Vào ngày 19 tháng 7 năm 2024, lúc 12:30 GMT, Alibaba Cloud đã phát hiện ra các phiên bản ECS chạy hệ thống Windows bị khởi động lại bất thường. Sau khi điều tra, vấn đề này do một bản cập nhật tự động của phần mềm - Falcon Sensor, thuộc sở hữu của công ty bảo mật bên thứ ba - CrowdStrike. Cho đến khi công ty phát hành một giải pháp chính thức, một giải pháp tạm thời để giảm thiểu sự cố hệ thống là đổi tên (rename) thư mục chứa phần mềm này.
Lưu ý quan trọng: vui lòng lưu ý rằng giải pháp tạm thời này có thể làm phần mềm bảo mật CrowdStrike không hoạt động, ảnh hưởng đến bảo mật của phiên bản và các tính năng phụ khác. Chúng tôi khuyến nghị bạn nên hoàn thành đánh giá rủi ro trước khi tiến hành.
Bước 1: Tại Instance Windows trên Alibaba Cloud, kết nối qua vnc. Trong màn hình sau, nhấn F8 để vào Start-up Setting.
Bước 2: Chọn 4) Enable Safe Mode.
Bước 3: Login với user có quyền Administrator
Lưu ý nếu hệ thống tự động đăng nhập với tài khoản không phải Administrator, vui lòng đăng xuất và quay lại màn hình đăng nhập, nhập Administrator và mật khẩu để đăng nhập.
Bước 4: Kiểm tra ổ đĩa hệ thống và đổi tên (rename) thư mục Windows\system32\drivers\CrowdStrike dưới ổ đĩa hệ thống thành CrowdStrike.bak ( thông thường là ổ đĩa C )
Bước 5: Khởi động lại hệ thống Windows và truy cập lại bình thường
Steps to get back into your Windows PC or Server after the CrowdStrike Update:
C:\Windows\system32\drivers\CrowdStrike directoryBạn cần viết một script PowerShell có tên là CrowdStrikeFix.ps1. Script này sẽ tìm và xóa file driver CrowdStrike gây ra lỗi BSOD (Blue Screen of Death) và sau đó khôi phục lại cài đặt boot bình thường. Nội dung của script như sau:
# CrowdStrikeFix.ps1
# Script này xóa file driver CrowdStrike gây lỗi BSOD và khôi phục lại Safe Mode
$filePath = "C:\\Windows\\System32\\drivers\\C-00000291*.sys" # Đường dẫn tới file driver cần xóa
$files = Get-ChildItem -Path $filePath -ErrorAction SilentlyContinue # Lấy danh sách các file phù hợp
foreach ($file in $files) { # Lặp qua từng file tìm được
try {
Remove-Item -Path $file.FullName -Force # Thử xóa file
Write-Output "Deleted: $($file.FullName)" # Ghi ra thông báo đã xóa thành công
} catch {
Write-Output "Failed to delete: $($file.FullName)" # Ghi ra thông báo nếu xóa thất bại
}
}
# Khôi phục lại boot Safe Mode sau khi sửa lỗi
bcdedit /deletevalue {current} safeboot
CrowdStrikeFix.ps1 và chọn nó.Bạn cần một script khác có tên là ForceSafeMode.ps1 để buộc máy tính boot vào Safe Mode. Nội dung của script này như sau:
# ForceSafeMode.ps1
# Script này buộc máy tính boot vào Safe Mode
bcdedit /set {current} safeboot minimal
Restart-ComputerForceSafeMode.ps1 và chọn nó.CrowdStrikeFix.ps1 sẽ được thực thi.Quan trọng Alibaba Cloud sẽ tiếp tục giám sát tiến độ của sự cố này, bạn cũng có thể cập nhật thông tin mới nhất qua trang web chính thức của CrowdStrike. Nếu bạn gặp bất kỳ vấn đề nào trong quá trình hoặc cần hỗ trợ thêm, bạn có thể liên hệ với chúng tôi bất cứ lúc nào bằng cách gửi Ticket tại Support and Services trên hệ thống Alibaba Cloud
Tham khảo
关于7月19日Windows系统蓝屏问题的临时解决方案
Temporary solution for the July 19th Windows blue screen problem
Automated Workaround in Safe Mode using Group Policy
New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints
New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints
18 posts | 5 followers
FollowTran Phuc Hau - April 8, 2023
Alibaba Cloud Vietnam - September 15, 2023
Regional Content Hub - June 24, 2024
Regional Content Hub - August 29, 2024
Alibaba Cloud Vietnam - December 25, 2023
Alibaba Cloud Vietnam - December 15, 2023
18 posts | 5 followers
Follow
Bastionhost
A unified, efficient, and secure platform that provides cloud-based O&M, access control, and operation audit.
Learn More
Managed Service for Grafana
Managed Service for Grafana displays a large amount of data in real time to provide an overview of business and O&M monitoring.
Learn MoreMore Posts by Tran Phuc Hau