falcon windows host recovery

أنشئ صورًا قابلة للتمهيد لمعالجة مضيفي Windows المتأثرين بتحديث محتوى Falcon الأخير.

شاهد فيديو معالجة مضيف CrowdStrike باستخدام محرك أقراص USB قابل للتمهيد للحصول على عرض توضيحي.

• BuildISO.ps1 : تم تحديث Surface Laptop 4 لحزمة برنامج تشغيل معالج Intel

• الافتراضي - صورة مع برامج تشغيل الأجهزة
• اختياري - صورة ذات برامج تشغيل مخصصة: الحد الأدنى، والمحدود، والمخصص (يحددها المستخدم)
• اختياري - صورة مع دعم استرداد BitLocker المخصص عبر ملف CSV

• اختياري - قم بإنشاء ملف CSV لمفاتيح استرداد BitLocker من Active Directory/معرف Entra

تتوفر صورتان قابلتان للتمهيد - استخدم الصورة التي تناسب احتياجاتك.

• CSPERecovery - معالجة تلقائية للمضيف باستخدام مفاتيح استرداد BitLocker اليدوية أو التلقائية.
• CSafeBoot - معالجة المضيف الآلية واليدوية باستخدام الوضع الآمن مع الشبكة (يتطلب حساب المسؤول).

استخدم هذا المشروع لإنشاء صور Windows PE قابلة للتمهيد باستخدام أحدث برامج Microsoft ADK وWindows PE الإضافية وبرامج التشغيل والبرامج النصية للإصلاح الخاصة بـ CrowdStrike.

• عميل Windows 10 (أو أعلى) 64 بت مع مساحة خالية تبلغ 16 جيجابايت على الأقل وامتيازات إدارية.

1. قم بتنزيل مشروع GitHub falcon-windows-host-recovery كملف ZIP.
   1. انقر فوق زر الرمز الأخضر وحدد تنزيل ZIP
2. قم باستخراج محتويات falcon-windows-host-recovery-main.zip إلى دليل من اختيارك.
   1. مثال: C:falcon-windows-host-recovery-main .
   2. هام: لا يمكن أن يحتوي المسار على مسافات أو أحرف خاصة

أنشئ صورًا قابلة للتمهيد باستخدام برامج تشغيل الأجهزة لكل ما يلي:

أجهزة Red Hat/VirtIO VM، وأنظمة Dell، وأنظمة HP، وأجهزة VMWare VMs، وأجهزة Microsoft Surface (Pro 8، 9، 10، الكمبيوتر المحمول 4 (Intel/AMD)، 5، 6)، وحدات تحكم AMD SATA الشائعة، وIntel / LSI MegaSAS الشائعة بطاقات RAID.

ملاحظة : قد يستغرق إنشاء البرنامج ما يزيد عن 30 دقيقة بناءً على أداء الشبكة والقرص

1. افتح موجه أوامر Windows PowerShell (كمسؤول)، وقم بتعيين سياسة التنفيذ وإنشاء الصور
   1. cd C:falcon-windows-host-recovery-main
   2. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   3. .BuildISO.ps1 - يقوم بتنزيل المجموعة الافتراضية من برامج تشغيل الأجهزة وإنشاء صور ISO
2. وسيطات سطر الأوامر الاختيارية للبرنامج النصي BuildISO.ps1
   1. -SkipBootPrompt - تعطيل المطالبة "اضغط على أي مفتاح للتمهيد من [الوسائط]" عند تشغيل النظام
      1. قد لا تعمل هذه الميزة على كافة الأنظمة
3. الإخراج: الصور
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

ملاحظة : قد يستغرق إنشاء البرنامج ما يزيد عن 30 دقيقة بناءً على أداء الشبكة والقرص

أنشئ صورًا قابلة للتمهيد باستخدام الحد الأدنى من برامج التشغيل فقط، أو مجموعة محدودة من برامج التشغيل، أو باستخدام برامج تشغيل الأجهزة المخصصة الخاصة بك.

1. افتح موجه أوامر Windows PowerShell (كمسؤول)
   1. cd C:falcon-windows-host-recovery-main
2. برامج تشغيل مخصصة - قم بتنزيل برامج تشغيل الأجهزة وفك حزمها فيها
   1. C:falcon-windows-host-recovery-mainDrivers
   2. ملاحظة: سيتم دائمًا تثبيت برامج التشغيل في Drivers ، بغض النظر عن وسائط سطر الأوامر.
3. وسيطات سطر الأوامر للبرنامج النصي BuildISO.ps1
   1. برامج التشغيل الاختيارية - تتضمن مجموعة برامج تشغيل واحدة أو أكثر (أي مجموعة مدعومة)
      1. -IncludeCommonDrivers - العديد من برامج تشغيل أجهزة عملاء CrowdStrike الشائعة
      2. -IncludeDellDrivers
      3. -IncludeHPDrivers
      4. -IncludeSurfaceDrivers
      5. -IncludeVMwareDrivers
   2. الحد الأدنى من برامج التشغيل - تخطي جميع مجموعات برامج التشغيل المضمنة (ملاحظة: يتجاوز أي -Include* args)
      1. -SkipThirdPartyDriverDownloads
4. إنشاء صور قابلة للتمهيد
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
5. الإخراج: الصور
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

أنشئ صورًا قابلة للتمهيد باستخدام مفاتيح استرداد BitLocker في صورة CSPERecovery .

تحذير: يجب تدوير مفاتيح استرداد BitLocker بعد معالجة المضيف

مفاتيح BitLocker عبر ملف CSV مثال لمفاتيح الاسترداد في ملف CSV

• هام: رؤوس الأعمدة KeyID وRecoveryKey مطلوبة وحساسة لحالة الأحرف

1. افتح موجه أوامر Windows PowerShell
   1. قم بالتغيير إلى دليل الملفات المستخرجة
      1. cd C:falcon-windows-host-recovery-main
2. قم بتضمين مفاتيح استرداد BitLocker - عبر ملف CSV المسمى BitLockerKeys.csv
   1. C:falcon-windows-host-recovery-mainBitLockerKeys.csv
   2. هام: راجع قسم أفضل الممارسات أدناه للتعامل الآمن مع مفاتيح استرداد BitLocker وتدميرها
3. إنشاء صور قابلة للتشغيل
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
4. الإخراج: الصور
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

متطلبات

• بوويرشيل 7.0 أو أعلى
• مدير الخادم -> الخادم المحلي: قم بتعطيل IE Enhanced Security Configuration
• يتطلب تصدير Active Directory وجود مستخدم مسؤول المجال على نظام التشغيل Windows Server المرتبط بالمجال
• يتطلب البرنامج النصي لتصدير معرف Entra الاتصال بـ Microsoft Graph ومستخدم سحابي بنطاقات OAuth BitLockerKey.ReadBasic.All و Device.Read.All

يُنشئ ملف BitLockerKeys.csv عبر التصدير الآلي لمفاتيح استرداد BitLocker

1. افتح موجه أوامر Windows PowerShell (كمسؤول)
   1. قم بالتغيير إلى دليل الملفات المستخرجة
      1. cd C:falcon-windows-host-recovery-main
2. وسيطات سطر الأوامر للبرنامج Export-BitLockerRecoveryKeys.ps1
   1. -ActiveDirectory - استخراج مفاتيح BitLocker من Active Directory
   2. -ActiveDirectory -OU - استخراج مفاتيح BitLocker لوحدة تنظيمية محددة
   3. -EntraID - استخراج مفاتيح BitLocker من معرف Entra
   4. -ActiveDirectory -EntraID - استخراج مفاتيح BitLocker من Active Directory ومعرف Entra
3. استخراج مفاتيح استرداد BitLocker من المصدر
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .Export-BitLockerRecoveryKeys.ps1
      1. مثال للوحدة التنظيمية .Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
4. اتبع المطالبات لجمع الحسابات
5. الإخراج: ملف CSV: BitLockerKeys.csv
6. أنشئ صورة جديدة باستخدام ملف CSV هذا باستخدام القسم الاختياري - الصورة باستخدام BitLockerKeys.csv المخصص أعلاه

ملحوظة:

• استخدم علامة OU لبيئات Active Directory الكبيرة حيث تقوم عمليات البحث في المجال الأساسي بإرجاع آلاف أجهزة الكمبيوتر.

