december 22, 2024

Androbit techmagazin

Az Androbit tényeken alapuló híreivel, exkluzív videofelvételeivel, fotóival és frissített térképeivel maradjon naprakész Magyarország legfrissebb fejleményein.

Falcon tartalomfrissítési nyilatkozat Windowst futtató gazdagépekhez

Frissítve 2024. július 19-én, 21:13-kor ET

A CrowdStrike aktívan dolgozik azokkal az ügyfelekkel, akiket a Windows-gazdagépek egyetlen tartalomfrissítésében felfedezett hiba érint. A Mac és Linux gazdagépeket ez nem érinti. Ez nem számítógépes támadás volt.

A problémát azonosították, elkülönítették, és megoldást találtak. Ügyfeleinket a támogatási portálra irányítjuk a legfrissebb frissítésekért, és továbbra is folyamatos, teljes nyilvános frissítéseket biztosítunk blogunkon.

Azt is javasoljuk, hogy a szervezetek hivatalos csatornákon keresztül kommunikáljanak a CrowdStrike képviselőivel.

Csapatunk teljes mértékben felkészült a CrowdStrike ügyfelei biztonságának és stabilitásának biztosítására.

Megértjük a helyzet súlyosságát, és elnézést kérünk a kellemetlenségekért és a zavarokért. Minden érintett ügyfelünkkel együtt dolgozunk annak biztosítása érdekében, hogy a rendszerek újra működjenek, és képesek legyenek az ügyfeleik által elvárt szolgáltatásokat nyújtani.

Biztosítjuk ügyfeleinket, hogy a CrowdStrike normálisan működik, és ez a probléma nem érinti Falcon platformrendszereinket. Ha rendszerei megfelelően működnek, a Falcon érzékelő felszerelése nincs hatással a védelemre.

Az alábbiakban a CrowdStrike legújabb technikai figyelmeztetése található, amely további információkat tartalmaz a problémáról és a szervezetek által megtehető megoldási lépésekről. Továbbra is frissítjük közösségünket és iparágunkat, amint elérhetővé válnak.

összefoglaló

részletek

  • A tünetek közé tartozik, hogy a gazdagépek hibaellenőrzést\blue screen hibát tapasztalnak a Falcon érzékelővel kapcsolatban.
  • A nem érintett Windows gazdagépek nem igényelnek semmilyen teendőt, mivel a problémás csatornafájlt megfordították.
  • Azokat a Windows hosztokat sem érinti, amelyek 0527 UTC után csatlakoznak az internethez
  • Ez a probléma nem érinti a Mac vagy Linux rendszerű gazdagépeket
  • A 0527 UTC vagy újabb időcímkével rendelkező „C-00000291*.sys” csatornafájl a visszaadott (jó) verzió.
  • A 0409 UTC időcímkével rendelkező „C-00000291*.sys” csatornafájl a probléma verziója.
    • Megjegyzés: Normális, ha több „C-00000291*.sys” fájl van a CrowdStrike könyvtárban – mindaddig, amíg a mappában lévő egyik fájl időcímkéje 0527 UTC vagy újabb, ez lesz az aktív tartalom.

Aktuális akció

  • A CrowdStrike Engineering képes volt azonosítani a problémával kapcsolatos tartalom közzétételét, és vissza tudta fordítani a változtatásokat.
  • Ha a gazdagépek továbbra is összeomlanak, és nem tudnak online maradni a csatornafájl módosításainak fogadásához, használhatja az alábbi megoldási lépéseket.
  • Biztosítjuk ügyfeleinket arról A CrowdStrike normálisan fut, és ez a probléma nem érinti Falcon platformrendszereinketHa rendszerei megfelelően működnek, a Falcon érzékelő felszerelése nincs hatással a védelemre. A Falcon Complete és a Falcon OverWatch szolgáltatásait nem zavarja ez az incidens.

Lekérdezés az érintett gazdagépek azonosításához speciális eseménykereséssel

Tekintse meg ezt a tudásbázis-cikket: A Windows összeomlása által érintett gazdagépek azonosítása (pdf fájl) vagy A támogatási portál megtekintéséhez jelentkezzen be.

Automatikus helyreállítási cikkek:

Kérjük, olvassa el ezt a cikket: Automatikus helyreállítás kék képernyőről Windows-példányokban GCP-ben (pdf) vagy A támogatási portál megtekintéséhez jelentkezzen be.

Megoldó lépések az egyes gazdagépeknél:

  • Indítsa újra a gazdagépet, hogy lehetőséget adjon a visszatérési csatorna fájl letöltésére. Erősen javasoljuk, hogy az újraindítás előtt csatlakoztassa a gazdagépet vezetékes hálózatra (WiFi helyett), mivel a gazdaeszköz gyorsabban tud csatlakozni az Ethernethez.
  • Ha a házigazda ismét leáll, akkor:
    • Indítsa el a Windows rendszert csökkentett módba vagy Windows helyreállítási környezetbe
      • Megjegyzés: Ha a gazdagépet vezetékes hálózatra helyezi (a WiFi-vel ellentétben), és a csökkentett módot használja a hálózattal, segíthet a probléma megoldásában.
    • Keresse meg a %WINDIR%\System32\drivers\CrowdStrike könyvtárat
      • Megjegyzés: A WinRE/WinPE alkalmazásban lépjen az operációs rendszer mappájának Windows\System32\drivers\CrowdStrike könyvtárába.
    • Válassza ki a „C-00000291*.sys” fájlnak megfelelő fájlt, és törölje azt.
    • Kapcsolja be a gazdagépet a szokásos módon.
    • Megjegyzés: A BitLockerrel titkosított gazdagépekhez helyreállítási kulcsra lehet szükség.

A nyilvános felhő vagy hasonló környezet, beleértve a virtualizációt, megkerülésének lépései:

1.opció:

  • Távolítsa el az operációs rendszer lemezkötetet az érintett virtuális szerverről
  • Készítsen pillanatképet vagy biztonsági másolatot a lemezkötetről, mielőtt folytatná a nem szándékos változtatások elleni óvintézkedést
  • Kapcsolja össze/csatlakoztassa a kötetet egy új virtuális szerverhez
  • Keresse meg a %WINDIR%\System32\drivers\CrowdStrike könyvtárat
  • Válassza ki a „C-00000291*.sys” fájlnak megfelelő fájlt, és törölje azt.
  • A kötet leválasztása az új virtuális szerverről
  • Csatlakoztassa újra az állandó kötetet az érintett virtuális kiszolgálóhoz

2. lehetőség:

  • Térjen vissza a 0409 UTC előtti pillanatképhez.

AWS dokumentáció:

Azure-környezetek:

Felhasználói hozzáférés a helyreállítási kulcshoz a Workspace ONE portálon

Ha ez a beállítás engedélyezve van, a felhasználók lekérhetik BitLocker helyreállítási kulcsukat a Workspace ONE portálról anélkül, hogy a Súgóhoz kellene fordulniuk segítségért. A helyreállítási kulcs bekapcsolásához a Workspace ONE portálon kövesse az alábbi lépéseket. Kérjük, nézze meg ezt Omnisa cikk további információért.

Kezelje a Windows titkosítását a Tanium segítségével

Bitlocker helyreállítás a Citrix segítségével

BitLocker helyreállítási tudásbázis:

További források: