Windows电脑出现大量当机的情况，起因为CrowdStrike的EDR系统更新出错所致
https://www.ithome.com.tw/news/164030
资安业者CrowdStrike传出更新导致Windows电脑出现当机的现象。今天下午约1时开始，传
出有用户在社群网站Reddit、X反应电脑当机的情况，并出现蓝色当机（BSoD）的现象，发
生原因与名为csagent.sys的系统档案有关，而这个档案就是EDR系统CrowdStrike Falcon的
重要元件。
这样的情况已在全球造成灾情，例如：美国、印度多家航空公司营运出现影响，美国联邦航
空总署（FAA）对所有航班祭出停飞令；印度机场出现手写登机证的情形。而在国内，也出
现桃园机场8家航空公司紧急采取人工划位作业、台大医院传出部分系统发生短暂当机，而
台北荣总的急诊、住院服务柜台、检验及配药的部分受到影响。
针对这起事故，我们也询问CrowdStrike台湾总经理陈琤琤，她表示未被授权发言而无法说
明。
有人在社群网站Reddit指出，CrowdStrike已对用户发出资安公告，标题是与Falcon Sensor
相关的Windows当机事故，并表明他们的工程团队着手处理此事，用户不要再填写新的支援
工单通报。他们后续也会更新处理的情形。不过，这份资安公告并非所有人都能存取，必须
为该公司用户才能检视。
这样的当机事故出现后，我们也听闻有部分IT人员透过安全模式开机，更改这套EDR系统的
资料夹名称或主程式档案，缓解上述当机的情况。但值得留意的是，这种暂时解决措施会失
去相关防护效果，最好在资安业者提供修补程式之前，应暂停使用电脑。
不过，后来有用户在社群网站张贴CrowdStrike提出的临时解决方法，其做法是重新开机到
安全模式，存取C:\Windows\System32\drivers\CrowdStrike资料夹，将档名为C-00000291
开头的系统档（.SYS）全数删除，就能在维持该EDR系统提供相关防护的情况下正常开机、
进入Windows作业系统。