หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

การกู้คืนโฮสต์ Windows ของ Falcon

สร้างอิมเมจที่สามารถบู๊ตได้เพื่อแก้ไขโฮสต์ Windows ที่ได้รับผลกระทบจาก Falcon Content Update ล่าสุด

ชมวิดีโอ CrowdStrike Host Remediation พร้อมไดรฟ์ USB ที่สามารถบูตได้สำหรับการสาธิต

มีอะไรใหม่

ปล่อย 1.3.2

  • BuildISO.ps1 : อัปเดต Surface Laptop 4 สำหรับแพ็คเกจไดรเวอร์โปรเซสเซอร์ Intel

คุณสมบัติ

สร้างเครื่องมือ

  • ค่าเริ่มต้น - รูปภาพพร้อมไดรเวอร์อุปกรณ์
  • ทางเลือก - รูปภาพพร้อมไดรเวอร์แบบกำหนดเอง: น้อยที่สุด, จำกัด และกำหนดเอง (ผู้ใช้กำหนด)
  • ตัวเลือกเสริม - รูปภาพพร้อมการสนับสนุนการกู้คืน BitLocker แบบกำหนดเองผ่าน CSV

เครื่องมือ BitLocker

  • ทางเลือก - สร้าง CSV ของคีย์การกู้คืน BitLocker จาก Active Directory/Entra ID

เครื่องมือแก้ไขโฮสต์

มีอิมเมจที่สามารถบูตได้สองอิมเมจ - ใช้อิมเมจที่เหมาะกับความต้องการของคุณมากที่สุด

  • CSPERecovery - การแก้ไขโฮสต์อัตโนมัติด้วยคีย์การกู้คืน BitLocker ด้วยตนเองหรืออัตโนมัติ
  • CSSafeBoot - การแก้ไขโฮสต์อัตโนมัติและด้วยตนเองโดยใช้เซฟโหมดพร้อมระบบเครือข่าย (ต้องมีบัญชีผู้ดูแลระบบ)

สร้างเครื่องมือ

ใช้โปรเจ็กต์นี้เพื่อสร้างอิมเมจ Windows PE ที่สามารถบูตได้โดยใช้ Microsoft ADK, ส่วนเสริม Windows PE, ไดรเวอร์ และสคริปต์การแก้ไขของ CrowdStrike ล่าสุด

ความต้องการ

  • ไคลเอนต์ Windows 10 (หรือสูงกว่า) 64 บิตพร้อมพื้นที่ว่างอย่างน้อย 16GB และสิทธิ์ของผู้ดูแลระบบ
  1. ดาวน์โหลดโครงการ GitHub Falcon-windows-host-recovery เป็นไฟล์ ZIP
    1. คลิกปุ่มรหัสสีเขียวแล้วเลือก ดาวน์โหลด ZIP
  2. แยกเนื้อหาของ falcon-windows-host-recovery-main.zip ไปยังไดเร็กทอรีที่คุณเลือก
    1. ตัวอย่าง: C:falcon-windows-host-recovery-main
    2. สิ่งสำคัญ: เส้นทางต้องไม่มีช่องว่างหรืออักขระพิเศษ

ค่าเริ่มต้น - รูปภาพพร้อมไดรเวอร์อุปกรณ์

สร้างอิมเมจที่สามารถบูตได้ด้วยไดรเวอร์อุปกรณ์สำหรับสิ่งต่อไปนี้ทั้งหมด:

Red Hat/VirtIO VM, ระบบ Dell, ระบบ HP, VMWare VM, อุปกรณ์ Microsoft Surface (Pro 8, 9, 10, แล็ปท็อป 4 (Intel/AMD), 5, 6), คอนโทรลเลอร์ AMD SATA ทั่วไป และ Intel / LSI MegaSAS ทั่วไป การ์ดจู่โจม

