要約 

Windows クライアントとサーバーに影響を与える CrowdStrike Falcon エージェントの問題のフォローアップとして、IT 管理者が修復プロセスを迅速化できるように、2 つの修復オプションを備えた更新された回復ツールをリリースしました。 このツールは、KB5042421 (クライアント) とKB5042426 (サーバー) の手動手順を自動化 します。 Microsoft ダウンロード センターから署名された Microsoft 回復ツールを ダウンロードします。 このツールを使用して、Windows クライアント、サーバー、Hyper-V 仮想マシン (VM) を回復できます。

修復オプションは 2 つあります。

  • Windows PE から回復する: このオプションでは、デバイスの修復を自動化するブート メディアを使用します。

  • セーフ モードから回復する: このオプションでは、影響を受けるデバイスのブート メディアを使用してセーフ モードで起動します。 管理者は、ローカル管理者権限を持つアカウントを使用してサインインし、修復手順を実行できます。

使用するオプションを決定する

Windows PEセーフモード

Windows PE から迅速かつ直接回復するためのこのオプションは、システムを回復し、ローカルの管理特権を必要としません。 デバイスで BitLocker が使用されている場合は、影響を受けるシステムを修復する前に、BitLocker 回復キーを手動で入力する必要がある場合があります。

Microsoft 以外のディスク暗号化ソリューションを使用する場合は、そのベンダーからのガイダンスを参照してください。 Windows PE から修復スクリプトを実行できるように、ドライブを回復するためのオプションが用意されている必要があります。

セーフ モードから回復するこのオプションは、BitLocker 回復キーの入力を必要とせずに BitLocker 対応デバイスで回復を有効にする場合があります。 デバイスのローカル管理者権限を持つアカウントにアクセスする必要があります。

このオプションは、次の状況でデバイスに使用します。

  • TPM 専用保護機能を使用します。

  • ディスクは暗号化されていません。

  • BitLocker 回復キーが不明です。

デバイスで TPM+PIN BitLocker 保護機能が使用されている場合、ユーザーは PIN を入力するか、BitLocker 回復キーを使用する必要があります。

BitLocker が有効になっていない場合、ユーザーはローカル管理者権限を持つアカウントでのみサインインする必要があります。

Microsoft 以外のディスク暗号化ソリューションを使用する場合は、そのベンダーからのガイダンスを参照してください。 安全モードから修復スクリプトを実行できるように、ドライブを回復するためのオプションを提供する必要があります。

その他の考慮事項

USB オプションを使用することをお勧めしますが、一部のデバイスでは USB 接続がサポートされていない場合があります。 このような場合は、 回復にプレブート実行環境 (PXE) を使用する方法に関するセクションを参照してください。

デバイスが PXE ネットワークに接続できない場合、USB がオプションではない場合は、次の記事の手動手順を試してください。

そうしないと、デバイスを再イメージ化することが解決策になる可能性があります。

任意の回復オプションを使用して、環境内で広く使用する前に、最初に複数のデバイスでテストします。

ブート メディアを作成する

ブート メディアを作成するための前提条件

  1. 起動可能な USB ドライブを作成するためにツールを実行できる、少なくとも 8 GB の空き領域を持つ Windows 64 ビット クライアント。

  2. 前提条件 #1 からの Windows クライアントの管理特権。

  3. 最小サイズが 1 GB で、32 GB 以下の USB ドライブ。 このツールは、このドライブ上のすべての既存のデータを削除し、FAT32 に自動的にフォーマットします。

ブート メディアを作成する手順

回復メディアを作成するには、前提条件 #1 の 64 ビット Windows クライアントから、次の手順を使用します。

  1. Microsoft ダウンロード センターから署名された Microsoft 回復ツール をダウンロードします。

  2. ダウンロードしたファイルから PowerShell スクリプトを抽出します。

  3. 管理者として Windows PowerShell を開き、次のスクリプトを実行 します:MsftRecoveryToolForCS.ps1

  4. このツールは、 Windows Assessment and Deployment Kit (Windows ADK) をダウンロードしてインストールします。 このプロセスが完了するまでに数分かかる場合があります。

  5. 影響を受けるデバイスを回復するための 2 つのオプション ( Windows PE または セーフ モード) のいずれかを選択します。

  6. 必要に応じて、回復イメージにインポートするドライバー ファイルを含むディレクトリを選択します。 この手順をスキップするには 、N を選択することをお勧めします。 ​​​​​​​

    1. このツールは、指定されたディレクトリの下に SYS ファイルと INI ファイルを再帰的にインポートします。

    2. Surface デバイスなどの特定のデバイスでは、キーボード入力に追加のドライバーが必要になる場合があります。

  7. ISO ファイルまたは USB ドライブを生成するオプションを選択します。

  8. USB オプションを選択した場合:

    1. メッセージが表示されたら USB ドライブを挿入し、ドライブ文字を入力します。

    2. ツールが USB ドライブの作成を完了したら、Windows クライアントから削除します。

回復オプションを使用する手順

Windows PEセーフモード

Windows PE の前の手順でメディアを作成した場合は、影響を受けるデバイスで次の手順を使用します。

Windows PE 回復にブート メディアを使用するための前提条件

  • BitLocker 対応デバイスと影響を受けるデバイスごとに BitLocker 回復キー が必要になる場合があります。

    • 影響を受けるデバイスで TPM +PIN 保護機能を使用していて、デバイスの PIN がわからない場合は、回復キーが必要になる場合があります。

Windows PE 回復にブート メディアを使用する手順

  1. 影響を受けるデバイスに USB キーを挿入します。

  2. デバイスを再起動します。

  3. 再起動中に 、F12 キーを押して BIOS ブート メニューにアクセスします。

    注: 一部のデバイスでは、BIOS ブート メニューにアクセスするために異なるキーの組み合わせを使用する場合があります。 デバイスの製造元固有の手順に従います。

  4. BIOS ブート メニューから [USB からブート] を選択し、続行します。 ツールが実行されます。

  5. BitLocker が有効になっている場合、ユーザーは BitLocker 回復キーの入力を求められます。 BitLocker 回復キーを入力するときにダッシュ (-) を含めます。 回復キー オプションの詳細については、「 BitLocker 回復キーを検索する場所」を参照してください。

    注: Microsoft 以外のデバイス暗号化ソリューションの場合は、ベンダーが提供する手順に従ってドライブにアクセスします。

    1. デバイスで BitLocker が有効になっていない場合でも、BitLocker 回復キーの入力を求められる場合があります。 Enter キーを押してスキップして続行します。

  6. このツールは、 CrowdStrike の推奨に従って修復手順を実行します。

  7. 完了したら、USB ドライブを取り外し、デバイスを正常に再起動します。

セーフ モードの前の手順でメディアを作成した場合は、影響を受けるデバイスで次の手順を使用します。

セーフ モードの回復にブート メディアを使用するための前提条件

  • ローカル 管理者 アカウントへのアクセス。

  • 影響を受けるデバイスで BitLocker TPM+PIN 保護機能が使用されていて、デバイスの PIN がわからない場合は、 BitLocker 回復キーが必要になる場合があります。

セーフ モードの回復にブート メディアを使用する手順

  1. 影響を受けるデバイスに USB キーを挿入します。

  2. デバイスを再起動します。

  3. 再起動中に 、F12 キーを押して BIOS ブート メニューにアクセスします。

    注: 一部のデバイスでは、BIOS ブート メニューにアクセスするために異なるキーの組み合わせを使用する場合があります。 デバイスの製造元固有の手順に従います。

  4. BIOS ブート メニューから [USB からブート] を選択し、続行します。

  5. ツールが実行され、次のメッセージが表示されます:このツールは、セーフ モードで起動するようにこのマシンを構成します。警告: 場合によっては、実行後に BitLocker 回復キーを入力する必要があります。

  6. 任意のキーを押して続行します。 次のメッセージが表示されます:今すぐセーフ モードで起動するように PC が構成されています。

  7. 任意のキーを押して続行します。 デバイスがセーフ モードで再起動します。

  8. メディア ドライブのルートからrepair.cmd を実行します。 このスクリプトでは、 CrowdStrike の推奨に従って修復手順が実行されます。

  9. 次のメッセージが表示されます:このツールは、影響を受けるファイルを削除し、通常のブート構成を復元します。警告: 場合によっては BitLocker 回復キーが必要になる場合があります。警告: このスクリプトは、管理者特権のコマンド プロンプトで実行する必要があります。

  10. 任意のキーを押して続行します。 スクリプトは、通常のブート モードを実行して復元します。

  11. ツールが正常に完了すると、次のメッセージが表示されます:Success。システムが再起動します。

  12. 任意のキーを押して続行します。 デバイスは正常に再起動します。

Hyper-V 仮想マシンで回復メディアを使用する

回復メディアを使用して、影響を受ける Hyper-V 仮想マシン (VM) を修復できます。 ブート メディアを作成するときに、ISO ファイルを生成するオプションを選択します。

注: Hyper-V 以外の VM の場合は、ハイパーバイザー ベンダーが提供する手順に従って回復メディアを使用します。

Hyper-V 仮想マシンを回復する手順

  1. 影響を受ける VM で、SCSI コントローラー > Hyper-V 設定の下に DVD ドライブを追加します。 [SCSI コントローラー] セクションが強調表示されている Hyper-V 仮想マシン (VM) 設定のスクリーンショット。[DVD ドライブの追加] オプションが表示されています。

  2. 回復 ISO を参照し、[HYPER-V 設定] > SCSI コントローラー > DVD ドライブの下にイメージ ファイルとして追加します。 [DVD ドライブ] セクションが強調表示されている Hyper-V 仮想マシン (VM) 設定のスクリーンショット。イメージ ファイルを選択するオプションが表示されています。 ​​​​​​​

  3. 後で手動で復元できるように、現在の ブート順序 に注意してください。 次の図は、VM の構成とは異なるブート順序の例です。 Hyper-V 仮想マシン (VM) 設定のスクリーンショット。[ファームウェア] セクションが強調表示され、元のブート順序が示されています。

  4. 最初の ブート エントリとして DVD ドライブを上に移動するには、ブート順序を変更します。 Hyper-V 仮想マシン (VM) 設定のスクリーンショット。[ファームウェア] セクションが強調表示され、ブート順の上部に DVD ドライブ エントリが表示されています。

  5. VM を起動し、任意のキーを押して ISO イメージの起動を続行します。

  6. 回復メディアの作成方法に応じて、 追加の手順 に従って Windows PE または セーフ モード の回復オプションを使用します。

  7. VM の Hyper-V 設定から、ブート順序を元のブート設定に戻します。

  8. VM を正常に再起動します。

回復に PXE を使用する

ほとんどのお客様にとって、その他の回復オプションはデバイスの復元に役立ちます。 ただし、セキュリティ ポリシーやポートの可用性のためにデバイスが USB から回復するオプションを使用できない場合、IT 管理者は PXE を使用して修復できます。

このソリューションを使用するには、Microsoft 回復ツールが既存の PXE 環境で作成する Windows イメージング形式 (WIM) イメージを使用できます。 影響を受けるデバイスは、既存の PXE サーバーと同じネットワーク サブネット上にある必要があります。

または、次に示す PXE サーバーのアプローチを使用することもできます。 このオプションは、修復のために PXE サーバーをサブネットからサブネットに簡単に移動できる場合に最適です。

PXE 回復の前提条件

  1. ブート イメージをホストする 64 ビット Windows デバイス。 このデバイスは、"PXE サーバー" と呼ばれます。

    1. PXE サーバーは、サポートされている Windows クライアント 64 ビット OS で実行できます。

    2. PXE サーバーには、Microsoft ダウンロード センターから Microsoft PXE ツールをダウンロードするためのインターネット アクセス権が必要です。 ネットワーク上の別のシステムから PXE サーバーにコピーすることもできます。

    3. PXE サーバーには、UDP ポート 67、68、69、547、4011 に対して作成された受信ファイアウォール規則が必要です。 ダウンロードした PXE ツール (MSFTPXEToolForCS.exe) は、PXE サーバーの Windows ファイアウォール 設定を更新します。 PXE サーバーが Microsoft 以外のファイアウォール ソリューションを使用している場合は、推奨事項に従ってルールを作成します。

      注: このスクリプトでは、ファイアウォール規則はクリーンアップされません。 修復が完了したら、これらのファイアウォール規則を削除する必要があります。 Windows ファイアウォールからこれらの規則を削除するには、管理者として Windows PowerShell を開き、次のコマンドを実行します MSFTPXEInitToolForCS.ps1

    4. PXE ツールを実行するための管理者権限。

    5. PXE サーバーには、Microsoft Visual C++ 再頒布可能パッケージが必要です。 最新バージョンをダウンロードしてインストールします

  2. 影響を受ける Windows デバイスは、PXE サーバーと同じサブネット上にある必要があります。 Wi-Fi ネットワークを使用する代わりに、ハード ワイヤードする必要があります。

PXE サーバーを構成する

  1. Microsoft ダウンロード センターから Microsoft PXE ツールをダウンロードします。 zip アーカイブの内容を任意のディレクトリに抽出します。 これには、必要なすべてのファイルが含まれています。

  2. 管理者として Windows PowerShell を開きます。 ファイルを抽出したディレクトリに移動し、次のコマンドを実行します: MSFTPXEInitToolForCS.ps1

    1. このスクリプトは、PXE サーバー上の Windows ADK と Windows PE Add-On インストールをスキャンします。 インストールされていない場合は、スクリプトによってインストールされます。 インストールを続行するには、ライセンス条項を確認して同意します。

    2. スクリプトによって修復スクリプトが生成され、有効なブート イメージが作成されます。

    3. 必要に応じて、プロンプトを受け入れ、ドライバー ファイルを含むパスを指定します。 ドライバー ファイルは、キーボードまたは大容量記憶装置に必要な場合があります。 通常、ドライバーを追加する必要はありません。 追加のドライバー ファイルが必要ない場合は、[ N] を選択します。

    4. 既定の修復イメージまたはセーフ モード イメージを配信するように PXE サーバーを構成できます。 次のプロンプトが表示されます:1。WinPE を起動して問題を修復します。システム ディスクが BitLocker encrypted の場合は、BitLocker 回復キーを入力する必要があります 2. WinPE にブートしてセーフ モードを構成し、セーフ モードに入った後に修復コマンドを実行します。システム ディスクが BitLocker で暗号化されている場合、このオプションで BitLocker 回復キーが必要な可能性は低くなります。

    5. このスクリプトは、必要な配布ファイルを生成し、PXE サーバー ツールをコピーするパスを提供します。

  3. PXE 回復の前提条件 、特に Microsoft Visual C++ 再頒布可能パッケージを再確認します。

  4. 管理者として PowerShell コンソールから、PXE サーバー ツールがコピーされているディレクトリに変更し、次のコマンドを実行してリスナー プロセスを起動します: .\MSFTPXEToolForCS.exe

    1. PXE サーバーが接続を処理するため、追加の応答は表示されません。 PXE サーバーを停止するため、このウィンドウを閉じないでください。

    2. PXE サーバーの進行状況は、同じディレクトリ内の MSFTPXEToolForCS.log ファイルで監視できます。

      注: サブネットごとに複数の PXE サーバーを実行する場合は、PXE サーバー ツールを使用してディレクトリをコピーし、手順 3 & 4 を再実行します。

PXE に関する追加情報

PXE を使用して影響を受けるデバイスを回復する

影響を受けるデバイスは、PXE サーバーと同じサブネット上にある必要があります。 デバイスが異なるサブネットにある場合は、PXE サーバーの検出を有効にするようにネットワーク環境で IP ヘルパーを構成します。

影響を受けるデバイスが PXE ブート用に構成されていない場合は、次の手順に従います。

  1. 影響を受けるデバイスで、 BIOS\UEFI メニューにアクセスします。

    1. このアクションは、モデルと製造元によって異なります。 デバイスの特定の製造元とモデルについては、元の機器メーカーが提供するドキュメントを参照してください。

    2. BIOS\UEFI にアクセスするための一般的なオプションには、起動シーケンス中に F2、F12、DEL、ESC などのキーを押す必要があります。

  2. デバイスで ネットワーク ブート が有効になっていることを確認します。 その他のガイダンスについては、デバイスの製造元のドキュメントを参照してください。

  3. 最初のブート優先順位としてネットワーク ブート オプションを構成します。

  4. 新しい設定を保存します。 デバイスを再起動して設定を適用し、PXE から起動します。

影響を受けるデバイスを PXE ブートする場合、動作は、PXE サーバーの Windows PE またはセーフ モードの回復メディアのどちらを選択したかによって異なります。

これらのオプションの詳細については、Windows PE またはセーフ モードの回復オプションを使用するための 追加の手順 を参照してください。

  1. Windows PE 回復オプションの場合、ユーザーは Windows PE を起動するように求め、修復スクリプトが自動的に実行されます。

  2. セーフ モードの回復オプションの場合、デバイスはセーフ モードで起動します。 ユーザーはローカル管理者アカウントでサインインし、スクリプトを手動で実行する必要があります。

    1. セーフ モードでローカル管理者としてサインインし、管理者として Windows PowerShell を開きます。

    2. 次のコマンドを実行します:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot shutdown -r -t 00

完了したら、画面のプロンプトに応答して、デバイスを正常に再起動します。 BIOS\UEFI メニューにアクセスし、ブート順序を更新して PXE ブートを削除します。

CrowdStrike に問い合わせる

上記の手順に従った後も、デバイスへのログインに関する問題が引き続き発生する場合は、 CrowdStrike にお問い合わせください。 

ページの先頭へ

CrowdStrike Falcon エージェントを実行している Windows クライアントとサーバーに影響する問題の詳細については、次のリソースを参照してください。

参考文献

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。

Facebook LinkedIn メール

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders