falcon windows host recovery

Cree imágenes de arranque para reparar los hosts de Windows afectados por la reciente actualización de contenido de Falcon.

Mire el vídeo CrowdStrike Host Remediation with Bootable USB Drive para ver una demostración.

• BuildISO.ps1 : se actualizó Surface Laptop 4 para el paquete de controladores de procesador Intel

• Predeterminado: imagen con controladores de dispositivo
• Opcional: Imagen con controladores personalizados: mínimo, limitado y personalizado (definido por el usuario)
• Opcional: Imagen con soporte personalizado de recuperación de BitLocker a través de CSV

• Opcional: crear CSV de claves de recuperación de BitLocker desde Active Directory/Entra ID

Hay dos imágenes de arranque disponibles: utilice la imagen que mejor se adapte a sus necesidades.

• CSPERecovery : corrección automatizada del host con claves de recuperación de BitLocker manuales o automáticas.
• CSSafeBoot : corrección de host manual y automática mediante Modo seguro con funciones de red (se requiere cuenta de administrador).

Utilice este proyecto para crear imágenes de arranque de Windows PE utilizando los últimos Microsoft ADK, complementos, controladores y scripts de corrección de CrowdStrike para Windows PE.

• Un cliente Windows 10 (o superior) de 64 bits con al menos 16 GB de espacio libre y privilegios administrativos.

1. Descargue el proyecto GitHub falcon-windows-host-recovery como un archivo ZIP.
   1. Haga clic en el botón verde Código y seleccione Descargar ZIP
2. Extraiga el contenido de falcon-windows-host-recovery-main.zip al directorio que elija.
   1. Ejemplo: C:falcon-windows-host-recovery-main .
   2. IMPORTANTE: la ruta no puede contener espacios ni caracteres especiales

Cree imágenes de arranque con controladores de dispositivo para todo lo siguiente:

Máquinas virtuales Red Hat/VirtIO, sistemas Dell, sistemas HP, máquinas virtuales VMWare, dispositivos Microsoft Surface (Pro 8, 9, 10, Laptop 4 (Intel/AMD), 5, 6), controladores AMD SATA comunes e Intel/LSI MegaSAS comunes Tarjetas RAID.

NOTA : la compilación puede tardar más de 30 minutos según el rendimiento de la red y del disco.

1. Abra un símbolo del sistema de Windows PowerShell (como administrador), establezca la política de ejecución y cree imágenes
   1. cd C:falcon-windows-host-recovery-main
   2. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   3. .BuildISO.ps1 : descarga el conjunto predeterminado de controladores de dispositivo y crea imágenes ISO
2. Argumentos de línea de comandos opcionales para el script BuildISO.ps1
   1. -SkipBootPrompt : deshabilita el mensaje "presione cualquier tecla para iniciar desde [medio]" cuando se inicia el sistema.
      1. Es posible que esta característica no funcione en todos los sistemas.
3. Salida: imágenes
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

NOTA : la compilación puede tardar más de 30 minutos según el rendimiento de la red y del disco.

Cree imágenes de arranque únicamente con controladores mínimos, un conjunto limitado de controladores o con sus propios controladores de dispositivo personalizados.

1. Abra un símbolo del sistema de Windows PowerShell (como administrador)
   1. cd C:falcon-windows-host-recovery-main
2. Controladores personalizados: descargue y descomprima los controladores de dispositivo en
   1. C:falcon-windows-host-recovery-mainDrivers
   2. NOTA: los controladores en Drivers siempre se instalarán , independientemente de los argumentos de la línea de comandos.
3. Argumentos de la línea de comandos para el script BuildISO.ps1
   1. Controladores opcionales: incluye uno o más conjuntos de controladores (se admite cualquier combinación)
      1. -IncludeCommonDrivers : varios controladores de dispositivos comunes de los clientes de CrowdStrike
      2. -IncludeDellDrivers
      3. -IncludeHPDrivers
      4. -IncludeSurfaceDrivers
      5. -IncludeVMwareDrivers
   2. Controladores mínimos: omita todos los conjuntos de controladores incluidos (NOTA: anula cualquier argumento -Include* )
      1. -SkipThirdPartyDriverDownloads
4. Construir imágenes de arranque
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
5. Salida: imágenes
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

Cree imágenes de arranque con claves de recuperación de BitLocker en la imagen CSPERecovery .

