최근 Falcon 콘텐츠 업데이트의 영향을 받은 Windows 호스트를 업데이트하기 위해 부팅 가능한 이미지를 구축합니다.
데모를 보려면 부팅 가능한 USB 드라이브를 사용한 CrowdStrike 호스트 치료 비디오를 시청하세요.
두 개의 부팅 가능한 이미지를 사용할 수 있습니다. 필요에 가장 적합한 이미지를 사용하세요.
이 프로젝트를 사용하면 최신 Microsoft ADK, Windows PE 추가 기능, 드라이버 및 CrowdStrike의 교정 스크립트를 사용하여 부팅 가능한 Windows PE 이미지를 구축할 수 있습니다.
falcon-windows-host-recovery-main.zip
의 내용을 선택한 디렉터리에 추출합니다.C:falcon-windows-host-recovery-main
.다음 모두에 대해 장치 드라이버를 사용하여 부팅 가능한 이미지를 구축합니다.
Red Hat/VirtIO VM, Dell 시스템, HP 시스템, VMWare VM, Microsoft Surface 장치(Pro 8, 9, 10, 노트북 4(Intel/AMD), 5, 6), 일반 AMD SATA 컨트롤러 및 일반 Intel/LSI MegaSAS RAID 카드.
참고 : 네트워크 및 디스크 성능에 따라 구축하는 데 30분 이상 걸릴 수 있습니다.
cd C:falcon-windows-host-recovery-main
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
.BuildISO.ps1
- 기본 장치 드라이버 세트를 다운로드하고 ISO 이미지를 생성합니다.BuildISO.ps1
스크립트에 대한 선택적 명령줄 인수-SkipBootPrompt
- 시스템 부팅 시 "[미디어]에서 부팅하려면 아무 키나 누르십시오" 프롬프트를 비활성화합니다.C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso
참고 : 네트워크 및 디스크 성능에 따라 구축하는 데 30분 이상 걸릴 수 있습니다.
최소한의 드라이버만 사용하거나 제한된 드라이버 세트 또는 사용자 정의 장치 드라이버를 사용하여 부팅 가능한 이미지를 구축합니다.
cd C:falcon-windows-host-recovery-main
C:falcon-windows-host-recovery-mainDrivers
Drivers
의 드라이버는 명령줄 인수에 관계없이 항상 설치됩니다 .BuildISO.ps1
스크립트에 대한 명령줄 인수-IncludeCommonDrivers
-- 다양한 일반 CrowdStrike 고객 장치 드라이버-IncludeDellDrivers
-IncludeHPDrivers
-IncludeSurfaceDrivers
-IncludeVMwareDrivers
-Include*
인수를 재정의함).-SkipThirdPartyDriverDownloads
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
.BuildISO.ps1
C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso
CSPERecovery 이미지에서 BitLocker 복구 키를 사용하여 부팅 가능한 이미지를 빌드합니다.
경고: 호스트 업데이트 적용 후 BitLocker 복구 키를 순환해야 합니다.
CSV를 통한 BitLocker 키 CSV 파일에 있는 복구 키의 예
키ID | 복구키 |
---|---|
3ca7495e-4252-432b-baf1-샘플 | 001317-088010-034473-667247-160608-471717-100894-잘못됨 |
92e89e08-ad6e-4a98-e584-샘플 | 509542-050497-158529-325316-496853-372340-593355-잘못됨 |
72E460C8-4FE8-4249-99CF-샘플 | 529408-021370-702581-530739-028721-610907-461582-잘못됨 |
cd C:falcon-windows-host-recovery-main
BitLockerKeys.csv
라는 CSV 파일을 통해C:falcon-windows-host-recovery-mainBitLockerKeys.csv
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
.BuildISO.ps1
C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso
요구사항
IE Enhanced Security Configuration
비활성화BitLockerKey.ReadBasic.All
및 Device.Read.All
이 있는 클라우드 사용자가 필요합니다. BitLocker 복구 키의 자동 내보내기를 통해 BitLockerKeys.csv
를 생성합니다.
cd C:falcon-windows-host-recovery-main
Export-BitLockerRecoveryKeys.ps1
스크립트에 대한 명령줄 인수-ActiveDirectory
- Active Directory에서 BitLocker 키를 추출합니다.-ActiveDirectory -OU
- 특정 조직 단위에 대한 BitLocker 키 추출-EntraID
- Entra ID에서 BitLocker 키를 추출합니다.-ActiveDirectory -EntraID
- Active Directory와 Entra ID 모두에서 BitLocker 키를 추출합니다.Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
.Export-BitLockerRecoveryKeys.ps1
.Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
BitLockerKeys.csv
메모:
https://rufus.ie/en/(위 섹션)을 사용하여 부팅 가능한 USB 드라이브를 만든 후
CSPERecovery 이미지는 시스템을 자동으로 교정하며 BitLocker에 대한 지원을 포함합니다.
BitLockerKeys.csv
사용하는 경우 장치의 복구 키가 적용됩니다.C:WindowsSystem32driversCrowdStrike
폴더에 있는 C-00000291*
로 시작하는 모든 파일을 삭제합니다.CSSafeBoot 이미지는 네트워킹을 사용하여 안전 모드 로 부팅하도록 기본 Windows 부팅 구성을 수정하고 재부팅합니다.
CSRecovery.cmd
파일을 찾아 마우스 오른쪽 버튼으로 클릭하고 관리자 권한으로 실행을 선택합니다.C:WindowsSystem32driversCrowdStrike
폴더에 있는 C-00000291*
로 시작하는 모든 파일을 삭제합니다.C:WindowsSystem32driversCrowdstrike
로 이동합니다.C:WindowsSystem32driversCrowdStrike
폴더에 있는 C-00000291*
로 시작하는 모든 파일을 삭제합니다.Windows PowerShell (Admin)
, Command Prompt (Admin)
또는 Terminal (Admin)
클릭합니다.bcdedit /deletevalue {default} safeboot
호스트 업데이트 적용 ISO 파일은 기업에 배포된 기존 PXE 부팅 기능을 통해 배포 및 부팅될 수 있습니다.
PXE 부팅과 관련된 네트워크 및 소프트웨어 구성의 상당한 차이로 인해 특정 일반 PXE 부팅 지침을 권장할 수 없습니다.
경고: 호스트 업데이트 적용 후 BitLocker 복구 키를 순환해야 합니다.
안전한 취급
BitLocker 복구 키를 사용하여 부팅 가능한 이미지
안전한 파기
BitLocker 복구 키를 사용하여 부팅 가능한 이미지
문제 해결 후 호스트가 복구 USB 드라이브로 계속 부팅되는 경우
Windows PE를 시작한 후 CSPERecovery 또는 CSSafeBoot 스크립트가 응답하지 않는 경우.
-SkipThirdPartyDriverDownloads
플래그를 사용하여 복구 이미지를 빌드한 경우 선택되지 않은 드라이버가 포함됩니다.
해결 방법: 이미지에 포함하지 않으려는 모든 장치 드라이버를 Drivers
폴더에서 이동(또는 제거)합니다.
참고 : CrowdStrike는 libvirt 기반 가상 머신(예: OpenStack 및 KVM)용 오픈 소스 드라이버만 제공합니다.
CSV를 사용하지 않는 경우 CSPERecovery 스크립트는 이중/다중 부팅 구성이 있는 호스트에서 하나의 Windows OS 설치만 자동으로 업데이트합니다.
BitLockerKeys.csv
가 사용되는 경우 BitLocker로 보호되는 장치만 자동으로 교정합니다.BitLockerKeys.csv
에 키가 있는 모든 드라이브가 수정됩니다..Export-BitLockerRecoveryKeys.ps1
이 CSV 파일 존재 오류와 함께 실패하는 경우.C:falcon-windows-host-recovery-main
)..Export-BitLockerRecoveryKeys.ps1
실패하는 경우..Export-BitLockerRecoveryKeys.ps1
.Export-BitLockerRecoveryKeys.ps1
실패하는 경우.BitLockerKey.ReadBasic.All
및 Device.Read.All
범위가 할당되어 있어야 합니다..Export-BitLockerRecoveryKeys.ps1
실패하는 경우..Export-BitLockerRecoveryKeys.ps1
KeyID
및 RecoveryKey
와 정확히 일치하는 열 헤더가 있는지 확인하세요. 저작권 (c) CrowdStrike, Inc.
이 이미지, 스크립트, 샘플 코드, 애플리케이션 프로그래밍 인터페이스, 도구 및/또는 관련 문서(있는 경우)(통칭하여 "도구")에 액세스하거나 이를 사용함으로써 귀하는 (i) 귀하가 다음 날짜에 본 계약을 체결함을 진술하고 보증합니다. 현재 CrowdStrike, Inc.(“CrowdStrike”)의 고객 또는 파트너인 회사, 조직 또는 기타 법인(“법인”)을 대신하고 (ii) 해당 법인을 구속할 권한이 있으며 해당 법인은 다음에 동의합니다. 본 계약에 구속됩니다. CrowdStrike는 내부 업무에 필요한 도구를 복사하고 수정할 수 있는 권리를 포함하되 이에 국한되지 않고 기업의 내부 비즈니스 목적으로만 도구에 액세스하고 사용할 수 있는 비독점적이고, 양도할 수 없고, 재라이센스 부여가 불가능하고, 로열티가 없고 제한된 라이선스를 법인에 부여합니다. 목적. 도구를 사용할 때 귀하가 액세스 및/또는 다운로드한 모든 제3자 소프트웨어, 파일, 드라이버 또는 기타 구성 요소에는 추가 조건이나 제3자 공급자가 제공하거나 유지 관리하는 별도의 라이센스가 적용될 수 있습니다. 도구는 명시적, 묵시적, 법적 또는 기타 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Crowdstrike는 특히 상품성, 특정 목적에의 적합성, 소유권 및 비침해에 대한 모든 묵시적인 보증을 포함하되 이에 국한되지 않고 모든 지원 의무와 모든 보증을 부인합니다. 어떠한 경우에도 Crowdstrike는 원인과 이론에 관계없이 직접적, 간접적, 우발적, 특별적, 예시적 또는 결과적 손해(사용 손실, 데이터 또는 이익의 손실 또는 비즈니스 중단을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않습니다. 그러한 손해의 가능성이 통보된 경우에도 도구 사용으로 인해 어떤 방식으로든 발생하는 계약, 엄격한 책임 또는 불법 행위(과실 또는 기타 포함)에 따른 책임. 이 도구는 제3자에 의해 보증되지 않습니다.