Microsoft hat ein Recovery-Tool veröffentlicht, um Probleme im Zusammenhang mit CrowdStrike zu beheben. Das Tool bietet zwei Hauptoptionen: Wiederherstellung über WinPE (Windows Preinstallation Environment) und über den abgesicherten Modus. Die WinPE-Option ermöglicht eine schnelle Systemwiederherstellung ohne lokale Administratorrechte, während die Option über den abgesicherten Modus besonders für Geräte mit aktiviertem BitLocker nützlich sein kann.

Zur Erstellung des Wiederherstellungsmediums benötigen Administratoren einen 64-Bit-Windows-Client mit mindestens 8 GByte freiem Speicherplatz und einen USB-Stick mit 1 bis 32 GByte Kapazität. Für Hyper-V-VMs wird eine spezielle ISO-Version angeboten. Microsoft empfiehlt, das Tool vor dem breiten Einsatz auf mehreren Geräten zu testen und die BitLocker-Wiederherstellungsschlüssel bereitzuhalten.

Auch als PXE-Variante

Neben den USB- und ISO-basierten Ansätzen bietet Microsoft auch eine PXE-Option (Preboot Execution Environment) an. Diese eignet sich besonders für Geräte, die keine USB-Wiederherstellung durchführen können. Die PXE-Variante nutzt das Windows Imaging Format (WIM) in einer bestehenden PXE-Umgebung und erfordert, dass sich die betroffenen Geräte im gleichen Subnetz wie der PXE-Server befinden.

Für die PXE-Wiederherstellung muss ein 64-Bit-Windows-Rechner als PXE-Server eingerichtet werden. Die Konfiguration erfolgt über ein PowerShell-Skript, das die notwendigen Tools installiert und Boot-Images erstellt. Betroffene Geräte müssen möglicherweise für PXE-Boot konfiguriert werden, was Änderungen in den BIOS/UEFI-Einstellungen erfordern kann. Nach der Wiederherstellung sollten Administratoren die Boot-Reihenfolge wieder anpassen.