Исправления CrowdStrike начинаются с «перезагрузки до 15 раз» и далее усложняются.

Исправления CrowdStrike начинаются с «перезагрузки до 15 раз» и далее усложняются.


Исправления CrowdStrike начинаются с «перезагрузки до 15 раз» и далее усложняются.

Как преданный своему делу ИТ-администратор, потративший бесчисленное количество часов на обеспечение бесперебойной работы технологической инфраструктуры нашей организации, я не могу не почувствовать тошноту в животе, когда читаю о массовых сбоях в работе, произошедших этим утром из-за ошибочного обновления CrowdStrike. Изображение пресловутого синего экрана смерти (BSOD) возвращает воспоминания о бесчисленных ночах, проведенных за устранением подобных проблем, попытками вернуть наши системы в оперативный режим и минимизировать время простоя нашего бизнеса.


Как опытный специалист в области кибербезопасности с более чем двадцатилетним опытом работы за плечами, я видел немало сбоев в программном обеспечении и системных сбоев. Но сегодняшние новости об обновлении безопасности Falcon от CrowdStrike, вызывающем зависание систем на базе Windows со зловещим сообщением об ошибке «синий экран смерти» (BSOD), вызвали у меня чувство дежавю и разочарования.

Основываясь на моем обширном опыте опытного ИТ-специалиста, я настоятельно рекомендую ИТ-администраторам уделить приоритетное внимание возобновлению работы своих систем как можно скорее после недавнего сбоя, вызванного затронутым обновлением. По данным заслуживающих доверия источников, таких как Microsoft и CrowdStrike, проблемное обновление было изъято из обращения.

Отчет о состоянии Microsoft Azure предлагает простое решение для решения проблем с определенными компьютерами: повторный перезапуск этих проблемных устройств дает им множество возможностей загрузить безупречное обновление CrowdStrike до того, как они столкнутся с неисправным драйвером, который вызывает BSOD (синий экран смерти). По данным Microsoft, некоторым клиентам потребовалось инициировать до 15 перезагрузок системы, чтобы успешно получить обновление.

Исправления CrowdStrike начинаются с «перезагрузки до 15 раз» и далее усложняются.

Если перезагрузка не помогает

Если повторные перезагрузки не решают вашу проблему, Microsoft советует восстановить ваши системы с помощью резервной копии, созданной до 18 июля, 4:09 UTC (ранним утром пятницы по восточному времени). Это рекомендуется, поскольку CrowdStrike распространила ошибочное обновление около 5:27 UTC. CrowdStrike с тех пор решил проблему.

Если более простые решения не дали результатов и ваш компьютер продолжает зависать с ошибками BSOD, рассмотрите возможность загрузки его в безопасном режиме. В этом режиме у вас будет возможность вручную удалить проблемный файл, вызывающий проблему. Тем, кто работает с виртуальными машинами, рекомендуется сначала подключить виртуальный диск к виртуальной машине функционального восстановления. После удаления проблемного файла вы можете снова подключить виртуальный диск к исходной виртуальной машине.

Рассматриваемый файл представляет собой драйвер CrowdStrike, расположенный по адресу Windows/System32/Drivers/CrowdStrike/C-00000291*.sys. После его удаления компьютер должен перезагрузиться в обычном режиме и получить неповрежденную версию драйвера.

Удаление файла в каждой затронутой системе по отдельности занимает значительное время. Эта задача становится еще более трудоемкой для пользователей шифрования дисков Microsoft BitLocker, поскольку им необходимо получить ключ восстановления, прежде чем они смогут получить доступ к зашифрованным файлам и удалить их. Обычно этот процесс остается незамеченным, поскольку система автоматически считывает сохраненный ключ из физического или виртуального доверенного платформенного модуля (TPM) для расшифровки.

Администраторы, не использующие управление ключами для хранения ключей восстановления, могут столкнуться с проблемами, поскольку доступ к диску невозможен без этого важного ключа (по замыслу). По сути, отсутствие ключа равнозначно блокировке ваших дисков, что делает это похожим на «ситуацию с программой-вымогателем, которую вы сами создали». В этом случае злоумышленник шифрует ваши системные диски и сохраняет ключ дешифрования до тех пор, пока не будет произведена оплата.

Если у вас есть ключ восстановления, все равно существует вероятность того, что ваш сервер управления ключами также может быть скомпрометирован ошибкой CrowdStrike.

Мы будем продолжать следить за последними предложениями Microsoft и CrowdStrike относительно решений, поскольку их веб-сайты будут обновляться новой информацией.

Я осознаю серьезность проблемы и искренне извиняюсь за любые неудобства и сбои, которые это могло вызвать. Как наблюдатель, я вижу, что наша команда в настоящее время сотрудничает со всеми пострадавшими клиентами, чтобы восстановить их системы и дать им возможность предоставлять основные услуги, на которые полагаются их собственные клиенты.

Смотрите также

2024-07-19 20:24