1. 事件描述

网络上发现大量企业Windows系统主机出现BSOD（Bluescreen of Death）并循环重启。

观察蓝屏信息，发现造成蓝屏的程序均是csagent.sys，该程序为CrowdStrike终端安全软件组件。

经确认，CrowdStrike是造成本次大面积Windows系统BSOD的原因。

2. CrowdStrike官方信息

CrowdStrike发布声明称：“安全终端中的Falcon Sensor猎鹰传感器导致Windows系统冲突从而引起系统蓝屏状态。”

声明链接地址（该链接需要CrowdStrike账号访问）：https://supportportal.crowdstrike.com/s/article/Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19

声明见下图4 / 5 

3. 问题自查

3.1. 方法一

请检查是否存在以下CrowdStrike产品：

⚫ Falcon Endpoint Protection

◼ Falcon Pro: 包括Falcon Prevent、Falcon X等附加组件

◼ Falcon Enterprise: 增加Falcon Insight

◼ Falcon Premium: 包含Falcon Prevent、Falcon Insight和Falcon Discover

◼ Falcon Complete

⚫ 云工作负载保护

◼ Falcon Cloud Workload Protection (CWP)

◼ Falcon Horizon

⚫ 身份保护

◼ Falcon Identity Protection

⚫ 威胁情报和响应◼ Falcon X

◼ Falcon OverWatch

◼ Falcon Forensics

⚫ 其他服务◼ Falcon Spotlight

◼ Falcon Device Control

◼ Falcon Firewall Management

3.2. 方法二

若发现BSOD（蓝屏死机），请检查告警是否与csagent.sys有关（BSOD底部）。

BSOD及程序信息见下图5 / 5 

4. 临时处置办法

 4.1. 官方临时解决方案

若发现存在BSOD情况，且确认为csagent.sys造成，则可通过以方案进行临时修复。

CrowdStrike官方Workaround见下图

翻译如下：

1. 将Windows 启动到安全模式或Windows 恢复环境；

2. 导航到C:\Windows\System32\drivers\CrowdStrike 目录；

3. 找到匹配“C-00000291*.sys”的文件，并将其删除；

4. 正常启动主机。

4.2. 其他方法（非官方）

1. 将Windows 启动到安全模式或Windows 恢复环境；

2. 将CrowdStrike 文件夹C:\windows\system32\drivers\crowstrike 重命名为其他名称；

3. 正常启动主机。

5. 其他补充信息（Bitlocker相关）

若使用了Bitlocker对磁盘进行加密，则安全模式无法看到CrowdStrike文件夹。

此时需要通过AAD中的Bitlocker恢复密钥先对磁盘进行解锁。