首页>编程相关>其他源码
下载

Falcon Windows 主机恢复

构建可启动映像以修复受最近 Falcon 内容更新影响的 Windows 主机。

观看使用可启动 USB 驱动器修复 CrowdStrike 主机视频以进行演示。

什么是新的

版本1.3.2

  • BuildISO.ps1 :更新了适用于 Intel 处理器驱动程序包的 Surface Laptop 4

特征

构建工具

  • 默认 - 带有设备驱动程序的图像
  • 可选 - 具有自定义驱动程序的映像:最小、有限和自定义(用户定义)
  • 可选 - 通过 CSV 支持自定义 BitLocker 恢复的图像

BitLocker 工具

  • 可选 - 从 Active Directory/Entra ID 创建 BitLocker 恢复密钥的 CSV

主机修复工具

有两个可启动映像可用 - 使用最适合您需求的映像。

  • CSPERecovery - 使用手动或自动 BitLocker 恢复密钥进行自动主机修复。
  • CSSafeBoot - 使用安全模式和网络进行自动和手动主机修复(需要管理员帐户)。

构建工具

使用此项目可使用最新的 Microsoft ADK、Windows PE 加载项、驱动程序和 CrowdStrike 的修复脚本构建可启动的 Windows PE 映像。

要求

  • 具有至少 16GB 可用空间和管理权限的 Windows 10(或更高版本)64 位客户端。
  1. 将 falcon-windows-host-recovery GitHub 项目下载为 ZIP 文件。
    1. 单击绿色代码按钮并选择下载 ZIP
  2. falcon-windows-host-recovery-main.zip的内容提取到您选择的目录。
    1. 示例: C:falcon-windows-host-recovery-main
    2. 重要提示:路径不能包含空格或特殊字符

默认 - 带有设备驱动程序的图像

使用设备驱动程序为以下各项构建可启动映像:

Red Hat/VirtIO 虚拟机、Dell 系统、HP 系统、VMWare 虚拟机、Microsoft Surface 设备(Pro 8、9、10、Laptop 4 (Intel/AMD)、5、6)、常见 AMD SATA 控制器、常见 Intel/LSI MegaSAS RAID 卡。

注意:根据网络和磁盘性能,构建可能需要 30 分钟以上

  1. 打开 Windows PowerShell 命令提示符(以管理员身份),设置执行策略并构建映像
    1. cd C:falcon-windows-host-recovery-main
    2. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    3. .BuildISO.ps1 - 下载默认的设备驱动程序集并创建 ISO 映像
  2. BuildISO.ps1脚本的可选命令行参数
    1. -SkipBootPrompt - 系统启动时禁用“按任意键从 [media] 启动”提示
      1. 此功能可能不适用于所有系统
  3. 输出:图像
    1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
    2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

注意:根据网络和磁盘性能,构建可能需要 30 分钟以上

可选 - 具有自定义设备驱动程序的映像

仅使用最少的驱动程序、一组有限的驱动程序或使用您自己的自定义设备驱动程序构建可启动映像。

  1. 打开 Windows PowerShell 命令提示符(以管理员身份)
    1. cd C:falcon-windows-host-recovery-main
  2. 自定义驱动程序 - 下载设备驱动程序并将其解压到
    1. C:falcon-windows-host-recovery-mainDrivers
    2. 注意:无论命令行参数如何,都将始终安装Drivers中的驱动程序。
  3. BuildISO.ps1脚本的命令行参数
    1. 可选驱动程序 - 包括一个或多个驱动程序集(支持任何组合)
      1. -IncludeCommonDrivers -- 各种常见的 CrowdStrike 客户设备驱动程序
      2. -IncludeDellDrivers
      3. -IncludeHPDrivers
      4. -IncludeSurfaceDrivers
      5. -IncludeVMwareDrivers
    2. 最小驱动程序 - 跳过所有包含的驱动程序集(注意:覆盖任何-Include*参数)
      1. -SkipThirdPartyDriverDownloads
  4. 构建可启动映像
    1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    2. .BuildISO.ps1
  5. 输出:图像
    1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
    2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

