[轉發][翻譯]windows電腦藍屏怎麼辦?CrowdStrike Falcon 藍屏問題更新

作者：皮特‧科克霍夫斯

2024 年 7 月 19 日

最後更新時間：歐洲中部夏令時間 6 月 19 日下午 13:23

概括

CrowdStrike 已知悉 Windows 主機上與 Falcon 感測器相關的崩潰報告。

Crowdstrike 官方聲明的連結。 

細節

狀況包括 Windows 主機遇到與 Falcon Sensor 相關的藍色畫面 (BSOD)。 

CrowdStrike 工程師已確定與此問題相關的內容部署更新，該更新於 UTC 時間凌晨 4:09 推送並恢復了這些變更。因此，在 UTC 上午 5:27 之後啟動的主機應該不會遇到任何問題。

此問題不會影響基於 Mac 或 Linux 的主機。

當前行動

如果您的系統目前沒有問題，請勿卸載 CrowdStrike 或依照下列步驟操作。

如果您陷入藍屏當機重啟循環，應遵循的步驟

更新：我們首先建議啟動進入安全模式（根據官方 CrowdStrike 建議），但許多客戶報告啟動進入安全模式時出現問題。即使系統沒有本地管理員帳戶並且沒有互聯網連接，以下步驟也應該普遍適用。

• 讓系統啟動和崩潰重啟三次後，系統會給你一個選單。
• 點擊"疑難排解" (troble shotting)
  
  
  
  
• 按一下"進階選項" (advance options)
  
  
  
  
• 按一下"命令提示符" (command prompt) 
  
  
  
  
  
• 如果您的系統受 BitLocker 保護，您將需要輸入 BitLocker 復原金鑰
  • 如果 BitLocker 是透過 Intune 管理的，則可以在https://myaccount.microsoft.com 的「裝置」下找到它。確保裝置的主機名稱和金鑰 ID 匹配 
  • 否則，請向當地 IT 管理員索取 BitLocker 復原金鑰
• 在命令提示字元視窗中，鍵入以下命令，然後按 Enter 鍵。
  • 警告：命令提示字元從 X:\ 磁碟機開始。請不要忘記準確輸入這些命令來切換到 c:\ 
  • C：
  • cd "C:\Windows\System32\Drivers\CrowdStrike"
  • del "C-00000291*"
  • exit
  • 
    
    
    
• 按一下「繼續」進入 Windows
• 
  
  
  

公有雲或類似環境（包括虛擬機器）的步驟

選項1：

• 從受影響的虛擬伺服器分離作業系統磁碟卷
• 在繼續操作之前建立磁碟區的快照或備份，以預防意外更改
• 將磁碟區附加/安裝到新的虛擬伺服器
• 導覽至 C:\Windows\System32\drivers\CrowdStrike 目錄
• 找到與「C-00000291*.sys」相符的文件，並將其刪除。
• 從新虛擬伺服器中分離卷
• 將固定卷重新連接到受影響的虛擬伺服器

選項2：

 

• 回滾到 0409 UTC 之前的快照。

Azure 透過串列進入安全模式的步驟

• 登入 Azure 主控台 --> 前往虛擬機器 --> 選擇 VM
• 控制台左上角 --> 按一下：“連接”--> 按一下 --> 連接 --> 按一下“更多連接方式”--> 按一下：“序列控制台”
• SAC 載入後，輸入「cmd」並按 Enter 鍵。
  • • 輸入“cmd”命令
    • 輸入：ch -si 1
• 按任意鍵（空白鍵）。 輸入管理員憑證
• 輸入以下內容：
  • • bcdedit /set {目前} 最小安全啟動
    • bcdedit /set {目前} 安全啟動網絡
• 重啟虛擬機

選用：如何確認開機狀態？運行命令：

• • wmic 電腦系統 取得啟動狀態
    
    

每個雲端供應商修復虛擬機器的步驟

如果上述步驟無法協助解決問題，這些是三大雲端供應商提供的解決其平台上的虛擬機器問題的步驟。

AWS

https://health.aws.amazon.com/health/status

微軟

https://azure.status.microsoft/en-gb/status/

Google

https://status.cloud.google.com/incidents/DK3LfKowzJPpZq4Q9YqP

 

經常問的問題

遵循這些步驟會損害我的安全嗎？

不會。

這是由網路攻擊引起的嗎？

CrowdStrike 已將錯誤更新的根本原因確定為內容更新中的缺陷。沒有跡象表明這源自於網路攻擊。

我需要卸載 CrowdStrike 嗎？

如果您的系統已啟動並（恢復）在線，則無需卸載 CrowdStrike。

在事件發生的最初幾個小時內，我們透過停用卸載保護暫時為客戶提供了卸載 CrowdStrike 的服務。此後，由於 CrowdStrike 不再推送導致問題的更新，該功能已重新啟用。此時不建議卸載 CrowdStrike，因為修復程式已經可用，並且會使您的系統面臨風險。

我的系統上仍然有該文件，我會受到影響嗎？

• 時間戳記為0527 UTC 或更高版本的通道檔案「C-00000291*.sys」是恢復的（良好）版本。  
• 時間戳為0409 UTC的通道檔案「C-00000291*.sys」是有問題的版本。  

因此，系統上存在的文件並不意味著需要應用解決方法。

 

---

公關報道

• 路透社
• 英國廣播公司|大規模停電影響航空公司、媒體和銀行
• 衛報|銀行、航空公司和媒體機構受到與 Windows PC 相關的全球服務中斷的影響
• 《世界》（德文） | Flughäfen、Dax-Unternehmen、Krankenhäuser – Das ist der Fehler、der die Welt lahmlegt
• Nu.nl（荷蘭語）| Windows 儲存空間中存在的問題
• NOS（荷蘭語）| Wereldwijd 閘電腦儲存問題， ook Schiphol getroffen 

---

最新更新

• 2024-07-19 05:30 世界標準時間 |技術警報已發布。
• 2024-07-19 06:30 世界標準時間 |更新並添加了解決方法詳細資訊。
• 2024-07-19 07:08 世界標準時間 | CrowdStrike Engineering 已確定與此問題相關的內容部署並恢復了這些變更。
• 2024-07-19 07:32 世界標準時間 |增加公關報道
• 2024-07-19 07:45 世界標準時間 |新增了針對使用 Windows 系統陷入重啟循環的用戶的修復
• 2024-07-19 08:06 世界標準時間 |此時添加了不要卸載 CrowdStrike 的建議，因為有修復可用。
• 2024-07-19 08:35 世界標準時間 |稍微更新了修復步驟
• 2024-07-19 上午 09:07 UTC |新增了常見問題的解答
• 2024-07-19 09:33 世界標準時間 |新增了公有雲虛擬機器要遵循的步驟
• 2024-07-19 09:46 世界標準時間 |新增了適用於 Azure 的步驟
• 2024-07-19 上午 10:34 UTC |新增了常見問題解答
• 2024-07-19 上午 11:07 世界標準時間 |新增了每個雲端提供者的虛擬機器步驟
  

參考來源

https://www.eye.security/blog/crowdstrike-falcon-blue-screen-issue-updates