KB5042429：新的恢复工具，可帮助解决影响 Windows 设备的 CrowdStrike 问题

创建启动媒体的先决条件

1. 具有至少 8 GB 可用空间的 Windows 64 位客户端，你可以在其中运行该工具来创建可启动 USB 驱动器。

2. 从先决条件 #1 对 Windows 客户端的管理权限。

3. 最小大小为 1 GB 且不超过 32 GB 的 U 盘。 该工具会删除此驱动器上的所有现有数据，并自动将其格式化为 FAT32。

创建启动媒体的说明

若要从先决条件 #1 中的 64 位 Windows 客户端创建恢复媒体，请使用以下步骤：

1. 从Microsoft下载中心下载已签名Microsoft 恢复工具 。

2. 从下载的文件中提取 PowerShell 脚本。

3. 以管理员身份打开 Windows PowerShell 并运行以下脚本： MsftRecoveryToolForCS.ps1

4. 该工具 (Windows ADK) 下载并安装 Windows 评估和部署工具包 。 此过程可能需要几分钟才能完成。

5. 选择恢复受影响设备的两个选项之一： Windows PE 或 安全模式。

6. （可选）选择包含要导入到恢复映像的驱动程序文件的目录。 建议选择 N 以跳过此步骤。 ​​​​​​​

   1. 该工具以递归方式导入指定目录下的任何 SYS 和 INI 文件。

   2. 某些设备（例如 Surface 设备）可能需要其他用于键盘输入的驱动程序。

7. 选择生成 ISO 文件 或 U 盘的选项。

8. 如果选择 USB 选项：

   1. 出现提示时插入 U 盘，并提供驱动器号。

   2. 工具完成创建 U 盘后，将其从 Windows 客户端中删除。

恢复 Hyper-V 虚拟机的说明

1. 在受影响的 VM 上，> SCSI 控制器的 Hyper-V 设置下添加 DVD 驱动器。
   
   

2. 浏览到恢复 ISO，并将其添加为“Hyper-V 设置 >SCSI 控制器 > DVD 驱动器”下的映像文件。
   
   
   ​​​​​​​

3. 记下当前的 启动顺序 ，以便稍后可以手动还原它。 下图是启动顺序的示例，可能与 VM 的配置不同。
   
   

4. 更改 启动顺序 以将 DVD 驱动器作为第一个启动项向上移动。
   
   

5. 启动 VM 并按任意键继续启动到 ISO 映像。

6. 根据创建恢复媒体的方式，按照 其他步骤 使用 Windows PE 或 安全模式 恢复选项。

7. 从 VM 的 Hyper-V 设置将启动顺序设置回原始启动设置。

8. 正常重启 VM。

PXE 恢复的先决条件

1. 托管启动映像的 64 位 Windows 设备。 此设备称为“PXE 服务器”。

   1. PXE 服务器可以在任何受支持的 Windows 客户端 64 位 OS 上运行。

   2. PXE 服务器应具有 Internet 访问权限，以便从Microsoft下载中心下载Microsoft PXE 工具。 还可以将其从网络上的另一个系统复制到 PXE 服务器。

   3. PXE 服务器应为 UDP 端口 67、68、69、547 和 4011 创建入站防火墙规则。 下载的 PXE 工具 (MSFTPXEToolForCS.exe) 更新 PXE 服务器上的 Windows 防火墙 设置。 如果 PXE 服务器使用非Microsoft防火墙解决方案，请按照其建议创建规则。

      注意: 此脚本不会清理防火墙规则。 修正完成后，应删除这些防火墙规则。 若要从 Windows 防火墙中删除这些规则，请以管理员身份打开 Windows PowerShell 并运行以下命令： MSFTPXEInitToolForCS.ps1 清理

   4. 用于运行 PXE 工具的管理权限。

   5. PXE 服务器需要 Microsoft Visual C++ 可再发行组件。 下载并安装最新版本。

2. 受影响的 Windows 设备应与 PXE 服务器位于同一子网中。 它们应是硬连线的，而不是使用 Wi-Fi 网络。

配置 PXE 服务器

1. 从Microsoft下载中心下载Microsoft PXE 工具。 将 zip 存档的内容提取到任何目录。 它包含所有必要的文件。

2. 以管理员身份打开 Windows PowerShell。 切换到提取文件的目录并运行以下命令： MSFTPXEInitToolForCS.ps1

   1. 该脚本扫描 PXE 服务器上安装的 Windows ADK 和 Windows PE Add-On。 如果未安装它们，脚本将安装它们。 若要继续安装，请查看并接受许可条款。

   2. 该脚本生成修正脚本并创建有效的启动映像。

   3. 如果需要，请接受提示并提供包含驱动程序文件的路径。 键盘或大容量存储设备可能需要驱动程序文件。 通常，无需添加驱动程序。 如果不需要任何其他驱动程序文件，请选择“ N”。

   4. 可以将 PXE 服务器配置为提供默认修正映像或安全模式映像。 你将看到以下提示：
      1。启动到 WinPE 以修正问题。如果系统磁盘是 BitLocker 加密的，则需要输入 BitLocker 恢复密钥。
      2. 启动到 WinPE 配置安全模式，并在进入安全模式后运行修复命令。如果系统磁盘是 BitLocker 加密的，则此选项不太可能需要 BitLocker 恢复密钥。

   5. 该脚本生成所需的分发文件，并提供复制 PXE 服务器工具的路径。

3. 仔细检查 PXE 恢复的先决条件，尤其是Microsoft Visual C++ 可再发行组件。

4. 以管理员身份从 PowerShell 控制台更改为复制 PXE 服务器工具的目录，并运行以下命令以启动侦听器进程：.\MSFTPXEToolForCS.exe

   1. PXE 服务器处理连接时不会看到其他响应。 不要关闭此窗口，因为这会停止 PXE 服务器。

   2. 可以在同一目录中的 MSFTPXEToolForCS.log 文件中监视 PXE 服务器进度。

      注意: 如果要为不同的子网运行多个 PXE 服务器，请使用 PXE 服务器工具复制目录，然后重新运行步骤 3 & 4。

使用 PXE 恢复受影响的设备

受影响的设备必须与 PXE 服务器位于同一子网中。 如果设备位于不同的子网中，请在网络环境中配置 IP 帮助程序，以启用 PXE 服务器的发现。

如果未为 PXE 启动配置受影响的设备，请执行以下步骤：

1. 在受影响的设备上，访问 BIOS\UEFI 菜单。

   1. 此操作在不同的模型和制造商之间是不同的。 有关设备的具体制造商和型号，请参阅原始设备制造商提供的文档。

   2. 用于访问 BIOS\UEFI 的常见选项包括在启动序列期间按 F2、F12、DEL 或 ESC 等键。

2. 确保已在设备上启用 网络启动 。 有关其他指南，请参阅设备制造商提供的文档。

3. 将网络启动选项配置为第一个启动优先级。

4. 保存新设置。 重启设备以应用并从 PXE 启动设置。

PXE 启动受影响的设备时，行为将取决于你为 PXE 服务器选择了 Windows PE 还是安全模式恢复媒体。

有关这些选项的详细信息，请参阅使用 Windows PE 或安全模式恢复选项 的其他步骤 。

1. 对于 Windows PE 恢复选项，系统会提示用户启动到 Windows PE，修正脚本会自动运行。

2. 对于安全模式恢复选项，设备将启动到安全模式。 用户需要使用本地管理员帐户登录并手动运行脚本。

   1. 在安全模式下，以本地管理员身份登录，以管理员身份打开 Windows PowerShell。

   2. 运行以下命令：
      del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys
      bcdedit /deletevalue {current} safeboot
      shutdown -r -t 00

完成后，通过响应屏幕上的提示来正常重启设备。 访问 BIOS\UEFI 菜单并更新启动顺序以删除 PXE 启动。