Po zaktualizowaniu narzędzia CrowdStrike pojawia się błąd niebieskiego ekranu

Dotyczy produktów:

• CrowdStrike

Uwaga: Oświadczenie firmy CrowdStrike: Oświadczenie o aktualizacji zawartości Falcon dla hostów Windows .

Użytkownicy mogą napotkać błąd niebieskiego ekranu po zaktualizowaniu narzędzia CrowdStrike.

Komunikat o błędzie brzmi:

Stop Code：Page_fault_in_nonpaged_area
What failed: csagent.sys

Przyczyna jest badana przez CrowdStrike. Aby uzyskać szczegółowe informacje, skontaktuj się z firmą CrowdStrike. https://www.crowdstrike.com/contact-us/

Ten artykuł jest aktualizowany w miarę pojawiania się nowych informacji.

Obejście problemu:

Ponowne uruchomienie komputera może pozwolić na pobranie funkcjonalnego pliku kanału.

Jeśli niebieski ekran pojawi się po ponownym uruchomieniu, wykonaj następujące czynności, aby obejść problem:

1. Uruchom komputer w trybie awaryjnym. Aby uzyskać informacje na temat uruchamiania w trybie awaryjnym, zapoznaj się z artykułem bazy wiedzy firmy Dell Jak uruchomić system Windows 11 lub Windows 10 w trybie awaryjnym
2. Przejdź do katalogu CrowdStrike. Otwórz Eksplorator plików , klikając ikonę folderu na pasku zadań. Możesz też kliknąć przycisk Start i wyszukać Eksplorator plików , a następnie wybrać aplikację Eksplorator plików (wykonaj jedną z następujących czynności):
   • Wklej ścieżkę C:\Windows\System32\drivers\CrowdStrike na pasku adresu w górnej części Eksploratora plików i naciśnij Enter.
   • Przejdź do folderu CrowdStrike, wykonując następujące czynności:
     1. Kliknij menu Start
     2. Kliknij aplikację Eksplorator plików
     3. Kliknij dysk C:/
     4. Kliknij folder Windows
     5. Kliknij folder System32
     6. Kliknij folder sterowników
     7. Kliknij folder CrowdStrike
3. Skreśl następujący plik: C-00000291*.sys
4. Uruchom system Windows.

Identyfikowanie zagrożonych maszyn:

Kwerenda identyfikująca hosty, których dotyczy problem, przy użyciu zaawansowanego wyszukiwania zdarzeń (w aplikacji CrowdStrike):

}
| default(value="0", field=[CSUcounter, SHBcounter])
// Make sure both ConfigState update and SensorHeartbeat have happened
| selfJoinFilter(field=[cid, aid, ComputerName], where=[{ConfigStateUpdate}, {SensorHeartbeat}])
// Aggregate results
| groupBy([cid, aid], function=([{selectFromMax(field="@timestamp", include=[CFVersion])}, {selectFromMax(field="@timestamp", include=[@timestamp]) | rename(field="@timestamp", as="LastSeen")}, max(CSUcounter, as=CSUcounter), max(SHBcounter, as=SHBcounter)]), limit=max)
// Perform check on selfJoinFilter
| CFVersion=* LastSeen=*
// Calculate time between last seen and now
| LastSeenDelta:=now()-LastSeen
// Optional threshold; 3600000 is one hour
| LastSeenDelta>3600000
// Calculate duration between last seen and now
| LastSeenDelta:=formatDuration("LastSeenDelta", precision=2)
// Convert LastSeen time to human-readable format
| LastSeen:=formatTime(format="%F %T", field="LastSeen")
// Enrich aggregation with aid_master details
| aid=~match(file="aid_master_main.csv", column=[aid])
| aid=~match(file="aid_master_details.csv", column=[aid], include=[FalconGroupingTags, SensorGroupingTags])
// Convert FirstSeen time to human-readable format
| FirstSeen:=formatTime(format="%F %T", field="FirstSeen")

// Move ProductType to human-readable format and add formatting
| $falcon/helper:enrich(field=ProductType)
| drop([Time])
| default(value="-", field=[MachineDomain, OU, SiteName, FalconGroupingTags, SensorGroupingTags], replaceEmpty=true)
| case{
    CSUcounter=0 AND SHBcounter=0 | Details:="OK: Endpoint did not receive channel file during impacted window. Endpoint was offline.";
    CSUcounter=0 AND SHBcounter=1 | Details:="OK: Endpoint did not receive channel file during impacted window. Endpoint was online.";
    CSUcounter=1 AND SHBcounter=1 | Details:="CHECK: Endpoint received channel file during impacted window. Endpoint was online. Endpoint has not been seen online in past hour.";