falcon windows host recovery

Buat image yang dapat di-boot untuk memulihkan host Windows yang terkena dampak Pembaruan Konten Falcon baru-baru ini.

Tonton video Remediasi Host CrowdStrike dengan Drive USB yang Dapat Di-boot untuk demonstrasinya.

• BuildISO.ps1 : Memperbarui Surface Laptop 4 untuk Paket Driver Prosesor Intel

• Default - Gambar dengan Driver Perangkat
• Opsional - Gambar dengan Driver Khusus: minimal, terbatas, dan khusus (ditentukan pengguna)
• Opsional - Gambar dengan dukungan Pemulihan BitLocker Kustom melalui CSV

• Opsional - Buat CSV Kunci Pemulihan BitLocker dari Direktori Aktif/ID Entra

Tersedia dua gambar yang dapat di-boot - gunakan gambar yang paling sesuai dengan kebutuhan Anda.

• CSPERecovery - remediasi host otomatis dengan kunci pemulihan BitLocker manual atau otomatis.
• CSSafeBoot - remediasi host otomatis dan manual menggunakan Safe Mode with Networking (diperlukan akun administrator).

Gunakan proyek ini untuk membuat image Windows PE yang dapat di-boot menggunakan Microsoft ADK terbaru, add-on Windows PE, driver, dan skrip remediasi CrowdStrike.

• Klien Windows 10 (atau lebih tinggi) 64-bit dengan setidaknya 16 GB ruang kosong, dan hak administratif.

1. Unduh proyek GitHub falcon-windows-host-recovery sebagai file ZIP.
   1. Klik tombol Kode hijau dan pilih Unduh ZIP
2. Ekstrak konten falcon-windows-host-recovery-main.zip ke direktori pilihan Anda.
   1. Contoh: C:falcon-windows-host-recovery-main .
   2. PENTING: jalur tidak boleh berisi spasi atau karakter khusus

Buat image yang dapat di-boot dengan driver perangkat untuk semua hal berikut:

VM Red Hat/VirtIO, sistem Dell, sistem HP, VM VMWare, perangkat Microsoft Surface (Pro 8, 9, 10, Laptop 4 (Intel/AMD), 5, 6), pengontrol AMD SATA umum, dan Intel / LSI MegaSAS umum kartu RAID.

CATATAN : mungkin memerlukan waktu hingga 30 menit untuk membangun berdasarkan kinerja jaringan dan disk

1. Buka prompt perintah Windows PowerShell (sebagai Administrator), atur kebijakan eksekusi dan buat image
   1. cd C:falcon-windows-host-recovery-main
   2. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   3. .BuildISO.ps1 - mengunduh kumpulan driver perangkat default dan membuat image ISO
2. Argumen Baris Perintah Opsional untuk skrip BuildISO.ps1
   1. -SkipBootPrompt - Nonaktifkan perintah "tekan sembarang tombol untuk boot dari [media]" saat sistem melakukan booting
      1. Fitur ini mungkin tidak berfungsi pada semua sistem
3. Keluaran: gambar
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

CATATAN : mungkin memerlukan waktu hingga 30 menit untuk membangun berdasarkan kinerja jaringan dan disk

Buat image yang dapat di-boot hanya dengan driver minimal, kumpulan driver terbatas, atau dengan driver perangkat khusus Anda sendiri.

1. Buka prompt perintah Windows PowerShell (sebagai Administrator)
   1. cd C:falcon-windows-host-recovery-main
2. Driver khusus - unduh dan ekstrak driver perangkat ke dalamnya
   1. C:falcon-windows-host-recovery-mainDrivers
   2. CATATAN: driver di Drivers akan selalu diinstal , apa pun argumen baris perintahnya.
3. Argumen baris perintah untuk skrip BuildISO.ps1
   1. Driver opsional - sertakan satu atau lebih set driver (kombinasi apa pun didukung)
      1. -IncludeCommonDrivers -- berbagai driver perangkat pelanggan CrowdStrike yang umum
      2. -IncludeDellDrivers
      3. -IncludeHPDrivers
      4. -IncludeSurfaceDrivers
      5. -IncludeVMwareDrivers
   2. Driver minimal - lewati semua set driver yang disertakan (CATATAN: ganti argumen -Include* apa pun)
      1. -SkipThirdPartyDriverDownloads
4. Buat gambar yang dapat di-boot
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
5. Keluaran: gambar
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

Buat image yang dapat di-boot dengan BitLocker Recovery Keys di image CSPERecovery .

PERINGATAN: Kunci Pemulihan BitLocker harus dirotasi setelah remediasi host

Kunci BitLocker melalui CSV Contoh Kunci Pemulihan Anda dalam file CSV

• PENTING: header kolom KeyID dan RecoveryKey wajib diisi dan peka huruf besar-kecil

1. Buka prompt perintah Windows PowerShell
   1. Ubah ke direktori file yang Anda ekstrak
      1. cd C:falcon-windows-host-recovery-main
2. Sertakan Kunci Pemulihan BitLocker - melalui file CSV bernama BitLockerKeys.csv
   1. C:falcon-windows-host-recovery-mainBitLockerKeys.csv
   2. PENTING: lihat bagian Praktik Terbaik di bawah untuk penanganan dan penghancuran Kunci Pemulihan BitLocker yang aman
3. Buat gambar yang dapat di-boot
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
4. Keluaran: gambar
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

Persyaratan

• Powershell 7.0 atau lebih tinggi
• Manajer Server -> Server Lokal: nonaktifkan IE Enhanced Security Configuration
• Ekspor Direktori Aktif memerlukan pengguna Administrator Domain pada OS Windows Server yang bergabung dengan domain
• Skrip ekspor Entra ID memerlukan konektivitas ke Microsoft Graph, dan pengguna cloud dengan cakupan OAuth BitLockerKey.ReadBasic.All dan Device.Read.All

Menghasilkan BitLockerKeys.csv melalui ekspor otomatis Kunci Pemulihan BitLocker

1. Buka prompt perintah Windows PowerShell (sebagai Administrator)
   1. Ubah ke direktori file yang Anda ekstrak
      1. cd C:falcon-windows-host-recovery-main
2. Argumen baris perintah untuk skrip Export-BitLockerRecoveryKeys.ps1
   1. -ActiveDirectory - mengekstrak kunci BitLocker dari Direktori Aktif
   2. -ActiveDirectory -OU - mengekstrak kunci BitLocker untuk Unit Organisasi tertentu
   3. -EntraID - mengekstrak kunci BitLocker dari Entra ID
   4. -ActiveDirectory -EntraID - mengekstrak kunci BitLocker dari Active Directory dan Entra ID
3. Ekstrak kunci Pemulihan BitLocker dari sumber
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .Export-BitLockerRecoveryKeys.ps1
      1. Contoh OU .Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
4. Ikuti petunjuk untuk mengumpulkan akun
5. Keluaran: File CSV: BitLockerKeys.csv
6. Buat gambar baru dengan CSV ini menggunakan bagian Opsional - Gambar dengan BitLockerKeys.csv Khusus di atas

CATATAN:

• Gunakan tanda OU untuk lingkungan Direktori Aktif besar tempat pencarian domain dasar menghasilkan 1000 komputer.

1. Unduh Rufus, utilitas sumber terbuka untuk membuat stik USB yang dapat di-boot dari https://rufus.ie/en/
2. Buka Rufus:
   1. Gunakan menu Perangkat untuk memilih target drive USB yang diinginkan
      1. PERINGATAN: Drive USB akan dihapus bersih
   2. Klik tombol Select (di sebelah Boot Selection ) dan pilih file ISO CSPERecovery atau CSSafeBoot
   3. Gunakan menu tarik-turun Skema partisi untuk memilih "GPT"
   4. Gunakan menu tarik-turun Sistem Target untuk memilih "UEFI (non CSM)"
   5. Tekan Mulai
   6. PENTING - harap baca dengan cermat yang berikut ini :
      1. Jika diminta untuk menulis dalam mode ISO atau mode ESP
         1. Mode ISO - gunakan ini dulu!
            1. Pengalaman pengguna terlengkap, mendukung booting MBR dan UEFI, dan mengaktifkan skrip pembersihan otomatis CSSafeBoot ISO.
               1. ISO CSPERecovery tidak terpengaruh.
         2. Mode ESP - digunakan jika host tidak dapat mengenali drive USB yang dapat di-boot (khususnya pada sistem UEFI lama)
            1. Kembali ke Langkah 2 dan ulangi langkah ini dan pilih mode ESP.
            2. Skrip pembersihan otomatis tidak akan tersedia di CSSafeBoot ISO, namun langkah remediasi manual masih tersedia dan akan berhasil.
               1. ISO CSPERecovery tidak terpengaruh.

Setelah Anda membuat drive USB yang dapat di-boot menggunakan https://rufus.ie/en/ (di bagian atas)

1. Masukkan drive USB ke host yang terkena dampak
2. Nyalakan ulang host dan masuk ke Menu boot UEFI menggunakan tombol F12
   1. Anda juga dapat mencoba tombol F1, F2, F10 atau F11 (tergantung pabrikan BIOS)
3. Pilih drive USB
   1. Bersiaplah untuk memilih UEFI jika diberikan pilihan antara opsi MBR dan UEFI dengan label yang sama
4. Tunggu sementara Windows PE dimuat
5. Lanjutkan ke bagian "Pulihkan..." yang sesuai di bawah untuk menggunakan CSSafeBoot atau CSPERecovery

Gambar CSPERecovery memulihkan sistem secara otomatis, dan mencakup dukungan untuk BitLocker.

1. Pilih gambar pemulihan drive USB di BootManager.
   1. PENTING : ANDA TIDAK PERLU MENGUBAH PENGATURAN FIRMWARE UEFI (terutama urutan boot)
2. Jika BitLocker diaktifkan:
   1. PERINGATAN: Kunci Pemulihan BitLocker harus dirotasi setelah remediasi host
      1. Jika diminta, masukkan Kunci Pemulihan BitLocker Anda secara manual untuk membuka kunci volume.
      2. Jika BitLockerKeys.csv digunakan, Kunci Pemulihan untuk perangkat akan diterapkan.
3. Skrip pemulihan akan secara otomatis menghapus File Saluran 291 yang rusak.
   1. Menghapus semua file yang dimulai dengan C-00000291* yang terletak di folder C:WindowsSystem32driversCrowdStrike .
   2. Perangkat akan reboot secara otomatis.
4. Host Windows akan memulai secara normal.

Gambar CSSafeBoot mengubah konfigurasi boot Windows default untuk boot ke Safe Mode with Networking , dan melakukan boot ulang.

1. Pilih gambar pemulihan drive USB di BootManager
   1. PENTING : ANDA TIDAK PERLU MENGUBAH PENGATURAN FIRMWARE UEFI (terutama urutan boot)
   2. CATATAN: Pilih Lanjutkan jika sistem Anda melakukan boot ulang ke lingkungan Pemulihan Windows sebagai bagian dari loop boot sebelumnya.
   3. Host akan reboot ke Safe Mode setelah boot berikutnya.
2. Masuk sebagai pengguna dengan izin Administrator Lokal .
3. Konfirmasikan spanduk Safe Mode ditampilkan di desktop.
4. Remediasi
   1. Remediasi Otomatis:
      1. Buka Windows Explorer dan pilih drive USB pemulihan.
         1. Jika drive USB pemulihan tidak ditampilkan di Windows Explorer, lewati ke Remediasi Manual
      2. Cari dan klik kanan pada file CSRecovery.cmd , lalu pilih Run as Administrator .
      3. Skripnya akan:
         1. Hapus semua file yang dimulai dengan C-00000291* yang terletak di folder C:WindowsSystem32driversCrowdStrike .
         2. Kembalikan konfigurasi boot Windows kembali ke Mode Normal
         3. Host akan reboot secara otomatis.
         4. Verifikasi Windows berhasil memuat
   2. Remediasi Manual:
      1. Buka Windows Explorer dan navigasikan ke C:WindowsSystem32driversCrowdstrike .
      2. Hapus semua file yang dimulai dengan C-00000291* yang terletak di folder C:WindowsSystem32driversCrowdStrike .
      3. Klik kanan pada menu Start, dan klik Windows PowerShell (Admin) , Command Prompt (Admin) , atau Terminal (Admin) .
      4. Saat diminta, ketik perintah berikut dan tekan Enter:
         1. bcdedit /deletevalue {default} safeboot
      5. Nyalakan ulang perangkat
      6. Verifikasi Windows berhasil memuat.

File ISO remediasi host dapat disebarkan dan di-boot melalui kemampuan booting PXE yang ada yang diterapkan di bisnis Anda.

Karena perbedaan signifikan dalam konfigurasi jaringan dan perangkat lunak dengan booting PXE, kami tidak dapat merekomendasikan instruksi booting PXE umum yang spesifik.

PERINGATAN: Kunci Pemulihan BitLocker harus dirotasi setelah remediasi host

Penanganan yang Aman

Gambar yang dapat di-boot dengan Kunci Pemulihan BitLocker

• seharusnya hanya dapat diakses oleh mereka yang benar-benar membutuhkannya
• harus disimpan di perangkat penyimpanan yang dilindungi kata sandi dengan enkripsi disk
• harus ditransfer melalui saluran komunikasi terenkripsi

Penghancuran yang Aman

Gambar yang dapat di-boot dengan Kunci Pemulihan BitLocker

• File ISO Image digital harus dimusnahkan menggunakan perangkat lunak yang dirancang untuk penghapusan aman guna memastikan data tidak dapat dipulihkan
• Media penyimpanan fisik yang berisi gambar ISO harus dimusnahkan menggunakan metode seperti pencacahan, pembakaran, atau penghancuran

Jika host terus melakukan booting ke drive USB pemulihan setelah remediasi

• Solusi: konfirmasi ulang urutan boot pada pengaturan firmware UEFI sudah benar, dan cabut drive USB setelah perbaikan
• CATATAN: Skrip remediasi CrowdStrike tidak mengubah urutan boot UEFI untuk menghindari langkah-langkah BitLocker yang tidak perlu.

1. PENTING : ANDA TIDAK PERLU MENGUBAH PENGATURAN FIRMWARE UEFI (terutama urutan boot)
   1. Melakukan hal ini dapat menyebabkan langkah pemulihan BitLocker tambahan.

Jika skrip CSPERecovery atau CSSafeBoot tidak responsif setelah memulai Windows PE.

• Solusi: Tekan Enter

Jika tanda -SkipThirdPartyDriverDownloads digunakan untuk membuat citra pemulihan, dan driver yang tidak dipilih akan disertakan.

• Solusi: pindahkan (atau hapus) driver perangkat apa pun dari folder Drivers yang tidak Anda inginkan di gambar Anda

• CATATAN : CrowdStrike hanya menyediakan driver open source untuk mesin virtual berbasis libvirt (misalnya OpenStack dan KVM).

  • Semua driver perangkat vendor diunduh langsung dari situs web vendor, menggunakan HTTPS, dan diverifikasi secara kriptografis, pada waktu pembuatan.

Jika CSV tidak digunakan, skrip CSPERecovery hanya akan secara otomatis memulihkan satu instalasi OS Windows pada host dengan konfigurasi dual/multi-boot

• Solusi: ulangi langkah-langkah dari Pulihkan Host Windows menggunakan bagian CSPERecovery (di atas) untuk setiap huruf drive instalasi OS Windows yang ingin Anda perbaiki.
  • CATATAN: setiap drive perangkat instalasi OS Windows memerlukan kunci pemulihan BitLocker.
• Alat ini hanya akan secara otomatis memulihkan semua drive yang tidak terenkripsi, atau perangkat yang dilindungi BitLocker jika BitLockerKeys.csv digunakan.
  • CATATAN: jika host melakukan booting dual/multi OS, dengan BitLocker, dan image pemulihan memiliki CSV, semua drive yang memiliki kunci di BitLockerKeys.csv akan diperbaiki.

• CSV yang ada
  • Jika .Export-BitLockerRecoveryKeys.ps1 gagal dengan file CSV ada kesalahan.
    • Solusi: pindahkan file yang ada ke luar direktori kerja Anda (misalnya C:falcon-windows-host-recovery-main ).
    • Script tidak akan secara otomatis menimpa file ini.
• Ekspor Direktori Aktif:
  • Jika .Export-BitLockerRecoveryKeys.ps1 gagal karena izin .
    • Solusi: pengguna harus memiliki izin Administrator Domain, atau menjadi anggota grup yang didelegasikan dengan akses baca ke Kunci Pemulihan BitLocker.
  • Jika kunci yang disimpan AD tidak muncul ketika skrip dijalankan dari host yang tidak terhubung ke domain.
    • Solusi: jalankan skrip .Export-BitLockerRecoveryKeys.ps1 dari host server yang bergabung dengan domain.
    • Kunci tersimpan ID Entra juga dapat diekspor jika server yang bergabung dengan AD memiliki konektivitas jaringan keluar yang diperlukan.
• Ekspor ID Masuk:
  • Jika .Export-BitLockerRecoveryKeys.ps1 gagal karena kesalahan izin.
    • Solusi: pengguna yang menjalankan skrip harus memiliki izin Administrator untuk cakupan yang diperlukan.
    • Solusi: pengguna yang menjalankan skrip harus memiliki cakupan BitLockerKey.ReadBasic.All dan Device.Read.All yang ditetapkan.
      • CATATAN: Persetujuan Administrator Global diperlukan untuk penetapan cakupan.
  • Jika .Export-BitLockerRecoveryKeys.ps1 gagal karena kesalahan jaringan.
    • Solusi: jalankan .Export-BitLockerRecoveryKeys.ps1 dari host dengan konektivitas ke Microsoft Graph API.

• Pastikan file CSV Anda memiliki header kolom yang sama persis dengan KeyID dan RecoveryKey .

Hak Cipta (c) CrowdStrike, Inc.

Dengan mengakses atau menggunakan gambar, skrip, kode contoh, antarmuka pemrograman aplikasi, alat, dan/atau dokumentasi terkait (jika ada) (secara kolektif disebut “Alat”), Anda (i) menyatakan dan menjamin bahwa Anda menandatangani Perjanjian ini tentang nama perusahaan, organisasi, atau badan hukum lain (“Entitas”) yang saat ini menjadi pelanggan atau mitra CrowdStrike, Inc. (“CrowdStrike”), dan (ii) mempunyai wewenang untuk mengikat Entitas tersebut dan Entitas tersebut setuju untuk terikat oleh Perjanjian ini. CrowdStrike memberi Entitas lisensi non-eksklusif, tidak dapat dipindahtangankan, tidak dapat disublisensikan, bebas royalti, dan terbatas untuk mengakses dan menggunakan Alat semata-mata untuk tujuan bisnis internal Entitas, termasuk namun tidak terbatas pada hak untuk menyalin dan memodifikasi Alat sebagaimana diperlukan untuk keperluan internal Anda tujuan. Perangkat lunak, file, driver, atau komponen pihak ketiga lainnya yang diakses dan/atau diunduh oleh Anda saat menggunakan Alat dapat diatur oleh ketentuan tambahan atau oleh lisensi terpisah yang disediakan atau dikelola oleh penyedia pihak ketiga. ALAT INI DISEDIAKAN “APA ADANYA” TANPA JAMINAN DALAM BENTUK APA PUN, BAIK TERSURAT, TERSIRAT, BERDASARKAN UNDANG-UNDANG, ATAU LAINNYA. CROWDSTRIKE SECARA KHUSUS MENYANGKAL SEMUA KEWAJIBAN DUKUNGAN DAN SEMUA JAMINAN, TERMASUK NAMUN TIDAK TERBATAS, SEMUA JAMINAN TERSIRAT ATAS KELAYAKAN UNTUK DIPERDAGANGKAN, KESESUAIAN UNTUK TUJUAN TERTENTU, HAK, DAN TIDAK ADA PELANGGARAN. DALAM KEADAAN APA PUN, CROWDSTRIKE TIDAK BERTANGGUNG JAWAB ATAS KERUSAKAN LANGSUNG, TIDAK LANGSUNG, INSIDENTAL, KHUSUS, CONTOH, ATAU KONSEKUENSIAL (TERMASUK, NAMUN TIDAK TERBATAS PADA, KEHILANGAN PENGGUNAAN, DATA, ATAU KEUNTUNGAN; ATAU GANGGUAN BISNIS) APAPUN PENYEBABNYA DAN PADA TEORI APAPUN TANGGUNG JAWAB, BAIK DALAM KONTRAK, TANGGUNG JAWAB KETAT, ATAU HUKUM (TERMASUK KELALAIAN ATAU LAINNYA) YANG TIMBUL DALAM PENGGUNAAN ALAT INI, MESKIPUN DIBERITAHU TENTANG KEMUNGKINAN KERUSAKAN TERSEBUT. ALAT INI TIDAK DIDUKUNG OLEH PIHAK KETIGA MANA PUN.