Frissítve 2024. július 19-én, 21:13-kor ET
A CrowdStrike aktívan dolgozik azokkal az ügyfelekkel, akiket a Windows-gazdagépek egyetlen tartalomfrissítésében felfedezett hiba érint. A Mac és Linux gazdagépeket ez nem érinti. Ez nem számítógépes támadás volt.
A problémát azonosították, elkülönítették, és megoldást találtak. Ügyfeleinket a támogatási portálra irányítjuk a legfrissebb frissítésekért, és továbbra is folyamatos, teljes nyilvános frissítéseket biztosítunk blogunkon.
Azt is javasoljuk, hogy a szervezetek hivatalos csatornákon keresztül kommunikáljanak a CrowdStrike képviselőivel.
Csapatunk teljes mértékben felkészült a CrowdStrike ügyfelei biztonságának és stabilitásának biztosítására.
Megértjük a helyzet súlyosságát, és elnézést kérünk a kellemetlenségekért és a zavarokért. Minden érintett ügyfelünkkel együtt dolgozunk annak biztosítása érdekében, hogy a rendszerek újra működjenek, és képesek legyenek az ügyfeleik által elvárt szolgáltatásokat nyújtani.
Biztosítjuk ügyfeleinket, hogy a CrowdStrike normálisan működik, és ez a probléma nem érinti Falcon platformrendszereinket. Ha rendszerei megfelelően működnek, a Falcon érzékelő felszerelése nincs hatással a védelemre.
Az alábbiakban a CrowdStrike legújabb technikai figyelmeztetése található, amely további információkat tartalmaz a problémáról és a szervezetek által megtehető megoldási lépésekről. Továbbra is frissítjük közösségünket és iparágunkat, amint elérhetővé válnak.
összefoglaló
részletek
- A tünetek közé tartozik, hogy a gazdagépek hibaellenőrzést\blue screen hibát tapasztalnak a Falcon érzékelővel kapcsolatban.
- A nem érintett Windows gazdagépek nem igényelnek semmilyen teendőt, mivel a problémás csatornafájlt megfordították.
- Azokat a Windows hosztokat sem érinti, amelyek 0527 UTC után csatlakoznak az internethez
- Ez a probléma nem érinti a Mac vagy Linux rendszerű gazdagépeket
- A 0527 UTC vagy újabb időcímkével rendelkező „C-00000291*.sys” csatornafájl a visszaadott (jó) verzió.
- A 0409 UTC időcímkével rendelkező „C-00000291*.sys” csatornafájl a probléma verziója.
- Megjegyzés: Normális, ha több „C-00000291*.sys” fájl van a CrowdStrike könyvtárban – mindaddig, amíg a mappában lévő egyik fájl időcímkéje 0527 UTC vagy újabb, ez lesz az aktív tartalom.
Aktuális akció
- A CrowdStrike Engineering képes volt azonosítani a problémával kapcsolatos tartalom közzétételét, és vissza tudta fordítani a változtatásokat.
- Ha a gazdagépek továbbra is összeomlanak, és nem tudnak online maradni a csatornafájl módosításainak fogadásához, használhatja az alábbi megoldási lépéseket.
- Biztosítjuk ügyfeleinket arról A CrowdStrike normálisan fut, és ez a probléma nem érinti Falcon platformrendszereinketHa rendszerei megfelelően működnek, a Falcon érzékelő felszerelése nincs hatással a védelemre. A Falcon Complete és a Falcon OverWatch szolgáltatásait nem zavarja ez az incidens.
Lekérdezés az érintett gazdagépek azonosításához speciális eseménykereséssel
Tekintse meg ezt a tudásbázis-cikket: A Windows összeomlása által érintett gazdagépek azonosítása (pdf fájl) vagy A támogatási portál megtekintéséhez jelentkezzen be.
Automatikus helyreállítási cikkek:
Kérjük, olvassa el ezt a cikket: Automatikus helyreállítás kék képernyőről Windows-példányokban GCP-ben (pdf) vagy A támogatási portál megtekintéséhez jelentkezzen be.
Megoldó lépések az egyes gazdagépeknél:
- Indítsa újra a gazdagépet, hogy lehetőséget adjon a visszatérési csatorna fájl letöltésére. Erősen javasoljuk, hogy az újraindítás előtt csatlakoztassa a gazdagépet vezetékes hálózatra (WiFi helyett), mivel a gazdaeszköz gyorsabban tud csatlakozni az Ethernethez.
- Ha a házigazda ismét leáll, akkor:
- Indítsa el a Windows rendszert csökkentett módba vagy Windows helyreállítási környezetbe
- Megjegyzés: Ha a gazdagépet vezetékes hálózatra helyezi (a WiFi-vel ellentétben), és a csökkentett módot használja a hálózattal, segíthet a probléma megoldásában.
- Keresse meg a %WINDIR%\System32\drivers\CrowdStrike könyvtárat
- Megjegyzés: A WinRE/WinPE alkalmazásban lépjen az operációs rendszer mappájának Windows\System32\drivers\CrowdStrike könyvtárába.
- Válassza ki a „C-00000291*.sys” fájlnak megfelelő fájlt, és törölje azt.
- Kapcsolja be a gazdagépet a szokásos módon.
- Megjegyzés: A BitLockerrel titkosított gazdagépekhez helyreállítási kulcsra lehet szükség.
A nyilvános felhő vagy hasonló környezet, beleértve a virtualizációt, megkerülésének lépései:
1.opció:
- Távolítsa el az operációs rendszer lemezkötetet az érintett virtuális szerverről
- Készítsen pillanatképet vagy biztonsági másolatot a lemezkötetről, mielőtt folytatná a nem szándékos változtatások elleni óvintézkedést
- Kapcsolja össze/csatlakoztassa a kötetet egy új virtuális szerverhez
- Keresse meg a %WINDIR%\System32\drivers\CrowdStrike könyvtárat
- Válassza ki a „C-00000291*.sys” fájlnak megfelelő fájlt, és törölje azt.
- A kötet leválasztása az új virtuális szerverről
- Csatlakoztassa újra az állandó kötetet az érintett virtuális kiszolgálóhoz
2. lehetőség:
- Térjen vissza a 0409 UTC előtti pillanatképhez.
AWS dokumentáció:
Azure-környezetek:
Felhasználói hozzáférés a helyreállítási kulcshoz a Workspace ONE portálon
Ha ez a beállítás engedélyezve van, a felhasználók lekérhetik BitLocker helyreállítási kulcsukat a Workspace ONE portálról anélkül, hogy a Súgóhoz kellene fordulniuk segítségért. A helyreállítási kulcs bekapcsolásához a Workspace ONE portálon kövesse az alábbi lépéseket. Kérjük, nézze meg ezt Omnisa cikk további információért.
Kezelje a Windows titkosítását a Tanium segítségével
Bitlocker helyreállítás a Citrix segítségével
BitLocker helyreállítási tudásbázis:
További források:
„Web maven. Dühítően alázatos sörgeek. Bacon fanatikus. Tipikus alkotó. Zenei szakértő.”
More Stories
Japán: Shanshan tájfun: Emberek millióinak evakuálását kérték, miután az elmúlt évtizedek egyik legerősebb tájfun sújtotta Japánt
A brazil legfelsőbb bíróság az X vállalat tevékenységének felfüggesztésével fenyegetőzik egy folyamatban lévő vita legújabb fejlesztése miatt.
Namíbia elefántokat, zebrákat és vízilovakat öl meg, a húst pedig a szárazságtól sújtottaknak adja