关于CrowdStrike致微软蓝屏问题排查与应急指南
关于CrowdStrike致微软蓝屏问题排查与应急指南
2024年7月19日中午开始,Crowdstrike开发的Falcon的安全软件更新问题导致全球多地Windows电脑大面积蓝屏死机,致使航班停飞、火车晚点、银行异常、巴黎奥运服务受影响等。
国内方面,从目前暴露出来的影响情况分析。得益于近几年国内网络安全领域国产化的发展,目前国内主要是外资企业和合资企业受影响比较大,金融、医疗、政务等行业影响极其有限。
CrowdStrike Falcon 是一款基于云的端点安全工具,专为 Windows 和其他操作系统设计,提供全面的安全保护,这是一款收费软件,仅提供有限的免费试用。
它提供了针对病毒、恶意软件、勒索软件、网络攻击和其他恶意活动的高级保护。
如果需排查或处置此类风险,建议可以采取以下手段:
(1)如果贵单位已安装桌管系统
可通过桌管系统进行排查,主要排查终端已安装软件,是否有安装CrowdStrike公司的软件或名为Falcon的安全软件,操作方式可参考桌管软件用户手册或咨询桌管运维方或厂家。
如有发现请先断开该终端互联网访问,卸载相关软件或禁止更新,之后再放开互联网访问。
为桌管系统增加相关安全策略,如禁止用户私自安装安全软件、禁止软件自动更新等,具体策略需结合本单位安全管理现状确定。
(2)如果贵单位未安装桌管系统
首先,确认贵单位是否采购过CrowdStrike公司的软件或名为Falcon的安全软件。PS:Crowd Strike Falcon是一款收费软件仅提供短期有限的免费试用。
所有使用Windows系统的设备均需排查,排查前请先断开互联网访问,通过控制面板或使用命令行工具排查是否安装CrowdStrike公司的软件或名为Falcon的安全软件,如有发现卸载相关软件或禁止更新,之后再放开互联网访问。
(3)如果贵单位已有设备出现问题
首先说明,从目前出现问题的情况来看,不会丢数据,可先想办法将受影响设备硬盘里面除系统以外的数据备份出来,具体操作可上网搜索在此不做赘述。
将受影响的电脑启动到安全模式或恢复环境,导航至C:WindowsSystem32driversCrowdStrike目录,找到与“C-00000291*.sys”匹配的文件并将其删除,即可正常启动电脑。
如以上应急措施无效,请找专业人员支持,或重装电脑系统。