Tóm tắt 

Để theo dõi sự cố tác nhân CrowdStrike Falcon ảnh hưởng đến máy khách và máy chủ Windows, chúng tôi đã phát hành một công cụ khôi phục cập nhật với hai tùy chọn sửa chữa nhằm giúp quản trị viên CNTT đẩy nhanh quá trình sửa chữa. Công cụ tự động hóa các bước thủ công KB5042421 (máy khách)KB5042426 (máy chủ). Tải xuống Microsoft Recovery Tool đã ký từ Trung tâm Tải xuống của Microsoft. Bạn có thể sử dụng công cụ này để phục hồi máy khách, máy chủ và máy ảo Hyper-V của Windows (VM).

Có hai tùy chọn sửa chữa:

  • Khôi phục từ Windows PE: tùy chọn này sử dụng phương tiện khởi động tự động sửa chữa thiết bị.

  • Khôi phục từ chế độ an toàn: tùy chọn này sử dụng phương tiện khởi động cho các thiết bị bị ảnh hưởng để khởi động ở chế độ an toàn. Sau đó, người quản trị có thể đăng nhập bằng tài khoản có đặc quyền quản trị cục bộ và chạy các bước khắc phục.

Xác định tùy chọn để sử dụng

Tùy chọn này để khôi phục từ Windows PE nhanh chóng và trực tiếp phục hồi hệ thống và không yêu cầu đặc quyền quản trị cục bộ. Nếu thiết bị sử dụng BitLocker, bạn có thể phải nhập khóa khôi phục BitLocker theo cách thủ công trước khi có thể sửa chữa hệ thống bị ảnh hưởng.

Nếu bạn sử dụng giải pháp mã hóa đĩa không phải của Microsoft, hãy tham khảo hướng dẫn từ nhà cung cấp đó. Họ nên cung cấp các tùy chọn để phục hồi ổ đĩa để bạn có thể chạy tập lệnh khắc phục từ Windows PE.

Những điều cần cân nhắc khác

Mặc dù tùy chọn USB được ưa thích nhưng một số thiết bị có thể không hỗ trợ kết nối USB. Đối với những tình huống này, hãy xem phần về cách Sử dụng Môi trường Thực thi Khởi động trước (PXE) để phục hồi.

Nếu thiết bị không thể kết nối với mạng PXE và USB không phải là tùy chọn, hãy thử các bước thủ công trong các bài viết sau:

Nếu không, việc tái hiện thiết bị có thể là giải pháp.

Với bất kỳ tùy chọn phục hồi nào, trước tiên hãy kiểm tra trên nhiều thiết bị trước khi bạn sử dụng rộng rãi tùy chọn đó trong môi trường của mình.

Tạo phương tiện khởi động

Điều kiện tiên quyết để tạo phương tiện khởi động

  1. Máy khách Windows 64 bit có ít nhất 8 GB dung lượng trống mà bạn có thể chạy công cụ để tạo ổ đĩa USB có thể khởi động.

  2. Đặc quyền quản trị trên máy khách Windows từ điều kiện tiên quyết #1.

  3. Ổ đĩa USB có kích thước tối thiểu là 1 GB và không lớn hơn 32 GB. Công cụ xóa tất cả dữ liệu hiện có trên ổ đĩa này và tự động định dạng thành FAT32.

Hướng dẫn tạo phương tiện khởi động

Để tạo phương tiện phục hồi, từ máy khách Windows 64 bit trong điều kiện tiên quyết #1, hãy làm theo các bước sau:

  1. Tải xuống Microsoft Recovery Tool đã ký từ Trung tâm Tải xuống của Microsoft.

  2. Trích xuất tập lệnh PowerShell từ tệp đã tải xuống.

  3. Mở Windows PowerShell với tư cách người quản trị và chạy tập lệnh sau: MsftRecoveryToolForCS.ps1

  4. Công cụ này sẽ tải xuống và cài đặt Bộ công cụ Đánh giá và Triển khai Windows (Windows ADK). Quá trình này có thể mất vài phút để hoàn tất.

  5. Chọn một trong hai tùy chọn để khôi phục thiết bị bị ảnh hưởng: Windows PE hoặc chế độ an toàn.

  6. Bạn có thể tùy chọn chọn một thư mục chứa các tệp trình điều khiển để nhập vào ảnh phục hồi. Chúng tôi khuyên bạn nên chọn N để bỏ qua bước này. ​​​​​​​

    1. Công cụ nhập đệ quy bất kỳ tệp SYS và INI nào dưới thư mục được chỉ định.

    2. Một số thiết bị nhất định, chẳng hạn như thiết bị Surface, có thể cần trình điều khiển bổ sung để nhập bằng bàn phím.

  7. Chọn tùy chọn để tạo tệp ISO hoặc ổ đĩa USB.

  8. Nếu bạn chọn tùy chọn USB:

    1. Lắp ổ đĩa USB khi được nhắc và cung cấp tên ổ đĩa.

    2. Sau khi công cụ hoàn tất việc tạo ổ đĩa USB, hãy xóa ổ đĩa đó khỏi máy khách Windows.

Hướng dẫn sử dụng tùy chọn phục hồi

Nếu bạn đã tạo phương tiện trong các bước trước đó cho Windows PE, hãy sử dụng các hướng dẫn này trên các thiết bị bị ảnh hưởng.

Điều kiện tiên quyết để sử dụng phương tiện khởi động để khôi phục Windows PE

  • Bạn có thể cần khóa khôi phục BitLocker cho mỗi thiết bị bị ảnh hưởng và bật BitLocker.

    • Nếu thiết bị bị ảnh hưởng sử dụng bộ bảo vệ TPM+PIN và bạn không biết mã PIN cho thiết bị thì có thể bạn cần khóa khôi phục.

Hướng dẫn sử dụng phương tiện khởi động để khôi phục Windows PE

  1. Lắp phím USB vào thiết bị bị ảnh hưởng.

  2. Khởi động lại thiết bị.

  3. Trong quá trình khởi động lại, nhấn F12 để truy cập menu khởi động BIOS.

    Lưu ý: Một số thiết bị có thể sử dụng tổ hợp phím khác để truy cập menu khởi động BIOS. Làm theo hướng dẫn dành riêng cho nhà sản xuất dành cho thiết bị.

  4. Từ menu khởi động BIOS , chọn Khởi động từ USB và tiếp tục. Công cụ sẽ chạy.

  5. Nếu bitLocker được bật, người dùng sẽ được nhắc nhập khóa khôi phục BitLocker. Đưa vào dấu gạch ngang (-) khi bạn nhập khóa khôi phục BitLocker. Để biết thêm thông tin về các tùy chọn khóa khôi phục, hãy xem Nơi tìm khóa khôi phục BitLocker của bạn.

    Lưu ý: Đối với các giải pháp mã hóa thiết bị không phải của Microsoft, hãy làm theo mọi bước do nhà cung cấp để có quyền truy cập vào ổ đĩa.

    1. Nếu BitLocker không được bật trên thiết bị, bạn vẫn có thể được nhắc nhập khóa khôi phục BitLocker. Nhấn Enter để bỏ qua và tiếp tục.

  6. Công cụ này sẽ chạy các bước khắc phục theo khuyến nghị của CrowdStrike.

  7. Sau khi hoàn tất, hãy tháo ổ đĩa USB và khởi động lại thiết bị bình thường.

Sử dụng phương tiện khôi phục trên máy ảo Hyper-V

Bạn có thể sử dụng phương tiện phục hồi để khắc phục các máy ảo Hyper-V bị ảnh hưởng (VM). Khi bạn tạo phương tiện khởi động, hãy chọn tùy chọn để tạo tệp ISO.

Lưu ý: Đối với máy ảo không phải Hyper-V, hãy làm theo các hướng dẫn được cung cấp bởi nhà cung cấp hypervisor để sử dụng phương tiện phục hồi.

