр для створення ISO-файлу.

Примітка.: Для віртуальних машин, відмінних від Hyper-V, дотримуйтеся вказівок постачальника гіпервізора, щоб використовувати носій для відновлення.

Інструкції з відновлення віртуальних машин Hyper-V

  1. На ураженій віртуальній машині додайте DVD-дисковод у розділі Настройки Hyper-V > контролер SCSI.Знімок екрана: настройки віртуальної машини Hyper-V (VM) з виділеним розділом "Контролер SCSI" та параметром "Додати DVD-дисковод".

  2. Перейдіть до ISO-коду відновлення та додайте його як файл зображення в розділі Настройки Hyper-V > контролер SCSI > DVD-дисковод.Знімок екрана: настройки віртуальної машини Hyper-V (VM) з виділеним розділом "DVD-дисковод" із параметром вибору файлу зображення. ​​​​​​​

  3. Зверніть увагу на поточний порядок завантаження , щоб його можна було відновити вручну пізніше. Наведене нижче зображення є прикладом порядку завантаження, яке може відрізнятися від конфігурації віртуальної машини.Знімок екрана: настройки віртуальної машини Hyper-V (VM) з виділеним розділом "Мікропрограма" з початковим порядком завантаження.

  4. Змініть порядок завантаження , щоб перемістити DVD-дисковод угору як перший завантажувальний запис.Знімок екрана: настройки віртуальної машини Hyper-V (VM) з виділеним розділом "Мікропрограма", на якому показано запис DVD-диска у верхній частині порядку завантаження.

  5. Запустіть віртуальну машину та натисніть будь-яку клавішу, щоб продовжити завантаження образу ISO.

  6. Залежно від того, як ви створили носій для відновлення, виконайте додаткові дії , щоб використовувати параметри відновлення Windows PE або безпечного режиму .

  7. Установіть порядок завантаження для початкових параметрів завантаження з настройок Hyper-V віртуальної машини.

  8. Перезавантажте віртуальну машину у звичайному режимі.

Використання PXE для відновлення

Для більшості клієнтів інші варіанти відновлення допоможуть відновити ваші пристрої. Однак, якщо пристрої не можуть скористатися можливістю відновлення з USB-носія, наприклад через політики безпеки або доступність портів, ІТ-адміністратори можуть скористатися PXE для виправлення неполадок.

Щоб скористатися цим рішенням, можна використати зображення у форматі візуалізації Windows (WIM), яке створює засіб відновлення Microsoft у наявному середовищі PXE. Відповідні пристрої мають бути в тій самій підмережі мережі, що й наявний PXE-сервер.

Крім того, можна використовувати серверний підхід PXE, описаний нижче. Цей параметр найкраще підходить, коли можна легко перемістити сервер PXE з підмережі до підмережі для усунення проблем.

Передумови для відновлення PXE

  1. 64-розрядний пристрій із Windows, на якому розміщено завантажувальний образ. Цей пристрій називається "PXE-сервер".

    1. PXE-сервер може працювати на будь-якій підтримуваній 64-розрядній ОС Windows клієнта.

    2. Сервер PXE має мати доступ до Інтернету, щоб завантажити засіб Microsoft PXE із Центру завантажень Microsoft. Ви також можете скопіювати його на сервер PXE з іншої системи в мережі.

    3. На сервері PXE мають бути створені правила вхідного брандмауера для портів UDP 67, 68, 69, 547 і 4011. Завантажений засіб PXE (MSFTPXEToolForCS.exe) оновлює параметри брандмауера Windows на сервері PXE. Якщо сервер PXE використовує рішення не від корпорації Майкрософт, створіть правила, дотримуючись їхніх рекомендацій.

      Примітка.: Цей сценарій не очищає правила брандмауера. Після завершення відновлення слід видалити ці правила брандмауера. Щоб видалити ці правила з брандмауера Windows, відкрийте Windows PowerShell як адміністратор і виконайте таку команду: MSFTPXEInitToolForCS.ps1 clean

    4. Права адміністратора для запуску засобу PXE.

    5. Для сервера PXE потрібен вторинний розповсюдження Microsoft Visual C++. Завантажте та інсталюйте найновішу версію.

  2. Відповідні пристрої Windows мають бути в тій самій підмережі, що й сервер PXE. Вони мають бути проводовими, а не Wi-Fi мережею.

Настроювання сервера PXE

  1. Завантажте засіб Microsoft PXE із Центру завантажень Microsoft. Видобути вміст zip-архіву до будь-якого каталогу. Містить усі необхідні файли.

  2. Відкрийте Windows PowerShell як адміністратор. Перейдіть до каталогу, у якому видобули файли, і виконайте таку команду: MSFTPXEInitToolForCS.ps1

    1. Сценарій перевіряє для інсталяції Windows ADK і Windows PE Add-On на сервері PXE. Якщо їх не інстальовано, сценарій інсталює їх. Щоб продовжити інсталяцію, перегляньте та прийміть умови ліцензії.

    2. Сценарій створює сценарії виправлення та створює припустиме завантажувальне зображення.

    3. Якщо потрібно, прийміть запит і вкажіть шлях, який містить файли драйверів. Для клавіатури або пристроїв масового зберігання даних можуть знадобитися файли драйверів. Зазвичай додавати драйвери не потрібно. Якщо додаткові файли драйверів не потрібні, виберіть N.

    4. Можна настроїти сервер PXE для доставки образу виправлення за промовчанням або зображення безпечного режиму. Відобразяться такі підказки:1. Завантажте програму WinPE, щоб виправити проблему. Якщо системний диск зашифровано, потрібно ввести ключ відновлення BitLocker. 2. Завантажуйтеся до WinPE, налаштовуйте безпечний режим і виконайте команду відновлення після виходу в безпечний режим. Якщо системний диск зашифровано, рідше потрібен ключ відновлення BitLocker.

    5. Сценарій створює необхідні файли розсилки та надає шлях, у якому копіюється засіб сервера PXE.

  3. Перевірте обов'язкові умови відновлення PXE, особливо вторинного розповсюдження Microsoft Visual C++.

  4. З консолі PowerShell як адміністратор перейдіть до каталогу, де копіюється засіб сервера PXE, і виконайте таку команду, щоб запустити процес слухача: .\MSFTPXEToolForCS.exe

    1. Додаткові відповіді не відображаються, оскільки сервер PXE обробляє підключення. Не закривайте це вікно, оскільки це призведе до зупинки сервера PXE.

    2. Ви можете відстежувати перебіг виконання сервера PXE у файлі MSFTPXEToolForCS.log в тому ж каталозі.

      Примітка.: Якщо потрібно запустити кілька PXE-серверів для різних підмереж, скопіюйте каталог за допомогою засобу сервера PXE та повторіть кроки 3 & 4.

Додаткові відомості про PXE

Відновлення пристрою, на який впливає проблема, за допомогою PXE

Цей пристрій має бути в тій самій підмережі, що й сервер PXE. Якщо пристрої знаходяться в різних підмережах, настройте IP-помічників у мережевому середовищі, щоб увімкнути виявлення сервера PXE.

Якщо цей пристрій не настроєно для завантаження PXE, виконайте такі дії:

  1. На пристрої, на який впливає проблема, відкрийте меню BIOS\UEFI .

    1. Ця дія відрізняється для різних моделей і виробників. Перегляньте документацію від виробника оригінального обладнання для конкретного виготовлення та моделі пристрою.

    2. Поширені варіанти доступу до BIOS\UEFI передбачають натискання клавіші F2, F12, DEL або ESC під час послідовності запуску.

  2. Переконайтеся, що на пристрої ввімкнуто завантаження мережі . Додаткові вказівки наведено в документації від виробника пристрою.

  3. Настройте параметр завантаження мережі як перший пріоритет завантаження.

  4. Збережіть нові параметри. Перезавантажте пристрій, щоб застосувати настройки та завантажити його з PXE.

Під час завантаження PXE відповідного пристрою, поведінка буде залежати від того, ви вибрали Windows PE або безпечний режим відновлення носіїв для PXE-сервера.

Докладні відомості про ці варіанти див. в додаткових кроках , щоб скористатися функцією "Windows PE" або "Безпечний режим відновлення".

  1. Для параметра відновлення Windows PE користувачеві пропонується завантажити Windows PE і сценарій виправлення запускається автоматично.

  2. Для параметра відновлення безпечного режиму пристрій завантажується в безпечний режим. Користувач має ввійти за допомогою локального облікового запису адміністратора та вручну запустити сценарій.

    1. У безпечному режимі та ввійдіть як локальний адміністратор, відкрийте Windows PowerShell як адміністратор.

    2. Виконайте такі команди:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot завершення роботи -r -t 00

Після завершення перезавантажте пристрій у звичайному режимі, відповівши на запит на екрані. Відкрийте меню BIOS\UEFI та оновіть порядок завантаження, щоб видалити завантаження PXE.

Контакт CrowdStrike

Якщо після виконання наведених вище кроків проблеми із входом на пристрій все ще виникають, зверніться по допомогу до CrowdStrike

Додаткові відомості

Докладні відомості про проблему, яка впливає на клієнтів Windows і серверів, на які запущено агент CrowdStrike Falcon, див. в таких ресурсах:

Посилання

Описані в цій статті продукти сторонніх виробників створюються компаніями, які не залежать від корпорації Майкрософт. Ми не надаємо жодних гарантій( непрямих або інших) щодо продуктивності або надійності цих продуктів.

Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.

Facebook LinkedIn Електронна пошта

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей