CrowdStrike: Microsoft veröffentlicht Recovery Tool
von caschy | 36 Kommentare
CrowdStrike hat durch ein fehlerhaftes Update Millionen Windows-PCs global lahmgelegt. Mittlerweile wurde das Update gestoppt und es ist bekannt, wie der Fehler zustande kam. Als Folgemaßnahme des Problems mit CrowdStrikes Falcon-Agenten, das Windows-Clients und -Server betrifft, hat Microsoft ein USB-Tool veröffentlicht, um IT-Administratoren bei der Beschleunigung des Reparaturprozesses zu unterstützen.
Microsofts Wiederherstellungstool automatisiert den Wiederherstellungsprozess, indem es in eine Windows-PE-Umgebung über USB bootet, auf die Festplatte des betroffenen Rechners zugreift und automatisch die problematische CrowdStrike-Datei löscht, um dem Rechner das Booten zu ermöglichen. Dies vermeidet, in den abgesicherten Modus zu booten zu müssen oder Adminrechte auf dem Rechner zu benötigen, da das Tool einfach auf die Festplatte zugreift, ohne in die lokale Kopie von Windows zu booten.
Die genauen Instruktionen und den Download bekommt man direkt bei Microsoft.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Einfach von USB booten ist mit SecureBoot aber auch nicht so „einfach“ und dann von da aus „einfach“ auf die Festplatte des Sytems zugreifen ist mit Bitlocker ohne RecoveryKey unmöglich.
Das funktioniert einfach so bei verschlüsselten Festplatten (Bitlocker o. a.)? Ohne Kennwort oder Authentifizierung?
Das wäre dann ja der nächste Knaller zu dem Thema … 😉
In der Anleitung auf der Microsoftseite steht unter den Vorraussetzungen dazu folgendes:
* BitLocker recovery key for each BitLocker-enabled impacted device on which the generated USB device will be used.
Ich nehme mal an das in einer betreuten IT Umgebung den Sysadmins dann diese Keys vorliegen.
Die Keys liegen auf dem AD-Server, der auch von CrowdStrike befallen, mit BitLocker verschlüsselt ist und den Key benötigt.
Selbst Schuld, wenn man den Recovery Key von solchen Systemen nicht (auch) im Tresor liegen hat.
nein, aber deine Frage war ja auch eher rethorisch gemeint.
In meinem beruflichen und privaten Umfeld sind sicher über 99 % der Rechnerfestplatten verschlüsselt. Daher meine gar nicht so rhetorische Frage, inwiefern das Microsoftprogramm da hilfreich sein kann.
Das war auch mein erster Gedanke. Wäre interessant da mehr zu erfahren.
Nein, der Bitlocker Wiederherstellungsschlüssel wird während der Reparatur abgefragt. Ohne diesen ist keine Änderung an der Windows Installation möglich.
Nein, tut es nicht.
bzw. nur wenn man entsprechende Keys mitgibt… 🙂
Vermutlich nicht. Also im Enterprise Breich eher wertlos das Tool.
Warum, sollte nicht gerade im Enterprise Bereich die erforderlichen Keys auch vorhanden sein?
„If BitLocker is enabled, the user will be prompted for the BitLocker recovery key. Include the dashes in for the BitLocker recovery key when entering.“
Nein!
Derzeitiger Sachstand ist das alle Daten verloren sind wenn das fehlerhafte Update bereits eingespielt wurde, die Systemplatte mit Bitlocker verschlüsselt ist und man den Key vergessen/verschlampt hat.
Dann muss aber noch dazu kommen, dass man das lokale/gecachte Admin-Passwort vergessen hat. Es gibt nämlich die Möglichkeit über den abgesicherten Modus die fehlerhafte Datei zu löschen.
LAPS!
Dann hast du aber als Admin auch einen beschissenen Job gemacht bzw. ist die Policy beschissen.
Die Bitlockerkeys werden per Gruppenrichtlinie relativ einfach im Computerkonto in der Active Directory eingetragen. Je nach dem wie man im Azure/Cloud drin ist, auch dort.
Sollte der Key fehlen, dann ist es halt Pech oder Unvermögen
Nein. Natürlich nicht. Man braucht den Bitlocker key.
Hast du den Microsoft Link gelesen?
Nein, ich lese das Blog hier um nicht sämtliche Quellen wie Microsoft und 999 andere selbst besuchen zu müssen.
Sicherlich nicht. Das wäre ja die nächste Katastrophe.
Nein, funktioniert nicht ohne Weiteres bei Bitlocker, deswegen steht im verlinkten Artikel dazu:
„BitLocker recovery key for each BitLocker-enabled impacted device on which the generated USB device will be used“
Ich würde es lieber erst mal mit der Reparturconsole probieren und den Bitlocker-Recoverykey bei Bedarf eintragen – bei meinem Notebook wars keine Problem
Genau das war auch mein Gedanke (Bitlocker).
Aber wahrscheinlich muss man an irgendeiner Stelle einfach den ultralangen Key eingeben.
Einmal Punkt 4 aus dem MS-Link lesen, dann wird deine Frage beantwortet.
Wenn man auf Millionen Windows PCs einfach mit einem USB-Stick zugreifen kann, haben Millionen PCs wohl ein größeres Problem, als dieses fehlerhafte Update.
…und das war mein zweiter Gedanke: mit dem Tool kann man dann ja Adminrechte umgehen und ggf. viel mehr als nur die schuldige Crowdstrike File löschen?!
Du kannst jeden Schutz umgehen, wenn das Hostsystem nicht verschlüsselt ist und du lokalen Zugriff hast. Linux und MacOS sind ebenso betroffen wir auch iOS und Android (wobei diese fairer Weise von Haus aus eigentlich immer verschlüsselt sind).
Deswegen ist es ja essentiell, die Geräte zu verschlüsseln. Die Microsoft Anleitung weißt ja auch darauf hin, dass für verschlüsselte Festplatten Recovery-Keys nötig sind.
Das ist aber kein Windows „Problem“ sondern gilt für jedes Betriebsystem.
Hilft aber auch nichts wenn man die Systemplatte mit Bitlocker verschlüsselt hat und den Key nicht mehr weiß (und das scheint erschreckend häufig vorzukommen).
Die Anwendung wird doch in der Regel in zentral-verwalteten Umgebungen eingesetzt, in denen sich der einzelne Nutzer keine Gedanken um den Bitlocker-Key machen muss.
Dann muss aber noch dazu kommen, dass man das lokale/gecachte Admin-Passwort vergessen hat. Es gibt nämlich die Möglichkeit über den abgesicherten Modus die fehlerhafte Datei zu löschen.
Man kann sich jetzt natürlich streiten, wie man seine Keys sinnvoll verwaltet. Unter Umständen ist der aber bei Microsoft gespeichert: https://support.microsoft.com/de-de/windows/suchen-nach-ihrem-bitlocker-wiederherstellungsschl%C3%BCssel-fd2b3501-a4b9-61e9-f5e6-2a545ad77b3e
Bei den betroffenen (Arbeits-)Geräten den zuständigen Support kontaktieren um, den Key zu erhalten?!
Ich hatte eine cleverere Möglichkeit; von anderem Gerät im MS-Konto angemeldet, um den Recovery-Key dort ablesen zu können.
Mindestens eins von Beidem kriegst bestimmt auch Du hin.