本月早些时候,CrowdStrike 错误更新导致全球计算机崩溃,这对许多人来说都是一场灾难。然而,澳大利亚 Grant Thornton 公司出现了一位英雄:高级系统工程师罗布-沃尔茨(Rob Woltz),他利用一个不起眼的条形码扫描仪迅速补救了局面。在一片混乱中,沃尔茨回忆说,个人电脑在启动时会把条形码扫描仪当成键盘。在快速前往办公用品商店后,公司在几个小时内就恢复了正常运行。
与全球许多其他企业一样,CrowdStrike 的错误软件更新导致 Grant Thornton 澳大利亚公司的数百台 PC 和 100 多台服务器在那个致命的星期五崩溃,出现蓝屏死机错误。
修复这个问题让 IT 支持人员充满了恐惧:受影响的机器是用微软的 BitLocker 加密的,每台设备都需要一个 48 个字符的恢复密钥。这意味着恢复不仅需要 CrowdStrike 的多步骤修复,还需要手动输入 48 个字符的 BitLocker 密钥。
鉴于 PC 数量庞大,IT 人员认为有必要采取自动应对措施。但他们最初提出的解决方案,如通过电话或亲自向员工分发 BitLocker 密钥或读取密钥,似乎风险太大,而且远非万无一失。
就在这时,高级系统工程师罗布-沃尔茨(Rob Woltz)想起了一件看似不起眼但却非常重要的事情,它最终挽救了公司的命运:个人电脑在启动过程中将条形码扫描仪当作键盘使用--这一认识最终促成了一个创新的解决方案,实现了公司业务的快速恢复。
IT 团队创建了一个脚本,用于生成 BitLocker 密钥的条形码,并将其显示在安全管理服务器上。该脚本生成了恢复机器所需的条形码和 LAPS 密码。
随后,他们来到当地一家办公用品商店。团队使用现成的条形码扫描仪,每台售价约 55 澳元(36 美元),通过扫描条形码可以快速输入 48 个字符的密钥。恢复受影响的个人电脑每台只需 3 到 5 分钟,而手动恢复服务器则需要 20 分钟。
由于中断随时都可能发生,而且正如 Crowdstrike 所显示的那样,中断的原因非常简单,因此了解这一过程的确切原因很有帮助。大多数条形码扫描仪都是为模拟键盘输入而设计的。扫描条形码时,扫描仪会将数据转换为按键,就像有人在键盘上打字一样。许多条形码扫描仪,尤其是 USB 型扫描仪,都将自己标识为 USB HID 设备,这与键盘和鼠标使用的设备类别相同,因此无需特殊驱动程序即可识别并运行。
此外,计算机的 BIOS 或 UEFI 固件设计用于在启动过程中识别键盘等输入设备。由于条形码扫描仪模拟键盘输入,因此它们也会以同样的方式被识别。
值得注意的是,这个过程也适用于一些使用"键盘楔"接口的老式条形码扫描仪。这些接口实际连接在键盘和计算机之间。这种设置使扫描仪的输入与普通键盘输入无法区分。
沃尔茨表示很高兴自己能够设计出一个迅速恢复的方案,但后来他意识到,如果当时想到使用二维码,整个修复过程就可以实现自动化。