CrowdStrike 是一家领先的网络安全技术提供商,为终端、云工作负载、身份和数据提供安全服务。其 Falcon 平台是一种统一的、云交付的安全解决方案,旨在防止所有类型的攻击,包括恶意软件等。然而,Windows 上 Falcon Sensor 代理的最新更新引发了一个严重问题:蓝屏死机 (BSOD) 启动循环导致受影响的系统无法使用。这一普遍存在的问题扰乱了各个行业的运营,尤其影响了航空公司、银行和医疗保健提供商。
CrowdStrike 已确认该问题并停止进一步部署错误更新。向用户发送的警报确认他们知道与 Falcon Sensor 相关的 Windows 主机崩溃,特别是错误检查/蓝屏错误。不幸的是,恢复陷入 BSOD 启动循环的 Windows PC 的官方解决方案仍然难以捉摸。有几种解决方法可以解决此问题,请阅读下文。
Windows PC 上 CrowdStrike BSOD 问题的官方解决方法:
- 将您的 Windows PC 启动到安全模式或 Windows 恢复环境。
- 转到 C:\Windows\System32\drivers\CrowdStrike。
- 找到并删除与“C-00000291*.sys”匹配的文件。
- 正常启动。
另一种方法是使用以下任一方法阻止 CrowdStrike 启动:
方法 1:
-
从恢复选项进入命令提示符。
-
输入以下命令,给它进行删除掉最新的更新文件:
del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys -
重新启动电脑即可解决问题。
方法 2:
- 将您的 Windows PC 启动到安全模式或 Windows 恢复环境。
- 转到 Windows 注册表。
- 编辑以下键以禁止 csagent.sys 加载:
HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Start 从 1 到 4
如果您在 AWS EC2 实例上运行 Windows,则可以尝试以下方法:
- 将 EBS 卷与受影响的 EC2 分离。
- 将 EBS 卷附加到新的 EC2。
- 按照 CrowdStrike 建议的解决方法修复 CrowdStrike 驱动程序文件夹。
- 从新的 EC2 实例中分离 EBS 卷。
- 将 EBS 卷附加到受影响的 EC2 实例。
上述方法也适用于在 Google Cloud Platform 上运行的 Windows 实例。
