最近,CrowdStrike 的 Windows 主机更新导致了一个严重的“恢复”循环问题,这使得用户只能选择“重启我的 PC”或“查看高级修复选项”来进行故障排除。这种蓝屏死机(BSOD)错误,表现为 Windows 系统无法正常加载,可以通过修改 WinPE 映像并使用 PXE 启动服务器来修复。
CrowdStrike 在一份支持文档中确认了该问题并提供了若干解决方案,但这些方案在面对组织内成百上千台设备时效果有限。此次问题已对航空公司、IT 企业、学校、大学、医疗机构等多个行业造成了严重影响。
幸运的是,一些 IT 管理员发现了一种新的自动化修复方法。该方法通过从修改后的 WinPE 映像启动所有 PC,可以有效修复 CrowdStrike 导致的蓝屏死机(BSOD)问题。该修复方法需要使用 Windows Assessment and Deployment Kit (ADK) 工具,并可能不适用于加密的 PC,除非您愿意尝试一些新的命令。
该解决方法涉及删除导致蓝屏的文件(C-00000291*.sys),从而解决 Windows PC 上的 CrowdStrike 错误。
自动修复 CrowdStrike BSOD 重启循环的步骤
在执行以下步骤之前,了解其方法是必要的。我们将采用 PXE 启动方法。首先,需要使用 Windows Assessment and Deployment Kit (ADK) 工具。
接下来,通过挂载 WinPE 映像并在 startnet.cmd 文件中添加删除有问题文件的命令,来修改 WinPE 映像。
最后,为了在所有 PC 上部署修复,设置一个 PXE 启动服务器,并使用修改后的 WinPE 映像。配置所有受影响的系统从网络启动,当系统启动时,会自动运行脚本以删除有问题的文件。
步骤如下:
- 安装 Windows Assessment and Deployment Kit (ADK):如果尚未安装 Windows ADK,请从 Microsoft 官方网站下载并安装。
-
挂载 WinPE 映像:使用 Wimlib 或 Microsoft 工具挂载 WinPE 映像。如果您熟悉 DISM,可以使用以下命令:
dism /Mount-Wim /WimFile:"C:\Path\To\WinPE.wim" /index:1 /MountDir:"C:\Path\To\MountDir"
替换“C:\Path\To\WinPE.wim”为 WinPE 映像的路径,“C:\Path\To\MountDir”为挂载目录。
-
编辑 startnet.cmd 文件:打开命令提示符,执行:
cd "C:\Path\To\MountDir\Windows\System32"
使用文本编辑器打开 startnet.cmd 文件,添加以下内容:
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys exit
保存并关闭文件。
-
卸载 WinPE 映像并提交更改:使用以下命令卸载并提交修改:
dism /Unmount-Wim /MountDir:"C:\Path\To\MountDir" /Commit
如果步骤正确,您将创建一个带有 CrowdStrike BSOD 修复的新的 WinPE 映像。
-
创建可启动的 WinPE 媒体:
- 将修改后的 WinPE 映像复制到 USB 驱动器,并使用如 Rufus 的工具使其可启动。
- 在 Rufus 中,选择 USB 驱动器,选择修改后的 WinPE 映像文件,点击开始创建可启动 USB 驱动器。
- 插入 USB 驱动器,重启系统,选择从 USB 启动,系统将启动到 WinPE 并自动执行删除文件的命令。
- 部署到组织中的所有设备:通过设置 PXE 启动服务器,将修改后的 WinPE 映像放置在服务器上,并配置 PC 从网络启动。
针对 BitLocker 加密 PC 的处理
对于 BitLocker 加密的 PC,您可以使用 WinPE 中的 manage-bde -unlock 命令来解锁加密卷。您可以使用恢复密码或恢复密钥文件来进行解锁:
manage-bde -unlock X: -recoverypassword <recovery key>
或者使用密钥文件:
manage-bde -unlock X: -recoverykey <filename>
如有需要,请参考官方的手动修复方法或等待 CrowdStrike 的官方自动修复,但请注意,过程可能会相对复杂。