ADVERTENCIA: Las claves de recuperación de BitLocker se deben rotar después de la corrección del host

Claves de BitLocker a través de CSV Ejemplo de sus claves de recuperación en un archivo CSV

• IMPORTANTE: los encabezados de columna KeyID y RecoveryKey son obligatorios y distinguen entre mayúsculas y minúsculas.

1. Abra un símbolo del sistema de Windows PowerShell
   1. Cambie a su directorio de archivos extraídos
      1. cd C:falcon-windows-host-recovery-main
2. Incluir claves de recuperación de BitLocker: mediante un archivo CSV denominado BitLockerKeys.csv
   1. C:falcon-windows-host-recovery-mainBitLockerKeys.csv
   2. IMPORTANTE: consulte la sección de Mejores prácticas a continuación para conocer el manejo y la destrucción seguros de las claves de recuperación de BitLocker
3. Crear imágenes de arranque
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
4. Salida: imágenes
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

Requisitos

• Powershell 7.0 o superior
• Administrador del servidor -> Servidor local: deshabilite IE Enhanced Security Configuration
• La exportación de Active Directory requiere un usuario administrador de dominio en un sistema operativo Windows Server unido a un dominio.
• El script de exportación de Entra ID requiere conectividad a Microsoft Graph y un usuario de la nube con ámbitos OAuth BitLockerKey.ReadBasic.All y Device.Read.All

Genera un BitLockerKeys.csv mediante la exportación automatizada de claves de recuperación de BitLocker

1. Abra un símbolo del sistema de Windows PowerShell (como administrador)
   1. Cambie a su directorio de archivos extraídos
      1. cd C:falcon-windows-host-recovery-main
2. Argumentos de línea de comandos para el script Export-BitLockerRecoveryKeys.ps1
   1. -ActiveDirectory : extrae claves de BitLocker de Active Directory
   2. -ActiveDirectory -OU : extrae claves de BitLocker para una unidad organizativa específica
   3. -EntraID : extrae las claves de BitLocker de Entra ID
   4. -ActiveDirectory -EntraID : extrae claves de BitLocker tanto de Active Directory como de Entra ID
3. Extraiga las claves de recuperación de BitLocker de la fuente
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .Export-BitLockerRecoveryKeys.ps1
      1. Ejemplo de unidad organizativa .Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
4. Siga las indicaciones para cobrar cuentas
5. Salida: archivo CSV: BitLockerKeys.csv
6. Cree una nueva imagen con este CSV usando la sección Opcional - Imagen con BitLockerKeys.csv personalizado anterior

NOTA:

• Utilice el indicador OU para entornos grandes de Active Directory donde las búsquedas de dominio base devuelven miles de computadoras.

1. Descargue Rufus, una utilidad de código abierto para crear memorias USB de arranque desde https://rufus.ie/en/
2. Abrir Rufus:
   1. Utilice el menú Dispositivo para seleccionar el destino de la unidad USB deseada
      1. ADVERTENCIA: la unidad USB se borrará
   2. Haga clic en el botón Seleccionar (al lado de Selección de arranque ) y elija el archivo ISO CSPERecovery o CSSafeBoot.
   3. Utilice el menú desplegable Esquema de partición para seleccionar "GPT"
   4. Utilice el menú desplegable Sistema de destino para seleccionar "UEFI (no CSM)"
   5. Presione Inicio
   6. IMPORTANTE : lea atentamente lo siguiente :
      1. Si se le solicita escribir en modo ISO o modo ESP
         1. Modo ISO : ¡usa esto primero!
            1. La experiencia de usuario más completa, admite arranque MBR y UEFI y habilita el script de limpieza automatizado CSSafeBoot ISO.
               1. El ISO de CSPERecovery no se ve afectado.
         2. Modo ESP : utilícelo si el host no puede reconocer la unidad USB de arranque (particularmente en sistemas UEFI más antiguos)
            1. Vuelva al Paso 2, repita estos pasos y seleccione el modo ESP.
            2. El script de limpieza automatizada no estará disponible en CSSafeBoot ISO, pero los pasos de corrección manual aún están disponibles y se realizarán correctamente.
               1. El ISO de CSPERecovery no se ve afectado.

