微软发布 Windows 修复工具以删除 CrowdStrike 驱动程序

上周五，CrowdStrike 发布了一项错误更新，导致全球数百万台 Windows 设备突然崩溃，出现蓝屏死机 (BSOD) 并进入重启循环。

这次故障导致大规模 IT 中断，公司突然发现所有 Windows 设备都无法使用。这些 IT 中断影响了世界各地的机场、医院、银行、公司和政府机构。

为了解决此问题，管理员需要将受影响的 Windows 设备重新启动到安全模式或恢复环境，并从 C:\Windows\System32\drivers\CrowdStrike 文件夹中手动删除有问题的内核驱动程序。但是，由于面临数百甚至数千台受影响的 Windows 设备，因此手动执行这些修复可能会很麻烦、耗时且困难。

为了帮助 IT 管理员和支持人员，微软发布了一款自定义恢复工具，可以自动从 Windows 设备中删除有缺陷的 CrowdStrike 更新，以便它们可以再次正常启动。“作为对影响 Windows 客户端和服务器的 CrowdStrike Falcon 代理问题的后续行动，我们发布了一款 USB 工具来帮助 IT 管理员加快修复过程，”微软支持公告中写道。

用户可以在 Microsoft 下载中心找到签名的 Microsoft 恢复工具：https://go.microsoft.com/fwlink/?linkid=2280386。”

要使用 Microsoft 的恢复工具，IT 人员需要一个具有至少 8 GB 空间的 Windows 64 位客户端、此设备的管理权限、一个至少具有 1 GB 存储空间的 USB 驱动器以及 Bitlocker 恢复密钥（如果需要）。

需要注意的是，用户需要一个 32GB 或更小的 USB 闪存驱动器，否则将无法将其格式化为 FAT32，而这是启动驱动器所必需的。

恢复工具是通过从 Microsoft 下载的 PowerShell 脚本创建的，需要以管理员权限运行。运行时，它将格式化 USB 驱动器，然后创建自定义 WinPE 映像，该映像将复制到驱动器并使其可启动。

创建 Microsoft CrowdStrike 恢复工具

然后，用户可以使用 USB 密钥启动受影响的 Windows 设备，它将自动运行名为 CSRemediationScript.bat 的批处理文件。

Microsoft 恢复工具删除有问题的 CrowdStrike 驱动程序

此批处理文件将提示用户输入任何必要的 Bitlocker 恢复密钥，可以使用以下步骤检索这些密钥。然后，脚本将在 C:\Windows\system32\drivers\CrowdStrike 文件夹中搜索有问题的 CrowdStrike 内核驱动程序，如果检测到，则自动将其删除。它不会创建任何日志或 CrowdStrike 驱动程序的备份。

完成后，脚本将提示用户按任意键，然后用户的设备将重新启动。现在 CrowdStrike 驱动程序已被删除，设备应该重新启动进入 Windows 并再次可用。

其实，Windows 管理员面临的最大障碍是检索任何必要的 Bitlocker 恢复密钥。因此，在尝试恢复设备之前，确定是否需要并恢复密钥应该是第一步。