SKM揭示了解决问题的方法：来自“CrowdStrike”的操作导致微软系统崩溃，使电脑屏幕出现蓝屏。

SKM揭示了解决问题的方法：来自“CrowdStrike”的操作导致微软系统崩溃，使电脑屏幕出现蓝屏。

สกมช.เผย วิธีแก้ปัญหา จาก “CrowdStrike” ทำระบบของ ไมโครซอฟท์ล่ม ทำหน้าจอคอมฯเกิด Blue Screen

空军上校 Amorn Chomchoey，国家安全网络稳定委员会（NSCS）秘书长透露，NSCS 发现了影响安装有 CrowdStrike Falcon Sensor 的 Windows 操作系统的问题，导致蓝屏现象。经调查发现，CrowdStrike 公司已确认该问题是由内容更新（content update）的错误所致，并非任何网络攻击事件。因此，现总结事件情况及提供解决方案如下：

### 事件总结
– 受影响的 Windows 主机出现了与 Falcon Sensor 相关的蓝屏（BSOD）现象。
– 世界协调时（UTC）4:09，CrowdStrike 工程团队针对此问题更新了相关内容。
– 相关更改已被回滚（revert），因此在 UTC 5:27 后启动的主机不应再遇到问题。此问题不影响运行 macOS 或 Linux 系统的主机。

### 初始解决步骤
如果仍然遇到重复重启问题，请按照以下步骤操作：
1. **进入安全模式**（遵循 CrowdStrike 官方指南）：
– 即使系统无本地管理员账户或未连接互联网，也让系统启动并崩溃三次，以显示菜单。
– 点击“Troubleshoot” → “Advanced Options” → “Command Prompt”。
– 若系统受 BitLocker 保护，需输入 BitLocker 恢复密钥。
– BitLocker 密钥若通过 Microsoft Intune 管理，可访问 https://myaccount.microsoft.com，在“device”菜单下匹配设备主机名和密钥ID。
– 如无法在Microsoft Intune中找到信息，请联系IT管理员获取BitLocker恢复密钥。

2. 在命令提示符中键入以下命令，每条后按回车：
注意：命令提示符默认从 X:\ 开始，请确保更改为 c:\。
“`
c:
cd windows
cd system32
cd drivers
cd crowdstrike
del C-00000291*
exit
“`
3. 点击“继续到 Windows”。

### 对于公有云或类似环境用户，包括虚拟机，有两种选择：
**选项 1：**
– 从受影响的虚拟服务器卸载操作系统卷。
– 创建磁盘卷的快照或备份以防意外更改。
– 将卷挂载到新的虚拟服务器。
– 删除 `C:\Windows\System32\drivers\CrowdStrike` 目录下的 `C-00000291*.sys` 文件。
– 卸载卷，重新将其连接到受影响的虚拟服务器。

**选项 2：**
– 回滚到 UTC 04:09 之前的快照。

### 对于 Azure 用户，通过串行控制台进入安全模式：
– 登录 Azure 控制台 → 虚拟机 → 选择 VM。
– 左上角点击“Connect” → “Connect” → “更多连接方式” → “串行控制台”。
– 在 SAC 加载后，输入 ‘cmd’ 并回车。
– 输入 `ch -si 1`，使用管理员凭证登录。
– 执行以下命令重启虚拟机进入安全模式：
“`
bcdedit /set {current} safeboot minimal
bcdedit /set {current} safeboot network
Restart VM
“`

### 额外选项：检查启动状态，运行命令：
“`
wmic COMPUTERSYSTEM GET BootupState
“`

### 问题与答案

1. **什么是国家安全网络稳定委员会（NSCS）？**
– NSCS 是泰国的一个组织，负责监控和维护国家的网络安全稳定，处理相关安全事件和威胁。

2. **CrowdStrike Falcon Sensor 是什么？**
– CrowdStrike Falcon Sensor 是一种终端安全软件，由CrowdStrike公司开发，用于实时监控、检测和响应网络中的威胁，保护Windows、macOS和Linux操作系统。

3. **蓝屏（BSOD）是什么意思？**
– 蓝屏，全称为蓝屏死机（Blue Screen of Death, BSOD），是微软Windows操作系统在遇到严重错误时显示的一种屏幕信息，通常需要重启计算机来恢复。

4. **世界协调时（UTC）指的是什么？**
– 世界协调时（Coordinated Universal Time, UTC）是一种国际时间标准，不考虑夏令时变化，广泛用于航空、军事、科学等领域作为时间参考。

5. **内容更新（Content Update）通常包含哪些内容？**
– 内容更新通常指软件或应用程序定期接收的数据更新，包括但不限于安全签名、恶意软件定义、规则集或改进功能，以保持软件的最新状态和有效性。

6. **为什么运行macOS或Linux系统的主机不受此次事件影响？**
– 本次问题是由于CrowdStrike Falcon Sensor在Windows操作系统上的特定内容更新错误导致，macOS和Linux系统使用不同的驱动程序和安全架构，故未受影响。

7. **BitLocker是什么？**
– BitLocker是微软Windows操作系统内置的一种全磁盘加密功能，用于保护数据安全，防止未经授权的访问。

8. **如何进入Windows的安全模式？**
– 进入安全模式通常需要在启动过程中连续强制重启电脑几次，之后系统会自动引导至恢复菜单，从中可以选择“疑难解答”>“高级选项”>“启动设置”，然后重启并选择安全模式选项。

9. **Azure串行控制台的作用是什么？**
– Azure串行控制台是一种远程管理工具，允许用户在Azure虚拟机无法正常启动或网络连接不可用时，通过命令行界面进行故障排查和修复操作。

10. **如何检查Windows计算机的启动状态？**
– 可以通过运行命令行工具“Windows Management Instrumentation Command-line”（WMIC）来检查，具体命令为：`wmic COMPUTERSYSTEM GET BootupState`，这将显示计算机的当前启动状态。

泰语原文链接：https://www.dailynews.co.th/news/3663608/

---