Un Outil de Récupération WinPE Personnalisé par Microsoft
Microsoft a récemment mis à disposition un outil de récupération WinPE sur mesure pour identifier et supprimer la mise à jour défectueuse de CrowdStrike, qui a provoqué l’arrêt d’environ 8,5 millions d’appareils Windows vendredi dernier.
Un Problème Mondial de Systèmes
Le vendredi, une mise à jour défectueuse de CrowdStrike a été déployée, entraînant un crash soudain de millions d’appareils Windows à travers le monde, se traduisant par un écran bleu de la mort (BSOD) et des boucles de redémarrage incessantes.
Cette défaillance a engendré d’importantes pannes informatiques, affectant des secteurs variés tels que les aéroports, les hôpitaux, les banques, les entreprises et les agences gouvernementales à l’échelle mondiale.
La Nécessité d’une Intervention Rapide
Pour corriger ce problème, les administrateurs informatiques devaient redémarrer les appareils Windows touchés en mode sans échec ou dans l’environnement de récupération, puis supprimer manuellement le pilote de noyau défectueux situé dans le dossier C:WindowsSystem32driversCrowdStrike.
Cependant, avec des centaines, voire des milliers d’appareils affectés, effectuer ces réparations manuellement s’est avéré problématique, long et complexe.
Une Solution Automatisée
Pour assister les administrateurs et le personnel de support informatique, Microsoft a lancé un outil de récupération qui automatise la suppression de la mise à jour défectueuse de CrowdStrike, permettant ainsi aux appareils de redémarrer normalement.
Un bulletin de support de Microsoft indique : « En réponse au problème de l’agent CrowdStrike Falcon affectant les clients et serveurs Windows, nous avons publié un outil USB pour aider les administrateurs informatiques à accélérer le processus de réparation. »
Ce nouvel outil de récupération signé par Microsoft est disponible dans le Centre de téléchargement de Microsoft : Télécharger l’outil.
Conditions d’Utilisation de l’Outil de Récupération
Pour utiliser cet outil, le personnel informatique doit disposer d’un client Windows 64 bits avec au moins 8 Go d’espace libre, de privilèges administratifs sur cet appareil, d’une clé USB d’au moins 1 Go de capacité, ainsi que d’une clé de récupération BitLocker si nécessaire.
Il est important de noter que la clé USB doit avoir une partition de 32 Go ou moins, car une taille supérieure empêcherait son formatage en FAT32, requis pour le démarrage.
Création de l’Outil de Récupération
L’outil de récupération est généré via un script PowerShell téléchargé depuis Microsoft, qui doit être exécuté avec des privilèges administratifs. Lors de son exécution, il formate une clé USB et crée une image WinPE personnalisée, qui est ensuite copiée sur la clé et rendue amorçable.
Source : BleepingComputer
Une fois la clé USB prête, il suffit de démarrer l’appareil Windows affecté avec celle-ci, ce qui lancera automatiquement un fichier batch nommé CSRemediationScript.bat.
Source : BleepingComputer
Processus de Récupération
Ce fichier batch vous demandera d’entrer les clés de récupération BitLocker nécessaires, que vous pouvez récupérer en suivant certaines étapes.
Le script recherchera ensuite le pilote de noyau défectueux de CrowdStrike dans le dossier C:WindowsSystem32driversCrowdStrike et, s’il est détecté, il sera automatiquement supprimé.
Les tests effectués par BleepingComputer montrent que le script ne crée pas de journaux ni de sauvegarde du pilote CrowdStrike.
Une fois le processus terminé, le script vous invitera à appuyer sur une touche, et votre appareil redémarrera.
Après la suppression du pilote CrowdStrike, l’appareil devrait redémarrer sous Windows et redevenir opérationnel.
Récupération des Clés BitLocker
Malheureusement, le principal défi pour les administrateurs Windows reste la récupération des clés de récupération BitLocker nécessaires.
Il est donc crucial de déterminer si une clé est requise et de la récupérer avant de tenter de restaurer les appareils.
Mise à jour 22/07/24 : Précisé que votre clé USB doit avoir une partition de 32 Go ou moins. Merci à joshuayoder.
