台湾时间7月19日下午一点多开始，有许多公司内的微软电脑和服务器都出现蓝色当机画面，持续追查才发现，原来是资安公司CrowdStrike进行EDR软件更新时出包导致的灾情。

台湾时间7月19日传出微软云端服务大当机，经查是资安公司CrowdStrike更新EDR时出包，造成安装微软操作系统的电脑，出现蓝色当机画面（blue-screen-of-death，BSOD）的状态。

微软企业及操作系统安全副总裁David Weston在官方博客文章中提到，此次受到CrowdStrike更新影响的设备，估计高达850万台微软设备，并不到所有微软电脑的百分之一。

而台湾有多少企业受到波及，并没有任何官方数据可以提供。因此，iThome私下访问台湾企业资安长和资服业者，希望可以勾勒出，台湾不同产业在这一波CrowdStrike引发蓝色当机画面的灾情现况。

事实上，此次CrowdStrike引发蓝色当机当机的受骇产业范围甚广，包括金融业、资服业、传统制造和高科技制造业者等，都陆续传出受骇灾情；此外，根据其他媒体报导，其他像是台湾有航空业者，也是此次灾情的受害者。

金融业者因为开放云端服务较晚，便有金融业者表示，该公司刚好在进行CrowdStrike的POC（概念验证），因此灾情发生后，选择暂停POC；另外，则有一家资服业者灾情惨重，该公司有三千多台个人电脑，全部都出现蓝画面的当机状态。

金融业者暂停CrowdStrike的POC，有部分受害电脑同时安装M365

金融业在2023年，金管会二度开放上云的规定后，金融业才陆续采用云端服务、加速上云的脚步。

此次CrowdStrike因为EDR更新程序出包，造成用户电脑出现电脑当机的蓝画面，匿名的金融业资安长表示，该公司这段时间正好在进行CrowdStrike的POC（概念验证），当公司电脑在7月19日下午出现蓝画面的当机状态后，除了要求同仁立即处理，手动进入安全模式、也手动移除代理程序CSAgent.sys后，再重新开机，他说：「该公司虽然因为CrowdStrike还在POC中，没有造成公司营运上的损害，因为此一事件，立即暂停CrowdStrike的POC测试。」

另外，也有金融业信息部门同仁私下表示，该公司在7月19日下午发现信息部门电脑出现蓝色当机画面，她发现，该公司出现蓝色当机画面的电脑，同时安装微软M365以及安装CrowdStrike的EDR软件。

她表示，该公司当机电脑复原的状况不一，有联系代理商针对CrowdStrike的EDR软件进行远程降版，但这时候的电脑需要处于开机状态。她很幸运，手动进入安全模式、移除代理程序CSAgent.sys后，电脑重新开机一次就恢复正常使用，但她观察到，还有不少信息部同仁的电脑，从下午二点一直重复发生开机后，就出现蓝色当机画面的状况，一直到下午五点多都还无法正常使用。

虽然该金融业者发现，该公司出现蓝色当机画面的电脑，是同时安装微软M365和CrowdStrike的EDR软件，一刚开始以为，出现蓝色当机画面是必须同时安装微软M365和CrowdStrike的EDR软件才会发生当机。

但有匿名高科技制造业资安长表示，该公司订阅SOCRadar平台的情资中，虽然有一份文档是有特别提到蓝色当机画面与M365的关系，不过，综整其他受害电脑的情资，多数出现蓝色当机画面的电脑，并没有安装微软M365。

高科技制造业用来保护关键系统，交易数据不一致改人工作业补救

有某大型高科技制造业者此次受骇范围甚广，连该公司总经理都紧盯资安部门处理进度。该公司资安主管甚至表示：「勒索软件都没有办法做到的事情（公司电脑大规模当机），CrowdStrike办到了。」

匿名高科技业资安长表示，该公司有十八台电脑受到影响，但这些受害电脑都是该公司关键应用的主机，当初因为这些主机很重要，所以才特别安装CrowdStrike的EDR软件做保护，没想到，反而是提供防护的资安业者本身，造成电脑出现当机的情况。他说：「还好部门同仁在第一时间做紧急处置，否则造成的影响比黑客入侵还巨大。」

不过，该匿名高科技资安长也发现，他们将CrowdStrike的EDR软件部署在关键应用的Windows 服务器和Linux服务器，而CrowdStrike的Falcon Sensor 都是启动（Active），并不是所有Windows服务器都出现蓝色当机画面，令人费解。

另外，登丰数位总经理黄建笙（方丈）也接获一些受害业者的技术咨询，就他观察到的受害案例中，就有一家全面导入CrowdStrike产品的高科技制造业者，安装CrowdStrike EDR软件的服务器，全部出现蓝色当机画面。

黄建笙（方丈）表示，该业者进行紧急处理后，发生了数据库被Dirty shutdown（脏卸载）的情况，造成BOM表的交易记录档损坏、无法挂载。他也解释，所谓的脏卸载就是数据库被连续未预期的重新开机，但当时生产线还在生产，所以造成数据挂载的交易记录被迫中断，而又重新连上主机时，却发现连不上，显示为Dirty shutdown。

因为生产线现场还在持续生产中，而该高科技制造业者为了要确保交易数据的正确性，在进行脏卸载数据库进行一致性验证，而系统估计需要花三天多的时间才能够完成。

黄建笙（方丈）指出，一般而言，除非确定放弃数据库的交易数据，才会直接舍弃特定时间以后的数据。而该高科技制造业者在7月19日晚上八点多时，做了一个重要决定，就是要舍弃生产在线所有制程，把原先所有生产表单直接弃置后，再重新输入，数据库也直接舍弃有问题的交易记录。他说，该公司先盘点完已经生产完成的批号，且经过人工比对无误后，再重新进单生产，并于当日晚上十点多，恢复生产线的产能运作，而产在线弃置产品共计十四条生产线。

因为CrowdStrike灾情，造成存放AD服务器的BitLocker无法存取

不过，黄建笙（方丈）提供技术咨询的业者中，有遇到一起拯救难度较高的企业案例，这也是许多企业容易忽略的角度。

他表示，这也是一家高科技制造业者，全公司全面导入CrowdStrike的EDR软件以及微软的设备加密功能BitLocker，并且采用地端解决方案，由AD目录服务服务器作为存储BitLocker加密密钥的区域。

该公司的AD服务器以及用户端电脑，都因为CrowdStrike的EDR软件错误更新而导致无法正常开机，AD服务器也因为复写异常，造成AD服务器通过更名进程回复系统后，造成母子网域复写异常。

其中，主网域中具有完整数据库功能、可以让用户和应用程序在AD网域树状目录中寻找对象并指定物标对象一个或多个属性的GC（Global Catalog，全域目录）主机损坏，另外一台GC主机则存放于虚拟机，底层操作系统也因为该次事件造成打开异常、无法正常启动，全公司电脑均无法正常开机。

黄建笙（方丈）指出，GC可以正常运作，才能完整保留系统中该存放的东西，而该企业的GC主机都无法正常运作，等同时该公司AD网域中，没有人有完整的数据库，而该公司两台GC主机都已损毁且BitLocker的加密密钥也没有备份。

所幸，有部份员工曾以公司M365帐号登录本机，也在公司的电脑中存取过私人MSN、hotmail，幸运的在Windows Account的设备密钥中找到复原密钥，才成功的让BitLocker在开机进程中，顺利取回复原密钥并复原成功。

另外，该高科技制造业者也常是从主机备份进行还原，但Veeam备份及备援主机也受到此次灾情影响，被BitLocker锁定、无法进行复原；还好，该公司使用Azure Site Recovery的服务，就改将备份数据从微软Azure云端落地回到企业内部后，再进行主机系统还原。

该公司确定7月22日上班日，已经将BitLocker的加密密钥找回来了。不过，但黄建笙（方丈）也坦言，该起事件对该公司伺服端及用户端的冲击，目前难以估计。

传统制造业出现蓝色当机画面，关键错误来自CSAgent.sys

有一家规模较小的传统制造业在7月19日下午一点十七分的时候，第一时间向黄建笙（方丈）反应，该公司Hyper-V虚拟机和其主要的服务器全部出现蓝色当机画面、无法正常运作，请求支持。

黄建笙（方丈）说，刚开始立刻协助客户以还原点的方式进行系统复原，但在操作过程中，先尝试以修复开机区的方式进行，但该客户反应无效。后经确认后才发现，重开机的关键错误来自于CSAgent.sys，才确认该公司出现的蓝色当机画面，是因为CrowdStrike造成的。

后来黄建笙（方丈）则提供进入安全模式后，将CSAgent.sys更名后再开机，顺利恢复公司系统正常运作。

资服业者三千台电脑，耗时三天进行手动系统复原

另外，有一家资服业者全公司有三千多台电脑，因为不断出现蓝色当机画面，该公司的资安人员只能协同其他IT部门同仁，一起通过按F8按键进入电脑的安全模式后，才能进行CSAgent.sys更新名称后再重启的作业，一直到7月19日下午四点，CrowdStrike发布更新后才开始全面缓解。

不过，因为该资服业者有三千多台电脑，总计花了三天，才逐步手动完成电脑复原的作业。