Buzz
(VnMedia) - Microsoft đã phát hành một công cụ khôi phục WinPE tùy chỉnh để phát hiện và loại bỏ bản cập nhật CrowdStrike bị lỗi, dẫn đến sự cố làm sập khoảng 8,5 triệu thiết bị Windows vào thứ Sáu tuần trước.
Vào thứ Sáu, CrowdStrike đã phát hành một bản cập nhật lỗi khiến hàng triệu thiết bị Windows trên toàn cầu đột nhiên gặp sự cố với màn hình xanh chết chóc (BSOD) và khởi động lại liên tục.
Vấn đề này đã gây ra sự cố ngừng hoạt động nghiêm trọng trong ngành CNTT, khi các công ty đột nhiên phát hiện rằng tất cả các thiết bị Windows của họ không hoạt động nữa. Sự cố này ảnh hưởng đến các sân bay, bệnh viện, ngân hàng, công ty và cơ quan chính phủ trên toàn cầu.
Để khắc phục sự cố này, quản trị viên cần khởi động lại các thiết bị Windows bị ảnh hưởng vào Chế độ An toàn hoặc Môi trường Khôi phục và thủ công xóa driver kernel bị lỗi khỏi thư mục C:\Windows\System32\drivers\CrowdStrike.
Tuy nhiên, do các tổ chức phải đối mặt với hàng trăm, hàng nghìn thiết bị Windows bị ảnh hưởng, việc sửa lỗi thủ công có thể gặp nhiều vấn đề, tốn thời gian và phức tạp.
Để hỗ trợ giải quyết vấn đề này, Microsoft đã phát hành một công cụ khôi phục tùy chỉnh giúp tự động loại bỏ bản cập nhật CrowdStrike lỗi từ các thiết bị Windows để chúng có thể khởi động lại bình thường.
'Để xử lý sự cố liên quan đến CrowdStrike Falcon agent ảnh hưởng đến máy khách và máy chủ Windows, Microsoft đã phát hành một công cụ USB để hỗ trợ quá trình sửa chữa', thông tin từ Microsoft cho biết.
'Bạn có thể tìm thấy Công cụ khôi phục Microsoft đã được ký (signed) trong Trung tâm tải xuống của Microsoft tại https://go.microsoft.com/fwlink/?linkid=2280386.'
Để sử dụng công cụ khôi phục của Microsoft, bạn cần có máy khách Windows 64-bit có ít nhất 8 GB bộ nhớ, quyền quản trị trên thiết bị này, ổ USB có dung lượng lưu trữ tối thiểu 1 GB và khóa khôi phục Bitlocker nếu cần.
Lưu ý rằng bạn cần một ổ đĩa flash USB dung lượng 32GB hoặc nhỏ hơn để định dạng nó thành FAT32, định dạng cần thiết để khởi động ổ đĩa.
Công cụ khôi phục được tạo thông qua tập lệnh PowerShell từ Microsoft, cần chạy với quyền quản trị. Khi chạy, nó sẽ định dạng ổ USB, tạo hình ảnh WinPE tùy chỉnh và sao chép vào ổ đĩa để có thể khởi động.
Sau đó, bạn có thể khởi động thiết bị Windows bị ảnh hưởng bằng khóa USB và tập lệnh CSRemediationScript.bat sẽ tự động chạy. Tệp này yêu cầu bạn nhập khóa khôi phục Bitlocker cần thiết, có thể được khôi phục theo các hướng dẫn sau.
Sau đó, tập lệnh sẽ tìm kiếm driver kernel CrowdStrike bị lỗi trong thư mục C:\Windows\system32\drivers\CrowdStrike và tự động xóa nó nếu phát hiện.
Khi hoàn thành, tập lệnh sẽ yêu cầu bạn nhấn một phím bất kỳ và thiết bị của bạn sẽ khởi động lại.
Lúc này, với việc xóa driver CrowdStrike, thiết bị sẽ tự động khởi động lại vào Windows và có thể sử dụng bình thường.
Tuy nhiên, thách thức lớn nhất đối với quản trị viên Windows là việc khôi phục khóa khôi phục Bitlocker. Vì vậy, việc xác định xem có cần thiết và thực hiện việc khôi phục sớm nhất là điều cần làm trước khi tiếp tục khôi phục thiết bị.
