CrowdStrike引发Windows系统崩溃的临时解决方案
问题背景
由于CrowdStrike最近的一次更新,全球Windows系统遭遇了大规模故障。这个问题已对美国911紧急服务、媒体、航班、市场和证券交易所等多个关键行业造成严重影响。
CrowdStrike已承认问题与其Falcon传感器有关,该问题导致Windows系统出现蓝屏错误或进入启动循环。根本原因被确定为CrowdStrike在周五推出的更新。
CrowdStrike蓝屏修复方案
CrowdStrike工程师正在积极解决此问题。同时,我们开发了一个临时解决方案,帮助您将生产服务器重新上线。这涉及禁用CrowdStrike代理,使系统能够正常重启和运行。请注意,这是一个临时修复方案,会使服务器处于无保护状态。
CrowdStrike临时解决方案
如果您遇到问题,请按照以下高级步骤禁用CrowdStrike代理:
对于AWS(亚马逊云服务)
步骤1:连接到您的EC2实例
- 打开Amazon EC2控制台:https://console.aws.amazon.com/ec2/
- 在导航窗格中选择"实例"
- 选择要排查的实例
- 点击"操作" > “实例状态” > “停止"以停止实例
步骤2:启用安全模式
- 从现有实例创建AMI,确保在更改前有备份
- 从停止的实例分离根EBS卷:
- 选择实例
- 点击"操作” > “实例设置” > “附加/替换根卷” > “分离根卷”
- 将分离的根EBS卷附加到另一个运行的Windows实例:
- 选择一个运行的Windows实例
- 点击"操作" > “实例设置” > “附加卷"并附加分离的卷
- 远程桌面连接到运行的Windows实例
- 打开磁盘管理并为附加的卷分配驱动器号
- 以管理员身份打开命令提示符并导航到附加的卷(例如D:)
步骤3:修改启动配置
执行以下命令启用安全模式:
|
|
步骤4:分离和重新附加卷
- 从运行的实例分离卷
- 将卷作为根卷重新附加到原始实例
- 从EC2控制台启动原始实例
步骤5:连接并执行命令
- 使用远程桌面连接到实例
- 以管理员身份打开命令提示符
- 运行以下命令:
|
|
步骤6:禁用安全模式
- 以管理员身份重新打开命令提示符
- 运行以下命令禁用安全模式:
|
|
- 重启实例以进入正常模式
对于Azure
步骤1:连接到您的VM
- 打开Azure门户:https://portal.azure.com/
- 导航到"虚拟机”
- 选择要排查的VM
- 点击"停止"以解除分配VM
步骤2:启用安全模式
- 创建OS磁盘的快照以确保有备份
- 从停止的VM分离OS磁盘:
- 导航到VM下的"磁盘"
- 选择OS磁盘并点击"分离"
- 将分离的OS磁盘附加到另一个运行的Windows VM:
- 导航到运行的VM
- 点击"磁盘" > “附加现有磁盘"并选择分离的OS磁盘
- 远程桌面连接到运行的Windows VM
- 打开磁盘管理并为附加的磁盘分配驱动器号
- 以管理员身份打开命令提示符并导航到附加的磁盘(例如D:)
步骤3:修改启动配置
执行以下命令启用安全模式:
|
|
步骤4:分离和重新附加磁盘
- 从运行的VM分离磁盘
- 将磁盘作为OS磁盘重新附加到原始VM
- 从Azure门户启动原始VM
步骤5:连接并执行命令
- 使用远程桌面连接到VM
- 以管理员身份打开命令提示符
- 运行以下命令:
|
|
步骤6:禁用安全模式
- 以管理员身份重新打开命令提示符
- 运行以下命令禁用安全模式:
|
|
- 重启VM以进入正常模式
结论
此解决方案为CrowdStrike代理引起的严重问题提供了临时解决方法,使您能够恢复生产服务器和系统的运行。我们强烈建议关注CrowdStrike的更新以获取永久修复方案,并尽快重新启用代理以确保系统安全。
如需进一步协助,请联系我们的支持团队。