Windows 電腦因為 CrowdStrike Falcon Sensor 更新無法開機怎麼辦?

2024-07-19 相信會是很多人近期記憶深刻的一天,因為使用 Windows 作業系統的電腦,重新開機之後就顯示著名的藍色當機畫面,當機訊息中指示需要重啟電腦,接著就進入因為相同錯誤反覆出現,只能不斷重新開機的循環。這次引發問題的是 EDR (Endpoint Detection & Response) 防護軟體市佔率接近三成的 CrowdStrike ,雖然該公司後來將引發問題的更新下架,並重新提供更新,但是因為已經進入藍色當機畫面的電腦,無法自動套用已經修正過後的更新,需要專業的 IT 人員介入協助,對許多非 Power User 的用戶來說,無異是一場猶如世界末日般的災難。

在這次的全球性當機事件中, macOS 與 Unix-like (例如: Linux) 兩類系統沒受到影響,相信這些用戶也很慶幸自己因為不是使用 Windows 作業系統,而逃過此次的災難。

權宜之計 (Workaround)

CrowdStrik 提供的 Workaround 可以讓電腦恢復正常開機,以便有機會可以套用修正後的更新,步驟如下:

  1. Boot Windows into Safe Mode or the Windows Recovery Environment
  2. Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
  3. Locate the file matching “C-00000291*.sys”, and delete it.
  4. Boot the host normally.

基本上就是進入安全模式或維護模式,找到導致無法開機的驅動程式檔案,然後把它們並且刪除,然後電腦就可以恢復正常開機,接著就可以套用修正後的更新。

觀點 &評論

通常更新發生錯誤,就算是類似 KB5034441 那種 0x80070643 尚且不會影響正常操作的錯誤,就足以讓用戶憂心忡忡了;我們不難想見,這種讓電腦完全無法使用的錯誤,會對用戶產生多麼嚴重的衝擊。

這個事件我自己有下面幾個觀點與評論:

  1. 因為用來防護電腦的機制,為了提高防護率,通常必須有一部份的機制是與作業系統本身緊密結合,所以一旦發生問題,對作業系統會發生重大的影響,這次的錯誤導致無法開機,可以說是最高等級的影響,這也凸顯出 Windows 作業系統對於這類第三方提供的驅動程式的保護機制不足,就算無完全避免第三方自主更新後的問題,也應該加強第三方自主更新前的檢查與審核。
  2. 人們常常設想哪天機器有了自主意識之後,會全球串連對人類發起末日攻擊,而這個事件給我們的警惕則是,與其擔心機器聯合起來攻擊人類,也許我們現階段應該更加注意這種因為某人誤按了錯的按鈕,結果引發了全球性的災難。這次受到影響的電腦,遍及航空、醫療、零售、銀行、製造… 等等產業,對全體人類造成生命財產的損失,也不容小覷。怎麼在這類的人為工作程序中,設計更完善的糾錯機制,相信是引發這次災難產業內必須痛定思痛解決的項目。
  3. 很多小機構或個人,因為缺乏解決此類問題的專業能力,因此受影響的時間可能會比較長,因此平時與所謂的電腦達人建立關係,也是這類族群需要注意的求生能力,避免災難臨頭時求助無門,陷入叫天天不應,求地地不靈的絕境。

參考資料

發佈留言

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料