Crowdstrike这次全球事故，就是大公司病

cafangyuan

我单位花大价钱雇的这些网络安全服务，真的是一言难尽。

单位给我配的工作电脑，有一台是在家里做研发的，不允许访问生产环境，所以限制少一些，我就把Windows更新改成了Preview立即更新，这样可以比一般用户早几个月用上新功能。

有一个Win 11的preview更新，被Heuristic sensor判定为恶意软件，把Windows进程阻止了，然后不停的弹窗警告。

我好心发了个邮件通知他们，你家的Heuristic Sensor出现误判了，微软官方Windows更新被判定成Malware杀掉了。

他们沉默，不回我邮件，反手把我举报给board，说我的电脑是security risk，害我还要写篇千字小作文向CTO解释。

这就是典型的不解决问题，解决提出问题的人。

这次Falcon Sensor误判Windows更新，全球知名事故，比malware破坏大多了。

jennifer27

你错在写了邮件 有了书面东西 他们为了不让自己担责肯定捅你出去

leours

如果CTO还记得你这件事，现在就知道当时他们就是胡扯。

zorrocjy

我自己家用的电脑hp elitebook 8470p i7 16gb ram 1tb ssd装的是linux mint,我用vim写rust language代码

lulu2006306121

难道没有测试吗

蚂蚁333东风

估计以后航空公司大型超市银行之类的都要用2套系统了吧.
一半用windows + Crowdstrike
一半用mac + SentinelOne

interny

我感觉应该用rust language+actix web开发系统运行在amazon linux虚拟机上，另外的可以将老的运行windows系统作为后备

这样可以防黑客和有健壮的系统

wlw027

弱弱问， “Heuristic sensor” 是什么sensor，哪个公司的？

jhd5327

这两天了解了一下前因后果。Falcon是个内核boot start驱动，太有才了，这个才是boss级的malware。

谁能解释一下为啥Linux家没有这种逆天玩意也活的好好的？

个人感觉对于大部分服务器和有严格组策略的机器，装个这种级别的异常检测程序的行政意义远远大于技术方面的好处。

jerry6434

我是不能理解为什么Windows会允许第三方程序有boot start的权限，这比病毒还病毒

还是Linux和Unix（Mac OS）好，除了root和sudor，哪个有这么大的权限？？？

Windows就是个废材架构，然后补丁加补丁，无限套娃

难得聪明

Windows是越来越烂了，前一段时间自动安装更新后，laptop的蓝牙都没有了。幸好之前有个回滚点，恢复了。赶紧取消自动更新。

1tw3k7f

也许Windows + Microsoft Defender

xiao2xi

我已经将家里五台计算机设置为非自动更新，我无法忍受蓝屏的心理压力

fredyu

ms自家的杀毒用了kernal extension，欧盟说好东西不能独享，有害竞争。ms就开放了kernal对有需要的流氓。

ling_135

这次个人计算机应该没受影响，大公司喜欢给自己加保险，结果这次保险爆了。

zy1314rw

好吧，无F可说

litter123

这都不是一个人把鸡蛋放一个篮子里了，是所有人的鸡蛋都在一个篮子里了

麦格雷迪

大公司工作就是防止背锅，多余的事情绝对不做。这样最安全

tomwens

我公司有MSSP业务，没办法，因为技术发展，SaaS再混合WFH，导致现在企业信息安全架构太复杂，微软自己的架构又是臃肿不堪，每过段时间爆个大雷是必然的

比如你在家访问office365里的文档，就已经经过好几道审查了，从EDR/XDR到CASB再到DLP，这些还可能不是一家vendor的东西，想起来都头疼

yaya724

公司电脑，各种垃圾，每次启动啥也不干就在那kuakua更新，cpu 100%，更新完了内存也吃的差不多了，活都干不了

自己改了boot manager双启动，起一个VHD装干净系统，嘎嘎快。实在憋不住要用公司那点垃圾资源的时候重启到垃圾系统就行

purpler

我每次CPU 100%的时候还喜欢用任务管理器看一下，经常能看到那个CrowdStrike
它还是安装在系统目录里的，我以前还以为那个是Windows自己带的一个安全组件

allenwywy

这么说crowdstrike这个软件比360强大很多了，毕竟实在系统目录里，而且系统资源都分给他了。

阮阮小妖

记得是2009年欧盟出了一个法案强制微软开放windows kernel 给第三方安全软件公司，在这个法案之前微软是不开放的，结果被其他软件公司 告到欧盟了。

ony3yoc

正我也发现Crowdstrike和微软的Windows defender常常会争锋吃醋，CPU占用飙到80％＋

amycheng0815

IT support 压力大

wrf101

crowdstrike这么大的企业用了很流氓的方式来自动更新他家的软件，本来驱动级别的跟新需要微软签名认证的， 他家却开了后门直接下载绕过微软审核，很好解释了为啥他家的cio十年前在macfee就造成全球范围的宕机。
这次之后很多企业都会转向mac/ linux os，毕竟现在大部分企业只需要browser就可以完成大部分的工作，没有了windows不会有太大影响。

xsx

作为我家的技术支持，我表示我没有压力，我将windows自动更新都关了，采用手动跟新