可选 - 带有 BitLockerKeys.csv 的图像

使用CSPERecovery映像中的 BitLocker 恢复密钥构建可启动映像。

警告:主机修复后应轮换 BitLocker 恢复密钥

通过 CSV 的 BitLocker 密钥CSV 文件中的恢复密钥示例

  • 重要提示:列标题 KeyID 和 RecoveryKey 是必需的且区分大小写
密钥ID恢复密钥
3ca7495e-4252-432b-baf1-样本001317-088010-034473-667247-160608-471717-100894-无效
92e89e08-ad6e-4a98-e584-样本509542-050497-158529-325316-496853-372340-593355-无效
72E460C8-4FE8-4249-99CF-样品529408-021370-702581-530739-028721-610907-461582-无效
  1. 打开 Windows PowerShell 命令提示符
    1. 切换到您提取的文件目录
      1. cd C:falcon-windows-host-recovery-main
  2. 包括 BitLocker 恢复密钥 - 通过名为BitLockerKeys.csv的 CSV 文件
    1. C:falcon-windows-host-recovery-mainBitLockerKeys.csv
    2. 重要提示:请参阅下面的“最佳实践”部分,了解如何安全处理和销毁 BitLocker 恢复密钥
  3. 创建可启动映像
    1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    2. .BuildISO.ps1
  4. 输出:图像
    1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
    2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

BitLocker 工具

要求

  • Powershell 7.0 或更高版本
  • 服务器管理器 -> 本地服务器:禁用IE Enhanced Security Configuration
  • Active Directory 导出需要已加入域的 Windows Server 操作系统上的域管理员用户
  • Entra ID 导出脚本需要连接到 Microsoft Graph 以及具有 OAuth 范围BitLockerKey.ReadBasic.AllDevice.Read.All的云用户

可选 - 从 Active Directory 或 Entra ID 自动导出 BitLocker 恢复密钥

通过自动导出 BitLocker 恢复密钥生成BitLockerKeys.csv

  1. 打开 Windows PowerShell 命令提示符(以管理员身份)
    1. 切换到您提取的文件目录
      1. cd C:falcon-windows-host-recovery-main
  2. Export-BitLockerRecoveryKeys.ps1脚本的命令行参数
    1. -ActiveDirectory - 从 Active Directory 中提取 BitLocker 密钥
    2. -ActiveDirectory -OU - 提取特定组织单位的 BitLocker 密钥
    3. -EntraID - 从 Entra ID 中提取 BitLocker 密钥
    4. -ActiveDirectory -EntraID - 从 Active Directory 和 Entra ID 中提取 BitLocker 密钥
  3. 从源中提取 BitLocker 恢复密钥
    1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    2. .Export-BitLockerRecoveryKeys.ps1
      1. OU 示例.Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
  4. 按照提示收集账户
  5. 输出:CSV 文件: BitLockerKeys.csv
  6. 使用上面的可选 - 具有自定义 BitLockerKeys.csv 的图像部分,使用此 CSV 构建新图像

笔记:

  • 对于基域搜索返回数千台计算机的大型 Active Directory 环境,请使用 OU 标志。

主机修复工具

将 ISO 文件写入 USB 驱动器

  1. 从 https://rufus.ie/en/ 下载 Rufus,这是一个用于创建可启动 USB 记忆棒的开源实用程序
  2. 打开鲁弗斯:
    1. 使用设备菜单选择所需的 USB 驱动器目标
      1. 警告:USB 驱动器将被擦除干净
    2. 单击“选择”按钮( “启动选择”旁边)并选择CSPERecoveryCSSafeBoot ISO 文件
    3. 使用分区方案下拉菜单选择“GPT”
    4. 使用目标系统下拉菜单选择“UEFI(非 CSM)”
    5. 开始键
    6. 重要-请仔细阅读以下内容
      1. 如果提示以ISO模式ESP模式写入
        1. ISO 模式-首先使用这个!
          1. 最完整的用户体验,支持MBR和UEFI启动,并启用自动清理脚本CSSafeBoot ISO。
            1. CSPERecovery ISO 不受影响。
        2. ESP 模式-如果主机无法识别可启动 USB 驱动器(特别是在较旧的 UEFI 系统上),则使用
          1. 返回步骤 2 并重复这些步骤并选择 ESP 模式。
          2. 自动清理脚本在CSSafeBoot ISO 中不可用,但手动修复步骤仍然可用并且会成功。
            1. CSPERecovery ISO 不受影响。

从 USB 启动 Windows 主机

使用 https://rufus.ie/en/ 创建可启动 USB 驱动器后(在上面的部分中)

  1. 将 USB 驱动器插入受影响的主机
  2. 重启主机并使用F12键进入UEFI启动菜单
    1. 您也可以尝试 F1、F2、F10 或 F11 键(取决于 BIOS 制造商)
  3. 选择 USB 驱动器
    1. 如果在具有相同标签的 MBR 和 UEFI 选项之间进行选择,请准备选择UEFI
  4. 等待 Windows PE 加载
  5. 继续下面相应的“恢复...”部分以使用CSSafeBootCSPERecovery

使用 CSPERecovery 恢复 Windows 主机

CSPERecovery映像可自动修复系统,并包括对 BitLocker 的支持。

  1. 在 BootManager 中选择恢复映像 USB 驱动器。
    1. 重要提示您无需修改​​ UEFI 固件设置(尤其是启动顺序)
  2. 如果启用 BitLocker:
    1. 警告:主机修复后应轮换 BitLocker 恢复密钥
      1. 如果出现提示,请手动输入 BitLocker 恢复密钥以解锁卷。
      2. 如果使用BitLockerKeys.csv ,将应用设备的恢复密钥。
  3. 恢复脚本将自动删除有缺陷的通道文件 291。
    1. 删除位于C:WindowsSystem32driversCrowdStrike文件夹中以C-00000291*开头的所有文件。
    2. 设备将自动重启。
  4. Windows 主机应该正常启动。

使用 CSSafeBoot 恢复 Windows 主机

CSSafeBoot映像修改默认 Windows 启动配置以启动到带网络的安全模式,然后重新启动。

  1. 在 BootManager 中选择恢复映像 USB 驱动器
    1. 重要提示您无需修改​​ UEFI 固件设置(尤其是启动顺序)
    2. 注意:如果您的系统作为先前启动循环的一部分重新启动到 Windows 恢复环境,请选择继续
    3. 下次启动后主机将重新启动进入安全模式
  2. 以具有本地管理员权限的用户身份登录。
  3. 确认桌面上显示安全模式横幅。
  4. 补救措施
    1. 自动修复:
      1. 打开 Windows 资源管理器并选择恢复 USB 驱动器。
        1. 如果 Windows 资源管理器中未显示恢复 USB 驱动器,请跳至手动修复
      2. 找到并右键单击文件CSRecovery.cmd ,然后选择以管理员身份运行
      3. 该脚本将:
        1. 删除C:WindowsSystem32driversCrowdStrike文件夹中以C-00000291*开头的所有文件。
        2. 将 Windows 启动配置恢复到正常模式
        3. 主机将自动重启。
        4. 验证 Windows 加载成功
    2. 手动修复:
      1. 打开 Windows 资源管理器并导航到C:WindowsSystem32driversCrowdstrike
      2. 删除C:WindowsSystem32driversCrowdStrike文件夹中以C-00000291*开头的所有文件。
      3. 右键单击“开始”菜单,然后单击Windows PowerShell (Admin)Command Prompt (Admin)Terminal (Admin)
      4. 在提示符下,键入以下命令并按 Enter:
        1. bcdedit /deletevalue {default} safeboot
      5. 重新启动设备
      6. 验证 Windows 加载成功。

使用 PXE 恢复 Windows 主机

可以通过企业部署的现有 PXE 引导功能来部署和引导主机修复 ISO 文件。

由于 PXE 启动的网络和软件配置存在显着差异,因此我们无法推荐特定的通用 PXE 启动指令。

最佳实践

使用 BitLocker 恢复密钥

警告:主机修复后应轮换 BitLocker 恢复密钥

安全操作

带有 BitLocker 恢复密钥的可启动映像

  • 应该只提供给那些绝对需要它们的人
  • 应存储在具有磁盘加密的受密码保护的存储设备上
  • 应通过加密通信通道传输

安全销毁

具有 BitLocker 恢复密钥的可启动映像

  • 数字 ISO 映像文件必须使用专为安全删除而设计的软件来销毁,以确保数据无法恢复
  • 包含 ISO 映像的物理存储介质应使用粉碎、焚烧或压碎等方法销毁

故障排除

主机仅在修复后重新启动至 USB 驱动器

如果修复后主机继续引导至恢复 USB 驱动器

  • 解决方案:重新确认UEFI固件设置中的启动顺序是否正确,修复后拔出U盘
  • 注意:CrowdStrike 修复脚本不会更改 UEFI 启动顺序,以避免不必要的 BitLocker 步骤。
  1. 重要提示您无需修改​​ UEFI 固件设置(尤其是启动顺序)
    1. 这样做可能会导致额外的 BitLocker 恢复步骤。

冻结 CrowdStrike 安全模式启动实用程序

如果启动 Windows PE 后CSPERecoveryCSSafeBoot脚本没有响应。

  • 解决方案:按 Enter 键

恢复映像大小和设备驱动程序

如果使用-SkipThirdPartyDriverDownloads标志来构建恢复映像,则包含未选择的驱动程序。

  • 解决方案:从Drivers文件夹中移动(或删除)您不希望出现在映像中的所有设备驱动程序

  • 注意:CrowdStrike 仅为基于 libvirt 的虚拟机(例如 OpenStack 和 KVM)提供开源驱动程序。

    • 所有供应商设备驱动程序均使用 HTTPS 直接从供应商网站下载,并在构建时进行加密验证。

双启动和多启动 Windows 操作系统和 BitLocker

如果未使用 CSV, CSPERecovery脚本将仅自动修复具有双/多启动配置的主机上的一个 Windows 操作系统安装

  • 解决方案:对于要修复的每个 Windows 操作系统安装驱动器盘符,重复使用 CSPERecovery 恢复 Windows 主机部分(上文)中的步骤。
    • 注意:每个 Windows 操作系统安装设备驱动器都需要 BitLocker 恢复密钥。
  • 如果使用BitLockerKeys.csv ,该工具只会自动修复所有未加密的驱动器或受 BitLocker 保护的设备。
    • 注意:如果主机是双/多操作系统启动,具有 BitLocker,并且恢复映像具有 CSV,则所有在BitLockerKeys.csv中具有密钥的驱动器都将得到修复。

从 Active Directory/Entra ID 导出 BitLocker 恢复密钥

  • 现有 CSV
    • 如果.Export-BitLockerRecoveryKeys.ps1失败并出现 CSV 文件存在错误。
      • 解决方案:将现有文件移出工作目录(例如C:falcon-windows-host-recovery-main )。
      • 该脚本不会自动覆盖该文件。
  • 活动目录导出:
    • 如果.Export-BitLockerRecoveryKeys.ps1由于权限原因失败。
      • 解决方案:用户必须具有域管理员权限,或者是被委派对 BitLocker 恢复密钥的读取访问权限的组的成员。
    • 如果从未连接到域的主机运行脚本时未显示 AD 存储的密钥。
      • 解决方案:从加入域的服务器主机运行.Export-BitLockerRecoveryKeys.ps1脚本。
      • 如果加入 AD 的服务器具有所需的出站网络连接,也可以导出 Entra ID 存储的密钥。
  • 入口 ID 导出:
    • 如果.Export-BitLockerRecoveryKeys.ps1由于权限错误而失败。
      • 解决方案:运行脚本的用户必须具有所需范围的管理员权限。
      • 解决方案:运行脚本的用户必须分配BitLockerKey.ReadBasic.AllDevice.Read.All范围。
        • 注意:范围分配需要全局管理员批准。
    • 如果.Export-BitLockerRecoveryKeys.ps1由于网络错误而失败。
      • 解决方案:从连接到 Microsoft Graph API 的主机运行 . .Export-BitLockerRecoveryKeys.ps1

BitLocker 恢复密钥 CSV

  • 验证您的 CSV 文件的列标题与KeyIDRecoveryKey完全匹配。

执照

版权所有 (c) CrowdStrike, Inc.

通过访问或使用此图像、脚本、示例代码、应用程序编程接口、工具和/或相关文档(如果有)(统称为“工具”),您 ​​(i) 声明并保证您正在签订本协议代表目前是 CrowdStrike, Inc.(“CrowdStrike”)客户或合作伙伴的公司、组织或其他法人实体(“实体”),并且 (ii) 有权约束该实体并且该实体同意受此约束 协议。 CrowdStrike 授予实体非独占、不可转让、不可再许可、免版税且有限的许可,仅出于实体的内部业务目的访问和使用工具,包括但不限于根据您的内部需要复制和修改工具的权利。目的。您在使用工具时访问和/或下载的任何第三方软件、文件、驱动程序或其他组件可能受附加条款或第三方提供商提供或维护的单独许可的约束。这些工具按“原样”提供,不提供任何形式的保证,无论是明示的、暗示的、法定的还是其他形式的保证。 Crowdstrike 特别声明不承担所有支持义务和所有保证,包括但不限于对适销性、特定用途适用性、所有权和不侵权的所有默示保证。在任何情况下,Crowdstrike 均不对任何直接、间接、偶然、特殊、惩戒性或后果性损害(包括但不限于使用、数据或利润损失;或业务中断)承担任何责任,无论其原因如何且基于任何理论责任,无论是在因使用工具而以任何方式产生的合同、严格责任或侵权行为(包括疏忽或其他),即使已被告知可能发生此类损害。该工具未经任何第三方认可。

展开
附加信息
相关应用
为您推荐
相关资讯 全部