1. قم بتنزيل Rufus، وهي أداة مساعدة مفتوحة المصدر لإنشاء وحدات USB قابلة للتمهيد من https://rufus.ie/en/
2. فتح روفوس:
   1. استخدم قائمة الجهاز لتحديد هدف محرك أقراص USB المطلوب
      1. تحذير: سيتم مسح محرك أقراص USB نظيفًا
   2. انقر فوق الزر تحديد (بجوار تحديد التمهيد ) واختر ملف CSPERecovery أو CSafeBoot ISO
   3. استخدم القائمة المنسدلة لنظام التقسيم لتحديد "GPT"
   4. استخدم القائمة المنسدلة "نظام الهدف " لتحديد "UEFI (غير CSM)"
   5. اضغط على ابدأ
   6. هام - يرجى قراءة ما يلي بعناية :
      1. إذا طُلب منك الكتابة في وضع ISO أو وضع ESP
         1. وضع ISO - استخدم هذا أولاً!
            1. تجربة المستخدم الأكثر اكتمالا، تدعم تشغيل MBR وUEFI، وتمكن البرنامج النصي للتنظيف الآلي CSafeBoot ISO.
               1. لم يتأثر CSPERecovery ISO.
         2. وضع ESP - يُستخدم إذا لم يتمكن المضيف من التعرف على محرك أقراص USB القابل للتمهيد (خاصة في أنظمة UEFI الأقدم)
            1. ارجع إلى الخطوة 2 وكرر هذه الخطوات وحدد وضع ESP.
            2. لن يكون البرنامج النصي للتنظيف التلقائي متاحًا في CSafeBoot ISO، لكن خطوات المعالجة اليدوية لا تزال متاحة وستنجح.
               1. لم يتأثر CSPERecovery ISO.

بمجرد إنشاء محرك أقراص USB قابل للتمهيد باستخدام https://rufus.ie/en/ (في القسم أعلاه)

1. أدخل محرك أقراص USB في المضيف المتأثر
2. أعد تشغيل المضيف وأدخل إلى قائمة تمهيد UEFI باستخدام المفتاح F12
   1. يمكنك أيضًا تجربة المفاتيح F1 أو F2 أو F10 أو F11 (حسب الشركة المصنعة لنظام BIOS)
3. حدد محرك أقراص USB
   1. استعد لتحديد UEFI إذا تم إعطاؤك الاختيار بين خيار MBR وUEFI بنفس التسمية
4. انتظر حتى يتم تحميل Windows PE
5. تابع إلى قسم "الاسترداد..." المناسب أدناه لاستخدام CSafeBoot أو CSPERecovery

تعمل صورة CSPERecovery على معالجة الأنظمة تلقائيًا، وتتضمن دعمًا لـ BitLocker.

1. حدد محرك أقراص USB لصورة الاسترداد في BootManager.
   1. هام : لا تحتاج إلى تعديل إعدادات البرامج الثابتة لـ UEFI (خاصة ترتيب التمهيد)
2. إذا تم تمكين BitLocker:
   1. تحذير: يجب تدوير مفاتيح استرداد BitLocker بعد معالجة المضيف
      1. إذا طُلب منك ذلك، أدخل مفتاح استرداد BitLocker يدويًا لفتح وحدة التخزين.
      2. إذا كان BitLockerKeys.csv قيد الاستخدام، فسيتم تطبيق مفتاح الاسترداد الخاص بالجهاز.
3. سيقوم البرنامج النصي للاسترداد تلقائيًا بإزالة ملف القناة المعيب 291.
   1. يحذف كافة الملفات التي تبدأ بـ C-00000291* الموجود في المجلد C:WindowsSystem32driversCrowdStrike .
   2. سيتم إعادة تشغيل الجهاز تلقائيًا.
4. يجب أن يبدأ تشغيل مضيف Windows بشكل طبيعي.

تقوم صورة CSafeBoot بتعديل تكوين تمهيد Windows الافتراضي للتشغيل في الوضع الآمن مع الشبكة وإعادة التشغيل.

1. حدد محرك أقراص USB لصورة الاسترداد في BootManager
   1. هام : لا تحتاج إلى تعديل إعدادات البرامج الثابتة لـ UEFI (خاصة ترتيب التمهيد)
   2. ملاحظة: حدد متابعة إذا تمت إعادة تشغيل نظامك في بيئة استرداد Windows كجزء من حلقة تمهيد سابقة.
   3. سيتم إعادة تشغيل المضيف في الوضع الآمن بعد التمهيد التالي.
2. قم بتسجيل الدخول كمستخدم لديه أذونات المسؤول المحلي .
3. تأكد من عرض شعار الوضع الآمن على سطح المكتب.
4. العلاج
   1. المعالجة التلقائية:
      1. افتح مستكشف Windows وحدد محرك أقراص USB للاسترداد.
         1. إذا لم يتم عرض محرك أقراص USB للاسترداد في Windows Explorer، فانتقل إلى المعالجة اليدوية
      2. حدد موقع الملف CSRecovery.cmd وانقر بزر الماوس الأيمن عليه، ثم حدد تشغيل كمسؤول .
      3. البرنامج النصي سوف:
         1. احذف كافة الملفات التي تبدأ بـ C-00000291* الموجود في المجلد C:WindowsSystem32driversCrowdStrike .
         2. قم باستعادة تكوين تمهيد Windows مرة أخرى إلى الوضع العادي
         3. سيتم إعادة تشغيل المضيف تلقائيًا.
         4. تحقق من تحميل Windows بنجاح
   2. المعالجة اليدوية:
      1. افتح مستكشف Windows وانتقل إلى C:WindowsSystem32driversCrowdstrike .
      2. احذف كافة الملفات التي تبدأ بـ C-00000291* الموجود في المجلد C:WindowsSystem32driversCrowdStrike .
      3. انقر بزر الماوس الأيمن على القائمة "ابدأ"، ثم انقر فوق Windows PowerShell (Admin) أو Command Prompt (Admin) أو Terminal (Admin) .
      4. في الموجه، اكتب الأمر التالي واضغط على Enter:
         1. bcdedit /deletevalue {default} safeboot
      5. أعد تشغيل الجهاز
      6. تحقق من تحميل Windows بنجاح.

يمكن نشر ملفات ISO الخاصة بمعالجة المضيف وتشغيلها من خلال إمكانية تشغيل PXE الحالية المنتشرة في عملك.

نظرًا للاختلافات الكبيرة في تكوينات الشبكة والبرامج عند تشغيل PXE، لا يمكننا التوصية بتعليمات تمهيد عامة محددة لـ PXE.

تحذير: يجب تدوير مفاتيح استرداد BitLocker بعد معالجة المضيف

التعامل الآمن

الصور القابلة للتمهيد باستخدام مفاتيح استرداد BitLocker

• يجب أن تكون متاحة فقط لأولئك الذين يحتاجون إليها بشدة
• يجب أن يتم تخزينها على أجهزة تخزين محمية بكلمة مرور مع تشفير القرص
• يجب أن يتم نقلها عبر قنوات الاتصال المشفرة

التدمير الآمن

الصور القابلة للتمهيد باستخدام مفاتيح استرداد BitLocker

• يجب تدمير ملفات صور ISO الرقمية باستخدام برنامج مصمم للحذف الآمن لضمان عدم إمكانية استرداد البيانات
• يجب تدمير وسائط التخزين المادية التي تحتوي على صور ISO باستخدام طرق مثل التقطيع أو الحرق أو السحق

إذا استمر المضيف في التمهيد لاسترداد محرك أقراص USB بعد المعالجة

• الحل: أعد التأكد من صحة ترتيب التمهيد في إعدادات البرنامج الثابت لـ UEFI، واسحب محرك أقراص USB بعد المعالجة
• ملاحظة: لا يغير البرنامج النصي لإصلاح CrowdStrike ترتيب تمهيد UEFI لتجنب خطوات BitLocker غير الضرورية.

