Try our new Certificate Revocation List Check Tool
CRLcheck.exe is a tool developed to verify digital signatures of executable files. It collects files from known paths on your client, checks their signature, and checks Certificate Revocation Lists (CRL) and OCSP download. This helps avoid delays in launching files.
Category published:  Deployment Server 2008 R2 Server 2012 R2 Server 2016 Server 2022 [21H2/22H2/32H2] W10   Click on the Category button to get more articles regarding that product.

Crowdstrike Falcon, BSOD, VMWARE Server Recovery DEU

Posted by admin on 19.07.2024

Es gibt einige Server, bei denen Sie nicht in den Wiederherstellungsmodus oder den abgesicherten Modus booten können. Wenn das Volume nicht verschlüsselt ist, haben Sie eine Möglichkeit, die fehlerhafte CrowdStrike-Def-Datei von der Festplatte zu löschen.

Basisartikel von uns:

https://www.butsch.ch/post/19-07-2024-bsod-blue-screen-crowdstrike/

Crowdstrike Falcon Sensor, Azure VM Repair paths

 

Um eine virtuelle Festplatte in einer VMware-Umgebung von einem Server auf einen anderen zu verschieben und eine Datei auf der Festplatte zu ändern, befolgen Sie diese Schritte:

1. Trennen Sie das Festplattvolumen:

  • Schalten Sie den betroffenen virtuellen Server aus.
  • Öffnen Sie den VMware vSphere-Client und navigieren Sie zur betroffenen VM.
  • Wählen Sie die VM aus, gehen Sie zu “Einstellungen bearbeiten”, suchen Sie die Festplatte, die Sie trennen möchten, und entfernen Sie sie. Stellen Sie sicher, dass Sie die Festplatte nicht aus dem Datenspeicher löschen, sondern nur aus der VM-Konfiguration entfernen.

2. Erstellen Sie einen Snapshot oder Backup:

  1. Erstellen Sie vor dem Fortfahren einen Snapshot oder ein Backup des Festplattvolumens, um Datenverlust bei unbeabsichtigten Änderungen zu vermeiden.

3. Fügen Sie die Festplatte zu einem neuen virtuellen Server hinzu:

  • Navigieren Sie zum neuen virtuellen Server, bei dem Sie die Festplatte anschliessen möchten.
  • Gehen Sie im vSphere-Client zu “Einstellungen bearbeiten” für die neue VM.
  • Klicken Sie auf “Hinzufügen”, um eine neue Festplatte hinzuzufügen, und wählen Sie “Vorhandene virtuelle Festplatte verwenden”.
  • Durchsuchen Sie den Speicherort der getrennten Festplatte und fügen Sie sie zur Konfiguration des neuen Servers hinzu.

4. Ändern Sie die erforderliche Datei:

  • Schalten Sie die neue VM mit der angeschlossenen Festplatte ein.
  • Sobald die VM läuft, greifen Sie auf das Dateisystem der angeschlossenen Festplatte zu.
  • Navigieren Sie zum Verzeichnis, in dem sich die erforderliche Datei befindet, z.B.: `C:\Windows\System32\drivers\CrowdStrike`.
  • Suchen und löschen Sie die problematische Datei (z.B. `C-00000291*.sys`).

5. Trennen und Wiederanbringen des reparierten Volumens:

  • Schalten Sie die neue VM aus.
  • Entfernen Sie im vSphere-Client die Festplatte aus der Konfiguration der neuen VM, ohne sie aus dem Datenspeicher zu löschen.
  • Gehen Sie zurück zur ursprünglichen betroffenen VM und bringen Sie die Festplatte wieder an, indem Sie eine vorhandene virtuelle Festplatte hinzufügen und das reparierte Volumen auswählen.

6. Schalten Sie die ursprüngliche VM ein:

  • Starten Sie die ursprüngliche VM und überprüfen Sie, ob die Änderungen das Problem behoben haben. Falls nein siehe weiter unten > Drive letter anpassen

Dieses Verfahren stellt sicher, dass die problematische Datei entfernt wird, während die Datenintegrität erhalten bleibt. Es nutzt die Flexibilität von VMware bei der Handhabung virtueller Festplatten, indem Sie die Festplatteninhalte ändern, indem Sie sie vorübergehend an eine andere VM anhängen.

Winload.exe error code 0xc000000e on an Azure VM – Azure | Microsoft Learn

https://learn.microsoft.com/en-us/troubleshoot/azure/virtual-machines/windows/error-code-0xc000000e

Falls “winload.exe boot manager error

Follow the instructions in the document to run bcdedit repairs on your boot directory. So in our case, that meant the following — replace F: and H: with the appropriate drive letters.

 

Note that the document says you need to delete your original VM — we found that just swapping out the disk was OK and we did not need to actually delete and recreate anything, but YMMV.

 

bcdedit /store F:\boot\bcd /set {bootmgr} device partition=F:

 

bcdedit /store F:\boot\bcd /set {bootmgr} integrityservices enable

 

bcdedit /store F:\boot\bcd /set {af3872a5-<therestofyourguid>} device partition=H:

 

bcdedit /store F:\boot\bcd /set {af3872a5-<therestofyourguid>} integrityservices enable

 

bcdedit /store F:\boot\bcd /set {af3872a5-<therestofyourguid>} recoveryenabled Off

 

bcdedit /store F:\boot\bcd /set {af3872a5-<therestofyourguid>} osdevice partition=H:

 

bcdedit /store F:\boot\bcd /set {af3872a5-<therestofyourguid>} bootstatuspolicy IgnoreAllFailures

 

 

Also read for AZURE VM:

Attach an unmanaged disk to a VM for offline repair – Azure | Microsoft Learn

https://learn.microsoft.com/en-us/troubleshoot/azure/virtual-machines/windows/unmanaged-disk-offline-repair

Also read for AZURE VM with Bitlocker Disks:

Unlocking an encrypted disk for offline repair – Azure | Microsoft Learn

https://learn.microsoft.com/en-us/troubleshoot/azure/virtual-machines/windows/unlock-encrypted-disk-offline

 

AWS-specific documentation:

To attach an EBS volume to an instance: 

https://docs.aws.amazon.com/ebs/latest/userguide/ebs-attaching-volume.html#:~:text=To%20attach%20an%20EBS%20volume,and%20choose%20Actions%2C%20Attach%20volume

Detach an Amazon EBS volume from an instance: 

https://docs.aws.amazon.com/ebs/latest/userguide/ebs-detaching-volume.html

Bitlocker recovery
related KBs:

BitLocker recovery in Microsoft Azure: https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-Azure.pdf

BitLocker recovery in Microsoft environments using SCCM: https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-environments-using-SCCM.pdf

BitLocker recovery in Microsoft environments using Active Directory and GPOs: https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-environments-using-Active-Directory-and-GPOs.pdf

BitLocker recovery in Microsoft environments using Ivanti Endpoint Manager: https://www.crowdstrike.com/wp-content/uploads/2024/07/BitLocker-recovery-in-Microsoft-environments-using-Ivanti-Endpoint-Manager.pdf

BitLocker recovery: known issues – Windows Client | Microsoft Learn

https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-security/bitlocker-recovery-known-issues

https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-security/bitlocker-recovery-known-issues#tablet-devices-dont-support-using-manage-bdeexe–forcerecovery-to-test-recovery-mode

 

Zusätzlich haben wir einige Chats bezüglich AWS EC2 von unseren Cloud-nativen Administratoren gesehen:

https://www.redditmedia.com/r/aws/comments/1e6ykzy/how_to_boot_windows_ec2_instance_into_recovery/

Bitte prüfen Sie dies und erstellen Sie einen neuen Abschnitt speziell für EC2: Ich habe vorgeschlagen, es mit EC2Rescue zu versuchen, aber es benötigt dennoch eine andere EC2-Instanz in derselben AWS-Region, um das Volumen zu mounten.

Also werde ich denselben Weg gehen – eine neue WIN EC2-Instanz in derselben Verfügbarkeitszone erstellen, das EBS-Volumen mounten, die Datei löschen und das Volumen dann wieder an die ursprüngliche EC2-Instanz anschließen.

Azure status

https://azure.status.microsoft/en-us/status

 


 Category published:  Deployment Server 2008 R2 Server 2012 R2 Server 2016 Server 2022 [21H2/22H2/32H2] W10   Click on the Category button to get more articles regarding that product.