マイクロソフトは、金曜日に推定850万台のウィンドウズ・デバイスをクラッシュさせたCrowdStrikeの欠陥アップデートを見つけ、削除するためのカスタムWinPEリカバリ・ツールをリリースした。
金曜日に、CrowdStrikeは、世界中の何百万ものWindowsデバイスが突然ブルースクリーンオブデス(BSOD)でクラッシュし、再起動ループに入る原因となる欠陥のあるアップデートをプッシュした。
この不具合により、企業は突然すべてのWindowsデバイスが動作しなくなったことに気づき、大規模なIT障害が発生した。これらのIT障害は、世界中の空港、病院、銀行、企業、政府機関に影響を与えた。
この問題を解決するには、管理者は影響を受けたWindowsデバイスをSafe Moreまたは回復環境で再起動し、C:⊖WindowsSystem32⊖drivers⊖CrowdStrikeフォルダから不具合のあるカーネルドライバーを手動で削除する必要がありました。
しかし、数千台とは言わないまでも、数百台のWindowsデバイスが影響を受けている組織では、これらの修正を手動で実行することは、問題が多く、時間がかかり、困難な場合があります。
IT管理者やサポートスタッフを支援するため、マイクロソフトは、WindowsデバイスからバグのあるCrowdStrikeアップデートを自動的に削除し、再び正常に起動できるようにするカスタムリカバリツールをリリースした。
「Windowsクライアントとサーバーに影響を及ぼしているCrowdStrike Falconエージェントの問題のフォローアップとして、IT管理者が修復プロセスを迅速化するためのUSBツールをリリースしました。
「署名入りのMicrosoft Recovery ToolはMicrosoft Download Center:https://go.microsoft.com/fwlink/?linkid=2280386 にあります。”
マイクロソフトの復旧ツールを使用するには、ITスタッフは、少なくとも8GBの空き容量があるWindows 64ビット・クライアント、このデバイスの管理者権限、少なくとも1GBのストレージがあるUSBドライブ、および必要に応じてBitlocker復旧キーが必要です。
なお、32GB以下のUSBフラッシュ・ドライブが必要です。そうでないと、ドライブの起動に必要なFAT32でフォーマットできないからです。
回復ツールは、MicrosoftからダウンロードしたPowerShellスクリプトで作成され、管理者権限で実行する必要があります。実行すると、USBドライブがフォーマットされ、カスタムWinPEイメージが作成される。
その後、USB キーで衝撃を受けた Windows デバイスを起動すると、CSRemediationScript.bat というバッチファイルが自動的に実行されます。
このバッチファイルは、必要な Bitlocker 復旧キーを入力するよう促します。
このスクリプトは次に、C:˶Windowssystem32˶drivers˶CrowdStrikeフォルダにある、バグを起こしたCrowdStrikeカーネルドライバを検索し、検出された場合は自動的に削除します。
バッチファイルのテストとレビューによると、CrowdStrikeドライバのログやバックアップは作成されません。
完了すると、スクリプトは何かキーを押すよう促し、デバイスは再起動します。
これでCrowdStrikeドライバは削除され、デバイスはWindowsで起動し、再び使用できるようになります。
残念ながら、Windows管理者にとって最大の難関は、必要なBitlockerリカバリキーを回収することだ。
そのため、デバイスの復旧を試みる前に、まず必要であるかどうかを判断し、それを復旧させる必要がある。
Comments