Récupération de l'hôte Windows Falcon
Créez des images de démarrage pour corriger les hôtes Windows affectés par la récente mise à jour de Falcon Content.
Regardez la vidéo CrowdStrike Host Remediation with Bootable USB Drive pour une démonstration.
Quoi de neuf
Version 1.3.2
- BuildISO.ps1 : mise à jour du package de pilotes de processeur Surface Laptop 4 pour Intel
Caractéristiques
Outils de construction
- Par défaut - Image avec pilotes de périphérique
- Facultatif - Image avec pilotes personnalisés : minimal, limité et personnalisé (défini par l'utilisateur)
- Facultatif - Image avec prise en charge de la récupération BitLocker personnalisée via CSV
Outils BitLocker
- Facultatif - Créer un CSV de clés de récupération BitLocker à partir d'Active Directory/Entra ID
Outils de correction de l'hôte
Deux images de démarrage sont disponibles : utilisez l'image qui correspond le mieux à vos besoins.
- CSPERecovery - correction automatisée de l'hôte avec des clés de récupération BitLocker manuelles ou automatiques.
- CSSafeBoot - correction d'hôte automatisée et manuelle à l'aide du mode sans échec avec mise en réseau (compte administrateur requis).
Outils de construction
Utilisez ce projet pour créer des images Windows PE amorçables à l'aide des derniers Microsoft ADK, des modules complémentaires Windows PE, des pilotes et des scripts de correction de CrowdStrike.
Exigences
- Un client Windows 10 (ou supérieur) 64 bits avec au moins 16 Go d'espace libre et des privilèges administratifs.
- Téléchargez le projet GitHub falcon-windows-host-recovery sous forme de fichier ZIP.
- Cliquez sur le bouton vert Code et sélectionnez Télécharger ZIP
- Extrayez le contenu de
falcon-windows-host-recovery-main.zip
dans un répertoire de votre choix.- Exemple :
C:falcon-windows-host-recovery-main
. - IMPORTANT : le chemin ne peut pas contenir d'espaces ou de caractères spéciaux
Par défaut - Image avec pilotes de périphérique
Créez des images de démarrage avec des pilotes de périphérique pour tous les éléments suivants :
Machines virtuelles Red Hat/VirtIO, systèmes Dell, systèmes HP, machines virtuelles VMWare, appareils Microsoft Surface (Pro 8, 9, 10, ordinateur portable 4 (Intel/AMD), 5, 6), contrôleurs AMD SATA courants et Intel/LSI MegaSAS courants Cartes RAID.
REMARQUE : la création peut prendre jusqu'à 30 minutes en fonction des performances du réseau et du disque.
- Ouvrez une invite de commande Windows PowerShell (en tant qu'administrateur), définissez la politique d'exécution et créez des images
-
cd C:falcon-windows-host-recovery-main
-
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
-
.BuildISO.ps1
- télécharge l'ensemble par défaut de pilotes de périphérique et crée des images ISO
- Arguments de ligne de commande facultatifs pour le script
BuildISO.ps1
-
-SkipBootPrompt
- Désactivez l'invite "Appuyez sur n'importe quelle touche pour démarrer à partir de [média]" au démarrage du système- Cette fonctionnalité peut ne pas fonctionner sur tous les systèmes
- Sortie : images
-
C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
-
C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso
REMARQUE : la création peut prendre jusqu'à 30 minutes en fonction des performances du réseau et du disque.
Facultatif - Image avec pilotes de périphériques personnalisés
Créez des images amorçables avec un minimum de pilotes uniquement, un ensemble limité de pilotes ou avec vos propres pilotes de périphérique personnalisés.
- Ouvrez une invite de commande Windows PowerShell (en tant qu'administrateur)
-
cd C:falcon-windows-host-recovery-main
- Pilotes personnalisés : téléchargez et décompressez les pilotes de périphérique dans
-
C:falcon-windows-host-recovery-mainDrivers
- REMARQUE : les pilotes dans
Drivers
seront toujours installés , quels que soient les arguments de ligne de commande.
- Arguments de ligne de commande pour le script
BuildISO.ps1
- Pilotes facultatifs : incluez un ou plusieurs ensembles de pilotes (toute combinaison prise en charge)
-
-IncludeCommonDrivers
-- divers pilotes de périphériques clients CrowdStrike courants -
-IncludeDellDrivers
-
-IncludeHPDrivers
-
-IncludeSurfaceDrivers
-
-IncludeVMwareDrivers
- Pilotes minimaux - ignorez tous les ensembles de pilotes inclus (REMARQUE : remplace tous les arguments
-Include*
)-
-SkipThirdPartyDriverDownloads
- Créer des images amorçables
-
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
-
.BuildISO.ps1
- Sortie : images
-
C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
-
C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso
Facultatif – Image avec BitLockerKeys.csv
Créez des images de démarrage avec les clés de récupération BitLocker dans l'image CSPERecovery .
AVERTISSEMENT : les clés de récupération BitLocker doivent être alternées après la correction de l'hôte
Clés BitLocker via CSV Exemple de vos clés de récupération dans un fichier CSV
- IMPORTANT : les en-têtes de colonne KeyID et RecoveryKey sont obligatoires et sensibles à la casse.
ID de clé | Clé de récupération |
---|
3ca7495e-4252-432b-baf1-ÉCHANTILLON | 001317-088010-034473-667247-160608-471717-100894-INVALIDE |
92e89e08-ad6e-4a98-e584-ÉCHANTILLON | 509542-050497-158529-325316-496853-372340-593355-INVALIDE |
72E460C8-4FE8-4249-99CF-ÉCHANTILLON | 529408-021370-702581-530739-028721-610907-461582-INVALIDE |
- Ouvrir une invite de commande Windows PowerShell
- Accédez à votre répertoire de fichiers extraits
-
cd C:falcon-windows-host-recovery-main
- Inclure les clés de récupération BitLocker - via un fichier CSV nommé
BitLockerKeys.csv
-
C:falcon-windows-host-recovery-mainBitLockerKeys.csv
- IMPORTANT : consultez la section Meilleures pratiques ci-dessous pour une manipulation et une destruction en toute sécurité des clés de récupération BitLocker.
- Créer des images amorçables
-
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
-
.BuildISO.ps1
- Sortie : images
-
C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
-
C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso
Outils BitLocker
Exigences
- Powershell 7.0 ou supérieur
- Gestionnaire de serveur -> Serveur local : désactiver
IE Enhanced Security Configuration
- L'exportation Active Directory nécessite un utilisateur administrateur de domaine sur un système d'exploitation Windows Server joint au domaine.
- Le script d'exportation Entra ID nécessite une connectivité à Microsoft Graph et un utilisateur cloud avec les étendues OAuth
BitLockerKey.ReadBasic.All
et Device.Read.All
Facultatif - Exportation automatisée de la clé de récupération BitLocker depuis Active Directory ou Entra ID
Génère un BitLockerKeys.csv
via l'exportation automatisée des clés de récupération BitLocker
- Ouvrez une invite de commande Windows PowerShell (en tant qu'administrateur)
- Accédez à votre répertoire de fichiers extraits
-
cd C:falcon-windows-host-recovery-main
- Arguments de ligne de commande pour le script
Export-BitLockerRecoveryKeys.ps1
-
-ActiveDirectory
- extraire les clés BitLocker d'Active Directory -
-ActiveDirectory -OU
- extraire les clés BitLocker pour une unité organisationnelle spécifique -
-EntraID
- extraire les clés BitLocker d'Entra ID -
-ActiveDirectory -EntraID
- extrait les clés BitLocker d'Active Directory et d'Entra ID
- Extraire les clés de récupération BitLocker de la source
-
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
-
.Export-BitLockerRecoveryKeys.ps1
- Exemple d'unité d'organisation
.Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
- Suivez les invites pour collecter des comptes
- Sortie : fichier CSV :
BitLockerKeys.csv
- Créez une nouvelle image avec ce CSV à l'aide de la section Facultatif - Image avec BitLockerKeys.csv personnalisé ci-dessus
NOTE:
- Utilisez l’indicateur OU pour les grands environnements Active Directory où les recherches de domaine de base renvoient des milliers d’ordinateurs.
Outils de correction de l'hôte
Écrire des fichiers ISO sur une clé USB
- Téléchargez Rufus, un utilitaire open source pour créer des clés USB amorçables depuis https://rufus.ie/en/
- Ouvrez Rufus :
- Utilisez le menu Périphérique pour sélectionner la cible de clé USB souhaitée
- AVERTISSEMENT : la clé USB sera effacée
- Cliquez sur le bouton Sélectionner (à côté de Sélection de démarrage ) et choisissez le fichier ISO CSPERecovery ou CSSafeBoot.
- Utilisez le menu déroulant Schéma de partition pour sélectionner "GPT"
- Utilisez le menu déroulant Système cible pour sélectionner « UEFI (non CSM) »
- Appuyez sur Démarrer
- IMPORTANT - veuillez lire attentivement ce qui suit :
- Si vous êtes invité à écrire en mode ISO ou en mode ESP
- Mode ISO : utilisez-le en premier !
- Expérience utilisateur la plus complète, prend en charge le démarrage MBR et UEFI et active le script de nettoyage automatisé CSSafeBoot ISO.
- L’ISO CSPERecovery n’est pas impacté.
- Mode ESP - à utiliser si l'hôte ne peut pas reconnaître la clé USB amorçable (en particulier sur les anciens systèmes UEFI)
- Revenez à l'étape 2, répétez ces étapes et sélectionnez le mode ESP.
- Le script de nettoyage automatisé ne sera pas disponible dans CSSafeBoot ISO, mais les étapes de correction manuelle sont toujours disponibles et réussiront.
- L’ISO CSPERecovery n’est pas impacté.
Démarrage de l'hôte Windows à partir d'une clé USB
Une fois que vous avez créé une clé USB amorçable en utilisant https://rufus.ie/en/ (dans la section ci-dessus)
- Insérez la clé USB dans l'hôte concerné
- Redémarrez l'hôte et entrez dans le menu de démarrage UEFI à l'aide de la touche F12.
- Vous pouvez également essayer les touches F1, F2, F10 ou F11 (selon le fabricant du BIOS)
- Sélectionnez la clé USB
- Préparez-vous à sélectionner UEFI si vous avez le choix entre les options MBR et UEFI avec la même étiquette
- Attendez pendant le chargement de Windows PE
- Passez à la section "Récupérer..." appropriée ci-dessous pour utiliser CSSafeBoot ou CSPERecovery.
Récupérer des hôtes Windows à l'aide de CSPERecovery
L’image CSPERecovery corrige automatiquement les systèmes et inclut la prise en charge de BitLocker.
- Sélectionnez la clé USB de l’image de récupération dans BootManager.
- IMPORTANT : VOUS N'AVEZ PAS BESOIN DE MODIFIER LES PARAMÈTRES DU FIRMWARE UEFI (en particulier l'ordre de démarrage)
- Si BitLocker est activé :
- AVERTISSEMENT : les clés de récupération BitLocker doivent être alternées après la correction de l'hôte
- Si vous y êtes invité, entrez manuellement votre clé de récupération BitLocker pour déverrouiller le volume.
- Si
BitLockerKeys.csv
est utilisé, la clé de récupération du périphérique sera appliquée.
- Le script de récupération supprimera automatiquement le fichier de chaîne 291 défectueux.
- Supprime tous les fichiers commençant par
C-00000291*
situés dans le dossier C:WindowsSystem32driversCrowdStrike
. - L'appareil redémarrera automatiquement.
- L'hôte Windows devrait démarrer normalement.
Récupérer des hôtes Windows à l'aide de CSSafeBoot
L'image CSSafeBoot modifie la configuration de démarrage Windows par défaut pour démarrer en mode sans échec avec mise en réseau et redémarre.
- Sélectionnez la clé USB de l'image de récupération dans BootManager
- IMPORTANT : VOUS N'AVEZ PAS BESOIN DE MODIFIER LES PARAMÈTRES DU FIRMWARE UEFI (en particulier l'ordre de démarrage)
- REMARQUE : sélectionnez Continuer si votre système redémarre dans l'environnement de récupération Windows dans le cadre d'une boucle de démarrage précédente.
- L'hôte redémarrera en mode sans échec après le prochain démarrage.
- Connectez-vous en tant qu'utilisateur avec les autorisations d'administrateur local .
- Confirmez que la bannière du mode sans échec s'affiche sur le bureau.
- Assainissement
- Correction automatique :
- Ouvrez l'Explorateur Windows et sélectionnez la clé USB de récupération.
- Si la clé USB de récupération ne s'affiche pas dans l'Explorateur Windows, passez à la correction manuelle
- Recherchez et cliquez avec le bouton droit sur le fichier
CSRecovery.cmd
, puis sélectionnez Exécuter en tant qu'administrateur . - Le script va :
- Supprimez tous les fichiers commençant par
C-00000291*
situés dans le dossier C:WindowsSystem32driversCrowdStrike
. - Restaurer la configuration de démarrage de Windows en mode normal
- L'hôte redémarrera automatiquement.
- Vérifiez que Windows se charge avec succès
- Correction manuelle :
- Ouvrez l'Explorateur Windows et accédez à
C:WindowsSystem32driversCrowdstrike
. - Supprimez tous les fichiers commençant par
C-00000291*
situés dans le dossier C:WindowsSystem32driversCrowdStrike
. - Cliquez avec le bouton droit sur le menu Démarrer et cliquez sur
Windows PowerShell (Admin)
, Command Prompt (Admin)
ou Terminal (Admin)
. - À l'invite, tapez la commande suivante et appuyez sur Entrée :
-
bcdedit /deletevalue {default} safeboot
- Redémarrez l'appareil
- Vérifiez que Windows se charge avec succès.
Récupération d'hôtes Windows à l'aide de PXE
Les fichiers ISO de correction de l'hôte peuvent être déployés et démarrés via la fonctionnalité de démarrage PXE existante déployée dans votre entreprise.
En raison de différences significatives dans les configurations réseau et logicielles avec le démarrage PXE, nous ne pouvons pas recommander d'instructions de démarrage PXE génériques spécifiques.
Meilleures pratiques
Utilisation des clés de récupération BitLocker
AVERTISSEMENT : les clés de récupération BitLocker doivent être alternées après la correction de l'hôte
Manipulation sûre
Images amorçables avec les clés de récupération BitLocker
- ne devrait être accessible qu’à ceux qui en ont absolument besoin
- doit être stocké sur des périphériques de stockage protégés par mot de passe avec cryptage de disque
- doivent être transférés via des canaux de communication cryptés
Destruction sécurisée
Images amorçables avec les clés de récupération BitLocker
- Les fichiers d'images ISO numériques doivent être détruits à l'aide d'un logiciel conçu pour une suppression sécurisée afin de garantir que les données ne puissent pas être récupérées.
- Les supports de stockage physiques contenant des images ISO doivent être détruits à l'aide de méthodes telles que le déchiquetage, l'incinération ou le broyage.
Dépannage
L'hôte redémarre sur la clé USB uniquement après la correction
Si l'hôte continue de démarrer sur la clé USB de récupération après la correction
- Solution : reconfirmez que l'ordre de démarrage dans les paramètres du micrologiciel UEFI est correct et retirez la clé USB après la correction.
- REMARQUE : le script de correction CrowdStrike ne modifie pas l'ordre de démarrage UEFI pour éviter les étapes BitLocker inutiles.
- IMPORTANT : VOUS N'AVEZ PAS BESOIN DE MODIFIER LES PARAMÈTRES DU FIRMWARE UEFI (en particulier l'ordre de démarrage)
- Cela pourrait entraîner des étapes de récupération BitLocker supplémentaires.
Utilitaire de démarrage en mode sans échec CrowdStrike gelé
Si le script CSPERecovery ou CSSafeBoot ne répond pas après le démarrage de Windows PE.
- Solution : appuyez sur Entrée
Taille de l'image de récupération et pilotes de périphérique
Si l’indicateur -SkipThirdPartyDriverDownloads
a été utilisé pour créer l’image de récupération et que les pilotes qui n’ont pas été choisis sont inclus.
Solution : déplacez (ou supprimez) tous les pilotes de périphérique du dossier Drivers
que vous ne souhaitez pas voir dans votre image.
REMARQUE : CrowdStrike fournit uniquement des pilotes open source pour les machines virtuelles basées sur libvirt (par exemple, OpenStack et KVM).
- Tous les pilotes de périphériques des fournisseurs sont téléchargés directement à partir des sites Web des fournisseurs, à l'aide de HTTPS, et vérifiés cryptographiquement au moment de la construction.
Système d'exploitation Windows à double et multi-démarrage et BitLocker
Si CSV n'est pas utilisé, le script CSPERecovery ne corrigera automatiquement qu'une seule installation du système d'exploitation Windows sur les hôtes avec des configurations double/multi-boot.
- Solution : répétez les étapes de la section Récupérer des hôtes Windows à l'aide de CSPERecovery (ci-dessus) pour chaque lettre de lecteur d'installation du système d'exploitation Windows que vous souhaitez corriger.
- REMARQUE : chaque lecteur de périphérique d'installation du système d'exploitation Windows nécessite une clé de récupération BitLocker.
- L'outil ne corrigera automatiquement tous les lecteurs non chiffrés ou les appareils protégés par BitLocker que si le
BitLockerKeys.csv
est utilisé.- REMARQUE : si l'hôte est doté d'un démarrage double/multi-OS, avec BitLocker et que l'image de récupération est au format CSV, tous les lecteurs ayant des clés dans
BitLockerKeys.csv
seront corrigés.
Exportation de clé de récupération BitLocker depuis Active Directory/Entra ID
- CSV existant
- Si
.Export-BitLockerRecoveryKeys.ps1
échoue avec un fichier CSV, une erreur existe.- Solution : déplacez le fichier existant en dehors de votre répertoire de travail (par exemple
C:falcon-windows-host-recovery-main
). - Le script n'écrasera pas automatiquement ce fichier.
- Exportation Active Directory :
- Si
.Export-BitLockerRecoveryKeys.ps1
échoue en raison d’ autorisations .- Solution : l'utilisateur doit disposer des autorisations d'administrateur de domaine ou être membre d'un groupe délégué avec un accès en lecture aux clés de récupération BitLocker.
- Si les clés stockées dans AD n'apparaissent pas lorsque le script est exécuté à partir d'un hôte non connecté au domaine.
- Solution : exécutez le script
.Export-BitLockerRecoveryKeys.ps1
à partir d'un hôte de serveur joint au domaine. - Les clés stockées Entra ID peuvent également être exportées si le serveur joint à AD dispose de la connectivité réseau sortante requise.
- Exportation d'ID d'entrée :
- Si
.Export-BitLockerRecoveryKeys.ps1
échoue en raison d’erreurs d’autorisation.- Solution : l'utilisateur exécutant le script doit disposer des autorisations d'administrateur pour les étendues requises.
- Solution : l'utilisateur qui exécute le script doit se voir attribuer les étendues
BitLockerKey.ReadBasic.All
et Device.Read.All
.- REMARQUE : L'approbation de l'administrateur global est requise pour l'attribution de la portée.
- Si
.Export-BitLockerRecoveryKeys.ps1
échoue en raison d’une erreur réseau.- Solution : exécutez
.Export-BitLockerRecoveryKeys.ps1
à partir d'un hôte doté d'une connectivité à l'API Microsoft Graph.
Clé de récupération BitLocker CSV
- Vérifiez que votre fichier CSV comporte des en-têtes de colonne qui correspondent exactement
KeyID
et RecoveryKey
.
Licence
Droit d'auteur (c) CrowdStrike, Inc.
En accédant ou en utilisant cette image, ce script, cet exemple de code, cette interface de programmation d'application, ces outils et/ou la documentation associée (le cas échéant) (collectivement, les « Outils »), vous (i) déclarez et garantissez que vous concluez le présent accord sur au nom d'une société, d'une organisation ou d'une autre entité juridique (« Entité ») qui est actuellement client ou partenaire de CrowdStrike, Inc. (« CrowdStrike »), et (ii) ont le pouvoir de lier cette entité et cette entité accepte d'être lié par ceci Accord. CrowdStrike accorde à l'entité une licence non exclusive, non transférable, ne pouvant faire l'objet d'une sous-licence, libre de droits et limitée pour accéder et utiliser les outils uniquement à des fins commerciales internes de l'entité, y compris, sans limitation, les droits de copier et de modifier les outils si nécessaire pour vos besoins internes. fins. Tout logiciel, fichier, pilote ou autre composant tiers auquel vous accédez et/ou téléchargez lors de l'utilisation d'un outil peut être régi par des conditions supplémentaires ou par une licence distincte fournie ou maintenue par le fournisseur tiers. LES OUTILS SONT FOURNIS « EN L'ÉTAT » SANS GARANTIE D'AUCUNE SORTE, EXPRESSE, IMPLICITE, LÉGALE OU AUTRE. CROWDSTRIKE DÉCLINE SPÉCIFIQUEMENT TOUTES LES OBLIGATIONS DE SOUTIEN ET TOUTES LES GARANTIES, Y COMPRIS SANS LIMITATION, TOUTES LES GARANTIES IMPLICITES DE QUALITÉ MARCHANDE, D'ADAPTATION À UN USAGE PARTICULIER, DE TITRE ET DE NON-VIOLATION. EN AUCUN CAS CROWDSTRIKE NE POURRA ÊTRE RESPONSABLE DES DOMMAGES DIRECTS, INDIRECTS, ACCESSOIRES, SPÉCIAUX, EXEMPLAIRES OU CONSÉCUTIFS (Y COMPRIS, MAIS SANS LIMITATION, LA PERTE D'UTILISATION, DE DONNÉES OU DE PROFITS ; OU L'INTERRUPTION DES ACTIVITÉS), QUELLE QU'EN SOIT LA CAUSE ET SUR TOUTE THÉORIE DE RESPONSABILITÉ, QU'ELLE SOIT CONTRACTELLE, RESPONSABILITÉ STRICTE OU DÉLIT (Y COMPRIS LA NÉGLIGENCE OU AUTRE) DÉCOULANT DE QUELQUE MANIÈRE QUE CE SOIT DE L'UTILISATION DES OUTILS, MÊME SI AVISÉ DE LA POSSIBILITÉ DE TELS DOMMAGES. CET OUTIL N'EST APPROUVÉ PAR AUCUN TIERS.