Windows蓝屏死机，因CrowdStrike更新存在缺陷，有效户重启15次才乐成

在已往的 48 小时里，发生了一场震撼环球互联网和 IT 基础设施的数字灾难，全天下的机场、火车体系、银行、医疗机构、酒店、电视台纷纷受到了影响，许多人的生存被打乱，造成的经济损失更是难以估量。

外貌上，这场大规模 IT 体系瓦崩溃现在 Windows 电脑的“蓝屏死机”上。大量 Windows 用户在交际媒体上发布了他们遭遇的蓝屏。

有在机场信息屏上的：

有在室外电子广告牌上的：

还有在赛车场公告牌上的：

乃至连医疗器械也受到了影响：

然而，Windows 体系和微软并不是这场瓦解的主角，真正的“首恶”是一家名为 CrowdStrike 的安全公司，它发布了一个有缺陷的软件（驱动）更新，导致 Windows 电脑陷入了灾难性的重启循环。

在体系瓦解出现不久后，CrowdStrike 的 CEO 乔治·库尔茨（George Kurtz）就在 X 平台上夸大，这不是一起安全变乱或网络攻击，而且“标题已经被识别、隔离并摆设了修复”。但并非全部构造都能敏捷接纳准确的行动。

受此影响，微软 365 服务出现非常，云端储存服务 OneDrive 和邮件服务 Outlook 都出现了宕机。

美国达美航空公司和美国团结航空公司的航班被迫停飞，英国希思罗机场、荷兰阿姆斯特丹国际机场和新加坡樟宜机场等紧张机场的 IT 体系瓦解，导致值机失败、航班延误和停飞，大量乘客被迫滞留在机场。英国和马来西亚的铁路体系也遭遇了类似的标题。

同时，欧洲、澳大利亚和印度的许多银行客户无法访问在线银行，也不能完成转账等买卖业务。

英国的大夫办公室和医院失去了对患者记载和预约体系的访问权限。美国的 911 应急服务也遭遇了技能故障，许多呼唤中心无法正常工作。

在历史上，少少有一个软件（乃至是几行代码）能在短时间内粉碎环球的计算机体系，我们有所耳闻的重要是蠕虫和木马攻击，比如 2003 年的 SQL Slammer 蠕虫攻击和 2017 年的打单软件 WannaCry 流传。

迩来几年的环球大宕机重要发生在 IT 体系的“服务器端”，比方云服务提供商出现标题、互联网电缆克制或分布式拒绝服务攻击。

风趣的是，这次的杂乱并非由黑客流传的恶意软件引发的，而是由旨在制止黑客攻击的软件引发的。

一张张怪诞而又带点艺术色彩的照片仿佛在说：“看吧，这个天下就是一个巨大的草台班子。”

标题的因由

大瓦解的根本缘故原由是网络安全公司 CrowdStrike 为 Windows 装备发布的一个更新中存在 bug。

该更新旨在用于 CrowdStrike 的 Falcon 软件，这是一款“端点检测和相应（endpoint detection and response）”软件，旨在掩护公司的计算机体系免受网络攻击和恶意软件的陵犯。

此次更新属于“内核驱动步伐”更新，但它并没有按预期工作，而是导致运行 Windows 体系的计算机瓦解并无法乐成重启。

运行 Windows 的家用电脑不太大概受到影响，由于 CrowdStrike 重要由大型构造使用。

独立网络安全研究员分身问卢卡斯·奥利尼克（Lukasz Olejnik）表现，CrowdStrike 软件在低级操纵体系层工作，在这里出现任何标题都大概会使操纵体系无法启动。

他指出，并非全部运行 Windows 的计算机都会受到影响。如果一台呆板在 CrowdStrike 推送更新时处于关机状态，它就不会主动更新。

怎样修复

固然，在发现标题后，CrowdStrike 和微软已经撤回了此次更新，现在也发布了一些办理方法。

令人啼笑皆非的是，官方最早发布的办理方法竟然是大名鼎鼎的“重启试试”。

微软 Azure 云服务页面指出，一些客户反馈称，他们通过多次重启假造机乐成办理了体系瓦解。有的客户称其重启了 15 次才乐成。

究其缘故原由，好像是重启可以让受影响的装备有更多机会实验获取 CrowdStrike 的未粉碎更新。如果重启无法办理标题，微软的发起是使用备份，将体系规复到 CrowdStrike 驱动更新之前。

如果不想或无法规复备份，那就只能由 IT 管理员开启电脑的安全模式，手动删除受影响的驱动（位于 C:\Windows\System32\drivers\CrowdStrike 目次下的 C-00000291*.sys 文件），然后让呆板正常启动并获取未粉碎的驱动。

对于管理成百上千台电脑和服务器的大公司来说，IT 部分无疑面临着巨大的工作量，完全修复大概必要几天的时间，许多 IT 管理员的周末不得不消来加班。

不外，人类的悲喜并不相通。由于电脑蓝屏，许多打工人的周末从周五就“开始”了。

此次环球宕机潮反映出了 IT 基础设施是多么的脆弱：如果这是一种打单软件而不是一次意外的更新 bug，情况将比现在糟糕多了。

在 IT 管理员抢先恐后地修复标题、低落影响时，怎样防止类似危急再次发生的标题仍没有答案。

“人们大概会现在要求改变现在这种运行模式。”网络安全咨询公司 Hunter Strategy 的研发副总裁杰克·威廉姆斯（Jake Williams）表现，“CrowdStrike 刚刚展示了在没有 IT 介入的情况下，为何推送更新是不可连续的缘故原由。”

参考资料：

https://www.technologyreview.com/2024/07/19/1095161/fix-windows-pc-microsoft-crowdstrike-outage/

https://arstechnica.com/information-technology/2024/07/crowdstrike-fixes-start-at-reboot-up-to-15-times-and-get-more-complex-from-there/

https://www.theverge.com/24202037/microsoft-crowdstrike-outage-blue-screen-error-photos

排版：朵克斯