Nueva herramienta de Microsoft para recuperación de Endopoints Windows afectados por CrowdStrike

Como seguimiento al problema del agente CrowdStrike Falcon que afecta a clientes y servidores de Windows, Microsoft ha lanzado una herramienta por USB para ayudar a los administradores de TI a acelerar el proceso de reparación. La Herramienta de Recuperación firmada por Microsoft se puede encontrar en el Centro de Descargas de Microsoft.

A continuación, se detallan los pasos para usar la herramienta.

Requisitos Previos

1. Un cliente de Windows de 64 bits con al menos 8 GB de espacio libre desde el cual se pueda ejecutar la herramienta para crear la unidad USB de arranque.
2. Privilegios administrativos en el cliente de Windows del requisito previo #1.
3. Unidad USB con al menos 1 GB. Todos los datos existentes en esta unidad USB se borrarán.
4. Clave de recuperación de BitLocker para cada dispositivo afectado con BitLocker habilitado en el que se usará el dispositivo USB generado.

Instrucciones Para generar la solución de reparación USB, desde el cliente de Windows de 64 bits mencionado en el requisito previo #1, sigue estos pasos:

1. Descarga la Herramienta de Recuperación firmada por Microsoft desde el Centro de Descargas de Microsoft.
2. Extrae el script de PowerShell de la solución descargada.
3. Ejecuta MsftRecoveryToolForCS.ps1 desde un aviso de PowerShell con privilegios elevados.
4. Se iniciará la descarga e instalación de ADK, lo que puede tardar varios minutos en completarse.
5. Se te pedirá opcionalmente seleccionar un directorio de controladores para la importación de imágenes. Se recomienda seleccionar «N» para omitir este paso. Algunos dispositivos pueden necesitar controladores específicos de teclado y/o almacenamiento masivo, sin embargo, «N» es suficiente para la mayoría de los dispositivos.
   NOTA: La herramienta importará cualquier archivo SYS e INI de manera recursiva bajo el directorio especificado.
6. Inserta la unidad USB cuando se te indique y proporciona la letra de la unidad.
7. Una vez que la creación de la USB esté completa, retira la USB del cliente de Windows.
   
   Para reparar un dispositivo afectado usando la clave de recuperación de BitLocker del requisito previo #4:
   
8. Inserta la clave USB en un dispositivo afectado.
9. Reinicia el dispositivo.
10. Durante el reinicio, presiona F12 (o sigue las instrucciones específicas del fabricante para arrancar en BIOS).
11. Desde el menú de arranque de BIOS, elige Arrancar desde USB y continúa.
12. La herramienta se ejecutará.
13. Si BitLocker está habilitado, se le pedirá al usuario la clave de recuperación de BitLocker. Incluye los guiones en la clave de recuperación de BitLocker al ingresarla. Las opciones de clave de recuperación se proporcionan aquí.
14. La herramienta ejecutará los scripts de remediación del problema según lo recomendado por CrowdStrike.
15. Una vez completado, reinicia el dispositivo normalmente.

Para más información sobre el problema que afecta a los clientes y servidores de Windows que ejecutan el agente CrowdStrike Falcon, consulta:

• Información general de Windows
• Pasos de recuperación
• Para máquinas virtuales de Windows que se ejecutan en Azure, sigue los pasos de mitigación en Estado de Azure.
• Detalles adicionales de CrowdStrike disponibles aquí: Declaración sobre la actualización de contenido de Falcon para hosts de Windows – Blog de CrowdStrike

Ten en cuenta que esta herramienta no usa Microsoft Intune, pero la compartimos como un consejo de soporte para ayudar a los clientes. Háznos saber si tienes alguna pregunta respondiendo a esta publicación o contactando a @IntuneSuppTeam en X. Continuaremos proporcionando actualizaciones a esta publicación según sea necesario.

Enlace original en inglés