haithanh1510194
Búa Đá
Vào ngày 19 tháng 7 năm 2024, nhiều hệ thống máy tính khác nhau trên khắp thế giới đã gặp phải sự cố ngừng hoạt động dẫn đến sự gián đoạn liên tục trên nhiều ngành khác nhau, liên quan đến bản cập nhật CrowdStrike bị lỗi.
Sự cố đã gây ra màn hình xanh chết chóc cho các máy thuộc hệ điều hành Windows. Công ty an ninh mạng của Mỹ CrowdStrike đã nói rằng họ là nguyên nhân gây ra vấn đề. Bản cập nhật trình điều khiển liên quan đến phần mềm bảo mật Falcon Driver của CrowdStrike đã được xác định là nguyên nhân cốt lõi của sự cố.
Sự cố công nghệ khiến nhiều dịch vụ lớn trên thế giới tê liệt
Chiều 19-7, nhiều sân bay và hãng hàng không trên thế giới đột ngột thông báo hoãn hoặc hủy chuyến bay. Ngoài hàng không, các dịch vụ của ngân hàng Commonwealth Bank, các sàn giao dịch dầu khí và chứng khoán, các công ty tài chính, bảo hiểm, và truyền thông như Sky News và ABC cũng bị gián đoạn.
Sự cố cũng ảnh hưởng đến dịch vụ y tế, hệ thống máy tính của Quốc hội New Zealand, cơ sở hạ tầng ở Đức, UAE, và nhà sản xuất ô tô Maruti Suzuki tại Ấn Độ. CrowdStrike báo cáo hiện tượng "màn hình xanh chết chóc" trên máy chủ Windows, ảnh hưởng đến các dịch vụ Microsoft 365 như Teams và OneDrive.
Nguyên nhân không phải do tấn công mạng, mà do lỗi của công cụ Falcon của CrowdStrike, một phần mềm bảo vệ máy tính khỏi tấn công mạng và phần mềm độc hại. Falcon gây ra sự cố do trục trặc trong chức năng theo dõi và khóa các mối đe dọa.
Bạn có thể thiết lập một GPO để chạy một script trong Chế độ An toàn (Safe Mode). Đây là cách bạn có thể làm điều này:
### Tạo PowerShell Script
Tạo một PowerShell script để xóa file driver CrowdStrike gây ra lỗi BSOD và xử lý boot vào Chế độ An toàn, sau đó khôi phục lại:
```powershell
# CrowdStrikeFix.ps1
# Script này xóa file driver CrowdStrike gây lỗi BSOD và khôi phục lại Chế độ An toàn
$filePath = "C:\Windows\System32\drivers\C-00000291*.sys"
$files = Get-ChildItem -Path $filePath -ErrorAction SilentlyContinue
foreach ($file in $files) {
try {
Remove-Item -Path $file.FullName -Force
Write-Output "Deleted: $($file.FullName)"
} catch {
Write-Output "Failed to delete: $($file.FullName)"
}
}
# Khôi phục lại boot Chế độ An toàn sau khi sửa lỗi
bcdedit /deletevalue {current} safeboot
```
### Tạo một GPO cho Chế độ An toàn
- Mở Group Policy Management Console (GPMC).
- Nhấp chuột phải vào Organizational Unit (OU) phù hợp và chọn "Create a GPO in this domain, and Link it here...".
- Đặt tên cho GPO, ví dụ như "CrowdStrike Fix Safe Mode".
### Chỉnh sửa GPO
- Nhấp chuột phải vào GPO mới và chọn "Edit".
- Điều hướng đến Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown).
- Nhấp đúp vào "Startup", sau đó nhấp vào "Add".
- Trong trường Script Name, duyệt đến vị trí bạn đã lưu "CrowdStrikeFix.ps1" và chọn nó.
- Nhấp "OK" để đóng tất cả các hộp thoại.
### Buộc boot vào Chế độ An toàn bằng Script
Tạo một PowerShell script khác để buộc boot vào Chế độ An toàn và liên kết nó với một GPO để áp dụng ngay:
```powershell
# ForceSafeMode.ps1
# Script này buộc máy tính boot vào Chế độ An toàn
bcdedit /set {current} safeboot minimal
Restart-Computer
```
### Tạo một GPO để Áp dụng Script Chế độ An toàn
- Mở Group Policy Management Console (GPMC).
- Nhấp chuột phải vào Organizational Unit (OU) phù hợp và chọn "Create a GPO in this domain, and Link it here...".
- Đặt tên cho GPO, ví dụ như "Force Safe Mode".
- Nhấp chuột phải vào GPO mới và chọn "Edit".
- Điều hướng đến Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown).
- Nhấp đúp vào "Startup", sau đó nhấp vào "Add".
- Trong trường Script Name, duyệt đến vị trí bạn đã lưu "ForceSafeMode.ps1" và chọn nó.
- Nhấp "OK" để đóng tất cả các hộp thoại.
### Áp dụng các GPO
- Đảm bảo rằng GPO "Force Safe Mode" được áp dụng cho các máy tính bị ảnh hưởng trước tiên.
- Máy tính sẽ boot vào Chế độ An toàn và thực thi script "CrowdStrikeFix.ps1".
- Sau khi vấn đề được khắc phục, script sẽ khôi phục lại cài đặt boot về chế độ bình thường
Sự cố đã gây ra màn hình xanh chết chóc cho các máy thuộc hệ điều hành Windows. Công ty an ninh mạng của Mỹ CrowdStrike đã nói rằng họ là nguyên nhân gây ra vấn đề. Bản cập nhật trình điều khiển liên quan đến phần mềm bảo mật Falcon Driver của CrowdStrike đã được xác định là nguyên nhân cốt lõi của sự cố.
Sự cố công nghệ khiến nhiều dịch vụ lớn trên thế giới tê liệt
Chiều 19-7, nhiều sân bay và hãng hàng không trên thế giới đột ngột thông báo hoãn hoặc hủy chuyến bay. Ngoài hàng không, các dịch vụ của ngân hàng Commonwealth Bank, các sàn giao dịch dầu khí và chứng khoán, các công ty tài chính, bảo hiểm, và truyền thông như Sky News và ABC cũng bị gián đoạn.
Sự cố cũng ảnh hưởng đến dịch vụ y tế, hệ thống máy tính của Quốc hội New Zealand, cơ sở hạ tầng ở Đức, UAE, và nhà sản xuất ô tô Maruti Suzuki tại Ấn Độ. CrowdStrike báo cáo hiện tượng "màn hình xanh chết chóc" trên máy chủ Windows, ảnh hưởng đến các dịch vụ Microsoft 365 như Teams và OneDrive.
Nguyên nhân không phải do tấn công mạng, mà do lỗi của công cụ Falcon của CrowdStrike, một phần mềm bảo vệ máy tính khỏi tấn công mạng và phần mềm độc hại. Falcon gây ra sự cố do trục trặc trong chức năng theo dõi và khóa các mối đe dọa.
Bạn có thể thiết lập một GPO để chạy một script trong Chế độ An toàn (Safe Mode). Đây là cách bạn có thể làm điều này:
### Tạo PowerShell Script
Tạo một PowerShell script để xóa file driver CrowdStrike gây ra lỗi BSOD và xử lý boot vào Chế độ An toàn, sau đó khôi phục lại:
```powershell
# CrowdStrikeFix.ps1
# Script này xóa file driver CrowdStrike gây lỗi BSOD và khôi phục lại Chế độ An toàn
$filePath = "C:\Windows\System32\drivers\C-00000291*.sys"
$files = Get-ChildItem -Path $filePath -ErrorAction SilentlyContinue
foreach ($file in $files) {
try {
Remove-Item -Path $file.FullName -Force
Write-Output "Deleted: $($file.FullName)"
} catch {
Write-Output "Failed to delete: $($file.FullName)"
}
}
# Khôi phục lại boot Chế độ An toàn sau khi sửa lỗi
bcdedit /deletevalue {current} safeboot
```
### Tạo một GPO cho Chế độ An toàn
- Mở Group Policy Management Console (GPMC).
- Nhấp chuột phải vào Organizational Unit (OU) phù hợp và chọn "Create a GPO in this domain, and Link it here...".
- Đặt tên cho GPO, ví dụ như "CrowdStrike Fix Safe Mode".
### Chỉnh sửa GPO
- Nhấp chuột phải vào GPO mới và chọn "Edit".
- Điều hướng đến Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown).
- Nhấp đúp vào "Startup", sau đó nhấp vào "Add".
- Trong trường Script Name, duyệt đến vị trí bạn đã lưu "CrowdStrikeFix.ps1" và chọn nó.
- Nhấp "OK" để đóng tất cả các hộp thoại.
### Buộc boot vào Chế độ An toàn bằng Script
Tạo một PowerShell script khác để buộc boot vào Chế độ An toàn và liên kết nó với một GPO để áp dụng ngay:
```powershell
# ForceSafeMode.ps1
# Script này buộc máy tính boot vào Chế độ An toàn
bcdedit /set {current} safeboot minimal
Restart-Computer
```
### Tạo một GPO để Áp dụng Script Chế độ An toàn
- Mở Group Policy Management Console (GPMC).
- Nhấp chuột phải vào Organizational Unit (OU) phù hợp và chọn "Create a GPO in this domain, and Link it here...".
- Đặt tên cho GPO, ví dụ như "Force Safe Mode".
- Nhấp chuột phải vào GPO mới và chọn "Edit".
- Điều hướng đến Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown).
- Nhấp đúp vào "Startup", sau đó nhấp vào "Add".
- Trong trường Script Name, duyệt đến vị trí bạn đã lưu "ForceSafeMode.ps1" và chọn nó.
- Nhấp "OK" để đóng tất cả các hộp thoại.
### Áp dụng các GPO
- Đảm bảo rằng GPO "Force Safe Mode" được áp dụng cho các máy tính bị ảnh hưởng trước tiên.
- Máy tính sẽ boot vào Chế độ An toàn và thực thi script "CrowdStrikeFix.ps1".
- Sau khi vấn đề được khắc phục, script sẽ khôi phục lại cài đặt boot về chế độ bình thường
