Vyhlásenie o aktualizácii obsahu Falcon pre hostiteľov so systémom Windows

Aktualizované 20. júla 2024 o 5:39 ET

CrowdStrike aktívne spolupracuje so zákazníkmi postihnutými chybou objavenou v jedinej aktualizácii obsahu pre hostiteľov Windows. Hostitelia Mac a Linux nie sú ovplyvnení. Toto nebol kybernetický útok.

Problém bol identifikovaný, izolovaný a bolo nasadené riešenie. Zákazníkov odkazujeme na najnovšie aktualizácie na portáli podpory a na našom blogu budeme naďalej poskytovať priebežné, úplné verejné aktualizácie.

Tiež odporúčame, aby organizácie zabezpečili komunikáciu so zástupcami CrowdStrike prostredníctvom oficiálnych kanálov.

Náš tím je plne pripravený zaistiť bezpečnosť a stabilitu zákazníkov CrowdStrike.

Chápeme vážnosť situácie a hlboko sa ospravedlňujeme za nepríjemnosti a rušenie. Pracujeme so všetkými dotknutými zákazníkmi, aby sme zabezpečili, že systémy budú opäť v prevádzke a budú schopné poskytovať služby, na ktoré sa ich zákazníci spoliehajú.

Uisťujeme našich zákazníkov, že CrowdStrike funguje normálne a že tento problém neovplyvňuje naše systémy platformy Falcon. Ak vaše systémy fungujú normálne, nebude to mať žiadny vplyv na ich ochranu, ak je nainštalovaný senzor Falcon.

Nižšie je uvedené najnovšie technické upozornenie od CrowdStrike s ďalšími informáciami o probléme a krokoch riešenia, ktoré môžu organizácie podniknúť. Budeme pokračovať v poskytovaní aktualizácií našej komunite a priemyslu, keď budú k dispozícii.

zhrnutie

  • CrowdStrike vie o správach o zlyhaniach hostiteľov Windows súvisiacich so senzorom Falcon.

podrobnosti

  • Symptómy zahŕňajú, že hostitelia zaznamenali chybu kontroly chýb/modrej obrazovky súvisiacej so senzorom Falcon.
  • Neovplyvnení hostitelia systému Windows nevyžadujú žiadnu akciu, pretože problematický súbor kanála bol obnovený.
  • Hostitelia Windows, ktorí sa pripájajú na internet po 0527 UTC, tiež nebudú ovplyvnení
  • Tento problém neovplyvňuje hostiteľov so systémom Mac alebo Linux
  • Kanálový súbor „C-00000291*.sys“ s časovou značkou 0527 UTC alebo novšou je vrátená (dobrá) verzia.
  • Verzia s problémom je súbor kanála „C-00000291*.sys“ s časovým označením 0409 UTC.
    • Poznámka: Je normálne mať viacero súborov „C-00000291*.sys“ v adresári CrowdStrike – pokiaľ Jeden Ak má súbor v priečinku časovú značku 0527 UTC alebo novšiu, bude to aktívny obsah.
READ  Russian authorities investigate Alexei Navalny over alleged fraud | Alexey Navalny

Aktuálna akcia

  • CrowdStrike Engineering dokázalo identifikovať zverejnenie obsahu súvisiaceho s týmto problémom a zvrátiť tieto zmeny.
  • Ak hostitelia naďalej zlyhávajú a nemôžu zostať online, aby mohli prijímať zmeny v súboroch kanála, je možné použiť kroky na riešenie nižšie.
  • Uisťujeme našich zákazníkov, že CrowdStrike beží normálne a tento problém neovplyvňuje naše systémy platformy FalconAk vaše systémy fungujú normálne, nebude to mať žiadny vplyv na ich ochranu, ak je nainštalovaný senzor Falcon. Služby Falcon Complete a OverWatch nie sú týmto incidentom narušené.

Dopyt na identifikáciu ovplyvnených hostiteľov prostredníctvom rozšíreného vyhľadávania udalostí

Pozrite si tento článok databázy znalostí: Ako identifikovať hostiteľov, ktorí môžu byť ovplyvnení zlyhaním systému Windows (súbor pdf) alebo Ak chcete zobraziť portál podpory, prihláste sa.

Dashboard

Podobne ako v prípade vyššie uvedeného dopytu je teraz k dispozícii informačný panel, ktorý zobrazuje ovplyvnené kanály, ID zákazníkov a dotknuté senzory. V závislosti od vašich odberov je k dispozícii v ponuke konzoly buď:

  • Next Generation SIEM > Dashboard or;
  • Vyšetrovanie > Panely
  • Má názov: hosts_posssible_impacted_by_windows_crashes

Poznámka: Dashboard nemožno použiť s tlačidlom Live

Články automatického obnovenia:

Prečítajte si tento článok: Automatické obnovenie z modrej obrazovky v inštanciách systému Windows v GCP (pdf) alebo Ak chcete zobraziť portál podpory, prihláste sa.

Kroky na obídenie pre jednotlivých hostiteľov:

  • Reštartujte hostiteľský počítač, aby mal možnosť stiahnuť súbor spätného kanála. Dôrazne odporúčame umiestniť hostiteľské zariadenie do káblovej siete (namiesto WiFi) pred reštartovaním, pretože hostiteľské zariadenie bude môcť rýchlejšie získať internetové pripojenie cez Ethernet.
  • Ak hostiteľ znova spadne, potom:
    • Spustite systém Windows do núdzového režimu alebo prostredia na obnovenie systému Windows
      • Poznámka: Umiestnenie hostiteľa na káblovú sieť (na rozdiel od WiFi) a používanie núdzového režimu so sieťou môže pomôcť vyriešiť problém.
    • Prejdite do adresára %WINDIR%\System32\drivers\CrowdStrike
      • Windows Recovery je predvolene X:\windows\system32
        • Najprv prejdite na príslušný oddiel (predvolené je C:\) a prejdite do adresára crowdstrike:
          • A:
          • cd windows\system32\drivers\crowdstrike
      • Poznámka: Vo WinRE/WinPE prejdite do adresára Windows\System32\drivers\CrowdStrike v priečinku operačného systému
    • Vyberte súbor zodpovedajúci „C-00000291*.sys“ a odstráňte ho.
      • č Odstráňte alebo zmeňte akékoľvek iné súbory alebo priečinky
    • Studený štart hostiteľa
      • Vypnúť hostiteľa.
      • Spustite hostiteľa zo zastaveného stavu.
READ  Najnovšie úmrtie Alexeja Navaľného: „Telo kritika Putina videné v márnici“, keď rodina požaduje jeho vrátenie

Poznámka: Hostitelia šifrovaní pomocou nástroja BitLocker môžu vyžadovať kľúč na obnovenie.

Kroky na obídenie verejného cloudu alebo podobného prostredia vrátane virtualizácie:

Možnosť 1:

  • ​​​​​​​Odpojte diskový zväzok operačného systému od ovplyvneného virtuálneho servera
  • Pred pokračovaním vytvorte snímku alebo zálohu diskového zväzku ako preventívne opatrenie proti neúmyselným zmenám
  • Pripojte/pripojte zväzok k novému virtuálnemu serveru
  • Prejdite do adresára %WINDIR%\System32\drivers\CrowdStrike
  • Vyberte súbor zodpovedajúci „C-00000291*.sys“ a odstráňte ho.
  • Odpojenie zväzku od nového virtuálneho servera
  • Znova pripojte trvalý zväzok k ovplyvnenému virtuálnemu serveru

Možnosť 2:

  • Vráťte sa na snímku pred 0409 UTC.

Dokumentácia AWS:

Prostredia Azure:

Kľúč na obnovenie prístupu používateľa na portáli Workspace ONE

Keď je toto nastavenie povolené, používatelia môžu získať svoj kľúč na obnovenie nástroja BitLocker z portálu Workspace ONE bez toho, aby museli kontaktovať Centrum pomoci so žiadosťou o pomoc. Ak chcete zapnúť kľúč na obnovenie na portáli Workspace ONE, postupujte podľa týchto krokov. Pozrite si toto Článok Omnisa Pre viac informácií.

Spravujte šifrovanie Windows cez Tanium

Obnova bitlockera cez Citrix

aktualizovaťSprievodca opravami technológie Intel vPro®

Znalostná báza obnovy BitLocker:

Dodatočné zdroje:

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *