由于 CrowdStrike 的网络安全更新存在问题,全球多家公司目前被迫暂停运营。该更新导致数以千计的 Windows 电脑瘫痪,造成电脑启动循环并崩溃,出现 csagent.sys (PAGE_FAULT_IN_NONEPAGED_AREA) 的蓝屏死机错误信息。
受影响的公司包括银行、航空公司、电视频道等,其中一些公司几乎被迫完全停止工作,大多数 Windows PC 都因 CrowdStrike 的猎鹰传感器代理而无法工作,该系统可监控网络活动并防止网络攻击。一位来自马来西亚的用户在 Reddit 上说,他们 70% 的笔记本电脑陷入启动循环:
马来西亚,我们 70% 的笔记本电脑宕机并卡在启动循环中,日本总部下令全公司停机,有人要为这破事挨枪子儿了。
CrowdStrike 已经确认了问题所在,并恢复了更新。但是,已经受到影响的机器仍然无法正常运行。当 IT 管理员们正在绞尽脑汁试图弄清发生了什么事以及如何恢复电脑时,Reddit 上的一个冗长线程建议删除 CrowdStrike 目录中的一个文件:
解决步骤:
- 将 Windows 启动到安全模式或 Windows 恢复环境;
- 导航至 C:\Windows\System32\drivers\CrowdStrike 目录;
- 找到与 “C-00000291*.sys ”匹配的文件,并将其删除;
- 正常启动主机。
虽然启动到安全模式并删除单个文件在单台机器上听起来并不难,但对 IT 管理员来说,为数百台电脑、远程设备和基于云的服务提供服务将是一件相当麻烦的事情。