Oświadczenie dotyczące aktualizacji zawartości Falcon dla hostów Windows
Zaktualizowano 18:11 czasu wschodniego, 19 lipca 2024 r.
CrowdStrike aktywnie współpracuje z klientami dotkniętymi wadą odkrytą w pojedynczej aktualizacji treści dla hostów Windows. Hosty Mac i Linux nie są dotknięte. To nie był cyberatak.
Problem został zidentyfikowany, odizolowany i wdrożono poprawkę. Odsyłamy klientów do portalu pomocy technicznej, aby uzyskać najnowsze aktualizacje i będziemy nadal dostarczać kompletne i ciągłe aktualizacje publiczne na naszym blogu.
Zalecamy również, aby organizacje komunikowały się z przedstawicielami CrowdStrike za pośrednictwem oficjalnych kanałów.
Nasz zespół jest w pełni zmobilizowany, aby zagwarantować bezpieczeństwo i stabilność klientom CrowdStrike.
Rozumiemy powagę sytuacji i głęboko przepraszamy za niedogodności i zakłócenia. Współpracujemy ze wszystkimi klientami, których to dotyczy, aby zapewnić, że systemy zostaną przywrócone i będą mogli świadczyć usługi, na które liczą ich klienci.
Zapewniamy naszych klientów, że CrowdStrike działa normalnie i ten problem nie ma wpływu na nasze systemy platformy Falcon. Jeśli Twoje systemy działają normalnie, nie ma to wpływu na ich ochronę, jeśli zainstalowany jest czujnik Falcon.
Poniżej znajduje się najnowszy alert techniczny CrowdStrike z większą ilością informacji o problemie i sposobach obejścia problemu, jakie organizacje mogą podjąć. Będziemy nadal dostarczać aktualizacje naszej społeczności i branży, gdy tylko będą dostępne.
Streszczenie
- CrowdStrike zdaje sobie sprawę z doniesień o awariach na komputerach Windows związanych z czujnikiem Falcon.
Detale
- Objawy obejmują występowanie u hostów błędu bugcheck/niebieskiego ekranu związanego z czujnikiem Falcon.
- Na komputerach z systemem Windows, których to nie dotyczy, nie ma konieczności podejmowania żadnych działań, ponieważ problematyczny plik kanału został przywrócony.
- Hosty Windows, które zostaną uruchomione po godzinie 05:27 UTC, również nie zostaną dotknięte
- Ten problem nie dotyczy hostów opartych na systemach Mac lub Linux
- Plik kanału „C-00000291*.sys” ze znacznikiem czasu 0527 UTC lub późniejszym jest wersją przywróconą (dobrą).
- Plik kanału „C-00000291*.sys” ze znacznikiem czasu 0409 UTC jest wersją powodującą problemy.
- Uwaga: Obecność wielu plików „C-00000291*.sys” w katalogu CrowdStrike jest czymś normalnym. Jeśli jeden z plików w folderze ma znacznik czasu 05:27 UTC lub nowszy, będzie on stanowił aktywną zawartość.
Aktualne działanie
- Firma CrowdStrike Engineering zidentyfikowała problem związany z wdrażaniem treści i wycofała zmiany.
- Jeśli hosty nadal się zawieszają i nie są w stanie pozostać w trybie online, aby odebrać zmiany w plikach kanału, można zastosować obejście problemu opisane poniżej.
- Zapewniamy naszych klientów, że CrowdStrike działa normalnie i ten problem nie dotyczy naszych systemów platformy Falcon. Jeśli Twoje systemy działają normalnie, nie ma to wpływu na ich ochronę, jeśli zainstalowany jest czujnik Falcon. Usługi Falcon Complete i Falcon OverWatch nie są zakłócane przez ten incydent.
Zapytanie mające na celu identyfikację dotkniętych hostów za pomocą zaawansowanego wyszukiwania zdarzeń
Przeczytaj ten artykuł z bazy wiedzy: Jak zidentyfikować hosty, których mogą dotyczyć awarie systemu Windows (pdf) lub zaloguj się, aby wyświetlić go w portalu pomocy technicznej.
Kroki obejścia problemu dla poszczególnych hostów:
- Zrestartuj hosta, aby dać mu możliwość pobrania pliku kanału z przywróconym kanałem. Zdecydowanie zalecamy umieszczenie hosta w sieci przewodowej (w przeciwieństwie do WiFi) przed ponownym uruchomieniem, ponieważ host uzyska łączność internetową znacznie szybciej przez Ethernet.
- Jeśli host ponownie ulegnie awarii, wówczas:
- Uruchom system Windows w trybie awaryjnym lub środowisku odzyskiwania systemu Windows
- UWAGA: Podłączenie hosta do sieci przewodowej (a nie Wi-Fi) i użycie trybu awaryjnego z obsługą sieci może pomóc w rozwiązaniu problemu.
- Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
- Uwaga: W środowisku WinRE/WinPE przejdź do katalogu Windows\System32\drivers\CrowdStrike w woluminie systemu operacyjnego
- Zlokalizuj plik odpowiadający „C-00000291*.sys” i usuń go.
- Uruchom hosta normalnie.
- Uwaga: Hosty szyfrowane za pomocą funkcji BitLocker mogą wymagać klucza odzyskiwania.
Kroki obejścia problemu dla chmury publicznej lub podobnego środowiska, w tym wirtualnego:
Opcja 1:
- Odłącz wolumin dysku systemu operacyjnego od dotkniętego serwera wirtualnego
- Przed przystąpieniem do dalszych czynności utwórz migawkę lub kopię zapasową woluminu dysku, aby zapobiec niezamierzonym zmianom
- Podłącz/zamontuj wolumin na nowym serwerze wirtualnym
- Przejdź do katalogu %WINDIR%\System32\drivers\CrowdStrike
- Zlokalizuj plik odpowiadający „C-00000291*.sys” i usuń go.
- Odłącz wolumin od nowego serwera wirtualnego
- Ponownie podłącz stały wolumin do serwera wirtualnego, którego to dotyczy
Opcja 2:
- Powrót do migawki sprzed godziny 04:09 UTC.
Dokumentacja specyficzna dla AWS:
Środowiska Azure:
Dostęp użytkownika do klucza odzyskiwania w portalu Workspace ONE
Gdy to ustawienie jest włączone, użytkownicy mogą pobrać klucz odzyskiwania BitLocker z portalu Workspace ONE bez konieczności kontaktowania się z HelpDesk w celu uzyskania pomocy. Aby włączyć klucz odzyskiwania w portalu Workspace ONE, wykonaj następujące kroki. Więcej informacji można znaleźć w tym artykule Omnissa.
Zarządzanie szyfrowaniem systemu Windows za pośrednictwem Tanium
Odzyskiwanie Bitlockera za pośrednictwem Citrix
KB związane z odzyskiwaniem BitLocker:
Dodatkowe zasoby:
