Nowe narzędzie do odzyskiwania Microsoft
Microsoft poinformował, że aktualizacja oprogramowania wprowadzona przez firmę CrowdStrike, specjalizującą się w cyberbezpieczeństwie, spowodowała awarię 8,5 miliona urządzeń z systemem Windows, co stanowi mniej niż jeden procent wszystkich komputerów korzystających z tego systemu operacyjnego. Gigant z Redmond wydał narzędzie, które pomaga w odzyskiwaniu zainfekowanych maszyn. Można je znaleźć w Centrum pobierania Microsoft pod adresem https://go.microsoft.com/fwlink/?linkid=2280386
Narzędzie to oferuje dwie opcje naprawy systemów operacyjnych Windows, serwerów oraz systemów hostowanych w Hyper-V. Pierwsza opcja, "Odzyskaj z WinPE", tworzy nośnik rozruchowy umożliwiający bezpośrednią naprawę systemów, co nie wymaga uprawnień administratora lokalnego. Druga opcja, "Odzyskaj z trybu awaryjnego", również tworzy nośnik rozruchowy, pozwalający uruchomić urządzenia w trybie awaryjnym i przeprowadzić naprawę z konta z uprawnieniami administratora lokalnego.
Decyzja o wyborze odpowiedniej opcji naprawy zależy od konfiguracji systemu oraz dostępności kluczy odzyskiwania BitLocker. Opcja "Odzyskaj z WinPE" jest zalecana, gdyż pozwala na szybką i bezpośrednią naprawę systemów, jednak może wymagać ręcznego wprowadzenia klucza odzyskiwania BitLocker. W przypadku urządzeń korzystających z innych rozwiązań szyfrowania, należy postępować zgodnie z wytycznymi dostawcy.
Opcja "Odzyskaj z trybu awaryjnego" jest bardziej elastyczna, ponieważ może umożliwić odzyskiwanie na urządzeniach z włączonym BitLockerem bez konieczności wprowadzania kluczy odzyskiwania. Jest to szczególnie przydatne w przypadku urządzeń korzystających z zabezpieczeń TPM-only lub gdy klucz odzyskiwania BitLockera jest nieznany. W przypadku TPM+PIN użytkownik będzie musiał znać kod PIN lub użyć klucza odzyskiwania.
Dodatkowe metody odzyskiwania
W niektórych przypadkach może być konieczne skorzystanie z innych metod odzyskiwania danych. Na przykład, jeśli urządzenia nie obsługują połączeń USB, można skorzystać z opcji Preboot Execution Environment (PXE). W takim scenariuszu administratorzy IT mogą wykorzystać Windows Imaging Format (WIM) stworzone przez Microsoft Recovery Tool w istniejącym środowisku PXE, aby naprawić urządzenia. W przypadku, gdy urządzenia znajdują się w innej podsieci niż serwer PXE, konieczne może być skonfigurowanie IP Helpers w środowisku sieciowym. Przed szerokim zastosowaniem nowych metod odzyskiwania danych, zaleca się przetestowanie narzędzi na wielu urządzeniach w celu zapewnienia ich skuteczności i zgodności z istniejącą infrastrukturą.
Aby stworzyć nośnik rozruchowy, potrzebny jest 64-bitowy klient Windows z co najmniej 8 GB wolnego miejsca, uprawnienia administracyjne oraz dysk USB o pojemności od 1 GB do 32 GB. Wszystkie dane na dysku USB zostaną wymazane i sformatowane do FAT32. Instrukcje generowania nośnika odzyskiwania WinPE są proste. Pobierz narzędzie Microsoft Recovery Tool z Centrum pobierania Microsoft, wyodrębnij skrypt PowerShell i uruchom go z poziomu wiersza poleceń programu PowerShell z podwyższonymi uprawnieniami. Proces tworzenia multimediów może potrwać kilka minut. Następnie wybierz jedną z dwóch opcji odzyskiwania i opcjonalnie zaimportuj potrzebne sterowniki.
W przypadku korzystania z nośnika rozruchowego WinPE włóż pamięć USB do uszkodzonego urządzenia, uruchom je ponownie i postępuj zgodnie z instrukcjami producenta dotyczącymi rozruchu systemu BIOS. Jeśli BitLocker jest włączony, użytkownik będzie musiał podać klucz odzyskiwania. Narzędzie uruchomi skrypty rozwiązujące problemy zgodnie z zaleceniami CrowdStrike. Po zakończeniu naprawy, urządzenie można ponownie uruchomić normalnie.
Podobne kroki dotyczą korzystania z nośnika Safe Boot, gdzie urządzenie uruchamiane jest w trybie awaryjnym, a użytkownik wykonuje skrypty naprawcze. W przypadku maszyn wirtualnych Hyper-V można wykorzystać wygenerowany obraz ISO, a dla urządzeń, które nie mogą użyć opcji USB, dostępne są instrukcje dotyczące użycia środowiska PXE.
Narzędzie do odzyskiwania Microsoft to wszechstronne rozwiązanie, które znacząco ułatwia administratorom IT proces naprawy systemów dotkniętych problemem z agentem CrowdStrike Falcon, zapewniając przy tym elastyczność i skuteczność.
