微软发布Windows修复工具删除CrowdStrike驱动程序

1.摘要

Microsoft 发布了一款自定义 WinPE 恢复工具，用于查找并删除有问题的 CrowdStrike 更新，该更新于周五导致估计 850 万台 Windows 设备崩溃。周五，CrowdStrike 推出了一个有缺陷的更新，导致全球数百万台 Windows 设备突然崩溃并出现蓝屏死机 (BSOD) 并进入重新启动循环。这个故障导致了大规模的 IT 中断，因为公司突然发现他们所有的 Windows 设备都不再工作。这些 IT 中断影响了世界各地的机场、医院、银行、公司和政府机构。

2.使用方法

要解决此问题，管理员需要将受影响的 Windows 设备重新启动到 Safe More 或恢复环境，并从 C:WindowsSystem32driversCrowdStrike 文件夹中手动删除有问题的内核驱动程序。

然而，由于组织面临数百甚至数千台受影响的 Windows 设备，手动执行这些修复可能会出现问题、耗时且困难。

为了帮助 IT 管理员和支持人员，Microsoft 发布了一款自定义恢复工具，可以自动从 Windows 设备中删除有问题的 CrowdStrike 更新，以便它们能够再次正常启动。

微软支持公告中写道：“作为影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续措施，我们发布了一个 USB 工具来帮助 IT 管理员加快修复过程。”

“可以在 Microsoft 下载中心找到已签名的 Microsoft 恢复工具：https://go.microsoft.com/fwlink/?linkid=2280386。”

要使用 Microsoft 的恢复工具，IT 人员需要具有至少 8 GB 空间的 Windows 64 位客户端、该设备的管理权限、具有至少 1 GB 存储空间的 USB 驱动器以及 Bitlocker 恢复密钥（如果需要）。

应该注意的是，需要一个 32GB 或更小的 USB 闪存驱动器，否则将无法使用启动驱动器所需的 FAT32 对其进行格式化。

该恢复工具是通过从微软下载的PowerShell脚本创建的，该脚本需要以管理权限运行。运行时，它将格式化 USB 驱动器，然后创建自定义 WinPE 映像，该映像将复制到驱动器并使其可启动。如图:

然后，便可以使用 USB 闪存盘启动受影响的 Windows 设备，它将自动运行名为 CSRemediationScript.bat 的批处理文件。如图:

此批处理文件将提示输入任何必要的 Bitlocker 恢复密钥，可以使用以下步骤检索这些密钥。

该脚本将在 C:Windowssystem32driversCrowdStrike 文件夹中搜索有问题的 CrowdStrike 内核驱动程序，如果检测到，则自动将其删除。

BleepingComputer 对批处理文件的测试和审查表明，它不会创建任何日志或 CrowdStrike 驱动程序的备份。

完成后，脚本将提示您按任意键，之后设备将重新启动。

现在 CrowdStrike 驱动程序已被删除，设备应该重新启动到 Windows 并再次可用。

不幸的是，Windows 管理员最大的障碍是检索任何必要的 Bitlocker 恢复密钥。

因此，确定是否需要并恢复它应该是尝试恢复设备之前采取的第一步。

原文始发于微信公众号（二进制空间安全）：微软发布Windows修复工具删除CrowdStrike驱动程序