Crowdstrike Problem - best Practise gesucht
Hallo zusammen,
die meisten von euch haben es ja bereits mitbekommen, ein Crowdstrike Update legt diverse Rechner lahm.
Also kann man als Admin ja den Workaround bedienen:
from elevated cmd prompt:
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys
Jetzt würde ich gerne einen USB Stick erstellen, der nichts anderes macht als eine cmd auszuführen, der nach dem Booten genau diesen Befehl durchführt und natürlich auch die richtige Partition auswählt..
Alles was ich bisher über rufus, autoconfig.inf versucht habe, scheitert aktuell. Jemand eine brauchbare Lösung dafür?
Grüße an alle
die meisten von euch haben es ja bereits mitbekommen, ein Crowdstrike Update legt diverse Rechner lahm.
Also kann man als Admin ja den Workaround bedienen:
from elevated cmd prompt:
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys
Jetzt würde ich gerne einen USB Stick erstellen, der nichts anderes macht als eine cmd auszuführen, der nach dem Booten genau diesen Befehl durchführt und natürlich auch die richtige Partition auswählt..
Alles was ich bisher über rufus, autoconfig.inf versucht habe, scheitert aktuell. Jemand eine brauchbare Lösung dafür?
Grüße an alle
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 53857338259
Url: https://administrator.de/forum/crowdstrike-problem-best-practise-gesucht-53857338259.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
15 Kommentare
Neuester Kommentar
Passendes WinPE-Image aus dem Windows ADK nehmen und mounten und der startnet.cmd Datei die unter %SYSTEMROOT%\System32 liegt die folgenden zeilen hinzufügen
dann wieder entmounten und mit rufus oä bootbar machen und auf nen pxe-server oder usb stick spielen
davon booten - fertig
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys
exit
dann wieder entmounten und mit rufus oä bootbar machen und auf nen pxe-server oder usb stick spielen
davon booten - fertig
ich würde auch entweder nen live-os oder winpe versuchen... sonst wird das aus gutem grund nich so einfach gehen -> überlege doch mal selbst kurz, du willst in nem System-Verzeichnis irgendwas löschen und das per autorun oder sonstwie? Wer würde dich denn daran hintern nich nur C-...Sys zu nehmen - sondern *.*? Wäre dann ziemlich blöd wenn sowas noch funktionieren würde...
du kannst natürlich mittels runas und ner batch-file das zumindest auf nem doppelklick reduzieren (sofern derjenige denn admin-rechte hat) bzw. die person muss eben mittels "ausführen als" das ganze als admin machen... oder du verteilst per gpo nen geplanten task der genau einmal das beim startup ausführt ...
du kannst natürlich mittels runas und ner batch-file das zumindest auf nem doppelklick reduzieren (sofern derjenige denn admin-rechte hat) bzw. die person muss eben mittels "ausführen als" das ganze als admin machen... oder du verteilst per gpo nen geplanten task der genau einmal das beim startup ausführt ...
Nur ein kurzer Hinweis - weiß nicht, ob es umsetzbar ist. Aber auf GitHub hat jemand eine GPO gepostet, um die Dateien im abgesicherten Modus zu entfernen.
Moin @zusammen,
wir haben zwar keine Kunden die dieses Problem betrifft, dennoch habe ich mir dazu ein paar Gedanken gemacht.
Und zwar würde ich die betroffenen Rechner mit einem Windows 11 ToGo hochfahren, welches sich sehr einfach mit Rufus erstellen lässt. Und wenn die Systemplatte des geschädigten Rechners nicht per BitLocker verschlüsselt ist, dann erschein diese bei Windows 11 ToGo als ein ganz normales zusätzliches Laufwerk.
Dann würde ich auf dem Windows 11 ToGo noch das folgende Power-Shell Script ausführen ...
(!!! Power-Shell als Administrator starten !!!)
und schon sollte das Original OS wieder ganz normal booten. 😉
Bei einer VM ist es noch einfacher.
Einfach die Systemplatte der ausgefallenen VM unter eine funktionierende mounten, das gleiche Script ausführen, dann die Platte wieder der ursprünglichen VM wieder zuordnen und diese wieder wie gewohnt starten.
Gruss Alex
wir haben zwar keine Kunden die dieses Problem betrifft, dennoch habe ich mir dazu ein paar Gedanken gemacht.
Und zwar würde ich die betroffenen Rechner mit einem Windows 11 ToGo hochfahren, welches sich sehr einfach mit Rufus erstellen lässt. Und wenn die Systemplatte des geschädigten Rechners nicht per BitLocker verschlüsselt ist, dann erschein diese bei Windows 11 ToGo als ein ganz normales zusätzliches Laufwerk.
Dann würde ich auf dem Windows 11 ToGo noch das folgende Power-Shell Script ausführen ...
(!!! Power-Shell als Administrator starten !!!)
$pattern = "C-00000291*.sys"
$directory = "\Windows\System32\drivers\CrowdStrike\"
$drives = Get-PSDrive -PSProvider 'FileSystem'
foreach ($drive in $drives) {
$path = Join-Path -Path $drive.Root -ChildPath $directory
if (Test-Path -Path $path) {
$files = Get-ChildItem -Path $path -Filter $pattern
foreach ($file in $files) {
Remove-Item -Path $file.FullName -Force
Write-Host "File deleted: $($file.FullName)"
}
}
}
und schon sollte das Original OS wieder ganz normal booten. 😉
Bei einer VM ist es noch einfacher.
Einfach die Systemplatte der ausgefallenen VM unter eine funktionierende mounten, das gleiche Script ausführen, dann die Platte wieder der ursprünglichen VM wieder zuordnen und diese wieder wie gewohnt starten.
Gruss Alex
Hallo
Ohne Garantie oder Erfahrung damit, da wir nicht betroffen waren.
Step-by-Step Guide to Fix the Crowdstrike BSOD
Beste Grüsse
Ohne Garantie oder Erfahrung damit, da wir nicht betroffen waren.
Step-by-Step Guide to Fix the Crowdstrike BSOD
Beste Grüsse
Moin,
es gibt noch weitere Hilfestellungen für betroffene Systeme....
https://www.heise.de/news/Crowdstrike-Ausfaelle-Microsoft-veroeffentlich ...
es gibt noch weitere Hilfestellungen für betroffene Systeme....
https://www.heise.de/news/Crowdstrike-Ausfaelle-Microsoft-veroeffentlich ...
Hier Microsoft Support für Crowdstrike werden noch Lösungen für AWS, GoogleCloud und Azure vorgestellt.
Ich finde den Weg über GPO's tatsächlich auch sehr smart, sofern man eine AD Umgebung hat
Ich finde den Weg über GPO's tatsächlich auch sehr smart, sofern man eine AD Umgebung hat
Falls noch nicht bekannt:
https://www.crowdstrike.com/wp-content/uploads/2024/07/Using-the-Microso ...
Semi-automatisierte Erstellung eines USB-Sticks, der semi-automatisiert betroffene Computer wieder lauffähig macht.
Auch mit BitLocker, falls Recovery-Key vorhanden.
https://www.crowdstrike.com/wp-content/uploads/2024/07/Using-the-Microso ...
Semi-automatisierte Erstellung eines USB-Sticks, der semi-automatisiert betroffene Computer wieder lauffähig macht.
Auch mit BitLocker, falls Recovery-Key vorhanden.