falcon windows host recovery

最近の Falcon Content Update の影響を受けた Windows ホストを修復するためのブート可能イメージを構築します。

デモについては、CrowdStrike Host Remediation with Bootable USB Drive のビデオをご覧ください。

• BuildISO.ps1 : Intel プロセッサー ドライバー パッケージ用の Surface Laptop 4 を更新しました

• デフォルト - デバイスドライバーを含むイメージ
• オプション - カスタム ドライバーを含むイメージ: 最小限、制限付き、カスタム (ユーザー定義)
• オプション - CSV によるカスタム BitLocker 回復サポートを含むイメージ

• オプション - Active Directory/Entra ID から BitLocker 回復キーの CSV を作成します

2 つのブート可能なイメージが利用可能です。ニーズに最も適したイメージを使用してください。

• CSPERecovery - 手動または自動の BitLocker 回復キーを使用した自動ホスト修復。
• CSSafeBoot - セーフ モードとネットワークを使用した自動および手動のホスト修復 (管理者アカウントが必要)。

このプロジェクトを使用して、最新の Microsoft ADK、Windows PE アドオン、ドライバー、および CrowdStrike の修復スクリプトを使用して起動可能な Windows PE イメージを構築します。

• 少なくとも 16 GB の空き容量と管理者権限を持つ Windows 10 (またはそれ以降) 64 ビット クライアント。

1. falcon-windows-host-recovery GitHub プロジェクトを ZIP ファイルとしてダウンロードします。
   1. 緑色の「コード」ボタンをクリックし、 「ZIP のダウンロード」を選択します。
2. falcon-windows-host-recovery-main.zipの内容を選択したディレクトリに抽出します。
   1. 例: C:falcon-windows-host-recovery-main 。
   2. 重要:パスにスペースや特殊文字を含めることはできません

次のすべてのデバイス ドライバーを使用してブート可能イメージを構築します。

Red Hat/VirtIO VM、Dell システム、HP システム、VMWare VM、Microsoft Surface デバイス (Pro 8、9、10、Laptop 4 (Intel/AMD)、5、6)、一般的な AMD SATA コントローラー、および一般的な Intel / LSI MegaSAS RAID カード。

注: ネットワークとディスクのパフォーマンスに応じて、構築には 30 分以上かかる場合があります

1. Windows PowerShell コマンド プロンプトを (管理者として) 開き、実行ポリシーを設定し、イメージをビルドします。
   1. cd C:falcon-windows-host-recovery-main
   2. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   3. .BuildISO.ps1 - デバイス ドライバーのデフォルト セットをダウンロードし、ISO イメージを作成します
2. BuildISO.ps1スクリプトのオプションのコマンドライン引数
   1. -SkipBootPrompt - システム起動時の「[メディア] から起動するには任意のキーを押してください」というプロンプトを無効にします
      1. この機能はすべてのシステムで動作するとは限りません
3. 出力: 画像
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

注: ネットワークとディスクのパフォーマンスに応じて、構築には 30 分以上かかる場合があります

最小限のドライバーのみ、限られたドライバーのセット、または独自のカスタム デバイス ドライバーを使用してブート可能イメージを構築します。

1. Windows PowerShell コマンド プロンプトを (管理者として) 開きます
   1. cd C:falcon-windows-host-recovery-main
2. カスタム ドライバー - デバイス ドライバーをダウンロードして解凍します。
   1. C:falcon-windows-host-recovery-mainDrivers
   2. 注: Drivers内のドライバーは、コマンド ライン引数に関係なく、常にインストールされます。
3. BuildISO.ps1スクリプトのコマンドライン引数
   1. オプションのドライバー - 1 つ以上のドライバー セットが含まれます (任意の組み合わせがサポートされています)
      1. -IncludeCommonDrivers -- さまざまな一般的な CrowdStrike 顧客デバイス ドライバー
      2. -IncludeDellDrivers
      3. -IncludeHPDrivers
      4. -IncludeSurfaceDrivers
      5. -IncludeVMwareDrivers
   2. 最小限のドライバー - 含まれているドライバー セットをすべてスキップします (注: -Include*引数をオーバーライドします)
      1. -SkipThirdPartyDriverDownloads
4. 起動可能なイメージを構築する
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
5. 出力: 画像
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

CSPERecoveryイメージ内の BitLocker 回復キーを使用してブート可能イメージを構築します。

警告: BitLocker 回復キーはホスト修復後にローテーションする必要があります

CSV 経由の BitLocker キーCSV ファイル内の回復キーの例

• 重要: 列ヘッダーの KeyID と RecoveryKey は必須であり、大文字と小文字が区別されます。

1. Windows PowerShell コマンド プロンプトを開く
   1. 抽出したファイルのディレクトリに移動します
      1. cd C:falcon-windows-host-recovery-main
2. BitLocker 回復キーを含める - BitLockerKeys.csvという名前の CSV ファイル経由
   1. C:falcon-windows-host-recovery-mainBitLockerKeys.csv
   2. 重要: BitLocker 回復キーの安全な取り扱いと破棄については、以下の「ベスト プラクティス」セクションを参照してください。
3. 起動可能なイメージを作成する
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .BuildISO.ps1
4. 出力: 画像
   1. C:falcon-windows-host-recovery-mainCSPERecovery_x64.iso
   2. C:falcon-windows-host-recovery-mainCSSafeBoot_x64.iso

要件

• Powershell 7.0以降
• サーバー マネージャー -> ローカル サーバー: IE Enhanced Security Configuration無効にします
• Active Directory のエクスポートには、ドメインに参加している Windows Server OS 上のドメイン管理者ユーザーが必要です
• Entra ID エクスポート スクリプトには、Microsoft Graph への接続、および OAuth スコープBitLockerKey.ReadBasic.AllおよびDevice.Read.Allを持つクラウド ユーザーが必要です。

BitLocker 回復キーの自動エクスポートによりBitLockerKeys.csvを生成します

1. Windows PowerShell コマンド プロンプトを (管理者として) 開きます
   1. 抽出したファイルのディレクトリに移動します
      1. cd C:falcon-windows-host-recovery-main
2. Export-BitLockerRecoveryKeys.ps1スクリプトのコマンド ライン引数
   1. -ActiveDirectory - Active Directory から BitLocker キーを抽出します
   2. -ActiveDirectory -OU - 特定の組織単位の BitLocker キーを抽出します
   3. -EntraID - Entra ID から BitLocker キーを抽出します
   4. -ActiveDirectory -EntraID - Active Directory と Entra ID の両方から BitLocker キーを抽出します
3. ソースから BitLocker 回復キーを抽出する
   1. Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
   2. .Export-BitLockerRecoveryKeys.ps1
      1. OU の例.Export-BitLockerRecoveryKeys.ps1 -ActiveDirectory "OU=OurComputers,CN=Computers,DC=company,DC=local"
4. プロンプトに従ってアカウントを収集します
5. 出力: CSV ファイル: BitLockerKeys.csv
6. 上記の「オプション - カスタム BitLockerKeys.csv を含むイメージ」セクションを使用して、この CSV で新しいイメージを構築します。

注記：

• ベース ドメイン検索で数千台のコンピュータが返される大規模な Active Directory 環境には、OU フラグを使用します。

1. ブータブル USB スティックを作成するためのオープンソース ユーティリティである Rufus を https://rufus.ie/en/ からダウンロードします。
2. ルーファスを開きます:
   1. [デバイス]メニューを使用して、目的の USB ドライブ ターゲットを選択します。
      1. 警告: USB ドライブは完全に消去されます
   2. [選択]ボタン ( [ブート選択]の横) をクリックし、 CSPERecoveryまたはCSSafeBoot ISO ファイルを選択します。
   3. パーティションスキームドロップダウンメニューを使用して「GPT」を選択します
   4. [ターゲット システム]ドロップダウン メニューを使用して、[UEFI (非 CSM)] を選択します。
   5. スタートを押してください
   6. 重要-以下の内容をよくお読みください。
      1. ISO モードまたはESP モードで書き込むように求められた場合
         1. ISO モード-最初にこれを使用してください。
            1. 最も完全なユーザー エクスペリエンスは、MBR と UEFI ブートの両方をサポートし、自動クリーンアップ スクリプトCSSafeBoot ISO を有効にします。
               1. CSPERecovery ISO は影響を受けません。
         2. ESP モード-ホストが起動可能な USB ドライブを認識できない場合に使用します(特に古い UEFI システムの場合)
            1. ステップ 2 に戻ってこれらのステップを繰り返し、ESP モードを選択します。
            2. 自動クリーンアップ スクリプトはCSSafeBoot ISO では使用できなくなりますが、手動修復手順は引き続き使用でき、成功します。
               1. CSPERecovery ISO は影響を受けません。

https://rufus.ie/en/ を使用して起動可能な USB ドライブを作成したら (上記のセクションを参照)

1. 影響を受けるホストに USB ドライブを挿入します
2. ホストを再起動し、F12 キーを使用して UEFI ブート メニューに入ります。
   1. F1、F2、F10、または F11 キーを試すこともできます (BIOS の製造元によって異なります)。
3. USBドライブを選択します
   1. 同じラベルの MBR オプションと UEFI オプションのどちらかを選択できる場合は、 UEFIを選択する準備をします
4. Windows PEがロードされるまで待ちます
5. CSSafeBootまたはCSPERecoveryを使用するには、以下の適切な「回復...」セクションに進んでください。

CSPERecoveryイメージはシステムを自動的に修復し、BitLocker のサポートを含みます。

1. BootManager でリカバリ イメージ USB ドライブを選択します。
   1. 重要: UEFI ファームウェア設定 (特にブート順序) を変更する必要はありません。
2. BitLocker が有効な場合:
   1. 警告: BitLocker 回復キーはホスト修復後にローテーションする必要があります
      1. プロンプトが表示されたら、BitLocker 回復キーを手動で入力してボリュームのロックを解除します。
      2. BitLockerKeys.csvが使用されている場合、デバイスの回復キーが適用されます。
3. 回復スクリプトは、欠陥のあるチャネル ファイル 291 を自動的に削除します。
   1. C:WindowsSystem32driversCrowdStrikeフォルダーにあるC-00000291*で始まるすべてのファイルを削除します。
   2. デバイスは自動的に再起動します。
4. Windows ホストは正常に起動するはずです。

CSSafeBootイメージは、デフォルトの Windows ブート構成を変更して、セーフ モードとネットワークで起動し、再起動します。

1. BootManagerでリカバリイメージUSBドライブを選択します
   1. 重要: UEFI ファームウェア設定 (特にブート順序) を変更する必要はありません。
   2. 注: 以前のブート ループの一部としてシステムが Windows 回復環境で再起動する場合は、 [続行]を選択します。
   3. 次回の起動後にホストはセーフ モードで再起動します。
2. ローカル管理者権限を持つユーザーとしてログインします。
3. デスクトップにセーフモードのバナーが表示されていることを確認します。
4. 修復
   1. 自動修復:
      1. Windows エクスプローラーを開き、リカバリ USB ドライブを選択します。
         1. リカバリ USB ドライブが Windows エクスプローラーに表示されない場合は、手動修復に進んでください。
      2. ファイルCSRecovery.cmdを見つけて右クリックし、 [管理者として実行]を選択します。
      3. スクリプトは次のことを行います。
         1. C:WindowsSystem32driversCrowdStrikeフォルダーにあるC-00000291*で始まるすべてのファイルを削除します。
         2. Windows ブート構成を通常モードに戻す
         3. ホストは自動的に再起動します。
         4. Windows が正常にロードされることを確認する
   2. 手動修復:
      1. Windows エクスプローラーを開き、 C:WindowsSystem32driversCrowdstrikeに移動します。
      2. C:WindowsSystem32driversCrowdStrikeフォルダーにあるC-00000291*で始まるすべてのファイルを削除します。
      3. [スタート] メニューを右クリックし、 [ Windows PowerShell (Admin) 、 Command Prompt (Admin) 、またはTerminal (Admin)をクリックします。
      4. プロンプトで次のコマンドを入力し、Enter キーを押します。
         1. bcdedit /deletevalue {default} safeboot
      5. デバイスを再起動します
      6. Windows が正常にロードされることを確認します。

ホスト修復 ISO ファイルは、企業に展開されている既存の PXE ブート機能を介して展開および起動できます。

PXE ブートではネットワークとソフトウェアの構成が大きく異なるため、特定の一般的な PXE ブート手順を推奨することはできません。

警告: BitLocker 回復キーはホスト修復後にローテーションする必要があります

安全な取り扱い

BitLocker 回復キーを含むブート可能イメージ

• 絶対に必要な人だけがアクセスできるようにする必要があります
• ディスク暗号化を使用してパスワードで保護されたストレージデバイスに保存する必要があります
• 暗号化された通信チャネルを介して転送する必要がある

安全な破壊

BitLocker 回復キーを含むブート可能イメージ

• デジタル ISO イメージ ファイルは、データを復元できないように安全な削除用に設計されたソフトウェアを使用して破棄する必要があります。
• ISO イメージを含む物理記憶メディアは、シュレッダー、焼却、破砕などの方法を使用して破棄する必要があります。

修復後もホストがリカバリ USB ドライブから起動し続ける場合

• 解決策: UEFI ファームウェア設定の起動順序が正しいことを再確認し、修復後にUSB ドライブを抜きます
• 注: CrowdStrike 修復スクリプトは、不必要な BitLocker 手順を回避するためにUEFI のブート順序を変更しません。

1. 重要: UEFI ファームウェア設定 (特にブート順序) を変更する必要はありません。
   1. これを行うと、追加の BitLocker 回復手順が必要になる場合があります。

Windows PE の起動後にCSPERecoveryまたはCSSafeBootスクリプトが応答しない場合。

• 解決策: Enter キーを押します。

-SkipThirdPartyDriverDownloadsフラグを使用してリカバリ イメージを構築した場合、選択されなかったドライバーが含まれます。

• 解決策: イメージに含めたくないデバイス ドライバーをDriversフォルダーから移動 (または削除) します。

• 注: CrowdStrike は、libvirt ベースの仮想マシン (OpenStack や KVM など) 用のオープン ソース ドライバーのみを提供します。

  • すべてのベンダーのデバイス ドライバーは、HTTPS を使用してベンダーの Web サイトから直接ダウンロードされ、ビルド時に暗号的に検証されます。

CSV が使用されていない場合、 CSPERecoveryスクリプトは、デュアル/マルチブート構成のホスト上の 1 つの Windows OS インストールのみを自動的に修復します。

• 解決策: 修復する Windows OS インストールのドライブ文字ごとに、「CSPERecovery を使用して Windows ホストを回復する」セクション (上記) の手順を繰り返します。
  • 注: 各 Windows OS インストール デバイス ドライブには BitLocker 回復キーが必要です。
• このツールは、暗号化されていないすべてのドライブ、またはBitLockerKeys.csvが使用されている場合は BitLocker で保護されたデバイスのみを自動的に修復します。
  • 注: ホストがデュアル/マルチ OS ブートで BitLocker があり、回復イメージに CSV がある場合、 BitLockerKeys.csvにキーを持つすべてのドライブが修復されます。

• 既存のCSV
  • .Export-BitLockerRecoveryKeys.ps1 CSV ファイルが存在するというエラーで失敗した場合。
    • 解決策: 既存のファイルを作業ディレクトリの外に移動します (例: C:falcon-windows-host-recovery-main )。
    • スクリプトはこのファイルを自動的に上書きしません。
• Active Directory のエクスポート:
  • 権限が原因で.Export-BitLockerRecoveryKeys.ps1が失敗した場合。
    • 解決策: ユーザーはドメイン管理者権限を持っているか、BitLocker 回復キーへの読み取りアクセスが委任されたグループのメンバーである必要があります。
  • ドメインに接続されていないホストからスクリプトを実行すると、AD に保存されたキーが表示されません。
    • 解決策: ドメインに参加しているサーバー ホストから . .Export-BitLockerRecoveryKeys.ps1
    • AD に参加しているサーバーに必要な送信ネットワーク接続がある場合は、Entra ID に保存されたキーをエクスポートすることもできます。
• Entra ID のエクスポート:
  • .Export-BitLockerRecoveryKeys.ps1権限エラーにより失敗した場合。
    • 解決策: スクリプトを実行するユーザーは、必要なスコープに対する管理者権限を持っている必要があります。
    • 解決策: スクリプトを実行するユーザーには、 BitLockerKey.ReadBasic.AllおよびDevice.Read.Allスコープが割り当てられている必要があります。
      • 注: スコープの割り当てには全体管理者の承認が必要です。
  • ネットワーク エラーにより.Export-BitLockerRecoveryKeys.ps1が失敗した場合。
    • 解決策: Microsoft Graph API に接続できるホストから . .Export-BitLockerRecoveryKeys.ps1

• CSV ファイルにKeyIDとRecoveryKey正確に一致する列ヘッダーがあることを確認してください。

著作権 (c) クラウドストライク株式会社

このイメージ、スクリプト、サンプル コード、アプリケーション プログラミング インターフェイス、ツール、および/または関連ドキュメント (存在する場合) (総称して「ツール」) にアクセスまたは使用することにより、お客様は、(i) 以下について本契約を締結することを表明および保証します。現在 CrowdStrike, Inc. (「CrowdStrike」) の顧客またはパートナーである会社、組織、または別の法人 (「事業体」) を代表し、(ii) かかる事業体を拘束する権限を有し、かかる事業体は以下のことに同意します。本契約に拘束されます。 CrowdStrike は、エンティティに対し、エンティティの社内業務目的のみでツールにアクセスし使用するための非独占的、譲渡不可、サブライセンス不可、ロイヤルティフリーかつ限定的なライセンスを付与します。これには、社内業務の必要に応じてツールをコピーおよび変更する権利が含まれますがこれに限定されません。目的。ツールの使用時にお客様がアクセスおよび/またはダウンロードするサードパーティのソフトウェア、ファイル、ドライバー、またはその他のコンポーネントには、追加の条項、またはサードパーティのプロバイダーによって提供または維持される別のライセンスが適用される場合があります。ツールは「現状のまま」で提供され、明示、黙示、法定またはその他を問わず、いかなる種類の保証もありません。 CROWDSTRIKE は、商品性、特定目的への適合性、権原、および非侵害に関するすべての黙示的保証を含むがこれらに限定されない、すべてのサポート義務およびすべての保証を特に否認します。いかなる場合においても、CROWDSTRIKE は、原因および理論にかかわらず、直接的、間接的、偶発的、特別、例示的、または結果的損害 (使用、データ、利益の損失、または事業の中断を含みますがこれらに限定されません) に対して責任を負わないものとします。たとえそのような損害の可能性について知らされていたとしても、ツールの使用から何らかの形で生じた、契約上、厳格責任、または不法行為（過失またはその他を含む）に対する責任。このツールは第三者によって承認されていません。