如何復原受 CrowdStrike Falcon 代理程式影響的 AWS 資源?
我無法連線到安裝 CrowdStrike Falcon 代理程式的 AWS 資源。
簡短說明
2024 年 7 月 19 日凌晨 4 點 9 分 (UTC), CrowdStrike Falcon 代理程式 (csagent.sys) 的更新導致基於 Windows 的裝置出現意外的停止錯誤或藍色螢幕。受影響的裝置包括 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和 Amazon WorkSpaces 個人虛擬桌面。此問題只會影響安裝了 CrowdStrike 的 Windows Amazon EC2 執行個體和個人 WorkSpaces。
如需詳細資訊,請參閱修復與指導中心: Windows 主機的 Falcon 內容更新 (在 CrowdStrike 網站上)。
通常,重新啟動執行個體或 WorkSpace 可讓 CrowdStrike Falcon 代理程式成功更新。
**注意:**如果您的執行個體使用執行個體儲存體磁碟區,則當執行個體停止、休眠或終止時,儲存在這些磁碟區上的資料不會保留。當執行個體停止、休眠或終止時,執行個體儲存體磁碟區會以加密方式擦除。如需詳細資訊,請參閱 Amazon EC2 執行個體的 Amazon EC2 執行個體儲存體臨時區塊儲存空間。
解決方法
如果重新開機無法將執行個體還原到健康狀態,請使用 AWS Systems Manager Automation 執行階段來還原執行個體。或者,手動還原執行個體。
如果您選擇使用執行手冊,請先執行下列動作:
- 如果您的根 Amazon Elastic Block Store (Amazon EBS) 磁碟區已加密,請確定您的帳戶中存在加密金鑰。此外,您必須具有使用它的權限。
- AWSSupport-StartEC2RescueWorkflow 執行手冊會停止您的執行個體。如果您的執行個體使用執行個體儲存體磁碟區,請使用手動復原方法以避免資料遺失。
- 在啟動 AWSSupport-StartEC2RescueWorkflow 執行手冊之前,請確定您的 AWS Identify and Access Management (IAM) 使用者或角色具有所需的許可。如需詳細資訊,請參閱 AWSSupport-StartEC2RescueWorkflow 的必要的 IAM 許可一節。您還必須將 kms:CreateGrant 許可新增至 IAM 角色。
識別受損執行個體
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請參閱AWS CLI 錯誤疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本。
若要識別失敗的執行個體,請執行 describe-instance-status AWS CLI 命令:
aws ec2 describe-instance-status --filters Name=instance-status.status,Values=impaired --query "InstanceStatuses[*].InstanceId" --region your-region
**注意:**將 your-region 取代為您的 AWS 區域。
使用 AWS Systems Manager Automation 執行手冊還原單一 EC2 執行個體
若要使用 AWSSupport-StartEC2RescueWorkflow 來自動執行復原,請在 Systems Manager 主控台上開啟執行手冊,然後選取您需要復原的區域和執行個體。如果您的 EBS 根磁碟區已加密,請將 AllowEncryptedVolume 設定為 True。
執行手冊工作流程會在虛擬私有雲端 (VPC) 中啟動臨時 EC2 執行個體 (輔助執行個體)。輔助執行個體會自動與 VPC 的預設安全群組關聯。執行個體必須允許輸出 HTTPS (連接埠 TCP 443) 與 Amazon Simple Storage Service (Amazon S3) 及 Systems Manager 端點進行通訊。
您必須在下列其中一個子網路中啟動執行個體,以便執行個體連上所需的 AWS 服務以完成工作流程任務:
- 將 AssociatePublicIpAddress 參數設定為 True 的公用子網路。
- 透過 NAT 存取網際網路的私有子網路。
輔助執行個體掛載所選執行個體的根磁碟區,然後執行下列命令以刪除受影響的檔案:
get-childitem -path "$env:EC2RESCUE_OFFLINE_DRIVE\Windows\System32\drivers\CrowdStrike\" -Include C-00000291*.sys -Recurse | foreach { $_.Delete()}
若要從上一個命令驗證 Base64 OfflineScript 有效負載的內容,請執行下列命令:
PS C:\Windows\system32> [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("REPLACE_WITH_BASE64_HERE"))
使用 AWS Systems Manager 自動化執行手冊來還原多個 EC2 執行個體
若要在多個 EC2 執行個體上使用執行手冊,請使用執行個體 ID、標籤或資源群組。
注意:
- 執行手冊會針對每個選取的執行個體啟動一個輔助執行個體。
- 確保所選子網路中有足夠的 IP 位址供執行個體使用。
- 確保您擁有足夠的執行個體配額和 EBS 磁碟區配額。
- 自動化執行手冊所需的時間取決於選取的並行時間量。
使用執行個體 ID
請完成下列步驟:
- 在 Systems Manager console 主控台上開啟 AWSSupport-StartEC2RescueWorkflow 執行手冊。
- 在執行自動化執行手冊下,選擇速率控制。
- 在目標區段中,為參數選擇執行個體 ID,然後為目標選擇參數值。
- 對於輸入參數,選取要還原的執行個體。
- 對於 「費率控制」,為允許同時執行自動化的資源數量選擇並行選項。如需詳細資訊,請參閱控制大規模自動化。
- 選擇執行。
使用標籤
請完成下列步驟:
- 建立一個新的唯一標籤,僅用於您要還原的執行個體。所有具有此標籤的執行個體都是復原的目標,可能會導致意外的資料遺失,或影響執行個體可用性。如需詳細資訊,請參閱標記 Amazon EC2 資源和使用標籤編輯器。
- 若要驗證只有受影響的執行個體共用新標籤,請使用 AWS 資源總管或標籤編輯器。
- 在 Systems Manager console 主控台上開啟 AWSSupport-StartEC2RescueWorkflow 執行手冊。
- 在執行自動化執行手冊下,選擇速率控制。
- 在目標區段中,為參數選擇執行個體 ID,然後為目標選擇參數值。
- 對於標籤,選擇編輯,輸入標籤鍵和值,然後選擇儲存。
- 對於輸入參數,選取要還原的執行個體。
- 對於 「費率控制」,為允許同時執行自動化的資源數量選擇並行選項。如需詳細資訊,請參閱控制大規模自動化。
- 選擇執行。
使用資源群組
請完成下列步驟:
- 建立新的資源群組,僅用於您要還原的執行個體。此資源群組中的所有執行個體都是復原的目標,可能會導致意外的資料遺失,或影響執行個體可用性。如需詳細資訊,請參閱在 AWS Resource Groups 中建立以查詢為基礎的群組。
- 若要驗證只有受影響的執行個體屬於新資源群組,請使用 AWS Resource Groups 主控台。
- 在 Systems Manager console 主控台上開啟 AWSSupport-StartEC2RescueWorkflow 執行手冊。
- 在執行自動化執行手冊下,選擇速率控制。
- 在目標區段中,為參數選擇執行個體 ID,然後為目標選擇參數值。
- 對於資源群組,選取新的資源群組。
- 對於輸入參數,選取要還原的執行個體。
- 對於 「費率控制」,為允許同時執行自動化的資源數量選擇並行選項。如需詳細資訊,請參閱控制大規模自動化。
- 選擇執行。
手動還原執行個體
請完成下列步驟:
- 為執行個體的 EBS 根磁碟區建立快照。
- 從相同可用區域中的快照建立新的 EBS 磁碟區。
- 在同一可用區域中啟動新的 Windows 執行個體。
- 附加新的 EBS 磁碟區到新執行個體作為資料磁碟區。
- 下載適用於 Windows 伺服器的 EC2Rescue 工具至輔助執行個體。
- 在 EC2Rescue.exe 上按一下右鍵,然後選擇以管理員身份執行。
選取授權合約上的我同意。
在歡迎畫面上,選擇下一步。
在選取模式畫面上,選擇離線****執行個體。
選取離線磁碟,然後選擇下一步。出現提示時,選取是,然後選取確定。
保持 EC2 Rescue 執行。
**注意:**如果您的原始執行個體使用 BitLocker 加密 EBS 根磁碟區,請依照螢幕上的提示提供密碼或 BitLocker 復原金鑰。或者,您可以從命令行使用 manage-bde unlock。如需詳細資訊,請參閱 Microsoft 網站上的 manage-bde unlock。解鎖磁碟機後,重複步驟 6。 - 導覽至附加的磁碟區上的 X:\Windows\System32\drivers\CrowdStrike\ 資料夾,然後刪除 C-00000291*.sys。
**注意:**在此範例中,X: 是從受影響執行個體指派給次要 EBS 磁碟區的磁碟機代號。它在您的環境中可能是不同的代號。 - 返回到 Ec2 Rescue。
選擇診斷與救援,然後選擇下一步。
將所有選項保留為預設值。
選擇下一步,然後再次選擇下一步。
出現提示時,選擇救援,選擇確定,然後選擇下一步。
選擇完成。
在出現的快顯視窗中,選取修正磁碟簽名,然後選擇確定。
如果修正磁碟簽名呈灰色,請選擇確定。 - 從 Linux 執行個體分離 EBS 磁碟區。
- 為已分離的 EBS 磁碟區建立快照。
- 選取與受影響執行個體相同的磁碟區類型 (例如 gp2 或 gp3),然後從快照建立 Amazon Machine Image (AMI)。
- 取代原始 EC2 執行個體上的根磁碟區並指定 AMI。
Amazon WorkSpaces
如果多次重新開機未使 WorkSpace 恢復到健康狀態,則將 WorkSpace 還原至先前的快照。如果 WorkSpace 還原未將 WorkSpace 恢復到健康狀態,請重建 WorkSpace。
疑難排解
如果上述步驟無法解決 EC2 執行個體的連線問題,請對您的復原選項執行下列疑難排解步驟。
系統管理員自動化執行手冊
**問題:**輔助執行個體無法連線到 AWS 服務端點。此問題可能會導致 waitForEc2RescueInstanceToBeManaged 自動化工作流程步驟失敗。
**解決方法:**確認預設安全群組允許輸出流量 (TCP 連接埠 443) 到達系統管理員和 S3 端點。此外,請確定選取的子網路可以連線到這些端點。若要使用自訂安全群組,請使用安全群組 ID 更新 HelperInstanceSecurityGroupId 參數值。如果您選擇了公用子網路,則將 AssociatePublicIpAddress 參數設定為 True。對於自動化,亦可將參數 SubnetId 設定為 CreateNewVPC,以建立具有所需連線的新 VPC。
**問題:**受影響的執行個體無法停止,因為已開啟停止保護。
**解決方法:**對受影響的執行個體關閉停止保護,然後再次執行自動化。
**注意:**如果您的執行個體使用執行個體儲存體磁碟區,則當執行個體停止時,儲存在這些磁碟區上的資料不會保留。
**問題:**輔助執行個體無法啟動。
解決方法: 為 EC2Rescue 執行個體選取的執行個體類型可能無法在輔助執行個體子網路的可用區域中使用。在與輔助執行個體相同的可用區域中使用支援的執行個體類型。
**問題:**當自動化驗證 AWS CloudFormation 堆疊建立已完成時,自動化失敗,並顯示錯誤 "Stack AWSSupport-EC2Rescue-{UUID} entered unexpected state: DELETE_IN_PROGRESS"。
解決方法:為確定導致堆疊失敗的原因,請取得 UUID ID 並使用 CloudFormation 主控台。當您沒有建立堆疊資源的權限時,可能會發生堆疊失敗。如需詳細資訊,請參閱 AWSSupport-StartEC2RescueWorkflow 的必要 IAM 權限部分,以及如何對 IAM 政策的存取遭拒或未經授權的操作錯誤進行疑難排解?
**問題:**由於加密的 EBS 磁碟區,執行手冊在 assertInstanceRootVolumeIsNotEncrypted 自動化工作流程步驟中失敗。
**解決方法:**如果磁碟區使用 EBS 加密,則將 AllowEncryptedVolume 參數設定為 True。
問題: 預設 VPC 已刪除。
**解決方法:**將 SubnetId 參數設定為 CreateNewVPC,以建立允許執行個體成功復原的新 VPC。
問題: detachInstanceRootVolume 自動化工作流程步驟失敗,並顯示錯誤訊息 "error occurred (IncorrectState) when calling the DetachVolume operation: Unable to detach root volume"。
解決方法:執行自動化時,將執行個體保持為已停止狀態。
手動執行個體還原
**問題:**執行個體無法啟動,並顯示錯誤: "The application or operating system couldn't be loaded because a registered file is missing or contains errors"。
解決方法:如果您沒有選取修正磁碟簽名,則可能會出現磁碟簽名衝突。
為解決此問題,請執行手動還原步驟中的步驟 8。如果還原了沒有 EC2 Rescue 的執行個體,請參閱 Amazon EC2 Windows 執行個體的問題疑難排解。
**注意:**如果前面的疑難排解步驟無法解決 EC2 執行個體的連線問題,請聯絡 AWS Support。確保您捕獲無法連接的執行個體的螢幕快照。
相關資訊
相關內容
- 已提問 1 年前lg...
- 已提問 2 年前lg...
- 已提問 2 年前lg...
- 已提問 1 年前lg...
- 已提問 1 個月前lg...
- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 3 年前
- AWS 官方已更新 3 年前