如何用WinPE解决CrowdStrike引发的Windows蓝屏与启动失败

N软网报道，近期，CrowdStrike 的 Windows 主机更新引发了一个严重的“恢复”循环问题，致使用户只能选择“重新启动计算机”或“查看高级修复选项”来排查故障。此蓝屏死机（BSOD）错误表现为 Windows 系统无法正常加载，可通过调整 WinPE 映像并借助 PXE 启动服务器来解决。

CrowdStrike 在一份支持文档中承认了这一问题，并提出了一些解决方案，然而，这些方案在处理组织内大量设备时效果并不理想。此次事件已对航空业、信息技术公司、教育机构以及医疗领域等多个行业产生了重大影响。

幸运的是，部分 IT 技术人员找到了一种新的自动化修复途径。该方式通过利用修改过的 WinPE 映像启动所有电脑，能够有效地修正由 CrowdStrike 引发的蓝屏死机（BSOD）问题。此修复流程需借助 Windows Assessment and Deployment Kit (ADK) 工具，并且可能不适用于已加密的电脑，除非您准备尝试一些新指令。

这一解决策略包括移除引发蓝屏的文件（C-00000291*.sys），从而解决 Windows PC 上的 CrowdStrike 错误。

自动修复 CrowdStrike BSOD 循环重启的方法

在开展以下操作前，理解其实现方式至关重要。我们将采取 PXE 启动的方式。首要任务是安装 Windows Assessment and Deployment Kit (ADK) 工具。

随后，通过挂载 WinPE 映像并在 startnet.cmd 文件中加入删除异常文件的命令，对 WinPE 映像加以修改。

最终，为了在所有电脑上实施修复，设立一个 PXE 启动服务器，同时把修改后的 WinPE 映像上传至服务器，并设定所有受影响的系统从网络启动，当系统启动时，会自动运行脚本来删除有问题的文件。

具体步骤如下：

1. 下载并安装 Windows Assessment and Deployment Kit (ADK)：若还未安装 Windows ADK，请访问 Microsoft 官网下载并完成安装。

2. 挂载 WinPE 映像：运用 Wimlib 或 Microsoft 提供的工具挂载 WinPE 映像。如果您熟悉 DISM，可执行以下命令： ```

   dism /Mount-Wim /WimFile:"C:\Path\To\WinPE.wim" /index:1 /MountDir:"C:\Path\To\MountDir"

   <pre class="brush:php;toolbar:false"><p>将“C:\Path\To\WinPE.wim”替换为 WinPE 映像的实际路径，“C:\Path\To\MountDir”替换为挂载目录。

3. 编辑 startnet.cmd 文件：打开命令提示符，运行： ```

   cd "C:\Path\To\MountDir\Windows\System32"

   <pre class="brush:php;toolbar:false">
   利用文本编辑器打开 startnet.cmd 文件，添加以下内容：
   

   del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys exit

   <pre class="brush:php;toolbar:false"></p><p>保存并关闭文件。

4. 卸载 WinPE 映像并保存更改：使用以下命令卸载并提交修改： ```

   dism /Unmount-Wim /MountDir:"C:\Path\To\MountDir" /Commit

   <pre class="brush:php;toolbar:false"></p><p>若步骤无误，您将生成一个包含 CrowdStrike BSOD 修复的新 WinPE 映像。

5. 制作可启动的 WinPE 媒体：

   • 将修改后的 WinPE 映像复制到 USB 驱动器，并利用如 Rufus 的工具使其具备启动功能。
   • 在 Rufus 中，选择 USB 驱动器，挑选修改后的 WinPE 映像文件，点击开始构建可启动 USB 驱动器。
   • 插入 USB 驱动器，重启电脑，选择从 USB 启动，系统将进入 WinPE 并自动执行删除文件的命令。

6. 部署到组织内的全部设备：经设置 PXE 启动服务器，把修改后的 WinPE 映像放置在服务器上，并配置 PC 从网络启动。

关于 BitLocker 加密 PC 的处理

对于采用 BitLocker 加密的电脑，可以利用 WinPE 中的 manage-bde -unlock 命令解锁加密分区。可使用恢复密码或恢复密钥文件进行解锁：

<pre class="brush:php;toolbar:false">
manage-bde -unlock X: -recoverypassword <recovery key=""></recovery>

或者使用密钥文件：

<pre class="brush:php;toolbar:false">
manage-bde -unlock X: -recoverykey <filename></filename>

如有需求，请查阅官方提供的手动修复指南或静候 CrowdStrike 的官方自动修复，但须知过程可能较为繁琐。