CrowdStrike: Microsoft veröffentlicht Recovery Tool

CrowdStrike hat durch ein fehlerhaftes Update Millionen Windows-PCs global lahmgelegt. Mittlerweile wurde das Update gestoppt und es ist bekannt, wie der Fehler zustande kam. Als Folgemaßnahme des Problems mit CrowdStrikes Falcon-Agenten, das Windows-Clients und -Server betrifft, hat Microsoft ein USB-Tool veröffentlicht, um IT-Administratoren bei der Beschleunigung des Reparaturprozesses zu unterstützen.

Microsofts Wiederherstellungstool automatisiert den Wiederherstellungsprozess, indem es in eine Windows-PE-Umgebung über USB bootet, auf die Festplatte des betroffenen Rechners zugreift und automatisch die problematische CrowdStrike-Datei löscht, um dem Rechner das Booten zu ermöglichen. Dies vermeidet, in den abgesicherten Modus zu booten zu müssen oder Adminrechte auf dem Rechner zu benötigen, da das Tool einfach auf die Festplatte zugreift, ohne in die lokale Kopie von Windows zu booten.

Die genauen Instruktionen und den Download bekommt man direkt bei Microsoft.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

36 Kommentare

  1. Einfach von USB booten ist mit SecureBoot aber auch nicht so „einfach“ und dann von da aus „einfach“ auf die Festplatte des Sytems zugreifen ist mit Bitlocker ohne RecoveryKey unmöglich.

  2. Das funktioniert einfach so bei verschlüsselten Festplatten (Bitlocker o. a.)? Ohne Kennwort oder Authentifizierung?

    • Das wäre dann ja der nächste Knaller zu dem Thema … 😉

    • In der Anleitung auf der Microsoftseite steht unter den Vorraussetzungen dazu folgendes:
      * BitLocker recovery key for each BitLocker-enabled impacted device on which the generated USB device will be used.

      Ich nehme mal an das in einer betreuten IT Umgebung den Sysadmins dann diese Keys vorliegen.

      • Die Keys liegen auf dem AD-Server, der auch von CrowdStrike befallen, mit BitLocker verschlüsselt ist und den Key benötigt.

        • Selbst Schuld, wenn man den Recovery Key von solchen Systemen nicht (auch) im Tresor liegen hat.

    • nein, aber deine Frage war ja auch eher rethorisch gemeint.

      • In meinem beruflichen und privaten Umfeld sind sicher über 99 % der Rechnerfestplatten verschlüsselt. Daher meine gar nicht so rhetorische Frage, inwiefern das Microsoftprogramm da hilfreich sein kann.

    • misomonster says:

      Das war auch mein erster Gedanke. Wäre interessant da mehr zu erfahren.

    • Nein, der Bitlocker Wiederherstellungsschlüssel wird während der Reparatur abgefragt. Ohne diesen ist keine Änderung an der Windows Installation möglich.

    • Nein, tut es nicht.

    • bzw. nur wenn man entsprechende Keys mitgibt… 🙂

    • Vermutlich nicht. Also im Enterprise Breich eher wertlos das Tool.

    • „If BitLocker is enabled, the user will be prompted for the BitLocker recovery key. Include the dashes in for the BitLocker recovery key when entering.“

    • Nein!

      Derzeitiger Sachstand ist das alle Daten verloren sind wenn das fehlerhafte Update bereits eingespielt wurde, die Systemplatte mit Bitlocker verschlüsselt ist und man den Key vergessen/verschlampt hat.

      • Blacky Forest says:

        Dann muss aber noch dazu kommen, dass man das lokale/gecachte Admin-Passwort vergessen hat. Es gibt nämlich die Möglichkeit über den abgesicherten Modus die fehlerhafte Datei zu löschen.

      • Dann hast du aber als Admin auch einen beschissenen Job gemacht bzw. ist die Policy beschissen.

        Die Bitlockerkeys werden per Gruppenrichtlinie relativ einfach im Computerkonto in der Active Directory eingetragen. Je nach dem wie man im Azure/Cloud drin ist, auch dort.

        Sollte der Key fehlen, dann ist es halt Pech oder Unvermögen

    • Nein. Natürlich nicht. Man braucht den Bitlocker key.

    • Hast du den Microsoft Link gelesen?

      • Nein, ich lese das Blog hier um nicht sämtliche Quellen wie Microsoft und 999 andere selbst besuchen zu müssen.

    • Sicherlich nicht. Das wäre ja die nächste Katastrophe.

    • Nein, funktioniert nicht ohne Weiteres bei Bitlocker, deswegen steht im verlinkten Artikel dazu:
      „BitLocker recovery key for each BitLocker-enabled impacted device on which the generated USB device will be used“

    • Ich würde es lieber erst mal mit der Reparturconsole probieren und den Bitlocker-Recoverykey bei Bedarf eintragen – bei meinem Notebook wars keine Problem

    • Genau das war auch mein Gedanke (Bitlocker).

      Aber wahrscheinlich muss man an irgendeiner Stelle einfach den ultralangen Key eingeben.

  3. Einmal Punkt 4 aus dem MS-Link lesen, dann wird deine Frage beantwortet.

  4. Wenn man auf Millionen Windows PCs einfach mit einem USB-Stick zugreifen kann, haben Millionen PCs wohl ein größeres Problem, als dieses fehlerhafte Update.

    • …und das war mein zweiter Gedanke: mit dem Tool kann man dann ja Adminrechte umgehen und ggf. viel mehr als nur die schuldige Crowdstrike File löschen?!

    • Du kannst jeden Schutz umgehen, wenn das Hostsystem nicht verschlüsselt ist und du lokalen Zugriff hast. Linux und MacOS sind ebenso betroffen wir auch iOS und Android (wobei diese fairer Weise von Haus aus eigentlich immer verschlüsselt sind).

      Deswegen ist es ja essentiell, die Geräte zu verschlüsseln. Die Microsoft Anleitung weißt ja auch darauf hin, dass für verschlüsselte Festplatten Recovery-Keys nötig sind.

    • Das ist aber kein Windows „Problem“ sondern gilt für jedes Betriebsystem.

  5. Hilft aber auch nichts wenn man die Systemplatte mit Bitlocker verschlüsselt hat und den Key nicht mehr weiß (und das scheint erschreckend häufig vorzukommen).

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.