Nhìn lại lỗi BSOD (Màn hình xanh) từ CrowdStrike Falcon Sensor

Admin
thg 5 18, 2025

Ngày 19/07/2024 cộng đồng công nghệ toàn cầu dậy sóng với lỗi màn hình xanh chết chóc trên máy tính chạy Windows 10 và cài đặt phần mềm Falcon Sensor của CrowdStrike.

Một ngày khá cực cho các System administrator và IT Helpdesk ở các công ty EU,… tiêu biểu là các công ty sử dụng giải pháp Crowstrike Falcon Sensor với số lượng máy tính từ vài trăm đến vài nghìn máy.

Được biết lỗi này xảy ra do một bản cập nhật của phần mềm Falcon Sensor từ CrowdStrike gây ra sự cố trên các điểm cuối Windows, dẫn đến các mã lỗi trên màn hình xanh và trạng thái không vào được màn hình Windows.

1. CrowdStrike là công ty như thế nào?

Được biết, công ty CrowdStrike khá nổi tiếng về cung cấp giải pháp bảo mật đám mây cho toàn cầu chuyên cho khối Enterprise.

– Công ty này chuyên về “threat identify and data prevent loss”.

2. Crowdstrike Falcon Sensor và Crowdstrike Falcon Sentry để làm gì?

– Giải pháp này quản lý, giám sát về luồng dữ liệu của User (User thao tác data công ty lên máy khác hoặc gửi dữ liệu nhạy cảm ra ngoài/dữ liệu rò rỉ).

– Crowdstrike Falcon Sentry tập trung vào bảo vệ các môi trường đám mây, còn Crowdstrike Falcon Sensor  tập trung vào bảo mật điểm cuối. Hai thành phần này nằm trong bộ giải pháp bảo mật của Crowdstrike (Chi tiết các bạn có thể tìm hiểu thêm).

3. Cách xử lý lỗi Crowdstrike Falcon Sensor

Crowdstrike Falcon Sensor có thể thay cả Antivirus và Anti Malware (Khi cài đặt chính nó còn warning là có thể xung đột khi sử dụng chung với các antivirus khác)



Hướng dẫn khắc phục đối với các thiết bị đã bị ảnh hưởng:

Cách xử lý 1:
Bước 1: F8 vào starup setting -> Safemode/Windows Recovery
Bước 2: Đổi tên thư mục (Crowdstrike thành Crowdstrike2) tại đường dẫn:

C:\Windows\System32\drivers\Crowdstrike

Bước 3: Restart Window
 

Cách xử lý 2:
Bước 1: Khởi động lại máy tính và vào chế độ Safe Mode hoặc Windows Recovery Environment.
Bước 2: Truy cập thư mục

C:\Windows\System32\drivers\CrowdStrike

Bước 3: Xóa bỏ các tập tin có định dạng “C-00000291*.sys” (tập tin có định dạng .sys và tên bắt đầu bằng chuỗi C-00000291)
Bước 4: Khởi động lại máy tính và sử dụng như bình thường.
Nếu dùng GPO thì dùng PowerShell để xử lý lỗi BSOD
 

Liên kết tham khảo: https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19
 

Một số thông tin thêm:

– Tại sao cài antivirus khác lên máy windows thì windows defender tự disable?

Bất kỳ AntiVirus nào hoạt động trên windows đều có signed-key của microsoft cả.

– Micorosoft, Linux dùng crowstrike, MacOS không dùng (Mac không can thiệp vào sâu phần kernel).

Tham khảo cách xử lý của một anh System administrator đợt này nếu nhận được thông tin vàphản ứng nhanh trên Firewall:

Helpdesk báo lên 1 số user bị màn hình xanh phun lỗi csagent.sys, mình nghi ngờ do crowdstrike nên trên fw có sẵn rule allow update đến CS => chuyển ngay action từ allow sang deny. Các văn phòng của cty ở mấy nước khác trên fw/proxy không làm rule rõ ràng từng kết nối đến các third-party như vậy nên phản ứng chậm hơn… => dính lên tới cả server.
core banking toàn chạy AIX (này là tiêu chuẩn thế giới r),
chỉ có máy client là windows thôi
Bài viết tiếp theo Bài viết trước đó
Chưa có bình luận
Thêm bình luận
comment url
sr7themes.eu.org