falcon windows host recovery

Создавайте загрузочные образы для исправления узлов Windows, на которые повлияло недавнее обновление контента Falcon.

Посмотрите видео «Восстановление хоста CrowdStrike с помощью загрузочного USB-накопителя» для демонстрации.

• BuildISO.ps1 : обновление Surface Laptop 4 для пакета драйверов процессора Intel.

• По умолчанию — образ с драйверами устройств
• Необязательно — образ с пользовательскими драйверами: минимальный, ограниченный и пользовательский (определяется пользователем)
• Необязательно — образ с поддержкой пользовательского восстановления BitLocker через CSV.

• Необязательно: создайте CSV-файл с ключами восстановления BitLocker из Active Directory/Entra ID.

Доступны два загрузочных образа — используйте тот, который лучше всего соответствует вашим потребностям.

• CSPERecovery — автоматическое исправление хоста с помощью ключей восстановления BitLocker вручную или автоматически.
• CSSafeBoot — автоматическое и ручное исправление хоста с использованием безопасного режима с поддержкой сети (требуется учетная запись администратора).

Используйте этот проект для создания загрузочных образов Windows PE с использованием последней версии Microsoft ADK, надстроек Windows PE, драйверов и сценариев исправления CrowdStrike.

• 64-разрядный клиент Windows 10 (или более поздней версии) с не менее 16 ГБ свободного места и правами администратора.

1. Загрузите проект falcon-windows-host-recovery на GitHub в виде ZIP-файла.
   1. Нажмите зеленую кнопку «Код» и выберите «Загрузить ZIP».
2. Извлеките содержимое falcon-windows-host-recovery-main.zip в каталог по вашему выбору.
   1. Пример: C:falcon-windows-host-recovery-main .
   2. ВАЖНО: путь не может содержать пробелы или специальные символы.

Создайте загрузочные образы с драйверами устройств для всего следующего:

Виртуальные машины Red Hat/VirtIO, системы Dell, системы HP, виртуальные машины VMWare, устройства Microsoft Surface (Pro 8, 9, 10, Laptop 4 (Intel/AMD), 5, 6), распространенные контроллеры AMD SATA и распространенные контроллеры Intel/LSI MegaSAS. RAID-карты.

ПРИМЕЧАНИЕ . Сборка может занять более 30 минут в зависимости от производительности сети и диска.

1. Откройте командную строку Windows PowerShell (от имени администратора), установите политику выполнения и создайте образы.
   1. cd C:falcon-windows-host-recovery-main
   2. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   3. .BuildISO.ps1 — загружает набор драйверов устройств по умолчанию и создает ISO-образы.
2. Необязательные аргументы командной строки для сценария BuildISO.ps1
   1. -SkipBootPrompt — отключить приглашение «нажмите любую клавишу для загрузки с [носителя]» при загрузке системы.
      1. Эта функция может работать не на всех системах.
3. Выход: изображения
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

ПРИМЕЧАНИЕ . Сборка может занять более 30 минут в зависимости от производительности сети и диска.

Создавайте загрузочные образы, используя только минимальные драйверы, ограниченный набор драйверов или собственные драйверы устройств.

1. Откройте командную строку Windows PowerShell (от имени администратора).
   1. cd C:falcon-windows-host-recovery-main
2. Пользовательские драйверы — загрузите и распакуйте драйверы устройств в
   1. C:falcon-windows-host-recovery-mainDrivers
   2. ПРИМЕЧАНИЕ. Драйверы в папке Drivers будут установлены всегда , независимо от аргументов командной строки.
3. Аргументы командной строки для сценария BuildISO.ps1
   1. Дополнительные драйверы — включите один или несколько наборов драйверов (поддерживается любая комбинация)
      1. -IncludeCommonDrivers — различные распространенные драйверы устройств клиентов CrowdStrike.
      2. -IncludeDellDrivers
      3. -IncludeHPDrivers
      4. -IncludeSurfaceDrivers
      5. -IncludeVMwareDrivers
   2. Минимальные драйверы — пропустить все включенные наборы драйверов (ПРИМЕЧАНИЕ: переопределяет любые аргументы -Include* )
      1. -SkipThirdPartyDriverDownloads
4. Создание загрузочных образов
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
5. Выход: изображения
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

Создайте загрузочные образы с ключами восстановления BitLocker в образе CSPERecovery .