Una vez que haya creado una unidad USB de arranque usando https://rufus.ie/en/ (en la sección anterior)

1. Inserte la unidad USB en el host afectado
2. Reinicie el host e ingrese al menú de inicio UEFI usando la tecla F12
   1. También puedes probar con las teclas F1, F2, F10 o F11 (según el fabricante del BIOS)
3. Seleccione la unidad USB
   1. Prepárese para seleccionar UEFI si puede elegir entre la opción MBR y UEFI con la misma etiqueta
4. Espere mientras se carga Windows PE
5. Continúe con la sección "Recuperar..." correspondiente a continuación para usar CSSafeBoot o CSPERecovery

La imagen CSPERecovery repara los sistemas automáticamente e incluye soporte para BitLocker.

1. Seleccione la imagen de recuperación de la unidad USB en BootManager.
   1. IMPORTANTE : NO ES NECESARIO MODIFICAR LA CONFIGURACIÓN DEL FIRMWARE UEFI (especialmente el orden de inicio)
2. Si BitLocker está habilitado:
   1. ADVERTENCIA: Las claves de recuperación de BitLocker se deben rotar después de la corrección del host
      1. Si se le solicita, ingrese manualmente su clave de recuperación de BitLocker para desbloquear el volumen.
      2. Si se utiliza BitLockerKeys.csv , se aplicará la clave de recuperación para el dispositivo.
3. El script de recuperación eliminará automáticamente el archivo de canal 291 defectuoso.
   1. Elimina todos los archivos que comienzan con C-00000291* ubicados en la carpeta C:WindowsSystem32driversCrowdStrike .
   2. El dispositivo se reiniciará automáticamente.
4. El host de Windows debería iniciarse normalmente.

La imagen CSSafeBoot modifica la configuración de inicio predeterminada de Windows para iniciar en Modo seguro con funciones de red y se reinicia.

1. Seleccione la unidad USB de imagen de recuperación en BootManager
   1. IMPORTANTE : NO ES NECESARIO MODIFICAR LA CONFIGURACIÓN DEL FIRMWARE UEFI (especialmente el orden de inicio)
   2. NOTA: Seleccione Continuar si su sistema se reinicia en el entorno de recuperación de Windows como parte de un ciclo de inicio anterior.
   3. El host se reiniciará en modo seguro después del siguiente inicio.
2. Inicie sesión como usuario con permisos de Administrador local .
3. Confirme que el banner de Modo seguro se muestra en el escritorio.
4. Remediación
   1. Remediación automática:
      1. Abra el Explorador de Windows y seleccione la unidad USB de recuperación.
         1. Si la unidad USB de recuperación no aparece en el Explorador de Windows, vaya a Solución manual
      2. Localice y haga clic derecho en el archivo CSRecovery.cmd y seleccione Ejecutar como administrador .
      3. El guión:
         1. Elimine todos los archivos que comiencen con C-00000291* ubicados en la carpeta C:WindowsSystem32driversCrowdStrike .
         2. Restaurar la configuración de arranque de Windows al modo normal
         3. El host se reiniciará automáticamente.
         4. Verifique que Windows se cargue correctamente
   2. Corrección manual:
      1. Abra el Explorador de Windows y navegue hasta C:WindowsSystem32driversCrowdstrike .
      2. Elimine todos los archivos que comiencen con C-00000291* ubicados en la carpeta C:WindowsSystem32driversCrowdStrike .
      3. Haga clic derecho en el menú Inicio y haga clic en Windows PowerShell (Admin) , Command Prompt (Admin) o Terminal (Admin) .
      4. Cuando se le solicite, escriba el siguiente comando y presione Entrar:
         1. bcdedit /deletevalue {default} safeboot
      5. Reinicia el dispositivo
      6. Verifique que Windows se cargue correctamente.

Los archivos ISO de corrección del host se pueden implementar e iniciar a través de la capacidad de inicio PXE existente implementada en su empresa.

Debido a diferencias significativas en las configuraciones de red y software con el arranque PXE, no podemos recomendar instrucciones de arranque PXE genéricas específicas.

ADVERTENCIA: Las claves de recuperación de BitLocker se deben rotar después de la corrección del host

Manejo seguro

Imágenes de arranque con claves de recuperación de BitLocker

• Sólo debe ser accesible para aquellos que los necesitan absolutamente.
• debe almacenarse en dispositivos de almacenamiento protegidos con contraseña y con cifrado de disco
• debe transferirse a través de canales de comunicación cifrados

Destrucción segura

Imágenes de arranque con claves de recuperación de BitLocker

• Los archivos de imágenes ISO digitales deben destruirse utilizando un software diseñado para una eliminación segura para garantizar que los datos no se puedan recuperar.
• Los medios de almacenamiento físico que contengan imágenes ISO deben destruirse mediante métodos como trituración, incineración o trituración.

Si el host continúa iniciando desde la unidad USB de recuperación después de la corrección

• Solución: reconfirme que el orden de inicio en la configuración del firmware UEFI sea correcto y extraiga la unidad USB después de la reparación
• NOTA: El script de corrección de CrowdStrike no cambia el orden de inicio UEFI para evitar pasos innecesarios de BitLocker.

1. IMPORTANTE : NO ES NECESARIO MODIFICAR LA CONFIGURACIÓN DEL FIRMWARE UEFI (especialmente el orden de inicio)
   1. Hacerlo puede causar pasos adicionales de recuperación de BitLocker.

Si el script CSPERecovery o CSSafeBoot no responde después de iniciar Windows PE.

• Solución: presione Enter

Si se utilizó el indicador -SkipThirdPartyDriverDownloads para crear la imagen de recuperación y se incluyen los controladores que no se eligieron.

• Solución: mueva (o elimine) cualquier controlador de dispositivo de la carpeta Drivers que no desee en su imagen

• NOTA : CrowdStrike solo proporciona controladores de código abierto para máquinas virtuales basadas en libvirt (por ejemplo, OpenStack y KVM).

  • Todos los controladores de dispositivos de los proveedores se descargan directamente desde los sitios web de los proveedores, mediante HTTPS, y se verifican criptográficamente en el momento de la compilación.

Si CSV no está en uso, el script CSPERecovery solo solucionará automáticamente una instalación del sistema operativo Windows en hosts con configuraciones de arranque dual o múltiple.

• Solución: repita los pasos de la sección Recuperar hosts de Windows mediante CSPERecovery (arriba) para cada letra de unidad de instalación del sistema operativo Windows que desee corregir.
  • NOTA: cada unidad de dispositivo de instalación del sistema operativo Windows requiere una clave de recuperación de BitLocker.
• La herramienta solo reparará automáticamente todas las unidades no cifradas o dispositivos protegidos con BitLocker si se utiliza BitLockerKeys.csv .
  • NOTA: si el host tiene un arranque de sistema operativo dual o múltiple, con BitLocker, y la imagen de recuperación tiene CSV, se corregirán todas las unidades que tengan claves en BitLockerKeys.csv .

• CSV existente
  • Si .Export-BitLockerRecoveryKeys.ps1 falla con un error de archivo CSV.
    • Solución: mueva el archivo existente fuera de su directorio de trabajo (por ejemplo, C:falcon-windows-host-recovery-main ).
    • El script no sobrescribirá automáticamente este archivo.
• Exportación de Directorio Activo:
  • Si .Export-BitLockerRecoveryKeys.ps1 falla debido a los permisos .
    • Solución: el usuario debe tener permisos de administrador de dominio o ser miembro de un grupo al que se le haya delegado acceso de lectura a las claves de recuperación de BitLocker.
  • Si las claves almacenadas de AD no aparecen cuando el script se ejecuta desde un host no conectado al dominio.
    • Solución: ejecute el script .Export-BitLockerRecoveryKeys.ps1 desde un host de servidor unido a un dominio.
    • Las claves almacenadas de Entra ID también se pueden exportar si el servidor unido a AD tiene la conectividad de red saliente requerida.
• Exportación de ID de entrada:
  • Si .Export-BitLockerRecoveryKeys.ps1 falla debido a errores de permisos.
    • Solución: el usuario que ejecuta el script debe tener permisos de administrador para los ámbitos requeridos.
    • Solución: el usuario que ejecuta el script debe tener asignados los ámbitos BitLockerKey.ReadBasic.All y Device.Read.All .
      • NOTA: Se requiere la aprobación del Administrador global para la asignación del alcance.
  • Si .Export-BitLockerRecoveryKeys.ps1 falla debido a un error de red.
    • Solución: ejecute .Export-BitLockerRecoveryKeys.ps1 desde un host con conectividad a la API de Microsoft Graph.

• Verifique que su archivo CSV tenga encabezados de columna que coincidan exactamente con KeyID y RecoveryKey .

Copyright (c) CrowdStrike, Inc.

Al acceder o utilizar esta imagen, secuencia de comandos, código de muestra, interfaz de programación de aplicaciones, herramientas y/o documentación asociada (si corresponde) (colectivamente, "Herramientas"), usted (i) declara y garantiza que celebra este Acuerdo en en nombre de una empresa, organización u otra entidad legal ("Entidad") que actualmente es cliente o socio de CrowdStrike, Inc. ("CrowdStrike"), y (ii) tiene la autoridad para vincular a dicha Entidad y dicha Entidad acepta ser obligado por este Acuerdo. CrowdStrike otorga a la Entidad una licencia no exclusiva, intransferible, no sublicenciable, libre de regalías y limitada para acceder y utilizar las Herramientas únicamente para los fines comerciales internos de la Entidad, incluidos, entre otros, los derechos para copiar y modificar las Herramientas según sea necesario para sus necesidades internas. propósitos. Cualquier software, archivo, controlador u otro componente de terceros al que Usted acceda y/o descargue cuando utilice una Herramienta puede regirse por términos adicionales o por una licencia separada proporcionada o mantenida por el proveedor externo. LAS HERRAMIENTAS SE PROPORCIONAN “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO, YA SEA EXPRESA, IMPLÍCITA O ESTATUTARIA O DE OTRA MANERA. CROWDSTRIKE RENUNCIA ESPECÍFICAMENTE A TODAS LAS OBLIGACIONES DE SOPORTE Y A TODAS LAS GARANTÍAS, INCLUYENDO, SIN LIMITACIÓN, TODAS LAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN PARTICULAR, TÍTULO Y NO INFRACCIÓN. EN NINGÚN CASO CROWDSTRIKE SERÁ RESPONSABLE POR NINGÚN DAÑO DIRECTO, INDIRECTO, INCIDENTAL, ESPECIAL, EJEMPLAR O CONSECUENTE (INCLUYENDO, PERO NO LIMITADO A, PÉRDIDA DE USO, DATOS O GANANCIAS; O INTERRUPCIÓN COMERCIAL) CUALQUIER CAUSA Y BAJO CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA EN CONTRATO, RESPONSABILIDAD ESTRICTA O AGRAVIO (INCLUYENDO NEGLIGENCIA O DE OTRA MANERA) QUE SURJA DE CUALQUIER MANERA DEL USO DE LAS HERRAMIENTAS, INCLUSO SI SE ADVIERTE DE LA POSIBILIDAD DE DICHO DAÑO. ESTA HERRAMIENTA NO ESTÁ RESPALDADA POR NINGÚN TERCERO.