运行CrowdStrike的Windows计算机近期更新会导致蓝屏且进入"恢复"循环而无法启动,的系统会警告说,您可以选择"重新启动我的 PC"或"查看高级修复选项",以获得故障排除工具和高级选项。通过修改 WinPE 并使用 PXE 启动服务器将其部署到所有 PC 上,可以在多台 PC 上修复此 BSOD 错误。
在一份支持文件中,CrowdStrike 证实了这些报告,并提供了多种变通办法,但当你的组织中有成百上千个系统时,目前的解决方案可能无济于事。这次故障已造成航空公司、IT 公司、学校、大学、医疗保健和其他组织的业务中断。
图片来源:特洛伊-亨特
值得庆幸的是,一些 IT 管理员发现了一种新方法,可以在一定程度上自动执行补丁程序。这种新方法可以自动修补 CrowdStrike Blue Screen of Death(恢复屏幕,看起来像是 Windows 没有正确加载)错误,方法是用修改过的 WinPE 镜像启动所有 PC。
请记住,该变通方法要求您在环境中使用 Windows 评估和部署工具包 (ADK),除非您愿意尝试一些新命令,否则它可能对加密 PC 无效。
该解决方法可删除有问题的文件 (C-00000291*.sys),该文件是导致装有 CrowdStrike 的 Windows PC 出现蓝屏错误的原因。
在讨论步骤之前,让我们先了解一下方法。在本指南中,我们将使用PXE 启动方法。首先,我们将使用Windows 评估和部署工具包 (ADK)。
然后,我们将修改一个WinPE 映像,方法是挂载它,并在 startnet.cmd 文件中添加删除有问题文件(C-00000291*.sys) 的命令。
最后,为了在所有 PC 上部署修复程序,我们将使用修改后的 WinPE 映像设置 PXE 启动服务器。然后,我们需要将所有受影响的系统配置为使用 PXE 从网络启动。每个系统启动时,都会自动运行脚本删除有问题的文件。
下面介绍如何自动修复 Windows 10 上的 BSOD 和恢复屏幕循环错误:
如果您的环境中还没有 Windows 评估和部署工具包 (ADK),请从Microsoft 网站下载并安装。
您还需要使用 Wimlib 或 Microsoft 的工具来挂载 WinPE 映像。如果你熟悉 DISM,可以试试下面的命令:
dism /Mount-Wim /WimFile:"C:\Path\To\WinPE.wim" /index:1 /MountDir:"C:\Path\To\MountDir"
在上述代码中,需要将"C:\Path\To\WinPE.wim"替换为 WinPE 映像文件的路径,将"C:\Path\To\MountDir"替换为要挂载映像的目录。
完成后,你需要编辑 startnet.cmd 文件。在"命令提示符"中运行以下命令:
cd "C:\Path\To\MountDir\Windows\System32"
在文本编辑器中打开startnet.cmd,然后添加以下几行:
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys exit
保存并关闭 startnet.cmd文件。
保存startnet.cmd文件后,需要使用以下 DISM 命令卸载 WinPE 映像:
dism /Unmount-Wim /MountDir:"C:\Path\To\MountDir"/Commit
如果您按照正确的步骤操作,您就成功创建了带有 CrowdStrike BSOD 补丁的新 WinPE。
如果您有一台或多台受 CrowdStrike BSOD 影响的电脑,可以按照以下步骤创建可启动的 WinPE 媒介:
将修改后的 WinPE 映像复制到 USB 驱动器,并使用 Rufus 等工具使其可启动。
在 Rufus 中选择 USB 驱动器。
选择修改后的 WinPE 映像文件。
单击 "开始 "创建可启动 USB 驱动器。
打开受影响的系统,插入可启动 USB 驱动器,在 BIOS/UEFI 启动菜单中选择 USB 驱动器启动。
系统将启动进入 WinPE,并自动执行 startnet.cmd 中的命令,删除有问题的 C-00000291*.sys 文件。
如果你想为组织中的所有设备打补丁,现在有几种选择,包括 PXE 启动。
您可以设置 PXE 启动服务器设置,将修改后的 WinPE 映像放在服务器上,然后配置 PC 从网络启动。
那么 BitLocker 加密的电脑呢?这需要在您的系统上进行测试,但正如一些人在 Reddit 上注意到的那样,您也许可以在 WinPE 中使用manage-bde -unlock来在打补丁过程中处理启用了 BitLocker 的 PC。
在 WinPE 中,使用manage-bde -unlock命令可以使用恢复密码或恢复密钥文件来解锁这些加密卷。
例如,你可以解锁 BitLocker 卷,导航到 CrowdStrike 目录,然后删除导致蓝屏错误的问题 C-00000291*.sys 文件。
您可以在 WinPE 中使用"manage-bde -unlock X: -recoverypassword <recovery key>"。或者也可以使用密钥文件代替密码。将-recoverypassword替换为"-recoverykey <文件名>"。
与往常一样,您也可以参考官方的"手动"方法或等待 CrowdStrike 官方的自动修复,但这一过程并不容易。