Джордж Куртц, глава CrowdStrike, признал ответственность компании за глобальный сбой IT-систем. Проблема возникла из-за дефекта в обновлении для Windows-хостов, не затронув Mac и Linux. Ошибка была в файле C-00000291-*.sys, разосланном многим клиентам по всему миру.
Разработчик Патрик Уордл объяснил техническую причину: в обновлении файлов «C-00000291-…32.sys» для CSAgent.sys была допущена ошибка в работе с памятью. Это привело к логической ошибке, вызвавшей сбой операционной системы через CSAgent.sys. Компания выразила сожаление о неудобствах и сбоях в IT-инфраструктуре клиентов, признав серьезность ситуации.
Обновление CrowdStrike для хостов Windows вызывает цикл «Восстановления», где Windows предупреждает, что вы можете выбрать либо «Перезагрузить мой ПК», либо «Посмотреть дополнительные параметры восстановления» для инструментов устранения неполадок и расширенных опций. Эту ошибку BSOD можно исправить на нескольких ПК, модифицировав WinPE и развернув его на всех ПК с помощью PXE-сервера загрузки.
В документе поддержки CrowdStrike подтвердила сообщения и предложила несколько обходных решений, но текущие решения могут быть не очень полезны, когда у вас сотни или тысячи систем в организации. Этот сбой нарушил работу авиакомпаний, ИТ-фирм, школ, университетов, медицинских учреждений и других организаций.
К счастью, некоторые ИТ-администраторы обнаружили новый метод для частичной автоматизации процесса исправления. Новый метод может автоматически исправить ошибку «синего экрана смерти» CrowdStrike (экран восстановления, похоже, что Windows не загрузилась корректно), загрузив все ваши ПК с модифицированного образа WinPE.
Помните, что для этого обходного решения требуется использовать Windows Assessment and Deployment Kit (ADK) для вашей среды, и оно может не работать с зашифрованными ПК, если вы не готовы попробовать некоторые новые команды.
Обходное решение удаляет ошибочный файл (C-00000291*.sys), который вызывает ошибку синего экрана на ПК с Windows с установленным CrowdStrike.
Как автоматически исправить цикл перезагрузки BSOD CrowdStrike на Windows 10
Прежде чем я расскажу о шагах, давайте сначала поймем подход. В этом руководстве мы будем использовать метод загрузки PXE. Сначала мы используем Windows Assessment and Deployment Kit (ADK).
Затем мы модифицируем образ WinPE, монтируя его и добавляя команду для удаления проблемного файла (C-00000291*.sys) в файл startnet.cmd.
Наконец, чтобы развернуть исправление на всех ПК, мы настроим PXE-сервер загрузки с этим модифицированным образом WinPE. Затем нам нужно настроить все затронутые системы на загрузку из сети с использованием PXE. Когда каждая система загрузится, она автоматически запустит скрипт для удаления проблемного файла.
Вот как автоматически исправить ошибку BSOD и цикл экрана восстановления на Windows 10
1. Если у вас еще нет Windows Assessment and Deployment Kit (ADK) для вашей среды, скачайте и установите его с веб-сайта Microsoft.
2. Вам также понадобится Wimlib или инструменты Microsoft для монтирования образа WinPE. Если вы знакомы с DISM, вы можете попробовать следующую команду:
dism /Mount-Wim /WimFile:»C:\Path\To\WinPE.wim» /index:1 /MountDir:»C:\Path\To\MountDir»
В приведенном выше коде вам нужно заменить «C:\Path\To\WinPE.wim» на путь к вашему файлу образа WinPE и «C:\Path\To\MountDir» на директорию, куда вы хотите смонтировать образ.
3. После этого вам нужно отредактировать файл startnet.cmd. В командной строке выполните следующую команду:
cd «C:\Path\To\MountDir\Windows\System32″
4. Откройте startnet.cmd в текстовом редакторе и добавьте следующие строки:
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys
exit
5. Сохраните и закройте файл startnet.cmd.
6. После сохранения файла startnet.cmd вам нужно размонтировать образ WinPE, используя следующую команду DISM:
dism /Unmount-Wim /MountDir:»C:\Path\To\MountDir» /Commit
Если вы правильно выполнили шаги, вы успешно создали новый WinPE с патчем для BSOD CrowdStrike.
Если у вас есть один или несколько ПК, затронутых BSOD CrowdStrike, вы можете создать загрузочный носитель WinPE, выполнив следующие шаги:
1. Скопируйте модифицированный образ WinPE на USB-накопитель и сделайте его загрузочным с помощью такого инструмента, как Rufus.
2. В Rufus выберите ваш USB-накопитель.
3. Выберите модифицированный файл образа WinPE.
4. Нажмите «Старт», чтобы создать загрузочный USB-накопитель.
5. Включите затронутую систему, вставьте загрузочный USB-накопитель и загрузитесь с USB-накопителя, выбрав его в меню загрузки BIOS/UEFI.
6. Система загрузится в WinPE и автоматически выполнит команды в startnet.cmd, удалив проблемный файл C-00000291*.sys.
Если вы хотите исправить все устройства в организации, у вас теперь есть несколько вариантов, включая PXE Boot.
Вы можете настроить PXE-сервер загрузки, где вы можете разместить модифицированный образ WinPE на сервере и настроить ПК для загрузки из сети.
Что насчет ПК, зашифрованных BitLocker?
Это то, что вам нужно протестировать на ваших системах, но как заметили некоторые люди на Reddit, вы можете использовать manage-bde -unlock в WinPE для работы с ПК с включенным BitLocker во время процесса исправления.
В WinPE команда manage-bde -unlock позволяет разблокировать эти зашифрованные тома, используя либо пароль восстановления, либо файл ключа восстановления.
Например, вы можете разблокировать том BitLocker, перейти в директорию CrowdStrike и удалить проблемный файл C-00000291*.sys, вызывающий ошибки синего экрана.
Вы можете использовать ‘manage-bde -unlock X: -recoverypassword <ключ восстановления>’ в WinPE. Или можете также использовать файл ключа вместо пароля. Замените -recoverypassword на ‘-recoverykey <имя файла>’
Как всегда, вы также можете обратиться к официальному «ручному» методу или подождать официального автоматизированного исправления от CrowdStrike, но процесс не будет легким.
