株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > Falcon Windows Host Recovery Tool v1.1.0 の利用方法

Falcon Windows Host Recovery Tool v1.1.0 の利用方法

CrowdStrike

7/19に発生したクラウドストライクの障害についてはクラウドストライク社のWebサイトもしくはこちらの記事をご確認ください。

www.crowdstrike.com

blogs.networld.co.jp

 

クラウドストライク社が提供するリカバリーツールの利用方法をご案内します。
ツールはGitHub上で公開されております。
日本時間 2024/7/23 20:00 時点での手順を公開しております。
作業実施時に画面やメッセージ、操作方法が異なる場合はGitHubメーカーが公開している詳細資料をご確認いただけますようお願いいたします。

バージョン

v1.1.0

環境の準備

以下の環境が必要になります。

  • 64ビットのWindows 10(またはそれ以降)
  • 少なくとも8GBのディスクの空き容量
  • 管理者権限アカウント
  • 8~32GBのUSBフラッシュドライブ
    • FAT32でフォーマットするため32GB以下であること
    • データはすべて削除されます。

作成可能なISO及びブータブルメディアについて

この手順ではクラウドストライク作成のツールを利用し、2種類のISOイメージを作成します。
ISOイメージをUSBフラッシュドライブに書き込むことでブート可能なディスクを作成し、Laptop等の事象が発生している端末上でUSBフラッシュドライブから起動することで問題を解決することができます。

作成可能なISOイメージ

2種類のISOイメージを作成可能です。

  • CSPERecovery

    • Windows PE を使用して、最小限のユーザー操作で影響を受けた該当のチャネルファイルを削除するイメージです。ボリュームがBitLocker暗号化されている場合、BitLocker回復キーを入力するように求められ、その後自動的に修復が実行されます。

  • CSSafeBoot

    • Windows PE を使用して、ネットワーキングを有効にしたセーフモードでホストを再起動し、Windows Explorer またはコマンドプロンプトを使用して該当のチャネルファイルを手動で削除できるようにするイメージです。BitLocker 暗号化されたボリュームでは回復キーは必要ありません。セーフモードへの移行が困難なシステムに有用です。本バージョン(1.1.0)から手動でファイルを削除する方法と事前に用意されたスクリプトファイル(⾃動クリーンアップスクリプト)を利用してファイルを削除する方法を選択可能です。
    • BitLockerの回復キーがわからない場合はこちらを利用します。

ブート可能なディスクの作成

Rufusというフリーソフトウェアを利用し、USBフラッシュドライブにブート可能なディスクを作成します。イメージを書き込む際、2つのモードから選択する必要があります。

  • ISO mode (ISOイメージモードで書き込む(推奨))

    • 最初はこちらを試します。
    • 最も完全なユーザーエクスペリエンスを提供し、MBRとUEFIの両方のブートをサポートします。
    • CSSafeBoot ISOの自動クリーンアップスクリプトを有効にします。
    • CSPERecovery ISOには影響ありません。

  • ESP mode (ISO→ESPモードで書き込む)

    • ISOモードで作成したブート可能なUSBドライブを認識しない場合に利用します。
    • 古いUEFIシステムの場合に有効です。
    • CSSafeBoot ISOでは自動クリーンアップスクリプトは使用できません。手動の修復手順が必要になります
    • CSPERecovery ISOには影響ありません。

手順

ISOイメージの作成

  1. GitHubのReleaseからファイルをダウンロードします。ダウンロードすファイルは Source code (zip) です。
    ※ ここでは Version 1.1.0 を利用しています。異なるバージョンの場合は README.mdをご確認ください。

  2. ダウンロードしたZipファイルを解凍します。ここでは、 C:\falcon-windows-host-recovery-1.1.0 に解凍しています。

  3. PowerShell / Terminalのどちらかを管理者で実行で起動します。ここではTerminalを使います。

  4. C:\falcon-windows-host-recovery-1.1.0フォルダに移動します。

  5. GitHub上の Build ISO - Default の 3. のコマンドを実行します。

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process 
    .\BuildISO.ps1

  6. この信頼されていない発行元からのソフトウェアを実行しますか? と表示されたら A を入力します。

    ファイルのダウンロードとISOイメージの作成が開始されますので完了まで待ちます。   

  7. 下記メッセージが表示され完了します。
    ※ 検証時は25分程度で完了しました。

    Success 

    [+] Safe Boot ISO built 
    [+] Complete! 
    CrowdStrike WinPE Recovery ISO: CSPERecovery_x64.iso 
    CrowdStrike Safe Boot ISO: CSSafeBoot_x64.iso

  8. ISOファイルがあることを確認します。

     

ISOイメージの書き込み

USBフラッシュドライブにISOイメージを書き込みます。
利用するISOイメージとISOイメージを書き込む際のモード(ISO/ESP)を決めておきます。

  1. https://rufus.ie/ja/にアクセスし、rufus-4.5.exe のリンクをクリックしてファイルをダウンロードします。

  2. ダウンロードしたファイルを実行します。

  3. オンラインで行われるアップデートの自動確認機能を有効にしますか? と表示された場合、いいえを選択します。

  4. デバイスドロップダウン メニューを使用して、目的のUSBフラッシュドライブターゲットを選択します (注: このUSBフラッシュドライブは消去されるため、正しいものであることを確認してください)

  5. ブート選択ラベルの横にあるSELECTボタンを使用して、CSPERecovery_x64.isoまたはCSSafeBoot_x64.isoファイルのいずれかを選択します。ここでは CSSafeBoot_x64.iso を選択します。

  6. パーティション構成ドロップダウンメニューを使用してGPTを選択します。

  7. ターゲットシステムドロップダウンメニューを使用して UEFI(非CSM) を選択します。

  8. スタートを押します。 ※ ISO モードまたは ESP モードで書き込むように求められた場合は、どちらかのモードを選択します。ここでは ISOイメージモードで書き込む(推奨) を選択します。

  9. USBフラッシュドライブのデータ消去の確認が表示されます。問題なければ OK をクリックします。書き込みは約1分で完了しました。

    ※ USBフラッシュドライブに複数のパーティションが含まれる場合、すべて削除する旨が表示されます。OKで進みます。

  10. 閉じる でrufusアプリを閉じます。書き込んだUSBデバイスを機器から外します。

USBメディアから起動し、修正

端末側の操作手順については動画を撮影しましたので動画をご参照ください。
動画ご参照いただくにあたっての注意点は下記となります。

  • VMwareの仮想マシンを利用して動画を撮影しています。
  • それぞれのISOファイルはブート可能なUSBフラッシュドライブを作成せずに、ISOファイルをDVDドライブとしてマウントして起動しています。
  • Laptop(Surface)を利用し、USBフラッシュドライブを作成と動作確認を実施しております。
  • USBフラッシュドライブを利用して起動する方法については利用されている機器によって手順が異なります。お手数ですが機器ごとの起動方法をご確認ください。

CSPERecovery_x64.iso

  1. USBメディアを挿入し、USBメディアでブートします。
  2. スクリプト実行の確認が表示されます。Rを入力し、Enterをクリックします。
  3. BitLockerでドライブを暗号化している場合、BitLockerの回復キーを入力します。
  4. 修正が完了します。自動的にOSが再起動します。
  5. OSが正常に起動することを確認します。

youtu.be

CSSafeBoot_x64.iso (ISOモード、自動クリーンアップスクリプトによる自動削除)

  1. USBメディアを挿入し、USBメディアでブートします。
  2. スクリプトが実行され、OSが再起動します。
  3. OSログイン画面に遷移するのでログインします。
    ※ローカル管理者権限を持つユーザーとしてログインします。
  4. デスクトップにセーフモードバナーが表示されていることを確認します
  5. Windowsエクスプローラーを開き、USBフラッシュドライブのディスクに移動します。
    • ここでドライブが表示されない場合は手動削除が必要です。
  6. USBフラッシュドライブのディスク直下にCSRecovery.cmdファイルがあります。このファイルを右クリックし、管理者として実行します。
  7. 処理が完了すると10秒後に再起動が開始されます。
  8. デバイスを再起動し、OSが正常に起動することを確認します。

youtu.be

CSSafeBoot_x64.iso (EPSモード、手動削除)

  1. USBメディアを挿入し、USBメディアでブートします。
  2. スクリプトが実行され、OSが再起動します。
  3. OSログイン画面に遷移するのでログインします。
    ※ローカル管理者権限を持つユーザーとしてログインします。
  4. デスクトップにセーフモードバナーが表示されていることを確認します
  5. Windowsエクスプローラーを開き、C:\Windows\System32\drivers\Crowdstrikeに移動します。
  6. "C-00000291*"で始まる問題のあるファイルをすべて削除します。
  7. コマンドプロンプトを開きます(右クリック -> 管理者として実行) bcdedit /deletevalue {default} safebootと入力し、Enterキーを押します。
  8. デバイスを再起動し、OSが正常に起動することを確認します。

youtu.be

 

利用方法は以上となります。画面や操作が異なる点がございましたら、GitHubの情報やクラウドストライク社のSupport Portalのドキュメントをご確認ください。

本件についてのご質問等につきましては弊社サポートポータルまでご連絡いただければと存じます。

 

免責  
✓本資料の内容は予告なく変更・更新することがあります。  
✓本資料に記載された内容は情報の提供のみを目的としたもので、正式にCrowdStrike, Inc.またはクラウドストライク株式会社のレビューを受けておりません。  
✓本資料の内容についてできる限り正確を期すよう努めておりますが、いかなる明示または暗黙の保証も責任も負いかねます。  
✓本資料の情報は、使用先の責任において活用される情報であることを、あらかじめご了承ください。  
✓本資料に記載された製品の仕様ならびに動作に関しては、これらを予告なく改変する場合があります。  
✓他のメディア機関等に無断で転載する事はご遠慮ください。  
✓本文中にある製品名は各社の商標または登録商標です。