Hướng dẫn khôi phục máy ảo Hyper-V

  1. Trên máy ảo bị ảnh hưởng, hãy thêm Ổ đĩa DVD trong cài đặt Hyper-V >điều khiển SCSI.Ảnh chụp màn hình cài đặt máy ảo Hyper-V (VM), với phần Bộ điều khiển SCSI được tô sáng và tùy chọn Thêm Ổ đĩa DVD.

  2. Duyệt đến ISO phục hồi và thêm tệp đó dưới dạng Tệp hình ảnh trong Cài đặt Hyper-V > SCSI để > DVD.Ảnh chụp màn hình cài đặt máy ảo Hyper-V (VM), với phần Ổ đĩa DVD được tô sáng, hiển thị tùy chọn để chọn tệp Hình ảnh. ​​​​​​​

  3. Lưu ý Thứ tự khởi động hiện tại để bạn có thể khôi phục trình tự này theo cách thủ công sau này. Hình ảnh sau đây là ví dụ về thứ tự khởi động, có thể khác với cấu hình máy ảo của bạn.Ảnh chụp màn hình cài đặt máy ảo Hyper-V (VM), với phần Vi chương trình được tô sáng, hiển thị thứ tự khởi động ban đầu.

  4. Thay đổi thứ tự Khởi động để di chuyển Ổ đĩa DVD lên làm mục nhập khởi động đầu tiên.Ảnh chụp màn hình cài đặt máy ảo Hyper-V (VM), với phần Vi chương trình được tô sáng, hiển thị mục nhập Ổ đĩa DVD ở đầu thứ tự khởi động.

  5. Khởi động máy ảo và nhấn phím bất kỳ để tiếp tục khởi động đến hình ảnh ISO.

  6. Tùy thuộc vào cách bạn tạo phương tiện phục hồi, hãy làm theo các bước bổ sung để sử dụng Windows PE hoặc các tùychọn khôi phục chế độ an toàn.

  7. Đặt thứ tự khởi động trở lại cài đặt khởi động ban đầu từ cài đặt Hyper-V của máy ảo.

  8. Khởi động lại máy ảo bình thường.

Sử dụng PXE để khôi phục

Đối với hầu hết khách hàng, các tùy chọn khôi phục khác sẽ giúp khôi phục thiết bị của bạn. Tuy nhiên, nếu thiết bị không thể sử dụng tùy chọn phục hồi từ USB, ví dụ: do chính sách bảo mật hoặc khả dụng cổng, người quản trị CNTT có thể sử dụng PXE để khắc phục.

Để sử dụng giải pháp này, bạn có thể sử dụng hình ảnh Windows Imaging Format (WIM) mà công cụ phục hồi của Microsoft tạo ra trong môi trường PXE hiện có. Các thiết bị bị ảnh hưởng cần phải nằm trên cùng một mạng con mạng như máy chủ PXE hiện có.

Ngoài ra, bạn có thể sử dụng phương pháp tiếp cận máy chủ PXE được nêu dưới đây. Tùy chọn này hoạt động tốt nhất khi bạn có thể dễ dàng di chuyển máy chủ PXE từ mạng con sang mạng con cho mục đích khắc phục.

Điều kiện tiên quyết để phục hồi PXE

  1. Thiết bị Windows 64 bit lưu trữ hình ảnh khởi động. Thiết bị này được gọi là "máy chủ PXE".

    1. Máy chủ PXE có thể chạy trên bất kỳ HĐH Windows client 64 bit nào được hỗ trợ.

    2. Máy chủ PXE sẽ có quyền truy cập internet để tải xuống công cụ Microsoft PXE từ Trung tâm Tải xuống của Microsoft. Bạn cũng có thể sao chép thư vào máy chủ PXE từ một hệ thống khác trên mạng của mình.

    3. Máy chủ PXE nên tạo quy tắc tường lửa đến cho các cổng UDP 67, 68, 69, 547 và 4011. Công cụ PXE đã tải xuống (MSFTPXEToolForCS.exe) cập nhật cài đặt Tường lửa Windows trên máy chủ PXE. Nếu máy chủ PXE sử dụng giải pháp tường lửa không phải của Microsoft, hãy tạo quy tắc theo đề xuất của họ.

      Lưu ý: Tập lệnh này không dọn dẹp các quy tắc tường lửa. Bạn nên loại bỏ các quy tắc tường lửa sau khi khắc phục xong. Để loại bỏ các quy tắc này khỏi Tường lửa Windows, hãy mở Windows PowerShell với tư cách người quản trị và chạy lệnh sau:MSFTPXEInitToolForCS.ps1 sạch

    4. Đặc quyền quản trị để chạy công cụ PXE.

    5. Máy chủ PXE yêu cầu Microsoft Visual C++ Redistributable. Tải xuống và cài đặt phiên bản mới nhất.

  2. Các thiết bị Windows bị ảnh hưởng sẽ ở trên cùng một mạng con với máy chủ PXE. Chúng phải có dây cứng thay vì sử dụng Wi-Fi mạng.

Cấu hình máy chủ PXE

  1. Tải xuống công cụ Microsoft PXE từ Trung tâm Tải xuống của Microsoft. Trích xuất nội dung của kho lưu trữ zip vào bất kỳ thư mục nào. Nó chứa tất cả các tệp cần thiết.

  2. Mở Windows PowerShell với tư cách người quản trị. Thay đổi thành thư mục mà bạn đã trích xuất tệp và chạy lệnh sau: MSFTPXEInitToolForCS.ps1

    1. Tập lệnh quét tìm bản cài đặt Windows ADK và Windows PE Add-On trên máy chủ PXE. Nếu chưa cài đặt, tập lệnh sẽ cài đặt chúng. Để tiếp tục cài đặt, hãy xem lại và chấp nhận các điều khoản cấp phép.

    2. Tập lệnh tạo ra các tập lệnh khắc phục và tạo ra một hình ảnh khởi động hợp lệ.

    3. Nếu cần, hãy chấp nhận lời nhắc và cung cấp đường dẫn có chứa tệp trình điều khiển. Có thể yêu cầu tệp trình điều khiển cho các thiết bị lưu trữ bàn phím hoặc hàng loạt. Thông thường, bạn sẽ không cần phải thêm trình điều khiển. Nếu bạn không cần thêm bất kỳ tệp trình điều khiển nào, hãy chọn N.

    4. Bạn có thể đặt cấu hình máy chủ PXE để cung cấp hình ảnh khắc phục mặc định hoặc hình ảnh chế độ an toàn. Bạn sẽ thấy những lời nhắc sau đây:1. Khởi động để WinPE khắc phục sự cố. Hệ thống yêu cầu nhập khóa khôi phục BitLocker nếu đĩa hệ thống được mã hóa BitLocker. 2. Khởi động để WinPE cấu hình chế độ an toàn và chạy lệnh sửa chữa sau khi vào chế độ an toàn. Tùy chọn này ít có khả năng yêu cầu khóa khôi phục BitLocker nếu đĩa hệ thống được mã hóa BitLocker.

    5. Kịch bản tạo ra các tập tin phân phối yêu cầu và cung cấp đường dẫn nơi nó sao chép công cụ máy chủ PXE.

  3. Kiểm tra lại các điều kiện tiên quyết để khôi phục PXE, đặc biệt là Microsoft Visual C++ Redistributable.

  4. Từ bảng điều khiển PowerShell với tư cách người quản trị, hãy thay đổi sang thư mục nơi công cụ máy chủ PXE được sao chép và chạy lệnh sau đây để khởi chạy quy trình nghe: .\MSFTPXEToolForCS.exe

    1. Bạn sẽ không thấy các phản hồi bổ sung khi máy chủ PXE xử lý kết nối. Không đóng cửa sổ này vì sẽ làm ngừng máy chủ PXE.

    2. Bạn có thể theo dõi tiến độ máy chủ PXE trong MSFTPXEToolForCS.log tệp trong cùng một thư mục.

      Lưu ý: Nếu bạn muốn chạy nhiều máy chủ PXE cho các mạng con khác nhau, hãy sao chép thư mục bằng công cụ máy chủ PXE và chạy lại các bước 3 & 4.

Thông tin bổ sung về PXE

Sử dụng PXE để khôi phục thiết bị bị ảnh hưởng

Thiết bị bị ảnh hưởng phải ở trên cùng một mạng con như máy chủ PXE. Nếu các thiết bị nằm trong các mạng con khác nhau, hãy đặt cấu hình trình trợ giúp IP trong môi trường mạng của bạn để cho phép khám phá máy chủ PXE.

Nếu thiết bị bị ảnh hưởng không được đặt cấu hình để khởi động PXE, hãy làm theo các bước sau:

  1. Trên thiết bị bị ảnh hưởng, hãy truy cập menu BIOS\UEFI .

    1. Hành động này khác nhau trên các mô hình và nhà sản xuất khác nhau. Tham khảo tài liệu do nhà sản xuất thiết bị gốc cung cấp cho nhà sản xuất thiết bị cụ thể và kiểu thiết bị.

    2. Các tùy chọn phổ biến để truy cập BIOS\UEFI bao gồm nhấn một phím như F2, F12, DEL hoặc ESC trong chuỗi khởi động.

  2. Đảm bảo đã bật Khởi động mạng trên thiết bị. Để biết thêm hướng dẫn, hãy tham khảo tài liệu từ nhà sản xuất thiết bị.

  3. Đặt cấu hình tùy chọn khởi động mạng làm ưu tiên khởi động đầu tiên.

  4. Lưu cài đặt mới. Khởi động lại thiết bị để áp dụng và khởi động từ PXE.

Khi bạn PXE khởi động thiết bị bị ảnh hưởng, hành vi sẽ phụ thuộc vào việc bạn đã chọn Windows PE hoặc phương tiện phục hồi chế độ an toàn cho máy chủ PXE.

Để biết thêm thông tin về các tùy chọn này, hãy xem các bước bổ sung để sử dụng Windows PE hoặc tùy chọn khôi phục chế độ an toàn.

  1. Đối với tùy chọn khôi phục Windows PE, người dùng được nhắc khởi động vào Windows PE và tập lệnh khắc phục sẽ tự động chạy.

  2. Để có tùy chọn khôi phục chế độ an toàn, thiết bị khởi động ở chế độ an toàn. Người dùng cần đăng nhập bằng tài khoản Người quản trị cục bộ và chạy tập lệnh theo cách thủ công.

    1. Ở chế độ an toàn và đăng nhập với tư cách người quản trị cục bộ, hãy mở Windows PowerShell với tư cách người quản trị.

    2. Chạy các lệnh sau:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot tắt máy -r -t 00

Sau khi hoàn tất, khởi động lại thiết bị bình thường bằng cách phản hồi lời nhắc trên màn hình. Truy cập menu BIOS\UEFI và cập nhật thứ tự khởi động để loại bỏ khởi động PXE.

Liên hệ CrowdStrike

Nếu sau khi làm theo các bước trên, nếu bạn vẫn gặp sự cố khi đăng nhập vào thiết bị của mình, vui lòng liên hệ với CrowdStrike để được trợ giúp thêm. 

Thông tin bổ sung

Để biết thêm thông tin về sự cố ảnh hưởng đến máy khách và máy chủ Windows đang chạy đại diện CrowdStrike Falcon, hãy xem các tài nguyên sau:

Tham khảo

Các sản phẩm bên thứ ba mà bài viết này đề cập được sản xuất bởi các công ty độc lập với Microsoft. Chúng tôi không đảm bảo, dù là ngụ ý hay theo bất kỳ cách nào khác, về hiệu suất hoặc mức độ tin cậy của các sản phẩm này.

Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.

Facebook LinkedIn Email

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng