V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zealer8
V2EX  ›  信息安全

crowdstrike 这次蓝屏至少让全球损失好几十亿

  •  
  •   zealer8 · 155 天前 · 11741 次点击
    这是一个创建于 155 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我的身份,世界 500 强公司 IT 运维

    我们公司是外企,公司采购新电脑到货之后都会重新安装新系统,安装新系统公司是要求默认开启 bitlocker 。

    但问题就在于公司的推软件服务器并不能 100%的把 bitlocker 密钥给备份下来,
    也就代表有 3 分之 1 左右的电脑是没有备份硬盘加密密钥的。

    而这一次事情就非常严重了,正常来说没有加密的电脑,我可以通过 pe 去给他删除这个更新补丁,但是有加密电脑数据就全毁了。

    我尝试进入安全模式,但是是进不去的,公司也大部分是戴尔惠普电脑,在开机 windows 加载的状态下就会蓝屏,

    所以根本就没有机会通过 f8 进入安全模式。

    所以这一次公司损失了非常非常多的数据,直接间接损失至少好几百万。。。

    哎,心累,明天加班慢慢研究解决方案
    86 条回复    2024-07-22 12:19:28 +08:00
    paopjian
        1
    paopjian  
       155 天前   ❤️ 5
    打工人有啥心累的,决策是公司定的,bitlocker 是公司要锁的,杀毒软件是公司要求安装的,现在电脑炸了,该找谁找谁,电脑修不好那就躺平等法务去要补偿
    lucky85984
        2
    lucky85984  
       155 天前
    你也太逊了吧
    zealer8
        3
    zealer8  
    OP
       155 天前   ❤️ 1
    @lucky85984 bielocker 被锁这种情况,神仙来了也没辙
    allpass2023
        4
    allpass2023  
       155 天前   ❤️ 24
    @zealer8

    作为 500 强,你们 BL 有 1/3 密钥拿不到完全不可以接受。
    第一个要炒的就是让 BL 有这个问题的人。
    AkaGhost
        5
    AkaGhost  
       155 天前
    新版本都不是 F8 进安全模式了,而是多次启动失败转到恢复页面,在恢复模式里面进入高级引导菜单,到安全模式就行。
    Andim
        6
    Andim  
       155 天前 via iPhone   ❤️ 1
    这个
    没有 bitlocker 密钥
    这是严重的失职了吧?
    lambdaq
        7
    lambdaq  
       155 天前
    现在安全模式好像不是 F8 了。是一直按 shift 还是什么来着。。
    test0x01
        8
    test0x01  
       155 天前 via Android   ❤️ 2
    不对啊,两个问题:
    1. 你们公司明知道有部分 key 备份不了为什么不解决啊?这是非常严重的问题
    2. 现在的 500 强默认数据不是应该都存云端了吗 onedrive
    SodaPopBoy
        9
    SodaPopBoy  
       155 天前 via Android
    不是很懂,能用启动盘吗?
    hahastudio
        10
    hahastudio  
       155 天前   ❤️ 3
    讲道理 key 丢了跟 CrowdStrike 是两件事,这次不因为 CrowdStrike 下次因为其他的事情要进安全模式不一样抓瞎,只不过这次仿佛有了一个比较好甩锅的理由
    moudy
        11
    moudy  
       155 天前
    @paopjian #1 bitlocker 密钥没有 100%备份这事够 IT 老大喝一壶吧
    moudy
        12
    moudy  
       155 天前
    @test0x01 #8 云端也就存点 office 文件
    moudy
        13
    moudy  
       155 天前
    当我听到 bitlocker 的电脑需要输入原始密钥就知道乐子大了。这种我用了 n 年都没见过的东西现在挨个要,必然鸡飞狗跳。
    cybort
        14
    cybort  
       155 天前 via Android   ❤️ 5
    加密了没有密钥,这不是等着爆炸吗?这哥们是搞勒索软件出身的?
    lonelykid
        15
    lonelykid  
       155 天前
    不是开机过程中强制关机就能触发恢复界面吗?还有生产环境开 bitlocker 还不备份秘钥是怎么想的?
    BridgeCham
        16
    BridgeCham  
       155 天前
    为什么我这里边登录 office365 就能看到自己设备的密钥。
    crackidz
        17
    crackidz  
       155 天前
    几十亿少了吧...如果只算微软的市值蒸发,3.26 trillion*0.0045.....
    mohumohu
        18
    mohumohu  
       155 天前
    没有密钥还研究啥,FBI 来了都没用
    patrickyoung
        19
    patrickyoung  
       155 天前 via Android
    可以绕,我们试过了,能用。
    kk2syc
        20
    kk2syc  
       155 天前
    @patrickyoung 要替换硬件吧?而且如果是外置 TPM 还没用
    VrianC
        21
    VrianC  
       155 天前 via Android
    没有 BL 密钥数据可是恢复都恢复不了。。
    ChaimeLonic
        22
    ChaimeLonic  
       155 天前
    @BridgeCham 因为会默认备份,但是企业用策略就不太一样了
    gggccc44
        23
    gggccc44  
       155 天前
    话说企业用难道不是用策略统一更新吗?还用 win 自己的自动更新?难道不知道有雷?
    yuhaofe
        24
    yuhaofe  
       155 天前
    安全模式应该也是会锁 BL 的吧,没有密钥也没用
    cnbatch
        25
    cnbatch  
       155 天前
    @gggccc44 crowdstrike 更新并不走 Windows 的更新通道,是走它自己的更新
    MajestySolor
        26
    MajestySolor  
       155 天前   ❤️ 1
    `3 分之 1 左右的电脑是没有备份硬盘加密密钥的`这种情况为啥会长期存在,完全无法理解🤣
    levelworm
        27
    levelworm  
       155 天前
    出问题的 sys 文件据说是个空文件:

    https://x.com/christian_tail/status/1814299095261147448
    xziar
        28
    xziar  
       155 天前
    进安全模式好像也会蓝,但失败三次后的提示界面进 CMD 是能删除的(用的 RE 系统吧),不过 RE 系统需要解 bitlocker……
    所以归根到底,bitlocker 恢复密钥丢了大概就完了
    Biggoldfish
        29
    Biggoldfish  
       155 天前 via Android   ❤️ 1
    重要数据没备份,出事是早晚的。这回是 Bitlocker 密钥丢了,下回可能是硬盘坏了/设备丢了。IT 当然是最大责任
    dwu8555
        30
    dwu8555  
       155 天前   ❤️ 1
    主要是微软强制更新太恶心了
    Yadomin
        31
    Yadomin  
       155 天前 via Android   ❤️ 1
    crowd strike 建议重启十几次,只要有一次连上网能够更新就能救回来
    Yadomin
        32
    Yadomin  
       155 天前 via Android   ❤️ 3
    @dwu8555 跟微软有什么关系,是 crowd strike 自己的更新出问题了
    a1044634486
        33
    a1044634486  
       155 天前
    ”公司的推软件服务器并不能 100%的把 bitlocker 密钥给备份下来“
    发现备份失败之后,不能手动备份吗? 万一遇到硬盘坏了不也一样 g
    my101du
        34
    my101du  
       155 天前   ❤️ 1
    Bitlocker 不是可以两种方式都能看到吗?
    1. 通过个人账号登录 myaccount.microsoft.com
    2. 通过管理员账号进 Azure Intune/Device/Recovery Key
    JIlIlIlIl
        35
    JIlIlIlIl  
       155 天前 via iPhone
    这里也是知乎吗?
    EndlessMemory
        36
    EndlessMemory  
       155 天前
    想想都离谱
    tinola
        37
    tinola  
       155 天前
    bitlocker 不备份整个啥。外企不是应该开 AD 嘛。
    mioktiar56
        38
    mioktiar56  
       155 天前
    @zealer8 不需要神仙,找公安就可以
    JamesR
        39
    JamesR  
       155 天前   ❤️ 2
    打工人的优势此时就体现出来了,最大的惩罚也不过是离职而已。
    损失最大的其实是老板,被直接教育给上了一课。
    zealer8
        40
    zealer8  
    OP
       155 天前
    @test0x01 那是个人微软用户会帮你 bit 秘钥被封 onedrive ,我们企业没有使用这个服务
    zealer8
        41
    zealer8  
    OP
       155 天前
    @lonelykid 是的,可以触发恢复界面,但是恢复界面进去就是要输入 bitlocker 秘钥
    zealer8
        42
    zealer8  
    OP
       155 天前
    @gggccc44 这次的雷就是 企业专用杀毒软件的统一策略更新,个人用户完全不影响
    zealer8
        43
    zealer8  
    OP
       155 天前
    @a1044634486 去年才开启全面 bitlocker 备份的,这次事件才意识到问题严重性
    zealer8
        44
    zealer8  
    OP
       155 天前
    @tinola 是啊,都在域里面,但是有些 bitlocker 秘钥没上传,那也没辙
    lloovve
        45
    lloovve  
       155 天前 via iPhone
    起诉赔偿,这还等什么
    lkkl007
        46
    lkkl007  
       155 天前   ❤️ 1
    @paopjian 干活的都是打工人,老板一句话你给我解决,解决不了绩效为 0 ,你不心累谁累,
    MMMit
        47
    MMMit  
       155 天前
    家用电脑这两天狂重启,我都害怕它爆炸 dog
    Knights
        48
    Knights  
       155 天前
    这个杀毒软件没有跟上时代发展,驱动级的更新,测试没有,灰度没有,回滚也没有
    mikaelson
        49
    mikaelson  
       155 天前
    国内媒体大部分都在报道微软导致了这次的蓝屏
    KamNaz
        50
    KamNaz  
       155 天前 via iPhone
    戴尔 F12 BIOS SETUP ,关闭 Enable Secure Boot ,重启就可以用 bitlocker 还原了
    llsquaer
        51
    llsquaer  
       155 天前
    问下 怎么备份 bitlocker 秘钥? 台式机自己装的系统是没有这个的。但是笔记本自带就有。反正现在也不知道放在那里的,问下怎么获取这个秘钥??

    写到我 QQ 签名挂起来,写在 blog 上记录,顺便记录在抖音,头条。这样就不怕丢了
    ScjMitsui
        52
    ScjMitsui  
       155 天前
    是什么原因导致 BL 密钥无法备份的呢?
    piero66
        53
    piero66  
       155 天前   ❤️ 1
    开 bitlocker 还不备份密钥,纯纯作死,但凡看点修硬盘的博主就不会轻视
    Greendays
        54
    Greendays  
       155 天前
    估计 Bitlocker 的密钥没备份是历史遗留问题吧。这个东西真的很抽象。
    linhongjun
        55
    linhongjun  
       155 天前
    如果国内是 360 或者 腾讯管家 这么搞。。。不知道会咋样
    zealer8
        56
    zealer8  
    OP
       155 天前
    @linhongjun 以前出现过,火绒资源管理器卡死事件,也没啥影响,互联网没有记忆
    zealer8
        57
    zealer8  
    OP
       155 天前
    @llsquaer 控制面板,bitlocker 管理,里面有备份秘钥的,可以保存到 u 盘或者打印为 pdf ,然后保存到安全的地方,比如网盘之类的
    8e47e42
        58
    8e47e42  
       155 天前
    @zealer8 你这个都还算好的了,我们这边听说过不止一例很多公司有多个有多个备份,然后 IT 的电脑一起阵亡的。直接 deadlock ,根本没辙,比没备份还气人了属于是
    zealer8
        59
    zealer8  
    OP
       155 天前
    @KamNaz 我的主要问题点在于没有 bitlocker 秘钥,不然实在不行,我甚直都可以拆电脑,取出硬盘删注册表了
    zealer8
        60
    zealer8  
    OP
       155 天前
    @8e47e42 哈哈,是的,当我发现批量蓝屏的之后,我第一时间给我自己的笔记本彻底断网了,所以完美避免了,因为我知道这是通过网络推送的蓝屏补丁包
    y1y1
        61
    y1y1  
       155 天前
    不备份密钥,这是防自己吗
    siyanmao
        62
    siyanmao  
       155 天前
    贵司 IT 老大和管 IT 的 VP 估计已经收拾好东西准备被开了…
    kenvix
        63
    kenvix  
       155 天前
    @zealer8 #40 没用 BL 的域模式?我觉得 IT 该被炒了
    yytbob
        64
    yytbob  
       155 天前
    回复 @zealer8 59 楼:BitLocker 不是全磁盘加密吗…正常情况下哪怕拆电脑取硬盘,里面的数据应该也是读不出的来的吧?
    Remember
        65
    Remember  
       154 天前
    @zealer8 为什么开了 BitLocker 但没有密钥备份,需要现在才知道严重性?
    Rorysky
        66
    Rorysky  
       154 天前   ❤️ 2
    你别急, 天塌了高个儿顶着

    说不定你前面有位子被撸了,你还能有机会升值呢
    MaxLen
        67
    MaxLen  
       154 天前
    bitlocker 数据火葬场 hh
    gggccc44
        68
    gggccc44  
       154 天前
    @zealer8 #42 嗯嗯,问了个群里的人知道问题是杀软不是 win ,那软件没见过所以没反应过来,又看到说 ms 市值啥的所以才奇怪了下 。谢谢两位解惑
    424778940
        69
    424778940  
       154 天前
    不要急 2333, bitlocker 一般 protector 两种比较常见, 纯密码, 和 tpm
    看帖子, 你们公司应该使用的是 tpm+自动解锁吧, 也就是密钥在 TPM 里
    现在一般电脑的 TPM 都是没做总线防护的, TPM2.0 虽然有这部分, 但一般都是没有启用的
    也就是说可以启动时候监听 LPC 总线来拿到 key (当然如果是 TPM PIN 你得知道 TPM 的 PIN), 拿到 key 之后直接挂载到其他电脑上用那个 key 解密就行了
    424778940
        70
    424778940  
       154 天前
    还有一种可能就是 GPT 启动的话 EFI 分区是不会被 bitlocker 加密的 不然怎么启动呢...
    所以你可以直接修改里面的 BCD, 新增一个强制进入安全模式的 entry, 然后开启启动菜单和倒数, 最后启动时候选那个就行了
    kakarott1883
        72
    kakarott1883  
       154 天前
    @kevin660 这样就能绕过?那 bitlocker lock 了个啥?
    winterbells
        73
    winterbells  
       154 天前 via Android
    @424778940 进安全模式也是要输入密钥的
    bullfrog
        74
    bullfrog  
       154 天前
    谁给讲讲,既然硬盘没有解密,那那个会报错的文件是怎么被执行的?是不是说明存放的位置并没有加密?
    ccwc
        75
    ccwc  
       154 天前 via Android
    @bullfrog 开机的时候是自动解密的,系统运行在解密状态,可以读写
    Bitlocker 有两种解密方式,一种是开机自动解密,一种是手动输密码(非恢复秘钥,需要自己去设置)解密,个人用的第二种,强迫自己记密码
    424778940
        76
    424778940  
       154 天前
    @winterbells 启动失败用菜单选择进入安全模式是要输入密钥 但通过修改 bcd 开启的话应该是能绕过的
    hello2090
        77
    hello2090  
       154 天前 via iPhone
    @test0x01 据我所知 500 强也是有档次的,楼主他们应该是 450 - 500 这个区间
    424778940
        78
    424778940  
       154 天前
    @kakarott1883 他那个不是绕过 就是我说的修改 bcd 实现 safeminial 方式 load
    安全模式和普通启动的区别也是在于是否加载第三方驱动
    crowdstrike 出问题的驱动就是第三方驱动
    424778940
        79
    424778940  
       154 天前
    @bullfrog TPM 加密是启动时候动态解密的 如果 TPM 加密且不设置 PIN 这种主要是防止拆盘下来读数据
    mark2025
        80
    mark2025  
       154 天前
    @424778940 “如果 TPM 加密且不设置 PIN 这种主要是防止拆盘下来读数据”,那如果 TPM 加密且设置 PIN 是防止什么呢?
    zealer8
        81
    zealer8  
    OP
       153 天前
    @kevin660 谢谢,这个有用
    kevin660
        82
    kevin660  
       153 天前   ❤️ 2
    文档里这个方法的原理是“safeboot minimal:这一部分设置系统进入安全模式,并使用最小配置启动。安全模式是一种诊断模式,只加载最基本的驱动程序和服务。minimal 表示仅加载核心系统服务和驱动程序。”此时不会加载出问题的驱动文件,进入安全模式后用本地管理员凭据解密 bit locker ,并非绕过 bit locker 。
    kevin660
        83
    kevin660  
       153 天前
    @kevin660 本人非专业 it 运维,如有错误还请各位指正。
    424778940
        84
    424778940  
       153 天前
    @mark2025 安全/程度不同 TPM 加密且设置了 TPM PIN 的开机时候 Bitlocker 会要求输入 PIN 界面跟不使用 TPM 加密只使用密码那个输入密码是一样的
    自动解密的主要靠 windows 密码来提供安全性 能启动但无法登陆 所以一般手段做不了什么
    mark2025
        85
    mark2025  
       153 天前
    @424778940 门锁太牢固了可能把自己也拒之门外~
    424778940
        86
    424778940  
       153 天前
    @mark2025 有备份 key 就行 不备份就是活该
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2739 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 08:05 · PVG 16:05 · LAX 00:05 · JFK 03:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.