1. هام : لا تحتاج إلى تعديل إعدادات البرامج الثابتة لـ UEFI (خاصة ترتيب التمهيد)
   1. قد يؤدي القيام بذلك إلى اتخاذ خطوات إضافية لاسترداد BitLocker.

إذا كان البرنامج النصي CSPERecovery أو CSafeBoot لا يستجيب بعد بدء تشغيل Windows PE.

• الحل: اضغط على Enter

إذا تم استخدام علامة -SkipThirdPartyDriverDownloads لإنشاء صورة الاسترداد، فسيتم تضمين برامج التشغيل التي لم يتم اختيارها.

• الحل: انقل (أو قم بإزالة) أي برامج تشغيل للأجهزة من المجلد Drivers الذي لا تريده في صورتك

• ملاحظة : يوفر CrowdStrike فقط برامج تشغيل مفتوحة المصدر للأجهزة الافتراضية المستندة إلى libvirt (على سبيل المثال، OpenStack وKVM).

  • يتم تنزيل جميع برامج تشغيل الأجهزة الخاصة بالموردين مباشرة من مواقع الويب الخاصة بالموردين، باستخدام HTTPS، ويتم التحقق منها تشفيريًا في وقت الإنشاء.

إذا لم يكن ملف CSV قيد الاستخدام، فسيقوم البرنامج النصي CSPERecovery تلقائيًا بمعالجة تثبيت نظام التشغيل Windows واحد فقط على الأجهزة المضيفة ذات تكوينات التشغيل المزدوج/متعدد التشغيل

• الحل: كرر الخطوات من استرداد مضيفي Windows باستخدام قسم CSPERecovery (أعلاه) لكل حرف محرك أقراص تثبيت نظام التشغيل Windows الذي تريد معالجته.
  • ملاحظة: يتطلب كل محرك أقراص لجهاز تثبيت نظام التشغيل Windows مفتاح استرداد BitLocker.
• ستقوم الأداة تلقائيًا بمعالجة جميع محركات الأقراص غير المشفرة أو الأجهزة المحمية باستخدام BitLocker فقط في حالة استخدام BitLockerKeys.csv .
  • ملاحظة: إذا كان المضيف يعمل بنظام التشغيل المزدوج/المتعدد، مع BitLocker، وكانت صورة الاسترداد تحتوي على ملف CSV، فستتم معالجة جميع محركات الأقراص التي تحتوي على مفاتيح في BitLockerKeys.csv .

• ملف CSV الموجود
  • في حالة فشل .Export-BitLockerRecoveryKeys.ps1 مع وجود خطأ في ملف CSV.
    • الحل: انقل الملف الموجود خارج دليل عملك (على سبيل المثال C:falcon-windows-host-recovery-main ).
    • لن يقوم البرنامج النصي بالكتابة فوق هذا الملف تلقائيًا.
• تصدير الدليل النشط:
  • في حالة فشل .Export-BitLockerRecoveryKeys.ps1 بسبب الأذونات .
    • الحل: يجب أن يكون لدى المستخدم أذونات مسؤول المجال، أو أن يكون عضوًا في مجموعة مفوضة بحق الوصول للقراءة إلى مفاتيح استرداد BitLocker.
  • إذا لم تظهر المفاتيح المخزنة في AD عند تشغيل البرنامج النصي من مضيف غير متصل بالمجال.
    • الحل: تشغيل البرنامج النصي .Export-BitLockerRecoveryKeys.ps1 من مضيف خادم مرتبط بالمجال.
    • يمكن أيضًا تصدير مفاتيح Entra ID المخزنة إذا كان الخادم المنضم إلى AD لديه اتصال الشبكة الصادرة المطلوب.
• تصدير معرف الدخول:
  • في حالة فشل .Export-BitLockerRecoveryKeys.ps1 بسبب أخطاء في الأذونات.
    • الحل: يجب أن يكون لدى المستخدم الذي يقوم بتشغيل البرنامج النصي أذونات المسؤول للنطاقات المطلوبة.
    • الحل: يجب أن يكون لدى المستخدم الذي يقوم بتشغيل البرنامج النصي نطاقات BitLockerKey.ReadBasic.All و Device.Read.All المعينة.
      • ملاحظة: موافقة المسؤول العالمي مطلوبة لتعيين النطاق.
  • في حالة فشل .Export-BitLockerRecoveryKeys.ps1 بسبب خطأ في الشبكة.
    • الحل: قم بتشغيل .Export-BitLockerRecoveryKeys.ps1 من مضيف لديه إمكانية الاتصال بـ Microsoft Graph API.

• تحقق من أن ملف CSV الخاص بك يحتوي على رؤوس أعمدة تتطابق تمامًا مع KeyID و RecoveryKey .

حقوق الطبع والنشر (ج) لشركة CrowdStrike, Inc.

من خلال الوصول إلى أو استخدام هذه الصورة، البرنامج النصي، نموذج التعليمات البرمجية، واجهة برمجة التطبيقات، الأدوات و/أو الوثائق المرتبطة (إن وجدت) (يُشار إليها إجمالاً باسم "الأدوات")، فإنك (1) تقر وتضمن أنك تدخل في هذه الاتفاقية على بالنيابة عن شركة أو مؤسسة أو كيان قانوني آخر ("الكيان") هو حاليًا عميل أو شريك لشركة CrowdStrike, Inc. ("CrowdStrike")، و(2) يتمتع بسلطة إلزام هذا الكيان ويوافق هذا الكيان على أن يكون ملزمة بهذه الاتفاقية. تمنح CrowdStrike الكيان ترخيصًا غير حصري وغير قابل للتحويل وغير قابل للترخيص من الباطن وخاليًا من حقوق الملكية ومحدودًا للوصول إلى الأدوات واستخدامها فقط لأغراض الأعمال الداخلية للكيان، بما في ذلك، على سبيل المثال لا الحصر، حقوق نسخ الأدوات وتعديلها حسب الضرورة لأغراضك الداخلية. الأغراض. قد تخضع أي برامج أو ملفات أو برامج تشغيل أو مكونات أخرى تابعة لجهة خارجية يمكنك الوصول إليها و/أو تنزيلها عند استخدام أداة لشروط إضافية أو لترخيص منفصل يقدمه أو يحتفظ به موفر الجهة الخارجية. يتم توفير الأدوات "كما هي" دون أي ضمان من أي نوع، سواء كان صريحًا أو ضمنيًا أو قانونيًا أو غير ذلك. تخلي CROWDSTRIKE مسؤوليتها على وجه التحديد عن جميع التزامات الدعم وجميع الضمانات، بما في ذلك على سبيل المثال لا الحصر، جميع الضمانات الضمنية الخاصة بقابلية التسويق والملاءمة لغرض معين والملكية وعدم الانتهاك. لن تكون Crowdstrike بأي حال من الأحوال مسؤولة عن أي أضرار مباشرة أو غير مباشرة أو عرضية أو خاصة أو نموذجية أو تبعية (بما في ذلك، على سبيل المثال لا الحصر، فقدان الاستخدام أو البيانات أو الأرباح؛ أو انقطاع الأعمال) أيًا كان سببها وعلى أي نظرية المسؤولية، سواء في العقد أو المسؤولية الصارمة أو الضرر (بما في ذلك الإهمال أو غير ذلك) التي تنشأ بأي شكل من الأشكال عن استخدام الأدوات، حتى لو تم الإبلاغ عن احتمال حدوث مثل هذا الضرر. لم يتم اعتماد هذه الأداة من قبل أي طرف ثالث.