Prohlášení o aktualizaci obsahu Falcon pro hostitele se systémem Windows

Prohlášení o aktualizaci obsahu Falcon pro hostitele se systémem Windows

Aktualizováno v 21:13 ET, 19. července 2024

CrowdStrike aktivně spolupracuje se zákazníky postiženými chybou objevenou v jediné aktualizaci obsahu pro hostitele Windows. Hostitelé Mac a Linux nejsou ovlivněni. Nejednalo se o kybernetický útok.

Problém byl identifikován, izolován a bylo nasazeno řešení. Zákazníky odkazujeme na nejnovější aktualizace na portál podpory a na našem blogu budeme i nadále poskytovat průběžné úplné veřejné aktualizace.

Také doporučujeme, aby organizace zajistily komunikaci se zástupci CrowdStrike prostřednictvím oficiálních kanálů.

Náš tým je plně připraven zajistit bezpečnost a stabilitu zákazníků CrowdStrike.

Chápeme vážnost situace a hluboce se omlouváme za nepříjemnosti a narušení. Pracujeme se všemi dotčenými zákazníky, abychom zajistili, že systémy budou zpět v provozu a budou schopny poskytovat služby, na které se jejich zákazníci spoléhají.

Ujišťujeme naše zákazníky, že CrowdStrike funguje normálně a že tento problém neovlivňuje naše systémy platformy Falcon. Pokud vaše systémy fungují normálně, nebude to mít žádný dopad na jejich ochranu, pokud je nainstalován senzor Falcon.

Níže je nejnovější technické upozornění od CrowdStrike s dalšími informacemi o problému a krocích, které mohou organizace podniknout. Budeme pokračovat v poskytování aktualizací naší komunitě a odvětví, jakmile budou k dispozici.

souhrn

  • CrowdStrike si je vědom zpráv o haváriích na hostitelích Windows souvisejících se senzorem Falcon.

podrobnosti

  • Příznaky zahrnují, že hostitelé zaznamenali chybu kontroly chyb\modrá obrazovka související se senzorem Falcon.
  • Neovlivnění hostitelé Windows nevyžadují žádnou akci, protože soubor problematického kanálu byl zrušen.
  • Hostitelé Windows, kteří se připojují k Internetu po 0527 UTC, také nebudou ovlivněni
  • Tento problém se netýká hostitelů se systémem Mac nebo Linux
  • Soubor kanálu „C-00000291*.sys“ s časovou značkou 0527 UTC nebo novější je vrácená (dobrá) verze.
  • Soubor kanálu „C-00000291*.sys“ s časovou značkou 0409 UTC je verze s problémem.
    • Poznámka: Je normální mít v adresáři CrowdStrike více souborů „C-00000291*.sys“ – pokud má jeden ze souborů ve složce časovou značku 0527 UTC nebo novější, bude to aktivní obsah.
READ  Indie kritizuje nová britská pravidla cestování jako „diskriminační“, varuje před odvetou

Aktuální akce

  • CrowdStrike Engineering dokázal identifikovat zveřejnění obsahu souvisejícího s tímto problémem a zvrátit tyto změny.
  • Pokud hostitelé nadále selhávají a nemohou zůstat online, aby mohli přijímat změny souborů kanálu, je možné použít níže uvedené kroky k řešení.
  • Ujišťujeme naše zákazníky, že CrowdStrike běží normálně a tento problém nemá vliv na naše systémy platformy FalconPokud vaše systémy fungují normálně, nebude mít na jejich ochranu žádný vliv, pokud je nainstalován senzor Falcon. Služby Falcon Complete a Falcon OverWatch nejsou tímto incidentem narušeny.

Dotaz k identifikaci postižených hostitelů pomocí pokročilého vyhledávání událostí

Přečtěte si prosím tento článek znalostní báze: Jak identifikovat hostitele, kteří mohou být ovlivněni havárií Windows (soubor pdf) nebo Pro zobrazení portálu podpory se přihlaste.

Články automatického obnovení:

Přečtěte si prosím tento článek: Automatické obnovení z modré obrazovky v instancích Windows v GCP (pdf) nebo Pro zobrazení portálu podpory se přihlaste.

Postup řešení pro jednotlivé hostitele:

  • Restartujte hostitelský počítač, abyste mu dali příležitost stáhnout soubor zpětného kanálu. Důrazně doporučujeme umístit hostitelské zařízení do kabelové sítě (místo WiFi) před restartem, protože hostitelské zařízení bude moci získat připojení k internetu rychleji přes Ethernet.
  • Pokud hostitel znovu spadne, pak:
    • Spusťte systém Windows do nouzového režimu nebo prostředí Windows Recovery Environment
      • Poznámka: Umístění hostitele do kabelové sítě (na rozdíl od WiFi) a použití nouzového režimu se sítí může pomoci vyřešit problém.
    • Přejděte do adresáře %WINDIR%\System32\drivers\CrowdStrike
      • Poznámka: Ve WinRE/WinPE přejděte do adresáře Windows\System32\drivers\CrowdStrike složky operačního systému
    • Vyberte soubor odpovídající „C-00000291*.sys“ a odstraňte jej.
    • Normálně zapněte hostitele.
    • Poznámka: Hostitelé šifrovaní pomocí nástroje BitLocker mohou vyžadovat klíč pro obnovení.

Kroky, jak obejít veřejný cloud nebo podobné prostředí včetně virtualizace:

Možnost 1:

  • ​​​​​​​Odpojte diskový svazek operačního systému od postiženého virtuálního serveru
  • Než budete pokračovat, vytvořte snímek nebo zálohu diskového svazku jako preventivní opatření proti nechtěným změnám
  • Připojte/připojte svazek k novému virtuálnímu serveru
  • Přejděte do adresáře %WINDIR%\System32\drivers\CrowdStrike
  • Vyberte soubor odpovídající „C-00000291*.sys“ a odstraňte jej.
  • Odpojení svazku od nového virtuálního serveru
  • Znovu připojte trvalý svazek k ohroženému virtuálnímu serveru
READ  Ekvádor trpí celostátním výpadkem elektřiny, říká vládní úředník

Možnost 2:

  • Návrat na snímek před 0409 UTC.

Dokumentace AWS:

Prostředí Azure:

Uživatelský přístup ke klíči pro obnovení na portálu Workspace ONE

Když je toto nastavení povoleno, uživatelé mohou načíst svůj obnovovací klíč BitLocker z portálu Workspace ONE, aniž by museli kontaktovat centrum nápovědy o pomoc. Chcete-li zapnout obnovovací klíč na portálu Workspace ONE, postupujte takto. Podívejte se prosím na toto Článek Omnisa Pro více informací.

Spravujte šifrování Windows přes Tanium

Obnova bitlockeru přes Citrix

Znalostní báze pro obnovu BitLocker:

Dodatečné zdroje:

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *