CrowdStrike Falcon aracısının Windows istemcileri ve sunucularında neden olduğu yaygın sorunlara yanıt olarak Microsoft, BT yöneticileri için onarım sürecini kolaylaştırmak üzere tasarlanmış güncellenmiş bir kurtarma aracı tanıttı. Güncellenmiş Microsoft kurtarma aracı, etkilenen sistemlerdeki sorunları ele almada esneklik sağlayan iki onarım seçeneği sunar.
Bu makalede, Hyper-V’de barındırılan Windows istemcileri, sunucuları ve işletim sistemleri için kullanılabilen kurtarma adımları ve onarım seçeneklerinin ayrıntıları açıklanmaktadır.
İmzalı Microsoft kurtarma aracı Microsoft İndirme Merkezi’nden indirilebilir. Yöneticiler araca şu bağlantıyı kullanarak erişebilir: Microsoft Kurtarma Aracı. Araç, Windows istemcilerini ve sunucularını ve Hyper-V ortamlarında barındırılan işletim sistemlerini kurtarmak için ayrıntılı talimatlar içerir.
Microsoft Kurtarma Aracı: Onarım Seçenekleri
Microsoft iki farklı kurtarma seçeneği sunar:
- WinPE’den (Windows Ön Kurulum Ortamı) kurtarma
- Güvenli Moddan Kurtar
WinPE’den kurtarın
WinPE kurtarma seçeneği, verimliliği ve kullanım kolaylığı nedeniyle önerilir. Bu yöntem yerel yönetici ayrıcalıkları gerektirmez ve bu da onu BT yöneticileri için kullanışlı bir seçenek haline getirir. Ancak, cihazda BitLocker etkinleştirilmişse, BitLocker kurtarma anahtarının manuel olarak girilmesi gerekecektir.
Üçüncü taraf disk şifreleme çözümleri kullanan aygıtlarda, yöneticiler sürücüyü kurtarmak için satıcının kılavuzuna başvurmalıdır.
WinPE Kurtarma Adımları:
- USB belleği etkilenen cihaza takın.
- Cihazı yeniden başlatın ve BIOS önyükleme menüsüne girmek için F12 tuşuna basın (veya üreticiye özgü talimatları izleyin).
- USB sürücüsünden önyükleme seçeneğini seçin.
- BitLocker etkinse, BitLocker kurtarma anahtarını girin.
- Araç, CrowdStrike tarafından önerildiği şekilde düzeltme betiğini çalıştıracaktır.
- USB sürücüyü çıkarın ve cihazı normal şekilde yeniden başlatın.
Güvenli Moddan Kurtar
Güvenli Mod kurtarma seçeneği, yalnızca TPM koruyucuları olan veya BitLocker kurtarma anahtarının kolayca bulunamadığı aygıtlar için yararlı olabilir. Bu yöntem, yerel yönetici ayrıcalıklarına sahip bir hesaba erişim gerektirir.
Güvenli Mod Kurtarma Adımları:
- USB belleği etkilenen cihaza takın.
- Cihazı yeniden başlatın ve BIOS önyükleme menüsüne girmek için F12 tuşuna basın (veya üreticiye özgü talimatları izleyin).
- USB sürücüsünden önyükleme seçeneğini seçin.
- Araç, makineyi Güvenli Mod’da başlatılacak şekilde yapılandıracaktır.
- Cihazı Güvenli Modda yeniden başlatın.
- Çalıştır
repair.cmdUSB belleğin kökündeki komut dosyası. - Araç etkilenen dosyaları kaldıracak ve normal önyükleme yapılandırmasını geri yükleyecektir.
- Cihazı normal şekilde yeniden başlatın.
Ek Hususlar
Bazı aygıtlar, bir USB sürücüsüne bağlanmalarını engelleyen kısıtlamalara sahip olabilir. Bu gibi durumlarda, aygıtı yeniden görüntülemek daha iyi bir seçenek olabilir. Herhangi bir kurtarma işleminde olduğu gibi, kurtarma adımlarını bir ortamda geniş bir şekilde uygulamadan önce birden fazla aygıtta test etmeniz önerilir.