หมายเหตุ : อาจใช้เวลานานกว่า 30 นาทีในการสร้างตามประสิทธิภาพของเครือข่ายและดิสก์

  1. เปิดพรอมต์คำสั่ง Windows PowerShell (ในฐานะผู้ดูแลระบบ) ตั้งค่านโยบายการดำเนินการ และสร้างอิมเมจ
    1. cd C:falcon-windows-host-recovery-main
    2. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    3. .BuildISO.ps1 - ดาวน์โหลดชุดไดรเวอร์อุปกรณ์เริ่มต้นและสร้างอิมเมจ ISO
  2. อาร์กิวเมนต์บรรทัดคำสั่งเพิ่มเติมสำหรับสคริปต์ BuildISO.ps1
    1. -SkipBootPrompt - ปิดใช้งานข้อความแจ้ง "กดปุ่มใดก็ได้เพื่อบูตจาก [สื่อ]" เมื่อระบบบู๊ต
      1. คุณสมบัตินี้อาจใช้ไม่ได้กับทุกระบบ
  3. เอาท์พุต: รูปภาพ
    1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
    2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

หมายเหตุ : อาจใช้เวลานานกว่า 30 นาทีในการสร้างตามประสิทธิภาพของเครือข่ายและดิสก์

ทางเลือก - รูปภาพพร้อมไดรเวอร์อุปกรณ์แบบกำหนดเอง

สร้างอิมเมจที่สามารถบู๊ตได้โดยใช้ไดรเวอร์ขั้นต่ำเท่านั้น ชุดไดรเวอร์ที่จำกัด หรือด้วยไดรเวอร์อุปกรณ์ที่คุณกำหนดเอง

  1. เปิดพรอมต์คำสั่ง Windows PowerShell (ในฐานะผู้ดูแลระบบ)
    1. cd C:falcon-windows-host-recovery-main
  2. ไดรเวอร์แบบกำหนดเอง - ดาวน์โหลดและแตกไดรเวอร์อุปกรณ์ลงในไฟล์
    1. C:falcon-windows-host-recovery-mainDrivers
    2. หมายเหตุ: ไดรเวอร์ใน Drivers จะถูกติดตั้งเสมอ โดยไม่คำนึงถึงอาร์กิวเมนต์บรรทัดคำสั่ง
  3. อาร์กิวเมนต์บรรทัดคำสั่งสำหรับสคริปต์ BuildISO.ps1
    1. ไดรเวอร์เสริม - รวมชุดไดรเวอร์ตั้งแต่หนึ่งชุดขึ้นไป (รองรับชุดค่าผสมใดก็ได้)
      1. -IncludeCommonDrivers -- ไดรเวอร์อุปกรณ์ของลูกค้า CrowdStrike ทั่วไปต่างๆ
      2. -IncludeDellDrivers
      3. -IncludeHPDrivers
      4. -IncludeSurfaceDrivers
      5. -IncludeVMwareDrivers
    2. ไดรเวอร์ขั้นต่ำ - ข้ามชุดไดรเวอร์ที่รวมไว้ทั้งหมด (หมายเหตุ: แทนที่ -Include* args ใด ๆ )
      1. -SkipThirdPartyDriverDownloads
  4. สร้างอิมเมจที่สามารถบูตได้
    1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    2. .BuildISO.ps1
  5. เอาท์พุต: รูปภาพ
    1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
    2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

ทางเลือก - รูปภาพด้วย BitLockerKeys.csv

สร้างอิมเมจที่สามารถบูตได้ด้วย BitLocker Recovery Keys ในอิมเมจ CSPERecovery

คำเตือน: ควรหมุนคีย์การกู้คืน BitLocker หลังจากการแก้ไขโฮสต์

คีย์ BitLocker ผ่าน CSV ตัวอย่างคีย์การกู้คืนของคุณในไฟล์ CSV

  • สิ่งสำคัญ: จำเป็นต้องมี KeyID และ RecoveryKey ส่วนหัวของคอลัมน์และคำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่
รหัสคีย์ คีย์การกู้คืน
3ca7495e-4252-432b-baf1-ตัวอย่าง 001317-088010-034473-667247-160608-471717-100894-ไม่ถูกต้อง
92e89e08-ad6e-4a98-e584-ตัวอย่าง 509542-050497-158529-325316-496853-372340-593355-ไม่ถูกต้อง
72E460C8-4FE8-4249-99CF-ตัวอย่าง 529408-021370-702581-530739-028721-610907-461582-ไม่ถูกต้อง
  1. เปิดพร้อมท์คำสั่ง Windows PowerShell
    1. เปลี่ยนเป็นไดเร็กทอรีไฟล์ที่แยกออกมาของคุณ
      1. cd C:falcon-windows-host-recovery-main
  2. รวมคีย์การกู้คืน BitLocker - ผ่านไฟล์ CSV ชื่อ BitLockerKeys.csv
    1. C:falcon-windows-host-recovery-mainBitLockerKeys.csv
    2. สิ่งสำคัญ: ดูส่วน แนวทางปฏิบัติที่ดีที่สุด ด้านล่างสำหรับการจัดการและการทำลายคีย์การกู้คืน BitLocker อย่างปลอดภัย
  3. สร้างอิมเมจที่สามารถบูตได้
    1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    2. .BuildISO.ps1
  4. เอาท์พุต: รูปภาพ
    1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
    2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

เครื่องมือ BitLocker

ความต้องการ

  • PowerShell 7.0 หรือสูงกว่า
  • ตัวจัดการเซิร์ฟเวอร์ -> เซิร์ฟเวอร์ภายใน: ปิดใช้งาน IE Enhanced Security Configuration
  • การส่งออก Active Directory จำเป็นต้องมีผู้ใช้ผู้ดูแลระบบโดเมนใน Windows Server OS ที่เข้าร่วมโดเมน
  • สคริปต์ส่งออก Entra ID จำเป็นต้องเชื่อมต่อกับ Microsoft Graph และผู้ใช้ระบบคลาวด์ที่มีขอบเขต OAuth BitLockerKey.ReadBasic.All และ Device.Read.All

ตัวเลือกเสริม - ส่งออกคีย์การกู้คืน BitLocker อัตโนมัติจาก Active Directory หรือ Entra ID

สร้าง BitLockerKeys.csv ผ่านการส่งออก BitLocker Recovery Keys โดยอัตโนมัติ

  1. เปิดพรอมต์คำสั่ง Windows PowerShell (ในฐานะผู้ดูแลระบบ)
    1. เปลี่ยนเป็นไดเร็กทอรีไฟล์ที่แยกออกมาของคุณ
      1. cd C:falcon-windows-host-recovery-main
  2. อาร์กิวเมนต์บรรทัดคำสั่งสำหรับสคริปต์ Export-BitLockerRecoveryKeys.ps1
    1. -ActiveDirectory - แยกคีย์ BitLocker จาก Active Directory
    2. -ActiveDirectory -OU - แยกคีย์ BitLocker สำหรับหน่วยองค์กรเฉพาะ
    3. -EntraID - แยกคีย์ BitLocker จาก Entra ID
    4. -ActiveDirectory -EntraID - แยกคีย์ BitLocker จากทั้ง Active Directory และ Entra ID
  3. แยกคีย์การกู้คืน BitLocker จากแหล่งที่มา
    1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    2. .Export-BitLockerRecoveryKeys.ps1
      1. ตัวอย่าง OU .Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
  4. ปฏิบัติตามคำแนะนำเพื่อรวบรวมบัญชี
  5. เอาต์พุต: ไฟล์ CSV: BitLockerKeys.csv
  6. สร้างอิมเมจใหม่ด้วย CSV นี้โดยใช้ ส่วนตัวเลือก - รูปภาพที่มี BitLockerKeys.csv แบบกำหนดเอง ด้านบน

บันทึก:

  • ใช้การตั้งค่าสถานะ OU สำหรับสภาพแวดล้อม Active Directory ขนาดใหญ่ที่การค้นหาโดเมนพื้นฐานส่งคืนคอมพิวเตอร์จำนวน 1,000 เครื่อง

เครื่องมือแก้ไขโฮสต์

เขียนไฟล์ ISO ลงในไดรฟ์ USB

  1. ดาวน์โหลด Rufus ซึ่งเป็นยูทิลิตี้โอเพ่นซอร์สสำหรับสร้างแท่ง USB ที่สามารถบู๊ตได้จาก https://rufus.ie/en/
  2. เปิดรูฟัส:
    1. ใช้เมนู อุปกรณ์ เพื่อเลือกเป้าหมายไดรฟ์ USB ที่ต้องการ
      1. คำเตือน: ไดรฟ์ USB จะถูกล้างให้สะอาด
    2. คลิกปุ่ม เลือก (ถัดจาก Boot Selection ) และเลือกไฟล์ CSPERecovery หรือ CSSafeBoot ISO
    3. ใช้เมนูแบบเลื่อนลงรูป แบบพาร์ติชัน เพื่อเลือก "GPT"
    4. ใช้เมนูแบบเลื่อนลง Target System เพื่อเลือก "UEFI (ไม่ใช่ CSM)"
    5. กด เริ่ม
    6. สำคัญ - โปรดอ่านข้อความต่อไปนี้อย่างละเอียด :
      1. หากได้รับแจ้งให้เขียนใน โหมด ISO หรือ โหมด ESP
        1. โหมด ISO - ใช้สิ่งนี้ก่อน!
          1. ประสบการณ์ผู้ใช้ที่สมบูรณ์แบบที่สุด รองรับการบูททั้ง MBR และ UEFI และเปิดใช้งานสคริปต์การล้างข้อมูลอัตโนมัติ CSSafeBoot ISO
            1. ISO CSPERecovery จะไม่ได้รับผลกระทบ
        2. โหมด ESP - ใช้หากโฮสต์ไม่รู้จักไดรฟ์ USB ที่สามารถบู๊ตได้ (โดยเฉพาะในระบบ UEFI รุ่นเก่า)
          1. กลับไปที่ขั้นตอนที่ 2 แล้วทำซ้ำขั้นตอนเหล่านี้และเลือกโหมด ESP
          2. สคริปต์การล้างข้อมูลอัตโนมัติจะไม่พร้อมใช้งานใน CSSafeBoot ISO แต่ขั้นตอนการแก้ไขด้วยตนเองยังคงมีอยู่และจะสำเร็จ
            1. ISO CSPERecovery จะไม่ได้รับผลกระทบ

การบูตโฮสต์ Windows จาก USB

เมื่อคุณสร้างไดรฟ์ USB ที่สามารถบู๊ตได้โดยใช้ https://rufus.ie/en/ (ในหัวข้อด้านบน)

  1. ใส่ไดรฟ์ USB เข้าไปในโฮสต์ที่ได้รับผลกระทบ
  2. รีบูตโฮสต์และเข้าสู่เมนูการบูต UEFI โดยใช้ปุ่ม F12
    1. คุณอาจลองใช้ปุ่ม F1, F2, F10 หรือ F11 (ขึ้นอยู่กับผู้ผลิต BIOS)
  3. เลือกไดรฟ์ USB
    1. เตรียมเลือก UEFI หากได้รับตัวเลือกระหว่างตัวเลือก MBR และ UEFI ที่มีป้ายกำกับเดียวกัน
  4. รอขณะโหลด Windows PE
  5. ดำเนินการไปยังส่วน "กู้คืน..." ที่เหมาะสมด้านล่างเพื่อใช้ CSSafeBoot หรือ CSPERecovery

กู้คืนโฮสต์ Windows โดยใช้ CSPERecovery

อิมเมจ CSPERecovery จะแก้ไขระบบโดยอัตโนมัติ และรวมถึงการรองรับ BitLocker

  1. เลือกไดรฟ์ USB อิมเมจการกู้คืนใน BootManager
    1. สำคัญ : คุณไม่จำเป็นต้องแก้ไขการตั้งค่าเฟิร์มแวร์ UEFI (โดยเฉพาะลำดับการบู๊ต)
  2. หากเปิดใช้งาน BitLocker:
    1. คำเตือน: ควรหมุนคีย์การกู้คืน BitLocker หลังจากการแก้ไขโฮสต์
      1. หากได้รับแจ้ง ให้ป้อนคีย์การกู้คืน BitLocker ด้วยตนเองเพื่อปลดล็อกโวลุ่ม
      2. หากใช้งาน BitLockerKeys.csv คีย์การกู้คืนสำหรับอุปกรณ์จะถูกนำมาใช้
  3. สคริปต์การกู้คืนจะลบไฟล์ Channel 291 ที่มีข้อบกพร่องออกโดยอัตโนมัติ
    1. ลบไฟล์ทั้งหมดที่ขึ้นต้นด้วย C-00000291* ซึ่งอยู่ในโฟลเดอร์ C:WindowsSystem32driversCrowdStrike
    2. อุปกรณ์จะรีบูตโดยอัตโนมัติ
  4. โฮสต์ Windows ควรเริ่มทำงานตามปกติ

กู้คืนโฮสต์ Windows โดยใช้ CSSafeBoot

อิมเมจ CSSafeBoot จะแก้ไขการกำหนดค่าการบูตเริ่มต้นของ Windows เพื่อบูตเข้าสู่ เซฟโหมดที่มีระบบเครือข่าย และรีบูต

  1. เลือกไดรฟ์ USB อิมเมจการกู้คืนใน BootManager
    1. สำคัญ : คุณไม่จำเป็นต้องแก้ไขการตั้งค่าเฟิร์มแวร์ UEFI (โดยเฉพาะลำดับการบู๊ต)
    2. หมายเหตุ: เลือก ดำเนินการต่อ หากระบบของคุณรีบูตเข้าสู่สภาพแวดล้อม Windows Recovery โดยเป็นส่วนหนึ่งของลูปการบูตก่อนหน้า
    3. โฮสต์จะรีบูตเข้าสู่ Safe Mode หลังจากการบู๊ตครั้งถัดไป
  2. เข้าสู่ระบบในฐานะผู้ใช้ที่มีสิทธิ์ ผู้ดูแลระบบท้องถิ่น
  3. ยืนยันว่าแบนเนอร์ Safe Mode ปรากฏบนเดสก์ท็อป
  4. การแก้ไข
    1. การแก้ไขอัตโนมัติ:
      1. เปิด Windows Explorer และเลือกไดรฟ์ USB การกู้คืน
        1. หากไดรฟ์ USB การกู้คืนไม่แสดงใน Windows Explorer ให้ข้ามไปที่การแก้ไขด้วยตนเอง
      2. ค้นหาและคลิกขวาที่ไฟล์ CSRecovery.cmd และเลือก Run as Administrator
      3. สคริปต์จะ:
        1. ลบไฟล์ทั้งหมดที่ขึ้นต้นด้วย C-00000291* ซึ่งอยู่ในโฟลเดอร์ C:WindowsSystem32driversCrowdStrike
        2. คืนค่าการกำหนดค่าการบูต Windows กลับสู่ โหมดปกติ
        3. โฮสต์จะรีบูตโดยอัตโนมัติ
        4. ตรวจสอบการโหลด Windows สำเร็จ
    2. การแก้ไขด้วยตนเอง:
      1. เปิด Windows Explorer และไปที่ C:WindowsSystem32driversCrowdstrike
      2. ลบไฟล์ทั้งหมดที่ขึ้นต้นด้วย C-00000291* ซึ่งอยู่ในโฟลเดอร์ C:WindowsSystem32driversCrowdStrike
      3. คลิกขวาที่เมนู Start แล้วคลิก Windows PowerShell (Admin) , Command Prompt (Admin) หรือ Terminal (Admin)
      4. ที่พรอมต์ ให้พิมพ์คำสั่งต่อไปนี้แล้วกด Enter:
        1. bcdedit /deletevalue {default} safeboot
      5. รีบูทอุปกรณ์
      6. ตรวจสอบการโหลด Windows สำเร็จ

การกู้คืนโฮสต์ Windows โดยใช้ PXE

ไฟล์ ISO การแก้ไขโฮสต์สามารถติดตั้งและบูตผ่านความสามารถในการบูต PXE ที่มีอยู่ซึ่งปรับใช้ในธุรกิจของคุณ

เนื่องจากความแตกต่างอย่างมีนัยสำคัญในการกำหนดค่าเครือข่ายและซอฟต์แวร์ที่มีการบูท PXE เราไม่สามารถแนะนำคำแนะนำในการบูท PXE ทั่วไปที่เฉพาะเจาะจงได้

แนวทางปฏิบัติที่ดีที่สุด

การใช้คีย์การกู้คืน BitLocker

คำเตือน: ควรหมุนคีย์การกู้คืน BitLocker หลังจากการแก้ไขโฮสต์

การจัดการที่ปลอดภัย

อิมเมจที่สามารถบู๊ตได้ด้วย BitLocker Recovery Keys

  • ควรเข้าถึงได้เฉพาะกับผู้ที่ต้องการมันจริงๆ เท่านั้น
  • ควรเก็บไว้ในอุปกรณ์จัดเก็บข้อมูลที่ป้องกันด้วยรหัสผ่านพร้อมการเข้ารหัสดิสก์
  • ควรถ่ายโอนผ่านช่องทางการสื่อสารที่เข้ารหัส

การทำลายล้างอย่างปลอดภัย

อิมเมจที่สามารถบู๊ตได้ด้วย BitLocker Recovery Keys

  • ไฟล์อิมเมจ ISO ดิจิทัลจะต้องถูกทำลายโดยใช้ซอฟต์แวร์ที่ออกแบบมาเพื่อการลบอย่างปลอดภัยเพื่อให้แน่ใจว่าข้อมูลไม่สามารถกู้คืนได้
  • สื่อจัดเก็บข้อมูลทางกายภาพที่มีอิมเมจ ISO ควรถูกทำลายโดยใช้วิธีการต่างๆ เช่น การทำลาย การเผาทำลาย หรือการบด

การแก้ไขปัญหา

โฮสต์รีบูตเป็นไดรฟ์ USB หลังจากการแก้ไขเท่านั้น

หากโฮสต์ยังคงบู๊ตเพื่อกู้คืนไดรฟ์ USB หลังจากการแก้ไข

  • วิธีแก้ไข: ยืนยันลำดับการบูตอีกครั้งในการตั้งค่าเฟิร์มแวร์ UEFI ว่าถูกต้อง และดึงไดรฟ์ USB หลังจากการแก้ไข
  • หมายเหตุ: สคริปต์การแก้ไข CrowdStrike จะไม่เปลี่ยนลำดับการบูต UEFI เพื่อหลีกเลี่ยงขั้นตอน BitLocker ที่ไม่จำเป็น
  1. สำคัญ : คุณไม่จำเป็นต้องแก้ไขการตั้งค่าเฟิร์มแวร์ UEFI (โดยเฉพาะลำดับการบู๊ต)
    1. การทำเช่นนี้อาจทำให้เกิดขั้นตอนการกู้คืน BitLocker เพิ่มเติม

ยูทิลิตี้การบูตเซฟโหมด CrowdStrike แช่แข็ง

หากสคริปต์ CSPERecovery หรือ CSSafeBoot ไม่ตอบสนองหลังจากเริ่ม Windows PE

  • วิธีแก้ไข: กด Enter

ขนาดอิมเมจการกู้คืนและไดรเวอร์อุปกรณ์

หากใช้แฟล็ก -SkipThirdPartyDriverDownloads เพื่อสร้างอิมเมจการกู้คืน และรวมไดรเวอร์ที่ไม่ได้เลือกไว้ด้วย

  • วิธีแก้ไข: ย้าย (หรือลบ) ไดรเวอร์อุปกรณ์ใด ๆ ออกจากโฟลเดอร์ Drivers ที่คุณไม่ต้องการในอิมเมจของคุณ

  • หมายเหตุ : CrowdStrike จัดเตรียมไดรเวอร์โอเพ่นซอร์สสำหรับเครื่องเสมือนที่ใช้ libvirt เท่านั้น (เช่น OpenStack และ KVM)

    • ไดรเวอร์อุปกรณ์ของผู้จำหน่ายทั้งหมดจะถูกดาวน์โหลดโดยตรงจากเว็บไซต์ของผู้จำหน่าย โดยใช้ HTTPS และได้รับการตรวจสอบด้วยการเข้ารหัส ณ เวลาที่สร้าง

Windows OS และ BitLocker แบบดูอัลและมัลติบูต

หากไม่ได้ใช้งาน CSV สคริปต์ CSPERecovery จะแก้ไขการติดตั้ง Windows OS เดียวบนโฮสต์ที่มีการกำหนดค่าดูอัล/มัลติบูตโดยอัตโนมัติเท่านั้น

