20240720

Crowdstrike障害



デバイスに問題が発生したため、再起動する必要があります
エラー情報を収集しています



Crowdstrike障害



. 「C:\Windows\System32\drivers\CrowdStrike directory」

「C-00000291*.sys」を削除


ドライバー「csagent.sys」


AD環境 バッチ配布スクリプト リネーム ファイル削除 遠隔起動セーフモード
リナックス起動 自動バッチ ファイル削除


マイクロソフト社Azureの構成変更に伴う障害
https://it.impress.co.jp/articles/-/26606
Microsoft 365の提供基盤でシステム障害、複数のサービスでアクセス不能など
Azureのバックエンドワークロードの構成変更が原因


https://status.cloud.microsoft/
マイクロソフトアジュール
翻訳
サービスの低下
2024 年 7 月 19 日 04:09 UTC に始まった問題を認識しています。この問題により、CrowdStrike Falcon エージェントを使用している Windows マシンで応答がなくなり、起動に失敗するという問題が発生し、オンプレミスとさまざまなクラウド プラットフォーム (Azure、AWS、Google Cloud) の両方に影響が出ています。このインシデントは、解決済みの米国中部の Azure の障害 (トラッキング ID: 1K80-N_8 ) とは別のものであることを明確にしておくことが重要です。Microsoft は、追加のガイダンスと技術支援を提供して、お客様がプラットフォームで復旧できるように積極的にサポートしています。CrowdStrike は、この問題に対処するWindows Sensor Update - crowdstrike.com に関する公式声明を発表しており、回避策として推奨される手順が含まれています。Azure 固有の環境については、以下に詳細な手順を示します。更新: この更新プログラムのロールアウトが開始された 2024 年 7 月 19 日 04:09 UTC には影響が始まっていたと推定されます。2024 年 7 月 19 日 10:30 UTC 時点の更新:影響を受けた仮想マシンで複数の仮想マシン再起動操作を試みた一部のお客様から、回復に成功したという報告を受けています。お客様は、次の手順でこれを試みることができます。
Azure ポータルの使用 - 影響を受ける VM で「再起動」を試行する
Azure CLI または Azure Shell ( https://shell.azure.com )を使用する
https://learn.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest#az-vm-restartお客様からは、再起動が数回必要になる可能性があるというフィードバックを受け取っていますが、全体的なフィードバックでは、この段階では再起動が効果的なトラブルシューティング手順であるという結果が出ています。回復のための追加オプション:オプション 1可能なお客様には、できればこの不具合のある更新プログラムのロールアウトが開始された 2024 年 7 月 19 日 04:09 UTC より前のバックアップから復元することをお勧めします。
Azure Backup を活用しているお客様は、次の手順に従ってください。
Azure ポータルで Azure VM データを復元する方法オプション 2お客様は、ディスク上の C-00000291*.sys ファイルを直接削除することができます。ディスクのデタッチと再アタッチを実行する必要がない可能性があります。Azure AZ CLI を開き、次の手順を実行します。1. レスキュー VM を作成します。// 同じリージョンに元の VM と同じサイズのレスキュー VM を作成します。ユーザー名とパスワードを求められます。 // 問題のある VM の OS ディスクのコピーを作成します// OS ディスクをデータ ディスクとして Rescue VM に接続します//az vm repair create -g {your-resource-group} -n {vm-name} --verbose"az vm repair create -g RGNAME -n VMNAME " -- verbose 
2. 次に、run:// を実行します。Rescue VM で軽減スクリプトを実行し、問題を修正します (データ ディスクとして接続された OS ディスク コピー上)//az vm repair run -g {your-resource-group} -n {vm-name} --run-id win-crowdstrike-fix-bootloop -verbose"az vm repair run -g RGNAME -n BROKENVMNAME -- run-id win-crowdstrike-fix-bootloop -- run-on-repair -- verbose" 
3. 最後の手順として、run:// を実行します。修正された OS ディスク コピーを Rescue VM から削除します。 VM// 問題のある VM を停止しますが、割り当ては解除されません// 修正された OS ディスクを元の VM に接続します// 元の VM を起動します// 修復された VM を削除するように求めるプロンプトが表示されます//az vm repair restore -g {your-resource-group} -n {vmname} --verbose"az vm repair restore -g RGNAME -n BROKENVMNAME " --verbose注:これらの手順は、管理対象ディスクと管理対象外ディスクの両方で機能します。容量の問題が発生した場合は、しばらくしてから再試行してください。オプション 3お客様は、次の手順に従って OS ディスクの修復を試みることができます: Azure ポータルから OS ディスクを修復 VM に接続して Windows VM のトラブルシューティングを行うディスクが接続されたら、お客様は次のファイルの削除を試みることができます:Windows/System32/Drivers/CrowdStrike/C-00000291*.sys その後、ディスクを接続して元の VM に再接続できます。影響を受ける更新プログラムは CrowdStrike によってプルされたことが確認されています。問題が引き続き発生するお客様は、追加のサポートについて CrowdStrike にお問い合わせください。また、お客様のための追加の緩和オプションを引き続き調査しており、詳細が判明次第、お知らせします。
最終更新日: 2024年7月19日(金) 20:23:39 GMT

https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/
Channel file "C-00000291*.sys" with timestamp of 0527 UTC or later is the reverted (good) version.
Channel file "C-00000291*.sys" with timestamp of 0409 UTC is the problematic version.

https://azure.status.microsoft/ja-jp/status
認識 - 仮想マシン

2024 年 7 月 19 日 04:09 UTC に発生した問題を認識しており、この問題により、CrowdStrike Falcon エージェントを使用している Windows マシンで応答がなくなり、起動に失敗するという現象が発生し、オンプレミスとさまざまなクラウド プラットフォーム (Azure、AWS、Google Cloud) の両方に影響が出ています。

このインシデントは、解決済みの米国中部の Azure 障害 (追跡 ID: 1K80-N_8 )とは別のものであることを明確にしておくことが重要です。Microsoft は、追加のガイダンスと技術支援を提供し、お客様がプラットフォーム上で回復できるよう積極的にサポートしています。

CrowdStrike は、この問題に対処するWindows Sensor Update - crowdstrike.com に関する公式声明を発表し、回避策として推奨される手順も記載しています。Azure 固有の環境については、以下に詳細な手順を示します。

更新: このアップデートの展開が開始された 2024 年 7 月 19 日 04:09 UTC から影響が始まったと推定されます。

2024年7月19日10:30 UTC時点の更新:

影響を受けた仮想マシンで複数の仮想マシン再起動操作を試みた一部のお客様から、回復に成功したという報告を受けています。お客様は、次の手順でこれを試みることができます。

Azure ポータルの使用 - 影響を受ける VM で「再起動」を試行する
Azure CLI または Azure Shell ( https://shell.azure.com )を使用する
https://learn.microsoft.com/en-us/cli/azure/vm?view=azure-cli-latest#az-vm-restart

お客様からは、再起動を数回行う必要があるかもしれないというフィードバックを受けていますが、全体的なフィードバックとしては、この段階では再起動が効果的なトラブルシューティング手順であるというものです。

回復のための追加オプション:

オプション1

可能なお客様には、この不具合のあるアップデートの展開が開始された 2024 年 7 月 19 日 04:09 UTC より前のバックアップから復元することをお勧めします。

Azure Backup を活用しているお客様は、次の手順に従ってください。
Azure ポータルで Azure VM データを復元する方法

オプション2

お客様は、ディスク上の C-00000291*.sys ファイルを直接削除することができ、ディスクの取り外しと再接続を実行する必要がなくなる可能性があります。

Azure AZ CLIを開き、次の手順を実行します。 

1.レスキューVMを作成する

// 同じリージョン内の元の VM と同じサイズのレスキュー VM を作成します。ユーザー名とパスワードを要求します。 

// 問題のあるVMのOSディスクのコピーを作成します

// OS ディスクをデータ ディスクとして Rescue VM に接続します

//az vm repair create -g {リソース グループ} -n {vm 名} --verbose

"az vm repair create -g RGNAME -n VMNAME " -- 詳細



2.次に以下を実行します:

// Rescue VM 上で緩和スクリプトを実行し、問題を修正します (データ ディスクとして接続された OS ディスク コピー上)

//az vm repair run -g {リソース グループ} -n {vm 名} --run-id win-crowdstrike-fix-bootloop -verbose

「az vm repair run -g RGNAME -n BROKENVMNAME -- 実行 ID win-crowdstrike-fix-bootloop -- 修復時に実行 -- 詳細」



3. 最後のステップは以下を実行することです:

// レスキューVMから固定OSディスクコピーを削除します

// 問題のある VM を停止しますが、割り当て解除は行われません

// 修正された OS ディスクを元の VM に接続します

// 元のVMを起動します

// 修復VMを削除するようプロンプトを表示します

//az vm repair restore -g {リソースグループ} -n {vmname} --verbose

"az vm repair restore -g RGNAME -n BROKENVMNAME " --verbose

注:これらの手順は、管理対象ディスクと管理対象外ディスクの両方に有効です。容量の問題が発生した場合は、しばらくしてから再試行してください。

オプション3

お客様は、次の手順に従って OS ディスクの修復を試みることができます。

Azure ポータルから OS ディスクを修復 VM に接続して Windows VM のトラブルシューティングを行う

ディスクが接続されると、顧客は次のファイルを削除することができます。

Windows/System32/ドライバー/CrowdStrike/C-00000291*.sys

その後、ディスクを元の VM に接続し、再接続することができます。

影響を受けるアップデートは CrowdStrike によって削除されたことが確認されています。問題が引き続き発生するお客様は、追加のサポートについて CrowdStrike にお問い合わせください。

さらに、当社はお客様向けの追加の緩和オプションの調査を継続しており、詳細が判明次第、お知らせします。

このメッセージは2024年7月19日20:23 UTCに最終更新されました





https://www.microsoft.com/ja-jp/biz/public-sector/availability-and-dr
Microsoft Azure の可用性、災害対策と運用監視





他の人はこちらも検索
セーフモード起動 windows11
windows10 セーフモード起動 キーボード
セーフモード 起動方法
セーフモード リモートデスクトップ
セーフモード起動 電源
パソコン セーフモード 起動方法
セーフモード windows10 起動しない
Windows10 セーフモード F8GPO ファイル 更新 置換 違い
グループポリシー ファイル 更新 置換
グループポリシー ファイル配布 できない
グループポリシー フォルダ 配布
グループポリシー フォルダ削除
gpo ファイル配布 置換
グループポリシー hosts 配布
gpo ファイル配布 コンピュータの構成
デバイスに問題が発生したため 原因
デバイスに問題が発生したため 再起動 100%
デバイスに問題が発生したため 再起動 ループ
デバイスに問題が発生したため 繰り返す windows11
デバイスに問題が発生したため 頻発
デバイスに問題が発生したため 0 のまま
デバイスに問題が発生したため 強制終了
デバイスに問題が発生したため 再起動しない
crowdstrikeとは
crowdstrike windows sensor 勝手に
crowdstrike falcon sensor とは
crowdstrike 振る舞い検知
crowdstrike 除外設定
crowdstrike 対応os
CrowdStrike Falcon
crowdstrike パターンファイル





【外部リンク】
https://twitter.com/george_kurtz
https://twitter.com/George_Kurtz/status/1814235001745027317
https://www3.nhk.or.jp/news/html/20240719/k10014516561000.html
【19日詳細】世界各地でシステム障害 空港など影響 国内でも



--

注目の投稿

cURL error 60: SSL certificate problem: unable to get local issuer certificate

cURL error 60: SSL certificate problem: unable to get local issuer certificate 更新失敗: ダウンロードに失敗しました。 cURL error 60: SSL certificate problem: ...

人気の投稿