Windows电脑出现大量当机与稍早微软云端服务停摆的情况，起因为CrowdStrike的EDR系统更新出错

资安业者CrowdStrike传出更新导致Windows电脑出现当机的现象。今天下午约1时开始，传出有用户在社群网站Reddit、X反应电脑当机的情况，并出现蓝色当机（BSoD）的现象，发生原因与名为csagent.sys的系统文件有关，而这个文件就是EDR系统CrowdStrike Falcon的重要元件。

这样的情况已在全球造成灾情，例如：美国、印度多家航空公司营运出现影响，美国联邦航空总署（FAA）对所有航班祭出停飞令；印度机场出现手写登机证的情形。而在国内，也出现桃园机场8家航空公司紧急採取人工划位作业、台大医院传出部分系统发生短暂当机，而台北荣总的急诊、住院服务柜台、检验及配药的部分受到影响。

针对这起事故，我们也询问CrowdStrike台湾总经理陈琤琤，她表示未被授权发言而无法说明。

有人在社群网站Reddit指出，CrowdStrike已对用户发出资安公告，标题是与Falcon Sensor相关的Windows当机事故，并表明他们的工程团队着手处理此事，用户不要再填写新的支援工单通报。他们后续也会更新处理的情形。不过，这份资安公告并非所有人都能存取，必须为该公司用户才能检视。

这样的当机事故出现后，我们也听闻有部分IT人员透过安全模式开机，更改这套EDR系统的资料夹名称或主程序文件，缓解上述当机的情况。但值得留意的是，这种暂时解决措施会失去相关防护效果，最好在资安业者提供修补程序之前，应暂停使用电脑。

不过，后来有用户在社群网站张贴CrowdStrike提出的临时解决方法，其做法是重新开机到安全模式，存取C:WindowsSystem32driversCrowdStrike资料夹，将档名为C-00000291开头的系统档（.SYS）全数删除，就能在维持该EDR系统提供相关防护的情况下正常开机、进入Windows作业系统。

除了Windows电脑因CrowdStrike Falcon元件更新造成灾情，微软今天凌晨也发生服务停摆的状况，据传也与CrowdStrike有关。

而在世界协调时间（UTC）7月19日9时40分，微软在Azure服务状态公告页面，证实他们的确受到CrowdStrike的影响。微软表示，他们察觉问题出在：执行CrowdStrike Falcon代理程序的Windows与Windows Server作业系统的虚拟机器，这些系统可能遭遇系统臭虫检查（蓝白当机画面，BSOD）的问题，而卡在重新启动的状态，此问题开始出现的时间是世界协调时间7月18日19时。