问题背景
北京时间2024年07月19日,腾讯云监控到轻量应用服务器 Lighthouse 异常重启问题,社区披露 Windows 操作系统蓝屏问题,初步定位系第三方安全公司 CrowdStrike 的软件 Falcon Sensor 更新问题导致,用户主机出现 csagent.sys 错误。
说明:
若您的主机使用 CrowdStrike 安全软件,可能受到此次问题影响。
受影响范围说明
受到影响的服务包括 SharePoint Online、OneDrive for Business、Microsoft Defender、Microsoft 365 管理中心等。
临时解决方法
注意:
请您务必注意,该临时解决方法可能导致 CrowdStrike 安全软件失效,建议您评估风险后再进行操作。
通过 winpe 或救援模式把引起蓝屏的 CrowdStrike 相关文件重命名/删除。
如果是腾讯云机器,可以通过救援模式进行修复。
1. 登录轻量应用服务器控制台,找到您的 Windows 服务器,进入实例详情页。
单击实例卡片,进入实例详情页。
在实例列表中单击实例 ID 或在操作列单击更多>查看详情,进入实例详情页。
2. 单击更多操作>进入救援模式,详细指引见 救援模式。
3. 在救援模式下,对 CrowdStrike 文件重命名。
3.1 安装 ntfs 软件包。
yum -yinstallntfs*
3.2 目录挂载,请确认 Windows 文件系统的
c:\\windows 属于系统盘哪个分区,若不确定分区,可以逐个尝试挂载,确定 windows/system32 目录所在位置。执行 lsblk 命令可以查看当前有哪些分区。mount-t ntfs /dev/vda2 /mnt/
3.3 进入到目标文件所在目录。
cd/mnt/Windows/System32/drivers/
3.4 重命名 CrowdStrike 文件夹(CrowdStrike_newname 为自定义新名称)。
mvCrowdStrike CrowdStrike_newname
3.5 重命名完后,卸载文件系统,释放资源。
umount/mnt
4. 退出救援模式,入口位置与进入救援模式一致,单击退出救援模式。
5. 退出救援模式后重启机器即可恢复。
更多帮助
您的本地 Windows 主机等,可参考以下处理方法:
1. 将 Windows 引导到安全模式或 Windows 恢复环境。
2. 导航到
C:\\WindowsSystem32\\drivers 目录。3. 找到匹配 Crowdstrike 的文件,并将其重命名或者删除。
4. 重启主机。