  • วิธีแก้ไข: ทำซ้ำขั้นตอนจาก การกู้คืนโฮสต์ Windows โดยใช้ส่วน CSPERecovery (ด้านบน) สำหรับอักษรระบุไดรฟ์การติดตั้ง Windows OS แต่ละตัวที่คุณต้องการแก้ไข
    • หมายเหตุ: ไดรฟ์อุปกรณ์การติดตั้ง Windows OS แต่ละตัวต้องใช้คีย์การกู้คืน BitLocker
  • เครื่องมือจะแก้ไขไดรฟ์ที่ไม่ได้เข้ารหัสทั้งหมดหรืออุปกรณ์ที่ได้รับการป้องกันด้วย BitLocker โดยอัตโนมัติหากใช้ BitLockerKeys.csv
    • หมายเหตุ: หากโฮสต์เป็นแบบบูตระบบปฏิบัติการคู่/หลายระบบด้วย BitLocker และอิมเมจการกู้คืนมี CSV ไดรฟ์ทั้งหมดที่มีคีย์ใน BitLockerKeys.csv จะได้รับการแก้ไข

ส่งออกคีย์การกู้คืน BitLocker จาก Active Directory/Entra ID

  • CSV ที่มีอยู่
    • หาก .Export-BitLockerRecoveryKeys.ps1 ล้มเหลวด้วยไฟล์ CSV แสดงว่าเกิดข้อผิดพลาด
      • วิธีแก้ไข: ย้ายไฟล์ที่มีอยู่ออกไปนอกไดเร็กทอรีงานของคุณ (เช่น C:falcon-windows-host-recovery-main )
      • สคริปต์จะไม่เขียนทับไฟล์นี้โดยอัตโนมัติ
  • การส่งออกไดเรกทอรีที่ใช้งานอยู่:
    • หาก .Export-BitLockerRecoveryKeys.ps1 ล้มเหลวเนื่องจาก การอนุญาต
      • วิธีแก้ไข: ผู้ใช้ต้องมีสิทธิ์ผู้ดูแลระบบโดเมน หรือเป็นสมาชิกของกลุ่มที่ได้รับมอบหมายให้มีสิทธิ์อ่านคีย์การกู้คืน BitLocker
    • หากคีย์ที่จัดเก็บ AD ไม่ปรากฏขึ้นเมื่อเรียกใช้สคริปต์จากโฮสต์ที่ไม่ได้เชื่อมต่อกับโดเมน
      • วิธีแก้ไข: เรียกใช้สคริปต์ .Export-BitLockerRecoveryKeys.ps1 จากโฮสต์เซิร์ฟเวอร์ที่เข้าร่วมโดเมน
      • คีย์ที่จัดเก็บ Entra ID ยังสามารถส่งออกได้หากเซิร์ฟเวอร์ที่เข้าร่วม AD มีการเชื่อมต่อเครือข่ายขาออกที่จำเป็น
  • ส่งออกรหัสเข้า:
    • หาก .Export-BitLockerRecoveryKeys.ps1 ล้มเหลวเนื่องจากข้อผิดพลาดในการอนุญาต
      • วิธีแก้ไข: ผู้ใช้ที่เรียกใช้สคริปต์ต้องมีสิทธิ์ผู้ดูแลระบบสำหรับขอบเขตที่จำเป็น
      • วิธีแก้ไข: ผู้ใช้ที่เรียกใช้สคริปต์ต้องมีการกำหนดขอบเขต BitLockerKey.ReadBasic.All และ Device.Read.All
        • หมายเหตุ: จำเป็นต้องได้รับอนุมัติจากผู้ดูแลระบบสากลในการกำหนดขอบเขต
    • หาก .Export-BitLockerRecoveryKeys.ps1 ล้มเหลวเนื่องจากข้อผิดพลาดของเครือข่าย
      • วิธีแก้ไข: เรียกใช้ .Export-BitLockerRecoveryKeys.ps1 จากโฮสต์ที่มีการเชื่อมต่อกับ Microsoft Graph API

CSV คีย์การกู้คืน BitLocker

  • ตรวจสอบว่าไฟล์ CSV ของคุณมีส่วนหัวคอลัมน์ที่ตรงกับ KeyID และ RecoveryKey ทุกประการ

ใบอนุญาต

ลิขสิทธิ์ (c) CrowdStrike, Inc.

โดยการเข้าถึงหรือใช้รูปภาพ สคริปต์ โค้ดตัวอย่าง ส่วนต่อประสานการเขียนโปรแกรมแอปพลิเคชัน เครื่องมือ และ/หรือเอกสารที่เกี่ยวข้อง (ถ้ามี) (เรียกรวมกันว่า “เครื่องมือ”) คุณ (i) รับรองและรับประกันว่าคุณกำลังเข้าสู่ข้อตกลงนี้กับ ในนามของบริษัท องค์กร หรือนิติบุคคลอื่น (“นิติบุคคล”) ที่ปัจจุบันเป็นลูกค้าหรือหุ้นส่วนของ CrowdStrike, Inc. (“CrowdStrike”) และ (ii) มีอำนาจในการผูกมัดนิติบุคคลดังกล่าว และนิติบุคคลดังกล่าวตกลงที่จะ ผูกพันตามข้อตกลงนี้ CrowdStrike ให้สิทธิ์แก่ Entity แบบไม่ผูกขาด ไม่สามารถถ่ายโอนได้ ไม่สามารถให้อนุญาตช่วงได้ ไม่มีค่าสิทธิและจำกัดสิทธิ์ในการเข้าถึงและใช้เครื่องมือเพื่อวัตถุประสงค์ทางธุรกิจภายในของ Entity เท่านั้น รวมถึงแต่ไม่จำกัดเพียงสิทธิ์ในการคัดลอกและแก้ไขเครื่องมือตามความจำเป็นสำหรับภายในของคุณ วัตถุประสงค์ ซอฟต์แวร์ ไฟล์ ไดรเวอร์หรือส่วนประกอบอื่นๆ ของบุคคลที่สามที่คุณเข้าถึงและ/หรือดาวน์โหลดเมื่อใช้เครื่องมืออาจอยู่ภายใต้ข้อกำหนดเพิ่มเติมหรือใบอนุญาตแยกต่างหากที่ผู้ให้บริการบุคคลที่สามจัดหาหรือดูแลรักษาไว้ เครื่องมือนี้มีให้ "ตามที่เป็น" โดยไม่มีการรับประกันใดๆ ไม่ว่าจะโดยชัดแจ้ง โดยนัย หรือตามกฎหมายหรืออย่างอื่น CROWDSTRIKE ปฏิเสธความรับผิดชอบในการสนับสนุนและการรับประกันทั้งหมดโดยเฉพาะอย่างยิ่ง รวมถึงแต่ไม่จำกัดเพียง การรับประกันโดยนัยเกี่ยวกับความสามารถในการค้าขาย ความเหมาะสมสำหรับวัตถุประสงค์เฉพาะ ชื่อ และการไม่ละเมิด ไม่ว่าในกรณีใด CROWDSTRIK จะไม่รับผิดชอบต่อความเสียหายทั้งทางตรง, ทางอ้อม, โดยบังเอิญ, พิเศษ, ที่เป็นแบบอย่างหรือเป็นผลสืบเนื่อง (รวมถึงแต่ไม่จำกัดเพียง การสูญเสียการใช้งาน ข้อมูล หรือผลกำไร หรือการหยุดชะงักทางธุรกิจ) ไม่ว่าจะเกิดจากสาเหตุใดและขึ้นอยู่กับทฤษฎีใด ๆ ของ ความรับผิดไม่ว่าในสัญญา ความรับผิดที่เข้มงวด หรือการละเมิด (รวมถึงความประมาทเลินเล่อหรืออย่างอื่น) ที่เกิดขึ้นในลักษณะใดก็ตามจากการใช้เครื่องมือ แม้ว่าจะได้รับแจ้งถึงความเป็นไปได้ของความเสียหายดังกล่าวก็ตาม เครื่องมือนี้ไม่ได้รับการรับรองโดยบุคคลที่สาม

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด