Comment récupérer des ressources AWS affectées par l'agent CrowdStrike Falcon ?
Je n'arrive pas à me connecter aux ressources AWS sur lesquelles l'agent CrowdStrike Falcon est installé.
Brève description
Le 19 juillet 2024 à 04h09 UTC, une mise à jour de l'agent CrowdStrike Falcon (csagent.sys) a provoqué des erreurs d'arrêt imprévues ou un écran bleu sur les appareils Windows. Les appareils concernés comprennent les instances Amazon Elastic Compute Cloud (Amazon EC2) et les bureaux virtuels Amazon WorkSpaces Personal. Ce problème concerne uniquement les instances Windows Amazon EC2 et les WorkSpaces personnels sur lesquelles CrowdStrike est installé.
Pour en savoir plus, consultez la page Remediation and Guidance Hub: Falcon Content Update for Windows Hosts sur le site Web de CrowdStrike.
En règle générale, le redémarrage de votre instance ou de WorkSpace permettra à l'agent CrowdStrike Falcon de se mettre à jour correctement.
Remarque : si votre instance utilise des volumes de stockage d'instances, les données stockées sur les volumes ne sont pas conservées lorsque l'instance est arrêtée, mise en veille prolongée ou résiliée. Lorsque l'instance est arrêtée, mise en veille prolongée ou résiliée, le volume de stockage d'instances est soumis à un effacement cryptographique. Pour en savoir plus, consultez la page sur le stockage par bloc temporaire du stockage d'instances Amazon EC2 pour les instances Amazon EC2.
Résolution
Si un redémarrage ne permet pas de rétablir l'état normal de l'instance, utilisez l'un des dossiers d'exploitation d'AWS Systems Manager Automation pour restaurer vos instances. Vous pouvez également restaurer manuellement vos instances.
Si vous choisissez d'utiliser le dossier d'exploitation, procédez d'abord comme suit :
- Si votre volume racine Amazon Elastic Block Store (Amazon EBS) est chiffré, vérifiez que la clé de chiffrement est présente dans votre compte. Vous devez également disposer des autorisations nécessaires pour pouvoir l'utiliser.
- Le dossier d'exploitation AWSSupport-StartEC2RescueWorkflow arrêtera votre instance. Si votre instance utilise des volumes de stockage d'instances, utilisez la méthode de restauration manuelle pour éviter toute perte de données.
- Avant de démarrer le dossier d'exploitation AWSSupport-StartEC2RescueWorkflow, vérifiez que votre utilisateur ou votre rôle Gestion des identités et des accès AWS (AWS IAM) dispose bien des autorisations requises. Pour en savoir plus, consultez la section Autorisations IAM requises sur la page AWSSupport-StartEC2RescueWorkflow. Vous devez également ajouter l'autorisation kms:CreateGrant au rôle IAM.
Identification des instances défaillantes
Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la page Résoudre les erreurs liées à AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.
Pour identifier les instances défaillantes, exécutez la commande describe-instance-status de l'AWS CLI :
aws ec2 describe-instance-status --filters Name=instance-status.status,Values=impaired --query "InstanceStatuses[*].InstanceId" --region your-region
Remarque : remplacez your-region par votre région AWS.
Utilisation du dossier d'exploitation d'AWS Systems Manager Automation pour restaurer une seule instance EC2
Pour utiliser AWSSupport-StartEC2RescueWorkflow afin d'automatiser la restauration, ouvrez le dossier d'exploitation sur la console Systems Manager et sélectionnez la région et les instances concernées par la restauration. Si votre volume racine EBS est chiffré, définissez AllowEncryptedVolume sur True.
Le flux de travail du dossier d'exploitation lance une instance EC2 temporaire (instance d'assistance) dans un cloud privé virtuel (VPC). L'instance d'assistance est automatiquement associée au groupe de sécurité par défaut du VPC. L'instance doit autoriser les communications HTTPS sortantes (port TCP 443) vers les points de terminaison d'Amazon Simple Storage Service (Amazon S3) et de Systems Manager.
Vous devez lancer l'instance dans l'un des sous-réseaux suivants afin qu'elle atteigne les services AWS requis pour effectuer les tâches du flux de travail :
- Un sous-réseau public dont le paramètre AssociatePublicIpAddress est défini sur True.
- Un sous-réseau privé avec un accès Internet via NAT.
L'instance d’assistance monte le volume racine des instances sélectionnées, puis exécute la commande suivante pour supprimer le fichier concerné :
get-childitem -path "$env:EC2RESCUE_OFFLINE_DRIVE\Windows\System32\drivers\CrowdStrike\" -Include C-00000291*.sys -Recurse | foreach { $_.Delete()}
Pour vérifier le contenu de la charge utile Base64 OfflineScript de la commande précédente, exécutez la commande suivante :
PS C:\Windows\system32> [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("REPLACE_WITH_BASE64_HERE"))
Utilisation du dossier d'exploitation d'AWS Systems Manager Automation pour restaurer plusieurs instances EC2
Pour utiliser le dossier d'exploitation sur plusieurs instances EC2, vous devez utiliser des ID d'instance, des balises ou des groupes de ressources.
Remarque :
- Le dossier d'exploitation lancera une instance d'assistance pour chaque instance sélectionnée.
- Veillez à disposer d'un nombre suffisant d'adresses IP dans le sous-réseau sélectionné pour vos instances.
- Veillez à disposer de quotas d'instances et de quotas de volume EBS suffisants.
- Le temps nécessaire à l'exécution du dossier d'exploitation d'automatisation dépendra de la quantité de simultanéité sélectionnée.
Utilisation d'ID d'instance
Procédez comme suit :
- Ouvrez le dossier d'exploitation AWSSupport-StartEC2RescueWorkflow dans la console Systems Manager.
- Sous Exécuter le dossier d'exploitation d'automatisation, choisissez Contrôle du débit.
- Dans la section Cibles, choisissez InstanceId dans Paramètre, puis choisissez Valeurs de paramètre dans Cibles.
- Dans Paramètres d'entrée, sélectionnez les instances que vous souhaitez restaurer.
- Dans Contrôle du débit, choisissez votre option de simultanéité pour le nombre de ressources autorisées à exécuter simultanément l'automatisation. Pour en savoir plus, consultez la page Contrôler les automatisations à grande échelle.
- Sélectionnez Exécuter.
Utilisation de balises
Procédez comme suit :
- Créez une nouvelle balise unique à utiliser uniquement pour les instances que vous souhaitez restaurer. Toutes les instances dotées de cette balise feront l’objet d’une restauration, ce qui peut entraîner des pertes de données accidentelles ou affecter la disponibilité des instances. Pour en savoir plus, consultez les pages Baliser vos ressources Amazon EC2 et Utilisation de l'éditeur de balises.
- Pour vérifier que seules les instances concernées partagent la nouvelle balise, utilisez l’explorateur de ressources AWS ou l'éditeur de balises.
- Ouvrez le dossier d'exploitation AWSSupport-StartEC2RescueWorkflow dans la console Systems Manager.
- Sous Exécuter le dossier d'exploitation d'automatisation, choisissez Contrôle du débit.
- Dans la section Cibles, choisissez InstanceId dans Paramètre, puis choisissez Valeurs de paramètre dans Cibles.
- Dans Balises, choisissez Modifier, saisissez la clé et la valeur de la balise, puis choisissez Enregistrer.
- Dans Paramètres d'entrée, sélectionnez les instances que vous souhaitez restaurer.
- Dans Contrôle du débit, choisissez votre option de simultanéité pour le nombre de ressources autorisées à exécuter simultanément l'automatisation. Pour en savoir plus, consultez la page Contrôler les automatisations à grande échelle.
- Sélectionnez Exécuter.
Utilisation de groupes de ressources
Procédez comme suit :
- Créez un nouveau groupe de ressources à utiliser uniquement pour les instances que vous souhaitez restaurer. Toutes les instances appartenant à ce groupe de ressources feront l’objet d’une restauration, ce qui peut entraîner des pertes de données accidentelles ou affecter la disponibilité des instances. Pour en savoir plus, consultez la page Création de groupes basés sur des requêtes dans AWS Resource Groups.
- Pour vérifier que seules les instances concernées appartiennent au nouveau groupe de ressources, utilisez la console AWS Resources Groups.
- Ouvrez le dossier d'exploitation AWSSupport-StartEC2RescueWorkflow dans la console Systems Manager.
- Sous Exécuter le dossier d'exploitation d'automatisation, choisissez Contrôle du débit.
- Dans la section Cibles, choisissez InstanceId dans Paramètre, puis choisissez Valeurs de paramètre dans Cibles.
- Dans Groupes de ressources, sélectionnez le nouveau groupe de ressources.
- Dans Paramètres d'entrée, sélectionnez les instances que vous souhaitez restaurer.
- Dans Contrôle du débit, choisissez votre option de simultanéité pour le nombre de ressources autorisées à exécuter simultanément l'automatisation. Pour en savoir plus, consultez la page Contrôler les automatisations à grande échelle.
- Sélectionnez Exécuter.
Restauration manuelle de vos instances
Procédez comme suit :
- Créez un instantané du volume racine EBS de l'instance.
- Créez un nouveau volume EBS à partir de l'instantané dans la même zone de disponibilité.
- Lancez une nouvelle instance Windows dans la même zone de disponibilité.
- Attachez le nouveau volume EBS à la nouvelle instance en tant que volume de données.
- Téléchargez l'outil EC2Rescue for Windows Server sur l'instance d'assistance.
- Cliquez avec le bouton droit sur EC2Rescue.exe, puis choisissez Exécuter en tant qu'administrateur.
Sélectionnez J'accepte dans le contrat de licence.
Sur l'écran de bienvenue, choisissez Next.
Sur l'écran Select Mode, choisissez Offline Instance.
Sélectionnez le disque hors ligne, puis cliquez sur Next. À l’invite de saisie, sélectionnez Oui, puis OK.
Maintenez EC2 Rescue en cours d’exécution.
Remarque : si votre instance d'origine utilise BitLocker pour chiffrer le volume racine EBS, suivez les instructions qui apparaissent à l'écran pour renseigner votre mot de passe ou votre clé de restauration BitLocker. Vous pouvez également utiliser manage-bde unlock via la ligne de commande. Pour en savoir plus, consultez la page manage-bde unlock sur le site Web de Microsoft. Une fois le lecteur déverrouillé, répétez l'étape 6. - Accédez au dossier X:\Windows\System32\drivers\CrowdStrike\ sur le volume attaché, puis supprimez C-00000291*.sys.
Remarque : dans cet exemple, X: est la lettre de lecteur qui est attribuée au volume EBS secondaire de l'instance concernée. Il peut s'agir d'une lettre différente dans votre environnement. - Revenez à EC2 Rescue.
Choisissez Diagnose and Rescue, puis Next.
Conservez toutes les options par défaut.
Choisissez Next, puis à nouveau Next.
À l’invite de saisie, choisissez Rescue, OK, puis Next.
Choisissez Finish.
Dans la fenêtre contextuelle qui apparaît, sélectionnez Fix disk signature, puis cliquez sur OK.
Si l’option Fix disk signature est grisée, cliquez sur OK. - Détachez le volume EBS de la nouvelle instance.
- Créez un instantané du volume EBS détaché.
- Sélectionnez le même type de volume (par exemple, gp2 ou gp3) que celui de l'instance concernée, puis créez une Amazon Machine Image (AMI) à partir de l'instantané.
- Remplacez le volume racine sur l'instance EC2 d'origine en spécifiant l'AMI.
Amazon WorkSpaces
Si plusieurs redémarrages ne permettent pas de rétablir votre WorkSpace à son état normal, vous devez alors restaurer le WorkSpace sur la base d’un instantané existant. Si la restauration de votre WorkSpace ne permet pas à celui-ci de revenir à un état normal, vous devez alors reconstruire le WorkSpace.
Résolution des problèmes
Si les instructions précédentes ne vous permettent pas de résoudre le problème de connectivité à votre instance EC2, suivez ces étapes de dépannage (en fonction de votre option de restauration).
Utilisation du dossier d'exploitation de Systems Manager Automation
Problème : l'instance d'assistance ne peut pas se connecter aux points de terminaison du service AWS. Ce problème peut entraîner un échec de l'étape waitForEc2RescueInstanceToBeManaged du flux de travail d'automatisation.
Solution : vérifiez que le groupe de sécurité par défaut autorise le trafic sortant (port TCP 443) à atteindre les points de terminaison de Systems Manager ainsi que les points de terminaison de S3. Assurez-vous également que le sous-réseau sélectionné peut se connecter à ces points de terminaison. Pour utiliser un groupe de sécurité personnalisé, mettez à jour la valeur du paramètre HelperInstanceSecurityGroupId avec l'ID de votre groupe de sécurité. Si vous avez choisi un sous-réseau public, définissez le paramètre AssociatePublicIpAddress sur True. Vous pouvez aussi définir le paramètre SubnetId sur CreateNewVPC pour que l'automatisation crée un nouveau VPC avec la connectivité requise.
**Problème :](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-stop-protection.html) l'instance concernée ne s'arrête pas parce que **la protection anti-arrêt est activée[.
Solution : désactivez la protection anti-arrêt pour l'instance concernée, puis lancez à nouveau l'automatisation.
Remarque : si votre instance utilise des volumes de stockage d'instances, les données stockées sur ces volumes ne sont pas conservées lorsque l'instance est arrêtée.
Problème : l'instance d'assistance ne parvient pas à démarrer.
Solution : le type d'instance sélectionné pour l'instance EC2Rescue n'est peut-être pas disponible dans la zone de disponibilité du sous-réseau de l'instance d'assistance. Utilisez un type d'instance pris en charge dans la même zone de disponibilité que celle de l'instance d'assistance.
Problème : lorsque l'automatisation vérifie que la création de la pile AWS CloudFormation est terminée, elle échoue avec l'erreur « Stack AWSSupport-EC2Rescue-{UUID} entered unexpected state: DELETE_IN_PROGRESS ».
Solution : pour déterminer la cause de l'échec de la pile, récupérez l'ID UUID et utilisez la console CloudFormation. Un échec de la pile peut se produire si vous ne disposez pas des autorisations nécessaires pour créer les ressources de pile. Pour en savoir plus, consultez la section Autorisations IAM requises de AWSSupport-StartEC2RescueWorkflow et la page Comment résoudre les erreurs d’accès refusé ou d’opération non autorisée à l’aide d’une politique IAM ?
Problème : le dossier d'exploitation échoue à l'étape assertInstanceRootVolumeIsNotEncrypted du flux de travail d'automatisation en raison d'un volume EBS chiffré.
Solution : si le volume utilise le chiffrement EBS, définissez le paramètre AllowEncryptedVolume sur True.
Problème : le VPC par défaut a été supprimé.
Solution : définissez le paramètre SubnetId sur CreateNewVPC pour créer un nouveau VPC qui permettra à l'instance de se restaurer.
Problème : l'étape detachInstanceRootVolume du flux de travail d'automatisation échoue avec le message d'erreur « error occurred (IncorrectState) when calling the DetachVolume operation: Unable to detach root volume ».
Solution : lorsque vous exécutez l'automatisation, maintenez l'instance à l'état Arrêté.
Restauration manuelle de l'instance
Problème : l'instance ne démarre pas et l'erreur suivante s’affiche : « The application or operating system couldn't be loaded because a registered file is missing or contains errors ».
Solution : si vous n'avez pas sélectionné l’option Fix disk signature, il est possible qu’une collision de signatures de disque se soit produite.
Pour résoudre ce problème, suivez l'étape 8 du processus de restauration manuelle. Si vous avez restauré l'instance sans utiliser EC2 Rescue, consultez la page Résoudre les problèmes liés aux instances Windows Amazon EC2.
**Remarque :](https://aws.amazon.com/support) si les instructions présentées ci-dessus ne permettent pas de résoudre le problème de connectivité à votre instance EC2, contactez **AWS Support[. Veillez à prendre une capture d'écran de l'instance inaccessible.
Informations connexes
Exécution de l'outil EC2Rescue sur des instances inaccessibles
Contenus pertinents
- demandé il y a 6 moislg...
- demandé il y a 5 moislg...
- demandé il y a un anlg...
- demandé il y a 6 moislg...
- Réponse acceptéedemandé il y a 4 moislg...
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans