CrowdStrike синий экран — как исправить проблему

Недавнее обновление CrowdStrike для Windows хостов вызывает цикл «Восстановления», где Windows предлагает либо «Перезагрузить мой ПК», либо «Просмотреть дополнительные параметры восстановления». Этот BSOD можно исправить на нескольких компьютерах, изменив WinPE и развернув его через PXE сервер.

В поддержке CrowdStrike подтвердили проблему и предложили несколько обходных путей, однако они могут быть неэффективны в больших организациях с сотнями или тысячами систем. Этот сбой нарушил работу различных организаций, включая авиакомпании, ИТ-компании, школы, университеты и медицинские учреждения.

К счастью, некоторые ИТ-администраторы нашли новый способ автоматизировать процесс исправления. Этот метод автоматически устраняет ошибку «синий экран смерти» (экран восстановления, Windows не загрузилась) CrowdStrike, загружая все компьютеры с измененного образа WinPE.

Важно отметить, что для этого обходного пути вам потребуется использовать Windows Assessment and Deployment Kit (ADK), и он может не работать с зашифрованными ПК, если вы не готовы попробовать новые команды.

Обходной путь позволяет удалить проблемный файл (C-00000291*.sys), вызывающий BSOD на Windows ПК с установленным CrowdStrike.

Как автоматически исправить циклическую перезагрузку CrowdStrike BSOD в Windows 10

Прежде чем перейти к шагам, разберем подход. В этом руководстве используется метод загрузки PXE. Сначала нужно использовать Windows Assessment and Deployment Kit (ADK).

Далее, изменим образ WinPE, смонтировав его и добавив команду для удаления проблемного файла (C-00000291*.sys) в файле startnet.cmd.

Наконец, чтобы развернуть исправление на всех компьютерах, настроим загрузочный сервер PXE с измененным образом WinPE. Затем все затронутые системы нужно будет настроить для загрузки из сети с использованием PXE. При загрузке каждая система автоматически запустит скрипт для удаления проблемного файла.

Вот как исправить ошибку BSOD и зацикливание экрана восстановления в Windows 10:

1. Если у вас еще нет комплекта средств для оценки и развертывания Windows (ADK) для вашей среды, загрузите и установите его с веб-сайта Microsoft.
2. Вам также понадобится использовать Wimlib или инструменты Microsoft для монтирования образа WinPE. Если вы знакомы с DISM, вы можете попробовать следующую команду: dism /Mount-Wim /WimFile:»C:\Path\To\WinPE.wim» /index:1 /MountDir:»C:\Path\To\MountDir»
3. В приведенном выше коде вам необходимо заменить «C:\Path\To\WinPE.wim» на путь к файлу образа WinPE, а «C:\Path\To\MountDir» на каталог, в который вы хотите смонтировать образ.
4. После этого вам нужно будет отредактировать файл startnet.cmd. В командной строке выполните следующую команду: cd «C:\Path\To\MountDir\Windows\System32»
   cd «C:\Path\To\MountDir\Windows\System32»
5. Откройте startnet.cmd в текстовом редакторе и добавьте следующие строки: del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys exit
6. Сохраните и закройте файл startnet.cmd.
7. После сохранения файла startnet.cmd необходимо размонтировать образ WinPE с помощью следующей команды DISM: dism /Unmount-Wim /MountDir:»C:\Path\To\MountDir» /Commit

Если вы правильно выполнили эти шаги, вы успешно создали новый WinPE с патчем для CrowdStrike BSOD.

Если у вас есть один или несколько компьютеров, пострадавших от BSOD CrowdStrike, вы можете создать загрузочный носитель WinPE, выполнив следующие действия:

1. Скопируйте измененный образ WinPE на USB-накопитель и сделайте его загрузочным с помощью такого инструмента, как Rufus.
2. В Rufus выберите свой USB-накопитель.
3. Выберите измененный файл образа WinPE.
4. Нажмите «Пуск», чтобы создать загрузочный USB-накопитель.
5. Включите затронутую систему, вставьте загрузочный USB-накопитель и загрузитесь с USB-накопителя, выбрав его в меню загрузки BIOS/UEFI.

Система загрузится в WinPE и автоматически выполнит команды в startnet.cmd, удалив проблемный файл C-00000291*.sys.

Если вы хотите обновить все устройства в организации, у вас есть несколько вариантов, включая PXE Boot.

Вы можете настроить сервер загрузки PXE, на котором можно разместить измененный образ WinPE и настроить ПК для загрузки по сети.

А как насчет ПК, зашифрованных с помощью BitLocker?

Это то, что вам нужно протестировать на своих системах, но, как заметили некоторые люди на Reddit, вы можете использовать manage-bde -unlock в WinPE для управления ПК с включенной функцией BitLocker во время процесса исправления.

В WinPE команда manage-bde -unlock позволяет разблокировать эти зашифрованные тома с помощью пароля восстановления или файла ключа восстановления.

Например, вы можете разблокировать том BitLocker, перейти в каталог CrowdStrike и удалить проблемный файл C-00000291*.sys, вызывающий ошибки синего экрана.

Вы можете использовать ‘manage-bde -unlock X: -recoverypassword <recovery key>‘ в WinPE. Или можете использовать файл ключей вместо пароля. Поменяйте местами -recoverypassword with ‘-recoverykey‘