admin管理员组

文章数量:1658761

1. 事件描述

网络上发现大量企业Windows系统主机出现BSOD(Bluescreen of Death)并循环重启。

观察蓝屏信息,发现造成蓝屏的程序均是csagent.sys,该程序为CrowdStrike终端安全软件组件。

经确认,CrowdStrike是造成本次大面积Windows系统BSOD的原因。

2. CrowdStrike官方信息

CrowdStrike发布声明称:“安全终端中的Falcon Sensor猎鹰传感器导致Windows系统冲突从而引起系统蓝屏状态。”

声明链接地址(该链接需要CrowdStrike账号访问):https://supportportal.crowdstrike/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19

声明见下图4 / 5 

3. 问题自查
3.1. 方法一

请检查是否存在以下CrowdStrike产品:

⚫ Falcon Endpoint Protection

◼ Falcon Pro: 包括Falcon Prevent、Falcon X等附加组件

◼ Falcon Enterprise: 增加Falcon Insight

◼ Falcon Premium: 包含Falcon Prevent、Falcon Insight和Falcon Discover

◼ Falcon Complete

⚫ 云工作负载保护

◼ Falcon Cloud Workload Protection (CWP)

◼ Falcon Horizon

⚫ 身份保护

◼ Falcon Identity Protection

⚫ 威胁情报和响应◼ Falcon X

◼ Falcon OverWatch

◼ Falcon Forensics

⚫ 其他服务◼ Falcon Spotlight

◼ Falcon Device Control

◼ Falcon Firewall Management

3.2. 方法二

若发现BSOD(蓝屏死机),请检查告警是否与csagent.sys有关(BSOD底部)。

BSOD及程序信息见下图5 / 5 

4. 临时处置办法

 4.1. 官方临时解决方案

若发现存在BSOD情况,且确认为csagent.sys造成,则可通过以方案进行临时修复。

CrowdStrike官方Workaround见下图

翻译如下:

1. 将Windows 启动到安全模式或Windows 恢复环境;

2. 导航到C:\Windows\System32\drivers\CrowdStrike 目录;

3. 找到匹配“C-00000291*.sys”的文件,并将其删除;

4. 正常启动主机。

4.2. 其他方法(非官方)

1. 将Windows 启动到安全模式或Windows 恢复环境;

2. 将CrowdStrike 文件夹C:\windows\system32\drivers\crowstrike 重命名为其他名称;

3. 正常启动主机。

5. 其他补充信息(Bitlocker相关)

若使用了Bitlocker对磁盘进行加密,则安全模式无法看到CrowdStrike文件夹。

此时需要通过AAD中的Bitlocker恢复密钥先对磁盘进行解锁。

本文标签: 蓝屏事件CrowdStrike

版权声明:本文标题:CrowdStrike更新导致蓝屏事件 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1729823375a1214024.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。