微软发布 Windows 修复工具以删除 CrowdStrike 驱动程序
2024-7-23 12:1:0 Author: www.4hou.com(查看原文) 阅读量:7 收藏

胡金鱼 新闻 刚刚发布

2063

收藏

导语:微软发布了一款定制的 WinPE 恢复工具,用于查找和删除 CrowdStrike 错误更新。

上周五,CrowdStrike 发布了一项错误更新,导致全球数百万台 Windows 设备突然崩溃,出现蓝屏死机 (BSOD) 并进入重启循环。

这次故障导致大规模 IT 中断,公司突然发现所有 Windows 设备都无法使用。这些 IT 中断影响了世界各地的机场、医院、银行、公司和政府机构。

为了解决此问题,管理员需要将受影响的 Windows 设备重新启动到安全模式或恢复环境,并从 C:\Windows\System32\drivers\CrowdStrike 文件夹中手动删除有问题的内核驱动程序。但是,由于面临数百甚至数千台受影响的 Windows 设备,因此手动执行这些修复可能会很麻烦、耗时且困难。

为了帮助 IT 管理员和支持人员,微软发布了一款自定义恢复工具,可以自动从 Windows 设备中删除有缺陷的 CrowdStrike 更新,以便它们可以再次正常启动。“作为对影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续行动,我们发布了一款 USB 工具来帮助 IT 管理员加快修复过程,”微软支持公告中写道。

用户可以在 Microsoft 下载中心找到签名的 Microsoft 恢复工具:https://go.microsoft.com/fwlink/?linkid=2280386。”

要使用 Microsoft 的恢复工具,IT 人员需要一个具有至少 8 GB 空间的 Windows 64 位客户端、此设备的管理权限、一个至少具有 1 GB 存储空间的 USB 驱动器以及 Bitlocker 恢复密钥(如果需要)。

需要注意的是,用户需要一个 32GB 或更小的 USB 闪存驱动器,否则将无法将其格式化为 FAT32,而这是启动驱动器所必需的。

恢复工具是通过从 Microsoft 下载的 PowerShell 脚本创建的,需要以管理员权限运行。运行时,它将格式化 USB 驱动器,然后创建自定义 WinPE 映像,该映像将复制到驱动器并使其可启动。

creating-the-recovery-tool.webp.png

创建 Microsoft CrowdStrike 恢复工具

然后,用户可以使用 USB 密钥启动受影响的 Windows 设备,它将自动运行名为 CSRemediationScript.bat 的批处理文件。

crowdstrike-recovery-tool.webp.png

Microsoft 恢复工具删除有问题的 CrowdStrike 驱动程序

此批处理文件将提示用户输入任何必要的 Bitlocker 恢复密钥,可以使用以下步骤检索这些密钥。然后,脚本将在 C:\Windows\system32\drivers\CrowdStrike 文件夹中搜索有问题的 CrowdStrike 内核驱动程序,如果检测到,则自动将其删除。它不会创建任何日志或 CrowdStrike 驱动程序的备份。

完成后,脚本将提示用户按任意键,然后用户的设备将重新启动。现在 CrowdStrike 驱动程序已被删除,设备应该重新启动进入 Windows 并再次可用。

其实,Windows 管理员面临的最大障碍是检索任何必要的 Bitlocker 恢复密钥。因此,在尝试恢复设备之前,确定是否需要并恢复密钥应该是第一步。

文章翻译自:https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-repair-tool-to-remove-crowdstrike-driver/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/YZ6K
如有侵权请联系:admin#unsafe.sh