首頁>編程相關>其他源碼
下載

Falcon Windows 主機恢復

建立可啟動映像以修復受最近 Falcon 內容更新影響的 Windows 主機。

觀看使用可啟動 USB 驅動器修復 CrowdStrike 主機影片以進行演示。

什麼是新的

版本1.3.2

  • BuildISO.ps1 :更新了適用於 Intel 處理器驅動程式套件的 Surface Laptop 4

特徵

建構工具

  • 預設 - 帶有裝置驅動程式的影像
  • 可選 - 具有自訂驅動程式的映像:最小、有限和自訂(使用者定義)
  • 可選 - 透過 CSV 支援自訂 BitLocker 恢復的映像

BitLocker 工具

  • 選用 - 從 Active Directory/Entra ID 建立 BitLocker 復原金鑰的 CSV

主機修復工具

有兩個可啟動映像可用 - 使用最適合您需求的映像。

  • CSPERecovery - 使用手動或自動 BitLocker 復原金鑰進行自動主機修復。
  • CSSafeBoot - 使用安全模式和網路進行自動和手動主機修復(需要管理員帳戶)。

建構工具

使用此專案可使用最新的 Microsoft ADK、Windows PE 加載項、驅動程式和 CrowdStrike 的修復腳本建立可啟動的 Windows PE 映像。

要求

  • 具有至少 16GB 可用空間和管理權限的 Windows 10(或更高版本)64 位元用戶端。
  1. 將 falcon-windows-host-recovery GitHub 專案下載為 ZIP 檔案。
    1. 點擊綠色代碼按鈕並選擇下載 ZIP
  2. falcon-windows-host-recovery-main.zip的內容提取到您選擇的目錄。
    1. 範例: C:falcon-windows-host-recovery-main
    2. 重要提示:路徑不能包含空格或特殊字符

預設 - 帶有裝置驅動程式的影像

使用裝置驅動程式為下列各項建立可啟動映像:

Red Hat/VirtIO 虛擬機器、Dell 系統、HP 系統、VMWare 虛擬機器、Microsoft Surface 設備(Pro 8、9、10、Laptop 4 (Intel/AMD)、5、6)、常見AMD SATA 控制器、常見Intel/ LSI MegaSAS RAID 卡。

注意:根據網路和磁碟效能,建置可能需要 30 分鐘以上

  1. 開啟 Windows PowerShell 命令提示字元(以管理員身分),設定執行原則並建立映像
    1. cd C:falcon-windows-host-recovery-main
    2. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    3. .BuildISO.ps1 - 下載預設的裝置驅動程式集並建立 ISO 映像
  2. BuildISO.ps1腳本的可選命令列參數
    1. -SkipBootPrompt - 系統啟動時停用「按任意鍵從 [media] 啟動」提示
      1. 此功能可能不適用於所有系統
  3. 輸出:影像
    1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
    2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

注意:根據網路和磁碟效能,建置可能需要 30 分鐘以上

可選 - 具有自訂裝置驅動程式的映像

僅使用最少的驅動程式、一組有限的驅動程式或使用您自己的自訂裝置驅動程式建立可啟動映像。

  1. 開啟 Windows PowerShell 命令提示字元(以管理員身分)
    1. cd C:falcon-windows-host-recovery-main
  2. 自訂驅動程式 - 下載裝置驅動程式並將其解壓縮到
    1. C:falcon-windows-host-recovery-mainDrivers
    2. 注意:無論命令列參數如何,都將始終安裝Drivers中的驅動程式。
  3. BuildISO.ps1腳本的命令列參數
    1. 可選驅動程式 - 包括一個或多個驅動程式集(支援任何組合)
      1. -IncludeCommonDrivers -- 各種常見的 CrowdStrike 客戶設備驅動程式
      2. -IncludeDellDrivers
      3. -IncludeHPDrivers
      4. -IncludeSurfaceDrivers
      5. -IncludeVMwareDrivers
    2. 最小驅動程式 - 跳過所有包含的驅動程式集(注意:覆蓋任何-Include*參數)
      1. -SkipThirdPartyDriverDownloads
  4. 建構可啟動映像
    1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    2. .BuildISO.ps1
  5. 輸出:影像
    1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
    2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

可選 - 帶有 BitLockerKeys.csv 的映像

使用CSPERecovery映像中的 BitLocker 復原金鑰建置可啟動映像。

警告:主機修復後應輪換 BitLocker 恢復金鑰

透過 CSV 的 BitLocker 金鑰CSV 檔案中的復原金鑰範例

  • 重要提示:列標題 KeyID 和 RecoveryKey 是必要的且區分大小寫
金鑰ID恢復密鑰
3ca7495e-4252-432b-baf1-樣本001317-088010-034473-667247-160608-471717-100894-無效
92e89e08-ad6e-4a98-e584-樣本509542-050497-158529-325316-496853-372340-593355-無效
72E460C8-4FE8-4249-99CF-樣品529408-021370-702581-530739-028721-610907-461582-無效
  1. 開啟 Windows PowerShell 命令提示符
    1. 切換到您提取的檔案目錄
      1. cd C:falcon-windows-host-recovery-main
  2. 包括 BitLocker 復原金鑰 - 透過名為BitLockerKeys.csv的 CSV 文件
    1. C:falcon-windows-host-recovery-mainBitLockerKeys.csv
    2. 重要提示:請參閱下面的「最佳實務」部分,以了解如何安全處理和銷毀 BitLocker 復原金鑰
  3. 建立可啟動映像
    1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    2. .BuildISO.ps1
  4. 輸出:影像
    1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
    2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

BitLocker 工具

要求

  • Powershell 7.0 或更高版本
  • 伺服器管理員 -> 本機伺服器:停用IE Enhanced Security Configuration
  • Active Directory 匯出需要已加入網域的 Windows Server 作業系統上的網域管理員使用者
  • Entra ID 匯出腳本需要連接到 Microsoft Graph 以及具有 OAuth 範圍BitLockerKey.ReadBasic.AllDevice.Read.All的雲端用戶

選用 - 從 Active Directory 或 Entra ID 自動匯出 BitLocker 還原金鑰

透過自動匯出 BitLocker 復原金鑰產生BitLockerKeys.csv

  1. 開啟 Windows PowerShell 命令提示字元(以管理員身分)
    1. 切換到您提取的檔案目錄
      1. cd C:falcon-windows-host-recovery-main
  2. Export-BitLockerRecoveryKeys.ps1腳本的命令列參數
    1. -ActiveDirectory - 從 Active Directory 擷取 BitLocker 金鑰
    2. -ActiveDirectory -OU - 提取特定組織單位的 BitLocker 密鑰
    3. -EntraID - 從 Entra ID 擷取 BitLocker 金鑰
    4. -ActiveDirectory -EntraID - 從 Active Directory 和 Entra ID 中擷取 BitLocker 金鑰
  3. 從來源擷取 BitLocker 復原金鑰
    1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
    2. .Export-BitLockerRecoveryKeys.ps1
      1. OU 範例.Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
  4. 依照提示收集帳戶
  5. 輸出:CSV 檔案: BitLockerKeys.csv
  6. 使用上面的可選 - 具有自訂 BitLockerKeys.csv 的映像部分,使用此 CSV 建立新映像

筆記:

  • 對於基域搜尋傳回數千台電腦的大型 Active Directory 環境,請使用 OU 標誌。

主機修復工具

將 ISO 檔案寫入 USB 隨身碟

  1. 從 https://rufus.ie/en/ 下載 Rufus,這是一個用於創建可啟動 USB 記憶棒的開源實用程式
  2. 打開魯弗斯:
    1. 使用裝置選單選擇所需的 USB 隨身碟目標
      1. 警告:USB 驅動器將被擦除乾淨
    2. 點擊“選擇”按鈕( “啟動選擇”旁邊)並選擇CSPERecoveryCSSafeBoot ISO 文件
    3. 使用分區方案下拉式選單選擇“GPT”
    4. 使用目標系統下拉式選單選擇“UEFI(非 CSM)”
    5. 開始鍵
    6. 重要-請仔細閱讀以下內容
      1. 如果提示以ISO模式ESP模式寫入
        1. ISO 模式-先用這個!
          1. 最完整的使用者體驗,支援MBR和UEFI啟動,並啟用自動清理腳本CSSafeBoot ISO。
            1. CSPERecovery ISO 不受影響。
        2. ESP 模式-如果主機無法識別可啟動 USB 驅動器(特別是在較舊的 UEFI 系統上),則使用
          1. 返回步驟 2 並重複這些步驟並選擇 ESP 模式。
          2. 自動清理腳本在CSSafeBoot ISO 中不可用,但手動修復步驟仍然可用且會成功。
            1. CSPERecovery ISO 不受影響。

從 USB 啟動 Windows 主機

使用 https://rufus.ie/en/ 建立可啟動 USB 驅動器後(在上面的部分中)

  1. 將 USB 隨身碟插入受影響的主機
  2. 重新啟動主機並使用F12鍵進入UEFI啟動選單
    1. 您也可以嘗試 F1、F2、F10 或 F11 鍵(取決於 BIOS 製造商)
  3. 選擇 USB 隨身碟
    1. 如果在具有相同標籤的 MBR 和 UEFI 選項之間進行選擇,請準備選擇UEFI
  4. 等待 Windows PE 加載
  5. 繼續下面相應的“恢復...”部分以使用CSSafeBootCSPERecovery

使用 CSPERecovery 還原 Windows 主機

CSPERecovery映像可自動修復系統,並包含對 BitLocker 的支援。

  1. 在 BootManager 中選擇復原映像 USB 隨身碟。
    1. 重要提示您無需修改 UEFI 韌體設定(尤其是啟動順序)
  2. 如果啟用 BitLocker:
    1. 警告:主機修復後應輪換 BitLocker 恢復金鑰
      1. 如果出現提示,請手動輸入 BitLocker 復原金鑰以解鎖磁碟區。
      2. 如果使用BitLockerKeys.csv ,將應用裝置的復原金鑰。
  3. 復原腳本將自動刪除有缺陷的通道檔案 291。
    1. 刪除位於C:WindowsSystem32driversCrowdStrike資料夾中以C-00000291*開頭的所有檔案。
    2. 設備將自動重新啟動。
  4. Windows 主機應該會正常啟動。

使用 CSSafeBoot 還原 Windows 主機

CSSafeBoot映像會修改預設 Windows 啟動配置以啟動到具有網路的安全模式,然後重新啟動。

  1. 在 BootManager 中選擇恢復映像 USB 驅動器
    1. 重要提示您無需修改 UEFI 韌體設定(尤其是啟動順序)
    2. 注意:如果您的系統作為先前啟動循環的一部分重新啟動到 Windows 復原環境,請選擇繼續
    3. 下次啟動後主機將重新啟動進入安全模式
  2. 以具有本機管理員權限的使用者登入。
  3. 確認桌面上顯示安全模式橫幅。
  4. 補救措施
    1. 自動修復:
      1. 開啟 Windows 資源管理器並選擇還原 USB 隨身碟。
        1. 如果 Windows 資源管理器中未顯示恢復 USB 驅動器,請跳至手動修復
      2. 找到並右鍵點選檔案CSRecovery.cmd ,然後選擇以管理員身分執行
      3. 該腳本將:
        1. 刪除C:WindowsSystem32driversCrowdStrike資料夾中以C-00000291*開頭的所有檔案。
        2. 將 Windows 啟動配置還原到正常模式
        3. 主機將自動重新啟動。
        4. 驗證 Windows 載入成功
    2. 手動修復:
      1. 開啟 Windows 資源管理器並導覽至C:WindowsSystem32driversCrowdstrike
      2. 刪除C:WindowsSystem32driversCrowdStrike資料夾中以C-00000291*開頭的所有檔案。
      3. 右鍵點選「開始」功能表,然後按一下Windows PowerShell (Admin)Command Prompt (Admin)Terminal (Admin)
      4. 在提示符號下,鍵入以下命令並按 Enter:
        1. bcdedit /deletevalue {default} safeboot
      5. 重新啟動設備
      6. 驗證 Windows 載入成功。

使用 PXE 恢復 Windows 主機

可以透過企業部署的現有 PXE 引導功能來部署和引導主機修復 ISO 檔案。

由於 PXE 啟動的網路和軟體配置存在顯著差異,因此我們無法推薦特定的通用 PXE 啟動指令。

最佳實踐

使用 BitLocker 復原金鑰

警告:主機修復後應輪換 BitLocker 恢復金鑰

安全操作

具有 BitLocker 復原金鑰的可啟動映像

  • 應該只提供給那些絕對需要它們的人
  • 應儲存在具有磁碟加密的受密碼保護的儲存裝置上
  • 應透過加密通訊通道傳輸

安全銷毀

具有 BitLocker 復原金鑰的可啟動映像

  • 數位 ISO 映像檔必須使用專為安全刪除而設計的軟體來銷毀,以確保資料無法恢復
  • 包含 ISO 映像的實體儲存媒體應使用粉碎、焚燒或壓碎等方法銷毀

故障排除

主機僅在修復後重新啟動至 USB 驅動器

如果修復後主機繼續引導至恢復 USB 驅動器

  • 解決方案:重新確認UEFI韌體設定中的啟動順序是否正確,修復後拔出USB
  • 注意:CrowdStrike 修復腳本不會變更 UEFI 啟動順序,以避免不必要的 BitLocker 步驟。
  1. 重要提示您無需修改 UEFI 韌體設定(尤其是啟動順序)
    1. 這樣做可能會導致額外的 BitLocker 復原步驟。

凍結 CrowdStrike 安全模式啟動實用程式

如果啟動 Windows PE 後CSPERecoveryCSSafeBoot腳本沒有回應。

  • 解決方案:按 Enter 鍵

恢復映像大小和裝置驅動程式

如果使用-SkipThirdPartyDriverDownloads標誌來建立復原映像,則包含未選擇的驅動程式。

  • 解決方案:從Drivers資料夾中移動(或刪除)您不希望出現在映像中的所有裝置驅動程式

  • 注意:CrowdStrike 僅為基於 libvirt 的虛擬機器(例如 OpenStack 和 KVM)提供開源驅動程式。

    • 所有供應商裝置驅動程式均使用 HTTPS 直接從供應商網站下載,並在建置時進行加密驗證。

雙啟動和多啟動 Windows 作業系統和 BitLocker

如果未使用 CSV, CSPERecovery腳本將僅自動修復具有雙/多啟動配置的主機上的一個 Windows 作業系統安裝

  • 解決方案:對於要修復的每個 Windows 作業系統安裝驅動器盤符,請重複使用 CSPERecovery 恢復 Windows 主機部分(上文)中的步驟。
    • 注意:每個 Windows 作業系統安裝裝置磁碟機都需要 BitLocker 復原金鑰。
  • 如果使用BitLockerKeys.csv ,該工具只會自動修復所有未加密的磁碟機或受 BitLocker 保護的裝置。
    • 注意:如果主機是雙/多作業系統啟動,具有 BitLocker,且復原映像具有 CSV,則所有在BitLockerKeys.csv中具有金鑰的磁碟機都會修復。

從 Active Directory/Entra ID 匯出 BitLocker 復原金鑰

  • 現有 CSV
    • 如果.Export-BitLockerRecoveryKeys.ps1失敗並出現 CSV 檔案有錯誤。
      • 解決方案:將現有檔案移出工作目錄(例如C:falcon-windows-host-recovery-main )。
      • 該腳本不會自動覆蓋該檔案。
  • 活動目錄匯出:
    • 如果.Export-BitLockerRecoveryKeys.ps1權限原因而失敗。
      • 解決方案:使用者必須具有網域管理員權限,或是被委派對 BitLocker 復原金鑰的讀取存取權限的群組的成員。
    • 如果從未連線到網域的主機執行腳本時未顯示 AD 儲存的金鑰。
      • 解決方案:從加入網域的伺服器主機執行.Export-BitLockerRecoveryKeys.ps1腳本。
      • 如果加入 AD 的伺服器具有所需的出站網路連接,也可以匯出 Entra ID 儲存的金鑰。
  • 入口 ID 匯出:
    • 如果.Export-BitLockerRecoveryKeys.ps1因為權限錯誤而失敗。
      • 解決方案:運行腳本的使用者必須具有所需範圍的管理員權限。
      • 解決方案:執行腳本的使用者必須指派BitLockerKey.ReadBasic.AllDevice.Read.All範圍。
        • 注意:範圍分配需要全域管理員批准。
    • 如果.Export-BitLockerRecoveryKeys.ps1因為網路錯誤而失敗。
      • 解決方案:從連接到 Microsoft Graph API 的主機執行 . .Export-BitLockerRecoveryKeys.ps1

BitLocker 復原金鑰 CSV

  • 驗證您的 CSV 檔案的列標題與KeyIDRecoveryKey完全相符。

執照

版權所有 (c) CrowdStrike, Inc.

透過存取或使用此映像、腳本、範例程式碼、應用程式介面、工具和/或相關文件(如果有)(統稱為「工具」),您 (i) 聲明並保證您正在簽訂本協議代表目前是CrowdStrike, Inc.(「CrowdStrike」)客戶或合作夥伴的公司、組織或其他法人實體(「實體」),並且(ii) 有權約束該實體並且該實體同意受本協議的約束。 CrowdStrike 授予實體非獨佔、不可轉讓、不可再授權、免版稅且有限的許可,僅出於實體的內部業務目的存取和使用工具,包括但不限於根據您的內部需要複製和修改工具的權利。 。您在使用工具時存取和/或下載的任何第三方軟體、文件、驅動程式或其他元件可能受附加條款或第三方提供者提供或維護的單獨許可的約束。這些工具是「原樣」提供,不提供任何形式的保證,無論是明示的、暗示的、法定的或其他形式的保證。 Crowdstrike 特別聲明不承擔所有支援義務和所有保證,包括但不限於適銷性、特定用途適用性、所有權和不侵權的所有默示保證。在任何情況下,Crowdstrike 均不對任何直接、間接、偶發、特殊、懲戒性或後果性損害(包括但不限於使用、資料或利潤損失;或業務中斷)承擔任何責任,無論其原因為何且基於任何理論因使用工具而以任何方式產生的責任,無論是合約責任、嚴格責任或侵權行為(包括疏忽或其他),即使已被告知可能發生此類損害。該工具未經任何第三方認可。

展開
附加信息
相關應用
爲您推薦
相關資訊 全部