falcon windows host recovery

Crie imagens inicializáveis ​​para corrigir hosts do Windows afetados pela recente atualização de conteúdo do Falcon.

Assista ao vídeo CrowdStrike Host Remediation com unidade USB inicializável para uma demonstração.

• BuildISO.ps1 : Atualizado o Surface Laptop 4 para pacote de driver do processador Intel

• Padrão – Imagem com Drivers de Dispositivo
• Opcional - Imagem com Drivers Personalizados: mínimo, limitado e personalizado (definido pelo usuário)
• Opcional - Imagem com suporte para recuperação personalizada do BitLocker via CSV

• Opcional - Criar CSV de chaves de recuperação do BitLocker do Active Directory/Entra ID

Duas imagens inicializáveis ​​estão disponíveis – use a imagem que melhor atende às suas necessidades.

• CSPERecovery – correção automatizada de host com chaves de recuperação manuais ou automáticas do BitLocker.
• CSSafeBoot - correção de host automatizada e manual usando Modo de Segurança com Rede (é necessária conta de administrador).

Use este projeto para criar imagens inicializáveis ​​do Windows PE usando o Microsoft ADK mais recente, complementos do Windows PE, drivers e scripts de remediação do CrowdStrike.

• Um cliente Windows 10 (ou superior) de 64 bits com pelo menos 16 GB de espaço livre e privilégios administrativos.

1. Baixe o projeto GitHub falcon-windows-host-recovery como um arquivo ZIP.
   1. Clique no botão verde Código e selecione Baixar ZIP
2. Extraia o conteúdo de falcon-windows-host-recovery-main.zip para um diretório de sua escolha.
   1. Exemplo: C:falcon-windows-host-recovery-main .
   2. IMPORTANTE: o caminho não pode conter espaços ou caracteres especiais

Crie imagens inicializáveis ​​com drivers de dispositivo para todos os itens a seguir:

VMs Red Hat/VirtIO, sistemas Dell, sistemas HP, VMs VMWare, dispositivos Microsoft Surface (Pro 8, 9, 10, Laptop 4 (Intel/AMD), 5, 6), controladores AMD SATA comuns e Intel/LSI MegaSAS comuns Placas RAID.

NOTA : pode levar mais de 30 minutos para construir com base no desempenho da rede e do disco

1. Abra um prompt de comando do Windows PowerShell (como administrador), defina a política de execução e crie imagens
   1. cd C:falcon-windows-host-recovery-main
   2. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   3. .BuildISO.ps1 - baixa o conjunto padrão de drivers de dispositivo e cria imagens ISO
2. Argumentos de linha de comando opcionais para script BuildISO.ps1
   1. -SkipBootPrompt - Desativa o prompt "pressione qualquer tecla para inicializar a partir de [mídia]" quando o sistema inicializa
      1. Este recurso pode não funcionar em todos os sistemas
3. Saída: imagens
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

NOTA : pode levar mais de 30 minutos para construir com base no desempenho da rede e do disco

Crie imagens inicializáveis ​​apenas com drivers mínimos, um conjunto limitado de drivers ou com seus próprios drivers de dispositivo personalizados.

1. Abra um prompt de comando do Windows PowerShell (como administrador)
   1. cd C:falcon-windows-host-recovery-main
2. Drivers personalizados - baixe e descompacte drivers de dispositivo em
   1. C:falcon-windows-host-recovery-mainDrivers
   2. NOTA: os drivers em Drivers sempre serão instalados , independentemente dos argumentos da linha de comando.
3. Argumentos de linha de comando para script BuildISO.ps1
   1. Drivers opcionais - incluem um ou mais conjuntos de drivers (qualquer combinação suportada)
      1. -IncludeCommonDrivers – vários drivers de dispositivos comuns do cliente CrowdStrike
      2. -IncludeDellDrivers
      3. -IncludeHPDrivers
      4. -IncludeSurfaceDrivers
      5. -IncludeVMwareDrivers
   2. Drivers mínimos - ignore todos os conjuntos de drivers incluídos (NOTA: substitui qualquer argumento -Include* )
      1. -SkipThirdPartyDriverDownloads
4. Crie imagens inicializáveis
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
5. Saída: imagens
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

Crie imagens inicializáveis ​​com chaves de recuperação do BitLocker na imagem CSPERecovery .

AVISO: as chaves de recuperação do BitLocker devem ser alternadas após a correção do host

Chaves BitLocker via CSV Exemplo de suas chaves de recuperação em um arquivo CSV

• IMPORTANTE: os cabeçalhos das colunas KeyID e RecoveryKey são obrigatórios e diferenciam maiúsculas de minúsculas

1. Abra um prompt de comando do Windows PowerShell
   1. Mude para o diretório do arquivo extraído
      1. cd C:falcon-windows-host-recovery-main
2. Incluir chaves de recuperação do BitLocker - por meio de arquivo CSV chamado BitLockerKeys.csv
   1. C:falcon-windows-host-recovery-mainBitLockerKeys.csv
   2. IMPORTANTE: consulte a seção Práticas recomendadas abaixo para manuseio seguro e destruição de chaves de recuperação do BitLocker
3. Crie imagens inicializáveis
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
4. Saída: imagens
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

Requisitos

• Powershell 7.0 ou superior
• Gerenciador de servidores -> Servidor local: desative IE Enhanced Security Configuration
• A exportação do Active Directory requer um usuário Administrador de Domínio em um sistema operacional Windows Server associado ao domínio
• O script de exportação do Entra ID requer conectividade com o Microsoft Graph e um usuário de nuvem com escopos OAuth BitLockerKey.ReadBasic.All e Device.Read.All

Gera um BitLockerKeys.csv por meio da exportação automatizada de chaves de recuperação do BitLocker

1. Abra um prompt de comando do Windows PowerShell (como administrador)
   1. Mude para o diretório do arquivo extraído
      1. cd C:falcon-windows-host-recovery-main
2. Argumentos de linha de comando para o script Export-BitLockerRecoveryKeys.ps1
   1. -ActiveDirectory - extrai chaves do BitLocker do Active Directory
   2. -ActiveDirectory -OU - extrai chaves do BitLocker para uma unidade organizacional específica
   3. -EntraID - extrai chaves do BitLocker do Entra ID
   4. -ActiveDirectory -EntraID - extrai chaves do BitLocker do Active Directory e do Entra ID
3. Extraia as chaves de recuperação do BitLocker da origem
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .Export-BitLockerRecoveryKeys.ps1
      1. Exemplo de UO .Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
4. Siga as instruções para coletar contas
5. Saída: arquivo CSV: BitLockerKeys.csv
6. Crie uma nova imagem com este CSV usando a seção Opcional - Imagem com BitLockerKeys.csv personalizado acima

OBSERVAÇÃO:

• Use o sinalizador OU para grandes ambientes do Active Directory onde as pesquisas de domínio base retornam milhares de computadores.

1. Baixe Rufus, um utilitário de código aberto para criar pendrives inicializáveis ​​em https://rufus.ie/en/
2. Abra Rufus:
   1. Use o menu Dispositivo para selecionar o destino da unidade USB desejada
      1. AVISO: a unidade USB será limpa
   2. Clique no botão Selecionar (ao lado de Boot Selection ) e escolha o arquivo CSPERecovery ou CSSafeBoot ISO
   3. Use o menu suspenso Esquema de partição para selecionar "GPT"
   4. Use o menu suspenso Sistema de destino para selecionar "UEFI (não CSM)"
   5. Pressione Iniciar
   6. IMPORTANTE - leia atentamente o seguinte :
      1. Se solicitado a escrever no modo ISO ou modo ESP
         1. Modo ISO - use-o primeiro!
            1. Experiência de usuário mais completa, compatível com inicialização MBR e UEFI e habilita o script de limpeza automatizado CSSafeBoot ISO.
               1. O CSPERecovery ISO não é afetado.
         2. Modo ESP - use se o host não conseguir reconhecer a unidade USB inicializável (principalmente em sistemas UEFI mais antigos)
            1. Volte para a Etapa 2 e repita essas etapas e selecione o modo ESP.
            2. O script de limpeza automatizado não estará disponível no CSSafeBoot ISO, mas as etapas de correção manual ainda estarão disponíveis e serão bem-sucedidas.
               1. O CSPERecovery ISO não é afetado.

Depois de criar uma unidade USB inicializável usando https://rufus.ie/en/ (na seção acima)

1. Insira a unidade USB no host afetado
2. Reinicie o host e entre no menu de inicialização UEFI usando a tecla F12
   1. Você também pode tentar as teclas F1, F2, F10 ou F11 (dependendo do fabricante do BIOS)
3. Selecione a unidade USB
   1. Prepare-se para selecionar UEFI se for possível escolher entre as opções MBR e UEFI com o mesmo rótulo
4. Aguarde enquanto o Windows PE carrega
5. Prossiga para a seção apropriada "Recuperar..." abaixo para usar CSSafeBoot ou CSPERecovery

A imagem CSPERecovery corrige sistemas automaticamente e inclui suporte para BitLocker.

1. Selecione a unidade USB da imagem de recuperação no BootManager.
   1. IMPORTANTE : VOCÊ NÃO PRECISA MODIFICAR AS CONFIGURAÇÕES DO FIRMWARE UEFI (especialmente a ordem de inicialização)
2. Se o BitLocker estiver ativado:
   1. AVISO: as chaves de recuperação do BitLocker devem ser alternadas após a correção do host
      1. Se solicitado, insira manualmente sua chave de recuperação do BitLocker para desbloquear o volume.
      2. Se BitLockerKeys.csv estiver em uso, a chave de recuperação do dispositivo será aplicada.
3. O script de recuperação removerá automaticamente o arquivo de canal 291 com defeito.
   1. Exclui todos os arquivos começando com C-00000291* localizados na pasta C:WindowsSystem32driversCrowdStrike .
   2. O dispositivo será reiniciado automaticamente.
4. O host do Windows deve iniciar normalmente.

A imagem CSSafeBoot modifica a configuração de inicialização padrão do Windows para inicializar no Modo de segurança com rede e reinicializar.

1. Selecione a unidade USB da imagem de recuperação no BootManager
   1. IMPORTANTE : VOCÊ NÃO PRECISA MODIFICAR AS CONFIGURAÇÕES DO FIRMWARE UEFI (especialmente a ordem de inicialização)
   2. NOTA: Selecione Continuar se o seu sistema for reinicializado no ambiente de recuperação do Windows como parte de um loop de inicialização anterior.
   3. O host será reinicializado no modo de segurança após a próxima inicialização.
2. Faça login como usuário com permissões de administrador local .
3. Confirme se o banner do Modo de segurança é exibido na área de trabalho.
4. Correção
   1. Correção Automática:
      1. Abra o Windows Explorer e selecione a unidade USB de recuperação.
         1. Se a unidade USB de recuperação não for exibida no Windows Explorer, vá para Correção manual
      2. Localize e clique com o botão direito no arquivo CSRecovery.cmd e selecione Executar como Administrador .
      3. O roteiro irá:
         1. Exclua todos os arquivos começando com C-00000291* localizados na pasta C:WindowsSystem32driversCrowdStrike .
         2. Restaure a configuração de inicialização do Windows de volta ao modo normal
         3. O host será reinicializado automaticamente.
         4. Verifique se o Windows foi carregado com sucesso
   2. Correção Manual:
      1. Abra o Windows Explorer e navegue até C:WindowsSystem32driversCrowdstrike .
      2. Exclua todos os arquivos começando com C-00000291* localizados na pasta C:WindowsSystem32driversCrowdStrike .
      3. Clique com o botão direito no menu Iniciar e clique em Windows PowerShell (Admin) , Command Prompt (Admin) ou Terminal (Admin) .
      4. No prompt, digite o seguinte comando e pressione Enter:
         1. bcdedit /deletevalue {default} safeboot
      5. Reinicie o dispositivo
      6. Verifique se o Windows foi carregado com sucesso.

