Blauw schermfout treedt op na het updaten van CrowdStrike

Betreffende producten:

• CrowdStrike

Opmerking: Verklaring van CrowdStrike: Verklaring over Falcon Content Update voor Windows-hosts .

Gebruikers kunnen een blauw schermfout tegenkomen na het updaten van CrowdStrike.

De foutmelding luidt:

Stop Code：Page_fault_in_nonpaged_area
What failed: csagent.sys

De oorzaak wordt onderzocht door CrowdStrike. Neem contact op met CrowdStrike voor meer informatie. https://www.crowdstrike.com/contact-us/

Dit artikel wordt bijgewerkt zodra er meer informatie beschikbaar komt.

Tijdelijke oplossing:

Een herstart van de computer kan het mogelijk maken om een functioneel kanaalbestand te downloaden.

Als de fout met een blauw scherm optreedt na het opnieuw opstarten, volgt u deze stappen als tijdelijke oplossing:

1. Start de computer op in de veilige modus. Voor informatie over opstarten in de veilige modus raadpleegt u het Dell Knowledge Base-artikel Opstarten in de veilige modus in Windows 11 of Windows 10
2. Ga naar de CrowdStrike-directory. Open Verkenner door op het mappictogram in de taakbalk te klikken. U kunt ook op Start klikken, Zoek naar Verkenner en selecteer Verkenner (voer een van de volgende handelingen uit):
   • Plak het pad C:\Windows\System32\drivers\CrowdStrike in de adresbalk boven aan de Verkenner en druk op Enter.
   • Ga naar de CrowdStrike-map en volg deze stappen:
     1. Klik op het menu Start
     2. Klik op de applicatie Verkenner
     3. Klik op C:/ station
     4. Klik op de Windows-map
     5. Klik op de map System32
     6. Klik op de map met drivers
     7. Klik op de CrowdStrike-map
3. Verwijder het volgende bestand, C-00000291*.sys
4. Start op naar Windows.

Identificatie van getroffen machines:

Query uitvoeren om getroffen hosts te identificeren met behulp van Geavanceerd zoeken naar evenementen (binnen de CrowdStrike-applicatie):

}
| default(value="0", field=[CSUcounter, SHBcounter])
// Make sure both ConfigState update and SensorHeartbeat have happened
| selfJoinFilter(field=[cid, aid, ComputerName], where=[{ConfigStateUpdate}, {SensorHeartbeat}])
// Aggregate results
| groupBy([cid, aid], function=([{selectFromMax(field="@timestamp", include=[CFVersion])}, {selectFromMax(field="@timestamp", include=[@timestamp]) | rename(field="@timestamp", as="LastSeen")}, max(CSUcounter, as=CSUcounter), max(SHBcounter, as=SHBcounter)]), limit=max)
// Perform check on selfJoinFilter
| CFVersion=* LastSeen=*
// Calculate time between last seen and now
| LastSeenDelta:=now()-LastSeen
// Optional threshold; 3600000 is one hour
| LastSeenDelta>3600000
// Calculate duration between last seen and now
| LastSeenDelta:=formatDuration("LastSeenDelta", precision=2)
// Convert LastSeen time to human-readable format
| LastSeen:=formatTime(format="%F %T", field="LastSeen")
// Enrich aggregation with aid_master details
| aid=~match(file="aid_master_main.csv", column=[aid])
| aid=~match(file="aid_master_details.csv", column=[aid], include=[FalconGroupingTags, SensorGroupingTags])
// Convert FirstSeen time to human-readable format
| FirstSeen:=formatTime(format="%F %T", field="FirstSeen")

// Move ProductType to human-readable format and add formatting
| $falcon/helper:enrich(field=ProductType)
| drop([Time])
| default(value="-", field=[MachineDomain, OU, SiteName, FalconGroupingTags, SensorGroupingTags], replaceEmpty=true)
| case{
    CSUcounter=0 AND SHBcounter=0 | Details:="OK: Endpoint did not receive channel file during impacted window. Endpoint was offline.";
    CSUcounter=0 AND SHBcounter=1 | Details:="OK: Endpoint did not receive channel file during impacted window. Endpoint was online.";
    CSUcounter=1 AND SHBcounter=1 | Details:="CHECK: Endpoint received channel file during impacted window. Endpoint was online. Endpoint has not been seen online in past hour.";