Skip to content
Главная " Apžvalgos " Balandžio „Windows 11″ atnaujinimas sukelia problemas kompiuteriams su „CrowdStrike

Balandžio „Windows 11″ atnaujinimas sukelia problemas kompiuteriams su „CrowdStrike

Naujausi „Windows 11″ atnaujinimai sukėlė chaosą IT pasaulyje

Praėjusią savaitę „Microsoft” išleido eilinį saugumo atnaujinimų paketą, tačiau tai, kas turėjo būti įprastas antradienio pataisymų rinkinys, virto tikru galvos skausmu tūkstančiams įmonių visame pasaulyje. Balandžio mėnesio „Windows 11″ atnaujinimai sukėlė rimtų problemų kompiuteriams, kuriuose įdiegta populiari kibernetinio saugumo programinė įranga „CrowdStrike Falcon”. Ironija ta, kad būtent saugumo sprendimas, turėjęs apsaugoti sistemas, tapo priežastimi, dėl kurios daugelis kompiuterių negalėjo normaliai pasileisti.

Problema pasireiškė „mėlynojo ekrano” (BSOD) klaidomis, dėl kurių kompiuteriai užstrigo paleidimo cikle. Daugelis vartotojų negalėjo prisijungti prie savo darbo stočių, o IT administratoriai visame pasaulyje skubiai ieškojo sprendimų, kaip atstatyti sistemas ir minimizuoti veiklos sutrikdymą.

Kas sukėlė šią technologinę audrą?

Problema kilo dėl nesuderinamumo tarp naujausio „Windows 11″ saugumo atnaujinimo ir „CrowdStrike Falcon” sensorių programinės įrangos. Techniškai kalbant, įvyko konfliktas tarp „CrowdStrike” branduolio lygio tvarkyklės ir „Windows” operacinės sistemos, kai buvo įdiegti naujausi pataisymai.

„CrowdStrike” greitai pripažino problemą ir paaiškino, kad ji kyla dėl neseniai išleisto „Falcon” sensoriaus atnaujinimo (versijos 7.11), kuris sąveikaudamas su „Microsoft” saugumo pataisymais sukelia sistemos nestabilumą. Kompanija pabrėžė, kad problema nėra susijusi su kenkėjiška veikla ar saugumo pažeidimu, o tiesiog su techniniu nesuderinamumu.

Paveiktų sistemų skaičius buvo įspūdingas – pranešama apie šimtus tūkstančių kompiuterių visame pasaulyje, nuo mažų įmonių iki didelių korporacijų ir net kritinės infrastruktūros objektų, tokių kaip oro uostai ir ligoninės.

Kaip atpažinti, ar jūsų sistema paveikta?

Jei jūsų organizacija naudoja „CrowdStrike Falcon” apsaugos sprendimus ir neseniai atnaujino „Windows 11″ sistemas, štai pagrindiniai požymiai, rodantys, kad jūsų kompiuteriai gali būti paveikti:

  • Kompiuteris rodo mėlyną ekraną su klaidos pranešimu, kuriame minimas „SYSTEM_SERVICE_EXCEPTION”
  • Sistema nuolat persikrauna ir negali užbaigti paleidimo proceso
  • Paleidimo metu rodomas klaidos kodas, susijęs su failu „C:\Windows\System32\drivers\CrowdStrike\CSAgent.sys”
  • Įrenginys įstringa atkūrimo režime ir negali pasiekti įprasto darbalaukio

Svarbu pažymėti, kad problema paveikė ne tik „Windows 11″, bet ir kai kurias „Windows 10″ bei „Windows Server” versijas, tačiau daugiausia problemų kilo būtent su naujausiomis „Windows 11″ sistemomis.

Sprendimo būdai: kaip išgelbėti paveiktus kompiuterius

„CrowdStrike” ir „Microsoft” bendradarbiavo ieškodamos sprendimų ir pasiūlė keletą būdų, kaip atkurti paveiktas sistemas:

1. Avarinė sistemos atkūrimo procedūra:

  1. Paleiskite kompiuterį naudodami atkūrimo režimą (Recovery Mode) – tai galite padaryti paspaudę F8 paleidimo metu arba tris kartus iš eilės priverstinai išjungdami kompiuterį jo paleidimo metu
  2. Pasirinkite „Troubleshoot” > „Advanced options” > „Command Prompt”
  3. Komandinėje eilutėje įveskite šias komandas: 
    cd C:\Windows\System32\drivers\CrowdStrike
ren CSAgent.sys CSAgent.sys.old
  4. Uždarykite komandinę eilutę ir pasirinkite „Continue” arba „Restart”

2. Automatizuotas sprendimas naudojant „CrowdStrike” įrankį:

„CrowdStrike” sukūrė specialų atkūrimo įrankį, kurį galima paleisti paveiktose sistemose naudojant USB atmintinę. Šis įrankis automatiškai aptinka ir pašalina probleminę tvarkyklę, leisdamas sistemai normaliai pasileisti.

3. Prevencinis sprendimas nepaveiktoms sistemoms:

Jei jūsų sistemos dar nepaveiktos, bet naudojate „CrowdStrike Falcon”, rekomenduojama:

  • Laikinai sustabdyti „Windows” atnaujinimų diegimą
  • Atnaujinti „CrowdStrike Falcon” sensoriaus programinę įrangą iki naujausios pataisytos versijos
  • Sukurti sistemos atkūrimo taškus prieš diegiant bet kokius naujus atnaujinimus

Platesnės pasekmės IT infrastruktūrai

Šis incidentas atskleidė keletą svarbių dalykų apie šiuolaikinę IT infrastruktūrą ir jos pažeidžiamumą. Visų pirma, tai parodė, kaip glaudžiai tarpusavyje susiję yra skirtingi programinės įrangos komponentai. Saugumo sprendimai, tokie kaip „CrowdStrike Falcon”, veikia labai žemame sistemos lygmenyje, todėl bet koks nesuderinamumas su operacine sistema gali turėti katastrofiškų pasekmių.

Antra, incidentas išryškino automatinių atnaujinimų riziką įmonių aplinkoje. Nors reguliarūs saugumo atnaujinimai yra būtini, šis atvejis parodė, kad kartais verta atidėti atnaujinimų diegimą, kol jie bus išsamiai išbandyti kontroliuojamoje aplinkoje.

Daugelis IT specialistų dabar svarsto, kaip subalansuoti poreikį greitai diegti saugumo pataisymus su rizika, kad tie patys pataisymai gali sukelti veiklos sutrikdymą. Tai ypač aktualu kritinės infrastruktūros sektoriuose, kur sistemos prastovos gali turėti rimtų pasekmių.

Kaip išvengti panašių problemų ateityje?

Atsižvelgiant į šį incidentą, IT administratoriams ir saugumo specialistams rekomenduojama:

  • Sukurti testavimo aplinką: Prieš diegiant atnaujinimus produkcijos sistemose, išbandykite juos kontroliuojamoje aplinkoje, kuri atspindi jūsų tikrąją IT infrastruktūrą
  • Įdiegti palaipsninį atnaujinimų procesą: Pradėkite nuo mažos sistemų grupės ir stebėkite jas bent 24-48 valandas prieš tęsdami platesnį diegimą
  • Sukurti atkūrimo planą: Visada turėkite dokumentuotą procedūrą, kaip greitai atstatyti sistemas, jei atnaujinimai sukelia problemas
  • Sekti saugumo pranešimus: Reguliariai tikrinkite tiek „Microsoft”, tiek jūsų naudojamų saugumo sprendimų tiekėjų pranešimus apie žinomas problemas
  • Investuoti į atsarginių kopijų sprendimus: Užtikrinkite, kad turite patikimą ir lengvai prieinamą sistemų atsarginių kopijų kūrimo ir atkūrimo strategiją

Pamokos iš skaitmeninės audros

Balandžio „Windows 11″ ir „CrowdStrike” incidentas taps vadovėliniu pavyzdžiu IT saugumo istorijoje. Jis primena mums, kad net ir labiausiai patikimos technologijos gali netikėtai sukelti problemų, kai sąveikauja tarpusavyje. Šis atvejis taip pat parodo, kaip svarbu turėti paruoštus veiksmų planus kritinėms situacijoms.

Daugelis organizacijų dabar peržiūri savo IT strategijas, ypač susijusias su atnaujinimų valdymu. Automatinis atnaujinimų diegimas, kuris anksčiau buvo laikomas geriausiu saugumo užtikrinimo būdu, dabar vertinamas atsargiau, ypač kritinėse sistemose.

Galbūt svarbiausia pamoka yra ta, kad technologijų pasaulyje nėra tobulų sprendimų – net ir geriausi saugumo įrankiai gali tapti problemų šaltiniu. Todėl svarbu išlaikyti balansą tarp naujausių atnaujinimų diegimo ir sistemų stabilumo užtikrinimo, visada turint omenyje, kad technologijos yra tik įrankis, o ne galutinis tikslas.

Kaip sakė vienas IT ekspertas, komentuodamas šį incidentą: „Kartais tai, kas turėtų mus apsaugoti, tampa tuo, nuo ko reikia apsisaugoti”. Tai puikiai apibendrina šiuolaikinės IT infrastruktūros paradoksą ir primena, kad nuolatinis budrumas, planavimas ir lankstumas išlieka geriausias būdas navigacijos skaitmeniniame pasaulyje.