Önyükleme Ortamını Oluşturma
Önyüklenebilir kurtarma ortamını oluşturmak için yöneticilerin aşağıdaki ön koşullara ihtiyacı olacaktır:
- En az 8 GB boş alana sahip bir Windows 64-bit istemci.
- Windows istemcisinde yönetici ayrıcalıkları.
- Minimum 1 GB ve maksimum 32 GB kapasiteli bir USB sürücü. Bu USB sürücüdeki tüm mevcut verilerin silineceğini unutmayın.
WinPE Kurtarma Ortamı Oluşturma Adımları:
- Microsoft Kurtarma Aracını Microsoft İndirme Merkezi’nden indirin.
- İndirilen çözümden PowerShell betiğini çıkarın.
- Koşmak
MsftRecoveryToolForCSv2.ps1yükseltilmiş bir PowerShell isteminden. - ADK indirilecek ve medya oluşturma işlemi başlayacak, bu işlem birkaç dakika sürecek.
- ISO veya USB sürücü oluşturma seçeneğini seçin ve sürücü harfini belirtin.
Hyper-V Sanal Makinelerinde Kurtarma Ortamını Kullanma
Kurtarma ortamı, etkilenen Hyper-V sanal makinelerini düzeltmek için de kullanılabilir. Yöneticiler, kurtarma ortamını oluştururken bir ISO oluşturma seçeneğini seçmelidir. Hyper-V olmayan sanal makineler için, kurtarma ortamını kullanmak üzere hipervizör satıcısının talimatlarını izleyin.
Hyper-V Sanal Makinelerini Kurtarma Adımları:
- Hyper-V ayarları > SCSI Denetleyicisi altında bir DVD Sürücüsü ekleyin.
2. Kurtarma ISO’sunu Hyper-V ayarları > SCSI Denetleyicisi > DVD Sürücüsü altında bir Görüntü dosyası olarak ekleyin.
3. Eklenen DVD Sürücüsünü ilk önyükleme girişine taşımak için önyükleme sırasını değiştirin.
4. Sanal makineyi başlatın ve ISO imajıyla önyükleme yapın.
5. Yukarıda açıklandığı gibi uygun kurtarma adımlarını (WinPE veya Güvenli Mod) izleyin.
6. Önyükleme sırasını orijinal ayarlarına geri yükleyin.
7. Sanal makineyi normal şekilde yeniden başlatın.
CrowdStrike Falcon Agent Sorununun Arka Planı
20 Temmuz Cuma günü, dünya çapındaki Windows kullanıcıları, CrowdStrike’ın Falcon Sensörü ile ilişkili “csagent.sys” adlı bir dosyaya atfedilen kritik bir hata olan Mavi Ekran Ölümü (BSOD) sorunuyla karşılaştı.
Bu sorun, başlatma veya yeniden başlatma sırasında ani çökmelere yol açarak büyük bankalar, medya şirketleri, teknoloji firmaları ve havalimanları ve havayolları gibi kritik altyapılar da dahil olmak üzere çeşitli sektörlerde önemli kesintilere neden oldu.
Sosyal medyadaki tartışmalar, Almanya, Hindistan, Japonya ve ABD’den kullanıcıların sinir bozucu deneyimlerini paylaşmasıyla sorunun yaygın doğasını ortaya koydu. Avustralya hükümeti, halka bunun bir siber güvenlik olayı olmadığı konusunda güvence verdi ve panik yapmak için hiçbir neden olmadığını belirterek sakin olmaları çağrısında bulundu.
Çözüm
Microsoft’un kurtarma aracının proaktif sürümü, CrowdStrike Falcon aracı sorunundan etkilenen BT yöneticileri ve kullanıcıları için hayati bir çözüm sağlar. Ayrıntılı kurtarma adımlarını izleyerek ve uygun kurtarma seçeneğini seçerek, kullanıcılar etkilenen cihazlarına normal işlemleri geri yükleyebilir.