Os arquivos ISO de correção de host podem ser implantados e inicializados por meio do recurso de inicialização PXE existente implantado em sua empresa.

Devido a diferenças significativas nas configurações de rede e software com inicialização PXE, não podemos recomendar instruções genéricas específicas de inicialização PXE.

AVISO: as chaves de recuperação do BitLocker devem ser alternadas após a correção do host

Manuseio Seguro

Imagens inicializáveis ​​com chaves de recuperação do BitLocker

• só devem ser acessíveis a quem realmente precisa deles
• deve ser armazenado em dispositivos de armazenamento protegidos por senha com criptografia de disco
• devem ser transferidos por canais de comunicação criptografados

Destruição Segura

Imagens inicializáveis ​​com chaves de recuperação do BitLocker

• Os arquivos de imagem digital ISO devem ser destruídos usando software projetado para exclusão segura para garantir que os dados não possam ser recuperados
• A mídia de armazenamento físico contendo imagens ISO deve ser destruída usando métodos como trituração, incineração ou trituração

Se o host continuar a inicializar na unidade USB de recuperação após a correção

• Solução: reconfirme se a ordem de inicialização nas configurações do firmware UEFI está correta e retire a unidade USB após a correção
• NOTA: O script de correção CrowdStrike não altera a ordem de inicialização UEFI para evitar etapas desnecessárias do BitLocker.

1. IMPORTANTE : VOCÊ NÃO PRECISA MODIFICAR AS CONFIGURAÇÕES DO FIRMWARE UEFI (especialmente a ordem de inicialização)
   1. Isso pode causar etapas adicionais de recuperação do BitLocker.

Se o script CSPERecovery ou CSSafeBoot não responder após iniciar o Windows PE.

• Solução: pressione Enter

Se o sinalizador -SkipThirdPartyDriverDownloads tiver sido usado para criar a imagem de recuperação e os drivers que não foram escolhidos serão incluídos.

• Solução: mova (ou remova) quaisquer drivers de dispositivo da pasta Drivers que você não deseja em sua imagem

• NOTA : CrowdStrike fornece apenas drivers de código aberto para máquinas virtuais baseadas em libvirt (por exemplo, OpenStack e KVM).

  • Todos os drivers de dispositivos dos fornecedores são baixados diretamente dos sites dos fornecedores, usando HTTPS, e verificados criptograficamente no momento da construção.

Se o CSV não estiver em uso, o script CSPERecovery corrigirá automaticamente apenas uma instalação do sistema operacional Windows em hosts com configurações de inicialização dupla/múltipla

• Solução: repita as etapas da seção Recuperar hosts do Windows usando CSPERecovery (acima) para cada letra de unidade de instalação do sistema operacional Windows que você deseja corrigir.
  • NOTA: cada unidade de dispositivo de instalação do sistema operacional Windows requer uma chave de recuperação do BitLocker.
• A ferramenta corrigirá automaticamente todas as unidades não criptografadas ou dispositivos protegidos pelo BitLocker apenas se o BitLockerKeys.csv for usado.
  • NOTA: se o host tiver inicialização dupla/multisistema operacional, com BitLocker, e a imagem de recuperação tiver CSV, todas as unidades com chaves em BitLockerKeys.csv serão corrigidas.

• CSV existente
  • Se .Export-BitLockerRecoveryKeys.ps1 falhar com um arquivo CSV, existe um erro.
    • Solução: mova o arquivo existente para fora do seu diretório de trabalho (por exemplo, C:falcon-windows-host-recovery-main ).
    • O script não substituirá automaticamente este arquivo.
• Exportação do Active Directory:
  • Se .Export-BitLockerRecoveryKeys.ps1 falhar devido a permissões .
    • Solução: o usuário deve ter permissões de administrador de domínio ou ser membro de um grupo delegado com acesso de leitura às chaves de recuperação do BitLocker.
  • Se as chaves armazenadas do AD não aparecerem quando o script for executado no host não conectado ao domínio.
    • Solução: execute o script .Export-BitLockerRecoveryKeys.ps1 a partir de um host de servidor associado ao domínio.
    • As chaves armazenadas do Entra ID também poderão ser exportadas se o servidor ingressado no AD tiver a conectividade de rede de saída necessária.
• Exportação de ID de entrada:
  • Se .Export-BitLockerRecoveryKeys.ps1 falhar devido a erros de permissão.
    • Solução: o usuário que executa o script deve ter permissões de administrador para os escopos necessários.
    • Solução: o usuário que executa o script deve ter os escopos BitLockerKey.ReadBasic.All e Device.Read.All atribuídos.
      • NOTA: A aprovação do Administrador Global é necessária para a atribuição do escopo.
  • Se .Export-BitLockerRecoveryKeys.ps1 falhar devido a um erro de rede.
    • Solução: execute .Export-BitLockerRecoveryKeys.ps1 em um host com conectividade com a API do Microsoft Graph.

• Verifique se o seu arquivo CSV possui cabeçalhos de coluna que correspondem exatamente KeyID e RecoveryKey .

Direitos autorais (c) CrowdStrike, Inc.

Ao acessar ou usar esta imagem, script, código de amostra, interface de programação de aplicativo, ferramentas e/ou documentação associada (se houver) (coletivamente, “Ferramentas”), Você (i) representa e garante que está celebrando este Contrato em nome de uma empresa, organização ou outra entidade legal (“Entidade”) que atualmente é cliente ou parceiro da CrowdStrike, Inc. (“CrowdStrike”), e (ii) tem autoridade para vincular tal Entidade e tal Entidade concorda em ser vinculado por este Contrato. A CrowdStrike concede à Entidade uma licença não exclusiva, intransferível, não sublicenciável, isenta de royalties e limitada para acessar e usar as Ferramentas exclusivamente para fins comerciais internos da Entidade, incluindo, sem limitação, os direitos de copiar e modificar as Ferramentas conforme necessário para seu uso interno. propósitos. Qualquer software, arquivo, driver ou outro componente de terceiros acessado e/ou baixado por Você ao usar uma Ferramenta pode ser regido por termos adicionais ou por uma licença separada fornecida ou mantida pelo fornecedor terceirizado. AS FERRAMENTAS SÃO FORNECIDAS “NO ESTADO EM QUE SE ENCONTRAM”, SEM GARANTIA DE QUALQUER TIPO, SEJA EXPRESSA, IMPLÍCITA, ESTATUTÁRIA OU DE OUTRA FORMA. A CROWDSTRIKE SE ISENTA ESPECIFICAMENTE DE TODAS AS OBRIGAÇÕES DE SUPORTE E DE TODAS AS GARANTIAS, INCLUINDO, SEM LIMITAÇÃO, TODAS AS GARANTIAS IMPLÍCITAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM DETERMINADO FIM, TÍTULO E NÃO VIOLAÇÃO. EM HIPÓTESE ALGUMA A CROWDSTRIKE SERÁ RESPONSÁVEL POR QUAISQUER DANOS DIRETOS, INDIRETOS, INCIDENTAIS, ESPECIAIS, EXEMPLARES OU CONSEQUENCIAIS (INCLUINDO, MAS NÃO SE LIMITANDO A, PERDA DE USO, DADOS OU LUCROS; OU INTERRUPÇÃO DE NEGÓCIOS) CAUSADOS DE QUALQUER FORMA E EM QUALQUER TEORIA DE RESPONSABILIDADE, SEJA POR CONTRATO, RESPONSABILIDADE ESTRITA OU ATO ILÍCITO (INCLUINDO NEGLIGÊNCIA OU DE OUTRA FORMA) DECORRENTE DE QUALQUER FORMA DO USO DAS FERRAMENTAS, MESMO SE AVISADO DA POSSIBILIDADE DE TAIS DANOS. ESTA FERRAMENTA NÃO É ENDOSSADA POR TERCEIROS.