情シス目線で起きていたことと、今回の改善方法の整理をする。
概要はCS社のブログ記事に任せる。
https://www.crowdstrike.jp/technical-details-on-todays-outage/
技術概要
7/19 13:09(JTC) ~ 7/19 14:27(JTC) の間にFalconセンサーをインストールしたWindows端末に何が起きていたのか。
Falconセンサーはインターネット上にあるCrowdstrikeのサーバーと定期的な通信をしており、チャネルファイルの更新を行っているものと思われる。
今回問題になった削除しろと指示されているファイル「C-00000291*.sys」の詳細はこんな感じ。
C-00000291-00000000-00000025.sys
→やばいファイル第一弾
C-00000291-00000000-00000026.sys
→やばいファイル第二弾
C-00000291-00000000-00000027.sys
→修正版ファイル
それぞれ末尾がバージョンのようで、7/19 13:09(JTC) に ~25.sys が配信された。
この 25.sys でチャネルファイルを更新してしまった端末はブルスク状態に陥る。
同様に14:00くらいに 26.sys が配信されていたようだが、これも問題解決には至っておらず 26.sys で更新された端末もブルスクになる。
14:27以降に配信されたのが 27.sys になっており、最終的にこのチャネルファイルになっていればブルスクを回避できる。
復旧手順概要
直接的な内容としては上に書いた通り、何らかの手段にて問題となっているチャネルファイルを削除すればよい。
del C-00000291-00000000-00000025.sys
del C-00000291-00000000-00000026.sys
または
del C-00000291*.sys
が、エンタープライズ環境においてはこれをするためのハードルが高くなるケースが多い。
ハードルが高い理由=Bitlocker回復キー問題
エンタープライズ環境である場合、ActiveDirectoryで管理しているケースが多い。
Bitlockerで保護された端末はセーフモード立ち上げ時にBitlocker回復キーを要求されるのだが、オンプレミスADにBitlocker回復キーが格納されており、通常はユーザー側がそれを参照する権限を持つことは無いので何らかの対応が必要となる。
- Bitlocker回復キーを出力しユーザー側へアナウンスする
- Microsoft署名済のMicrosoft Recovery Toolを使いUSBブートから復旧する
- Intune管理端末の場合、マイアカウントからBitlocker回復キーを参照させる
1. Bitlocker回復キーを出力しユーザー側へアナウンスする。
即効性があり簡単ではあるものの、Bitlocker回復キーをユーザーに周知させる形となってしまいセキュリティとしては良い状態ではない。
Bitlocker回復キーの再発行を行う必要があるが、ドメインコントローラーではなく端末側からのコマンド実行が必要になるため、実行方法を考えなければならなくなる。
2. Microsoft署名済のMicrosoft Recovery Toolを使いUSBブートから復旧する。
ツールを使うとBitlocker回復キーの入力することなく復旧することが可能。
ただし物理的にその端末の前に行ってUSBブートしないといけないので、マンパワーによる人海戦術が必要となる。
オフィス内にある端末はすぐ対応は可能だが、リモートワーク中の端末は持ちこみor別対応が必要となる。
3. Intune管理端末の場合、マイアカウントからBitlocker回復キーを参照させる。
https://myaccount.microsoft.com/device-list
端末がIntune管理されている場合、M365のマイデバイスの一覧にデバイス名がありBitlocker回復キーが表示されているのでこれを利用する。
ただしポータルへのアクセスを条件付きアクセスなどで「Intune端末のみ」としている場合、手元のPCがブルースクリーンになっているため、正規端末でのアクセスができないという状態になってしまっているはずなので、一時的に条件付きアクセスを緩くするなどの対応が必要。
まとめ
どの復旧方法を使うかは、各環境における端末台数や業務形態によると思うのでこれといった正解は無い。
どれも一時的に何かを緩くしたり、対応のための人員を多く用意するなどのデメリットがあるので、それぞれ組織でマッチする方法を考える必要がある。