N軟網(wǎng)消息，最近，CrowdStrike 的 Windows 主機(jī)更新導(dǎo)致了一個(gè)嚴(yán)重的“恢復(fù)”循環(huán)問題，這使得用戶只能選擇“重啟我的 PC”或“查看高級(jí)修復(fù)選項(xiàng)”來進(jìn)行故障排除。這種藍(lán)屏死機(jī)（BSOD）錯(cuò)誤，表現(xiàn)為 Windows 系統(tǒng)無法正常加載，可以通過修改 WinPE 映像并使用 PXE 啟動(dòng)服務(wù)器來修復(fù)。

CrowdStrike 在一份支持文檔中確認(rèn)了該問題并提供了若干解決方案，但這些方案在面對(duì)組織內(nèi)成百上千臺(tái)設(shè)備時(shí)效果有限。此次問題已對(duì)航空公司、IT 企業(yè)、學(xué)校、大學(xué)、醫(yī)療機(jī)構(gòu)等多個(gè)行業(yè)造成了嚴(yán)重影響。

幸運(yùn)的是，一些 IT 管理員發(fā)現(xiàn)了一種新的自動(dòng)化修復(fù)方法。該方法通過從修改后的 WinPE 映像啟動(dòng)所有 PC，可以有效修復(fù) CrowdStrike 導(dǎo)致的藍(lán)屏死機(jī)（BSOD）問題。該修復(fù)方法需要使用 Windows Assessment and Deployment Kit (ADK) 工具，并可能不適用于加密的 PC，除非您愿意嘗試一些新的命令。

該解決方法涉及刪除導(dǎo)致藍(lán)屏的文件（C-00000291*.sys），從而解決 Windows PC 上的 CrowdStrike 錯(cuò)誤。

自動(dòng)修復(fù) CrowdStrike BSOD 重啟循環(huán)的步驟

在執(zhí)行以下步驟之前，了解其方法是必要的。我們將采用 PXE 啟動(dòng)方法。首先，需要使用 Windows Assessment and Deployment Kit (ADK) 工具。

接下來，通過掛載 WinPE 映像并在 startnet.cmd 文件中添加刪除有問題文件的命令，來修改 WinPE 映像。

最后，為了在所有 PC 上部署修復(fù)，設(shè)置一個(gè) PXE 啟動(dòng)服務(wù)器，并使用修改后的 WinPE 映像。配置所有受影響的系統(tǒng)從網(wǎng)絡(luò)啟動(dòng)，當(dāng)系統(tǒng)啟動(dòng)時(shí)，會(huì)自動(dòng)運(yùn)行腳本以刪除有問題的文件。

步驟如下：

安裝 Windows Assessment and Deployment Kit (ADK)：如果尚未安裝 Windows ADK，請(qǐng)從 Microsoft 官方網(wǎng)站下載并安裝。掛載 WinPE 映像：使用 Wimlib 或 Microsoft 工具掛載 WinPE 映像。如果您熟悉 DISM，可以使用以下命令：

dism /Mount-Wim /WimFile:"C:\Path\To\WinPE.wim" /index:1 /MountDir:"C:\Path\To\MountDir"

替換“C:\Path\To\WinPE.wim”為 WinPE 映像的路徑，“C:\Path\To\MountDir”為掛載目錄。

編輯 startnet.cmd 文件：打開命令提示符，執(zhí)行：

cd "C:\Path\To\MountDir\Windows\System32"

使用文本編輯器打開 startnet.cmd 文件，添加以下內(nèi)容：

del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sysexit

保存并關(guān)閉文件。

卸載 WinPE 映像并提交更改：使用以下命令卸載并提交修改：

dism /Unmount-Wim /MountDir:"C:\Path\To\MountDir" /Commit

如果步驟正確，您將創(chuàng)建一個(gè)帶有 CrowdStrike BSOD 修復(fù)的新的 WinPE 映像。

創(chuàng)建可啟動(dòng)的 WinPE 媒體：將修改后的 WinPE 映像復(fù)制到 USB 驅(qū)動(dòng)器，并使用如 Rufus 的工具使其可啟動(dòng)。在 Rufus 中，選擇 USB 驅(qū)動(dòng)器，選擇修改后的 WinPE 映像文件，點(diǎn)擊開始創(chuàng)建可啟動(dòng) USB 驅(qū)動(dòng)器。插入 USB 驅(qū)動(dòng)器，重啟系統(tǒng)，選擇從 USB 啟動(dòng)，系統(tǒng)將啟動(dòng)到 WinPE 并自動(dòng)執(zhí)行刪除文件的命令。部署到組織中的所有設(shè)備：通過設(shè)置 PXE 啟動(dòng)服務(wù)器，將修改后的 WinPE 映像放置在服務(wù)器上，并配置 PC 從網(wǎng)絡(luò)啟動(dòng)。

針對(duì) BitLocker 加密 PC 的處理

對(duì)于 BitLocker 加密的 PC，您可以使用 WinPE 中的manage-bde -unlock命令來解鎖加密卷。您可以使用恢復(fù)密碼或恢復(fù)密鑰文件來進(jìn)行解鎖：

manage-bde -unlock X: -recoverypassword <recovery key>

或者使用密鑰文件：

manage-bde -unlock X: -recoverykey <filename>

如有需要，請(qǐng)參考官方的手動(dòng)修復(fù)方法或等待 CrowdStrike 的官方自動(dòng)修復(fù)，但請(qǐng)注意，過程可能會(huì)相對(duì)復(fù)雜。

---