ВНИМАНИЕ. Ключи восстановления BitLocker следует менять после исправления хоста.

Ключи BitLocker в формате CSV. Пример ключей восстановления в файле CSV.

• ВАЖНО: заголовки столбцов KeyID и RecoveryKey являются обязательными и чувствительны к регистру.

1. Откройте командную строку Windows PowerShell.
   1. Перейдите в каталог извлеченных файлов.
      1. cd C:falcon-windows-host-recovery-main
2. Включить ключи восстановления BitLocker — через CSV-файл с именем BitLockerKeys.csv
   1. C:falcon-windows-host-recovery-mainBitLockerKeys.csv
   2. ВАЖНО: см. раздел «Рекомендации» ниже для безопасного обращения и уничтожения ключей восстановления BitLocker.
3. Создание загрузочных образов
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
4. Выход: изображения
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

Требования

• Powershell 7.0 или выше
• Диспетчер серверов -> Локальный сервер: отключить IE Enhanced Security Configuration
• Для экспорта Active Directory требуется пользователь-администратор домена в ОС Windows Server, присоединенной к домену.
• Сценарий экспорта идентификатора Entra требует подключения к Microsoft Graph и пользователя облака с областями OAuth BitLockerKey.ReadBasic.All и Device.Read.All

Создает BitLockerKeys.csv посредством автоматического экспорта ключей восстановления BitLocker.

1. Откройте командную строку Windows PowerShell (от имени администратора).
   1. Перейдите в каталог извлеченных файлов.
      1. cd C:falcon-windows-host-recovery-main
2. Аргументы командной строки для сценария Export-BitLockerRecoveryKeys.ps1
   1. -ActiveDirectory — извлечь ключи BitLocker из Active Directory.
   2. -ActiveDirectory -OU — извлечь ключи BitLocker для определенного организационного подразделения.
   3. -EntraID — извлечь ключи BitLocker из Entra ID
   4. -ActiveDirectory -EntraID — извлечь ключи BitLocker как из Active Directory, так и из Entra ID.
3. Извлечение ключей восстановления BitLocker из источника
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .Export-BitLockerRecoveryKeys.ps1
      1. Пример подразделения .Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
4. Следуйте инструкциям для сбора учетных записей
5. Вывод: CSV-файл: BitLockerKeys.csv
6. Создайте новый образ с этим CSV, используя раздел «Необязательно — Изображение с пользовательским BitLockerKeys.csv» выше.

ПРИМЕЧАНИЕ:

• Используйте флаг OU для больших сред Active Directory, где поиск по базовому домену возвращает тысячи компьютеров.

1. Загрузите Rufus, утилиту с открытым исходным кодом для создания загрузочных USB-накопителей с https://rufus.ie/en/.
2. Откройте Руфус:
   1. Используйте меню «Устройство» , чтобы выбрать желаемый целевой USB-накопитель.
      1. ВНИМАНИЕ: USB-накопитель будет полностью очищен.
   2. Нажмите кнопку «Выбрать» (рядом с «Выбор загрузки» ) и выберите ISO-файл CSPERecovery или CSSafeBoot.
   3. В раскрывающемся меню «Схема разделов» выберите «GPT».
   4. В раскрывающемся меню «Целевая система» выберите «UEFI (не CSM)».
   5. Нажмите Старт
   6. ВАЖНО : пожалуйста, внимательно прочитайте следующее :
      1. Если будет предложено записать в режиме ISO или режиме ESP
         1. Режим ISO — используйте его в первую очередь!
            1. Наиболее полный пользовательский интерфейс, поддерживает загрузку как MBR, так и UEFI, а также позволяет использовать сценарий автоматической очистки CSSafeBoot ISO.
               1. CSPERecovery ISO не затрагивается.
         2. Режим ESP — используйте, если хост не может распознать загрузочный USB-накопитель (особенно в старых системах UEFI)
            1. Вернитесь к шагу 2, повторите эти шаги и выберите режим ESP.
            2. Сценарий автоматической очистки будет недоступен в CSSafeBoot ISO, но действия по ручному исправлению по-прежнему доступны и будут успешными.
               1. CSPERecovery ISO не затрагивается.

После того, как вы создали загрузочный USB-накопитель, используя https://rufus.ie/en/ (в разделе выше)

1. Вставьте USB-накопитель в затронутый хост
2. Перезагрузите хост и войдите в меню загрузки UEFI, используя клавишу F12.
   1. Вы также можете попробовать клавиши F1, F2, F10 или F11 (в зависимости от производителя BIOS).
3. Выберите USB-накопитель
   1. Приготовьтесь выбрать UEFI , если вам будет предложен выбор между MBR и UEFI с одной и той же меткой.
4. Подождите, пока загрузится Windows PE.
5. Перейдите к соответствующему разделу «Восстановить...» ниже, чтобы использовать CSSafeBoot или CSPERecovery.

Образ CSPERecovery автоматически исправляет системы и включает поддержку BitLocker.

1. Выберите USB-накопитель с образом восстановления в BootManager.
   1. ВАЖНО : ВАМ НЕ НУЖНО ИЗМЕНЯТЬ НАСТРОЙКИ ПРОШИВКИ UEFI (особенно порядок загрузки).
2. Если BitLocker включен:
   1. ВНИМАНИЕ. Ключи восстановления BitLocker следует менять после исправления хоста.
      1. При появлении запроса вручную введите ключ восстановления BitLocker, чтобы разблокировать том.
      2. Если используется BitLockerKeys.csv , будет применен ключ восстановления для устройства.
3. Сценарий восстановления автоматически удалит дефектный файл канала 291.
   1. Удаляет все файлы, начинающиеся с C-00000291* расположенные в папке C:WindowsSystem32driversCrowdStrike .
   2. Устройство автоматически перезагрузится.
4. Хост Windows должен запуститься нормально.

Образ CSSafeBoot изменяет конфигурацию загрузки Windows по умолчанию для загрузки в безопасном режиме с использованием сети и перезагружается.

1. Выберите USB-накопитель с образом восстановления в BootManager.
   1. ВАЖНО : ВАМ НЕ НУЖНО ИЗМЕНЯТЬ НАСТРОЙКИ ПРОШИВКИ UEFI (особенно порядок загрузки).
   2. ПРИМЕЧАНИЕ. Выберите «Продолжить» , если ваша система перезагружается в среду восстановления Windows в рамках предыдущего цикла загрузки.
   3. После следующей загрузки хост перезагрузится в безопасный режим .
2. Войдите в систему как пользователь с правами локального администратора .
3. Убедитесь, что на рабочем столе отображается баннер безопасного режима .
4. Исправление
   1. Автоматическое исправление:
      1. Откройте проводник Windows и выберите USB-накопитель для восстановления.
         1. Если USB-накопитель для восстановления не отображается в проводнике Windows, перейдите к разделу «Исправление вручную».
      2. Найдите и щелкните правой кнопкой мыши файл CSRecovery.cmd и выберите «Запуск от имени администратора» .
      3. Скрипт будет:
         1. Удалите все файлы, начинающиеся с C-00000291* расположенные в папке C:WindowsSystem32driversCrowdStrike .
         2. Восстановите конфигурацию загрузки Windows обратно в обычный режим.
         3. Хост автоматически перезагрузится.
         4. Убедитесь, что Windows загружается успешно
   2. Ручное исправление:
      1. Откройте проводник Windows и перейдите к C:WindowsSystem32driversCrowdstrike .
      2. Удалите все файлы, начинающиеся с C-00000291* расположенные в папке C:WindowsSystem32driversCrowdStrike .
      3. Щелкните правой кнопкой мыши меню «Пуск» и выберите Windows PowerShell (Admin) , Command Prompt (Admin) или Terminal (Admin) .
      4. В командной строке введите следующую команду и нажмите Enter:
         1. bcdedit /deletevalue {default} safeboot
      5. Перезагрузите устройство
      6. Убедитесь, что Windows загружается успешно.

ISO-файлы исправления хоста можно развернуть и загрузить с помощью существующей возможности загрузки PXE, развернутой в вашем бизнесе.

Из-за существенных различий в конфигурациях сети и программного обеспечения при загрузке PXE мы не можем рекомендовать конкретные общие инструкции по загрузке PXE.

ВНИМАНИЕ. Ключи восстановления BitLocker следует менять после исправления хоста.

Безопасное обращение

Загрузочные образы с ключами восстановления BitLocker

• должны быть доступны только тем, кто в них абсолютно нуждается
• следует хранить на защищенных паролем устройствах хранения данных с шифрованием диска.
• должны передаваться по зашифрованным каналам связи

Безопасное уничтожение

Загрузочные образы с ключами восстановления BitLocker

• Файлы цифровых изображений ISO должны быть уничтожены с помощью программного обеспечения, предназначенного для безопасного удаления, чтобы гарантировать невозможность восстановления данных.
• Физические носители информации, содержащие образы ISO, следует уничтожить такими методами, как измельчение, сжигание или дробление.

Если хост продолжает загружаться с USB-накопителя для восстановления после исправления

• Решение: еще раз убедитесь, что порядок загрузки в настройках прошивки UEFI правильный, и извлеките USB-накопитель после исправления.
• ПРИМЕЧАНИЕ. Сценарий исправления CrowdStrike не меняет порядок загрузки UEFI, чтобы избежать ненужных шагов BitLocker.

1. ВАЖНО : ВАМ НЕ НУЖНО ИЗМЕНЯТЬ НАСТРОЙКИ ПРОШИВКИ UEFI (особенно порядок загрузки).
   1. Это может привести к необходимости дополнительных действий по восстановлению BitLocker.

Если сценарий CSPERecovery или CSSafeBoot не отвечает после запуска Windows PE.

• Решение: нажмите Enter.

Если для создания образа восстановления использовался флаг -SkipThirdPartyDriverDownloads и включены не выбранные драйверы.

• Решение: переместите (или удалите) все драйверы устройств из папки Drivers которые вам не нужны в вашем образе.

• ПРИМЕЧАНИЕ . CrowdStrike предоставляет только драйверы с открытым исходным кодом для виртуальных машин на базе libvirt (например, OpenStack и KVM).

  • Все драйверы устройств поставщиков загружаются непосредственно с веб-сайтов поставщиков по протоколу HTTPS и подвергаются криптографической проверке во время сборки.

Если CSV не используется, сценарий CSPERecovery автоматически исправит только одну установку ОС Windows на хостах с конфигурациями с двойной/мультизагрузкой.

• Решение: повторите шаги из раздела «Восстановление хостов Windows с помощью CSPERecovery» (выше) для каждой буквы установочного диска ОС Windows, которую вы хотите исправить.
  • ПРИМЕЧАНИЕ. Для каждого диска установочного устройства ОС Windows требуется ключ восстановления BitLocker.
• Этот инструмент автоматически исправит все незашифрованные диски или устройства, защищенные BitLocker, только если используется BitLockerKeys.csv .
  • ПРИМЕЧАНИЕ. Если хост имеет загрузку с двумя ОС или несколькими ОС, с BitLocker, а образ восстановления имеет CSV, все диски, имеющие ключи в BitLockerKeys.csv будут исправлены.

• Существующий CSV-файл
  • Если .Export-BitLockerRecoveryKeys.ps1 завершается с ошибкой, возникает ошибка CSV-файла.
    • Решение: переместите существующий файл за пределы вашего рабочего каталога (например, C:falcon-windows-host-recovery-main ).
    • Скрипт не будет автоматически перезаписывать этот файл.
• Экспорт из Active Directory:
  • Если .Export-BitLockerRecoveryKeys.ps1 завершается сбоем из-за разрешений .
    • Решение: пользователь должен иметь права администратора домена или быть членом группы, которой делегирован доступ на чтение ключей восстановления BitLocker.
  • Если ключи, хранящиеся в AD, не отображаются при запуске сценария с хоста, не подключенного к домену.
    • Решение: запустите сценарий .Export-BitLockerRecoveryKeys.ps1 с узла сервера, присоединенного к домену.
    • Сохраненные ключи Entra ID также можно экспортировать, если сервер, подключенный к AD, имеет необходимое исходящее сетевое подключение.
• Экспорт идентификатора входа:
  • Если .Export-BitLockerRecoveryKeys.ps1 завершается сбоем из-за ошибок разрешений.
    • Решение: пользователь, запускающий скрипт, должен иметь права администратора для необходимых областей.
    • Решение: пользователю, запускающему сценарий, должны быть назначены области BitLockerKey.ReadBasic.All и Device.Read.All .
      • ПРИМЕЧАНИЕ. Для назначения объема требуется одобрение глобального администратора.
  • Если .Export-BitLockerRecoveryKeys.ps1 завершается сбоем из-за сетевой ошибки.
    • Решение: запустите .Export-BitLockerRecoveryKeys.ps1 с хоста, имеющего подключение к API Microsoft Graph.

• Убедитесь, что в вашем CSV-файле заголовки столбцов точно соответствуют KeyID и RecoveryKey .

Авторские права (c) CrowdStrike, Inc.

Получая доступ к этому изображению, сценарию, образцу кода, интерфейсу прикладного программирования, инструментам и/или связанной документации (если таковая имеется) или используя это изображение (совместно именуемые «Инструменты»), вы (i) заявляете и гарантируете, что вы заключаете настоящее Соглашение на от имени компании, организации или другого юридического лица («Юридическое лицо»), которое в настоящее время является клиентом или партнером CrowdStrike, Inc. («CrowdStrike»), и (ii) имеет полномочия налагать обязательства на такое юридическое лицо, и такое юридическое лицо соглашается быть связаны настоящим Соглашением. CrowdStrike предоставляет Организации неисключительную, непередаваемую, не подлежащую сублицензированию, безвозмездную и ограниченную лицензию на доступ к Инструментам и их использование исключительно для внутренних деловых целей Организации, включая, помимо прочего, права копировать и изменять Инструменты, необходимые для ваших внутренних деловых целей. целей. Любое стороннее программное обеспечение, файлы, драйверы или другие компоненты, к которым вы получаете доступ и/или загружаете их при использовании Инструмента, могут регулироваться дополнительными условиями или отдельной лицензией, предоставляемой или поддерживаемой сторонним поставщиком. ИНСТРУМЕНТЫ ПРЕДОСТАВЛЯЮТСЯ «КАК ЕСТЬ» БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ, ЗАКОНОДАТЕЛЬНЫХ ИЛИ ДРУГИХ. CROWDSTRIKE СПЕЦИАЛЬНО ОТКАЗЫВАЕТСЯ ОТ ВСЕХ ОБЯЗАТЕЛЬСТВ ПО ПОДДЕРЖКЕ И ВСЕХ ГАРАНТИЙ, ВКЛЮЧАЯ, ПОМИМО ПРОЧЕГО, ВСЕ ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ ТОВАРНОЙ ЦЕННОСТИ, ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ, ПРАВА И НЕНАРУШЕНИЯ ПРАВ. НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ CROWDSTRIKE НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ ПРЯМЫЕ, КОСВЕННЫЕ, СЛУЧАЙНЫЕ, ОСОБЫЕ, ТИПОВЫЕ ИЛИ КОСВЕННЫЕ УБЫТКИ (ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ПОТЕРЮ ИСПОЛЬЗОВАНИЯ, ДАННЫХ ИЛИ ПРИБЫЛИ; ИЛИ ПЕРЕРЫВ БИЗНЕСА), КАКИЕ бы ПРИЧИНЫ ни были, И НА ЛЮБОЙ ТЕОРИИ ОТВЕТСТВЕННОСТЬ, КАК ДОГОВОРНАЯ, СТРОГО ОТВЕТСТВЕННОСТЬ ИЛИ ПРАВОНАКТ (ВКЛЮЧАЯ НЕБРЕЖНОСТЬ ИЛИ ДРУГИЕ ОБРАЗЫ), ВОЗНИКАЮЩАЯ ЛЮБЫМ СПОСОБОМ ИСПОЛЬЗОВАНИЯ ИНСТРУМЕНТОВ, ДАЖЕ ЕСЛИ ПРЕДУПРЕЖДЕНО О ВОЗМОЖНОСТИ ТАКОГО УЩЕРБА. ЭТОТ ИНСТРУМЕНТ НЕ ОДОБРЕН НИКАКОЙ ТРЕТЬЕЙ ЛИЦОЙ.