今天,网络安全提供商CrowdStrike的一次错误更新导致数千台PC和服务器因蓝屏机(BSOD)错误而离线,世界各地的IT管理员都在忙着修复Windows计算机的一个重大问题。虽然CrowdStrike已经修复了最初导致问题的更新,但许多系统仍处于离线状态,银行、航空公司、超市和电视广播公司在没有机器的情况下苦苦挣扎。
对于许多人来说,修复并不容易。IT管理员仍在尝试使用CrowdStrike提供的初始解决方法,其中包括将Windows系统启动到安全模式并删除系统文件:
将Windows启动到安全模式或Windows恢复环境
导航到C:\Windows\System32\drivers\CrowdStrike目录
找到匹配“C-00000291*.sys”的文件并将其删除
启动主机
这些步骤强制Windows启动到安全模式环境,在该环境中,第三方驱动程序(如CrowdStrike的内核级驱动程序)无法加载。然后,IT管理员必须在磁盘上找到故障驱动程序并将其删除。在大多数情况下,此解决方法需要物理访问机器。在某些环境中,BitLocker等磁盘加密甚至缺乏管理员权限可能会使删除故障驱动程序变得复杂。
另一个选择是等待CrowdStrike的修复程序完成—但获取修复程序一直是一个问题。一些IT管理员只是一遍又一遍地重新启动机器,希望CrowdStrike更新能够在CrowdStrike的保护引擎初始化之前通过网络堆栈推送,然后使机器BSOD。关闭机器然后再打开(是的,真的)似乎对某些机器有效,有报告称机器在多次重新启动后重新上线。
CrowdStrike的更新服务器和内容传送网络可能会因数百万台机器访问其服务器进行更新而受到重创,因此重启方法可能需要一些时间才能发挥作用。
运行虚拟桌面的企业可能能够比其他企业更快地恢复,只需将受影响的主机恢复到CrowdStrike错误更新造成严重破坏之前的某个时间点即可。在无法重新启动的环境中,启动到安全模式的解决方法目前似乎是最佳选择。
无论如何,这个问题不会像我们在云提供商那里看到的典型互联网中断那样在几个小时内得到解决。“对于某些无法自动恢复的系统来说,可能需要一些时间,但我们的使命是确保每个客户都能完全恢复,”CrowdStrike首席执行官乔治·库尔茨在接受NBC新闻采访时表示。
在同一次采访中,库尔茨对CrowdStrike更新造成的损害表示道歉,但毫无疑问,人们会质疑,像这样的错误更新怎么会损害全球数千或数百万台机器。