part1
点击上方蓝字关注我们
1.摘要
网络安全供应商 CrowdStrike 的疑似技术问题正在导致全球大规模 IT 中断,扰乱航空公司、银行、媒体和零售等关键行业。该问题与 CrowdStrike 安全平台 Falcon Sensor 的更新有关,该更新正在影响 Microsoft Windows 操作系统。报告表明,受影响的系统难以正确启动,导致出现蓝屏错误。以下方法是个人或域环境下多台电脑的蓝屏问题自动修复方案。
2.创建PowerShell脚本
创建一个 PowerShell 脚本,删除导致 BSOD 的有问题的 CrowdStrike 驱动程序文件并处理安全模式启动和恢复:
# CrowdStrikeFix.ps1
# 这个脚本删除导致蓝屏死机(BSOD)的有问题的CrowdStrike驱动程序文件,并恢复正常启动模式。
# 定义目标文件路径
$filePath = "C:WindowsSystem32driversC-00000291*.sys"
# 查找匹配的文件
$files = Get-ChildItem -Path $filePath -ErrorAction SilentlyContinue
# 遍历并删除文件
foreach ($file in $files) {
try {
Remove-Item -Path $file.FullName -Force
Write-Output "Deleted: $($file.FullName)"
} catch {
Write-Output "Failed to delete: $($file.FullName)"
}
}
# 恢复正常启动模式
bcdedit /deletevalue {current} safeboot这个脚本的主要功能是删除可能导致系统蓝屏的CrowdStrike驱动文件,并将系统从安全模式恢复到正常启动模式。个人用户可直接到安全模式下执行脚本修复。如果是域环境, 则需要其它正常机器使用组策略配合, 以下操作适合域环境。
3.创建修复GPO
-
打开组策略管理控制台 (GPMC), 右键单击相应的组织单位 (OU) 并选择
Create a GPO in this domain, and Link it here...,命名 GPO,例如CrowdStrike Fix Safe Mode。
-
右键单击新 GPO 并选择
Edit。
-
导航到
Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown)。
-
双击
Startup,然后单击Add。
-
在
Script Name字段中,浏览到保存CrowdStrikeFix.ps1的位置并选择它。
-
单击
OK关闭所有对话框。
4.使用脚本强制安全模式启动
创建另一个 PowerShell 脚本以强制安全模式启动并将其链接到 GPO 以立即应用:
# ForceSafeMode.ps1
# 这个脚本强制计算机启动进入安全模式
bcdedit /set {current} safeboot minimal
Restart-Computer
5.创建GPO以应用安全模式脚本
-
打开组策略管理控制台 (GPMC), 右键单击相应的组织单位 (OU) 并选择
Create a GPO in this domain, and Link it here...。
-
命名 GPO,例如
Force Safe Mode, 右键单击新 GPO 并选择Edit。
-
导航到
Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown)。
-
双击
Startup,然后单击Add。
-
在
Script Name字段中,浏览到保存ForceSafeMode.ps1的位置并选择它。 -
单击
OK关闭所有对话框。
6.应用GPO
确保首先将 Force Safe Mode GPO 应用到受影响的计算机。计算机将启动进入安全模式并执行 CrowdStrikeFix.ps1 脚本。问题解决后,脚本会将启动设置恢复为正常模式。
点个在看你最好看
原文始发于微信公众号(二进制空间安全):CrowdStrike全球蓝屏故障自动修复方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论