導讀

2024年7月19日，全球多地的Windows用戶出現了大量電腦崩潰、藍屏死機、無法重新啟動的事件。故障發生后，全球多個國家和地區的航班、醫療、銀行、交通等重要行業均受到不同程度的影響。

事件經過

2024年7月19日凌晨4點09分，CrowdStrike公司向其Windows用戶發布了一項終端安全傳感器的配置更新。不幸的是，這次更新中包含了一個錯誤配置，導致更新被安裝后，受影響的Windows設備開始出現系統崩潰并顯示藍屏錯誤。此外，許多云服務客戶的Windows虛擬機也安裝了CrowdStrike安全產品，這些虛擬機在接收到錯誤的配置更新后同樣遭受了藍屏故障，影響相比PC藍屏更加嚴重。

解決方案

方案1：建議受影響的用戶將電腦啟動到安全模式或恢復環境，導航至C:\Windows\System32\drivers\CrowdStrike目錄，找到與“C-00000291*.sys”匹配的文件并將其刪除，即可正常啟動電腦。

方案2：在安全模式下訪問C:\Windows\System32\drivers\CrowdStrike路徑，找到csagent.sys文件，通過在其文件名后增加數字和字母的方式進行重命名，以暫時禁用該驅動程序。此方法目的是繞過有問題的驅動程序，從而避免藍屏問題。?

方案3：通過官方補丁進行更新與修復。

我們要如何避免此類突發事件？

本次微軟服務的大規模中斷事件再次強調了：在復雜系統環境中，Agent穩定運行的重要性。Agent要穩定運行，不僅需要其內部結構設計得當，更要求其具備強大的驅動程序，同時測試過程也要非常嚴格和全面，確保能夠發現所有的潛在風險，建立一個更加堅實和可靠的終端Agent軟件系統。

天融信終端安全負責人表示：安全產品需要自主可控和更完善的本地化服務。這一事件強調了對終端安全產品持續審查和測試的必要性，并突顯了國產安全產品的優勢，尤其是在本地化服務方面。國產安全產品能夠提供更快速、更貼近市場的客戶支持，快速響應并解決客戶面臨的問題，這在全球化的技術依賴中提供了一個可靠的本土化替代選擇。

天融信安全建議

構建數據備份機制：加強數據備份機制，并進行定期的恢復測試以驗證備份的有效性，應對數據丟失、系統故障或其他安全威脅。

加強企業應急預案：建立全面的應急預案體系，確保在危機發生時能夠迅速、有序地采取措施，最小化事件對企業運營和聲譽的影響。

多元化供應商協作：通過與多個供應商建立合作關系，降低對單一供應商的依賴，從而提高供應鏈的彈性和穩定性，避免因供應商的不可預見問題導致生產中斷或成本增加。

應用更新后置：延遲高風險應用更新時間，從而降低更新可能帶來的風險，確保系統的穩定性和可靠性。

灰度升級：在進行產品大規模升級前，將新的軟件版本部署給一小部分用戶或系統，然后逐步擴大到更廣泛的用戶群體，減少新版本可能帶來的風險，確保軟件更新的平穩過渡和系統的穩定性。

加速國產化替代：減少對外部供應商的依賴，增強自主可控能力，同時快速響應本地市場的需求和法規變化，構建更為穩固的網絡安全防線。

終端安全，一直是企業整體網絡安全防護體系中的重要環節。多年來，天融信始終堅持技術攻關與創新，以輕量化理念進行終端安全產品設計，實現高效穩定的安全防護，通過輕驅或無驅模式簡化部署，減少資源消耗，并避免與現有驅動的沖突，同時保持監控的靈活性和可靠性。

在開發過程中，團隊遵循DevSecOps的高標準嚴要求，將安全融入每個開發階段，構建起縱深的安全研運管理體系，提升產品的安全性和響應能力。此外，通過全面的自動化測試和細致的安全測試，如SAST（靜態應用程序安全測試）、DAST（動態應用程序安全測試）和滲透測試，確保產品在發布前達到高質量標準，力求為客戶提供穩定、高效、可靠的終端安全防御能力。

注：圖片來源于網絡