北京时间2024年07月19日12:30起,阿里云监控发现部分Windows系统的云服务器ECS实例出现异常重启现象,经初步排查,该问题系第三方安全公司CrowdStrike旗下软件Falcon Sensor的自动更新导致。在相关公司发布正式解决方案前,您可以通过重命名该软件所在目录的方式临时缓解系统异常。本文介绍针对该问题的临时解决方案以及一些安全加固建议。
问题现象
北京时间2024年07月19日12:30起,许多Windows用户在更新CrowdStrike后发生了蓝屏死机 (BSOD) 错误。
临时解决方案
该临时缓解措施,可能会导致CrowdStrike安全软件失效,对实例安全性和CrowdStrike附属功能造成影响,建议您完成风险评估后再进行操作。阿里云将持续关注事件进展,您也可以通过CrowdStrike官方网站了解最新动态。如果在操作过程中遇到任何问题或需要进一步的帮助,您可以随时通过提交工单或与我们取得联系。
您可以通过重命名CrowdStrike文件夹名称的方式解决系统异常的问题。具体操作,请参见关于7月19日Windows系统蓝屏问题的临时解决方案。
安全加固建议
快照备份
针对安装了Falcon Sensor的用户,建议您进行快照备份。以便出现蓝屏时,可以快速恢复。具体操作,请参见创建一个云盘快照、使用快照回滚云盘。
关注系统故障恢复后的安全性
对于受影响的用户,如果他们已经根据临时方案进行了重命名变更,可能会导致安全驱动的防护失效。在故障恢复后,这些用户需特别留意安全防护效果,以确保系统的安全性。
使用阿里云云安全中心增强安全防护
阿里云云安全中心是一款集持续监测、深度防御、全面分析、快速响应能力于一体的云上安全管理平台。基于云原生架构优势,提供云内外资产管理、配置核查、主动防御、安全加固、云产品配置评估和安全可视化等能力,可有效发现和阻止病毒传播、黑客攻击、勒索加密、漏洞利用、AK泄露等风险事件,帮助您实现一体化、自动化的安全运营闭环,保护多云环境下的主机、容器、虚拟机等工作负载安全性。以下是云安全中心的核心能力:
资产管理及状态监控:实时监控已接入的主机、容器等资产状态,云安全中心客户端防护状态异常时会实时发送告警。
持续检测潜在威胁:支持检测资产中存在的漏洞、云产品配置风险、基线风险、公网暴露面;内置250+威胁检测模型,可实时检测资产中的网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全威胁。
深度防御恶意攻击:恶意主机行为防御功能可对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等威胁行为进行自动拦截和查杀,从而保护您的资产免受此类病毒侵害。
威胁告警全面分析:支持AI告警分析功能,可在线为您分析及解释安全告警,提供告警溯源报告,发现其他服务器中的类似风险,帮助您更深入地了解资产的业务风险并处理风险。
事件快速响应及通知:支持编排响应功能实现对告警和安全事件的自动化处置。
云安全中心提供为期7天的免费试用,您可以试用云安全中心的企业版或旗舰版。通过这段时间的试用,您能够全面了解云安全中心在实际场景中的安全防御能力。这将有助于您评估其在防护、检测和响应各类安全威胁方面的效果,最终帮助您在选择最适合的云安全方案时做出决策。具体操作,请参见开通7天免费试用。
需要安全防护能力时,推荐您使用云安全中心企业版或旗舰版,为服务器和云上系统提供安全防护。以下是使用云安全中心的操作指引:
购买云安全中心包年包月企业版或旗舰版。具体操作,请参见购买云安全中心。
在服务器中安装云安全中心客户端,将服务器接入云安全中心。具体操作,请参见安装客户端。
开启恶意主机行为防御。具体操作,请参见主机防护设置。
开启客户端自保护。具体操作,请参见开启服务器的客户端自保护。
查看并处理安全告警。具体操作,请参见查看和处理安全告警。
查看并处理漏洞。具体操作,请参见查看和处理漏洞。