<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>BSOD on Zero Day Notes</title>
        <link>https://blog.5772447.xyz/tags/bsod/</link>
        <description>Recent content in BSOD on Zero Day Notes</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh-CN</language>
        <lastBuildDate>Tue, 20 May 2025 14:00:00 +0000</lastBuildDate><atom:link href="https://blog.5772447.xyz/tags/bsod/index.xml" rel="self" type="application/rss+xml" /><item>
            <title>一次员工电脑批量蓝屏的排查实录</title>
            <link>https://blog.5772447.xyz/posts/99601deb/</link>
            <pubDate>Tue, 20 May 2025 14:00:00 +0000</pubDate>
            <guid>https://blog.5772447.xyz/posts/99601deb/</guid>
            <description>&lt;h2 id=&#34;问题背景&#34;&gt;&lt;a href=&#34;#%e9%97%ae%e9%a2%98%e8%83%8c%e6%99%af&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;问题背景&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;某周二上午，IT 服务台在 2 小时内接到 18 个蓝屏相关工单，用户反映电脑突然蓝屏重启，屏幕显示蓝色错误界面后自动重启。部分用户反映重启后又蓝屏，进入死循环，需要 IT 上门处理。&lt;/p&gt;&#xA;&lt;p&gt;分析工单发现，出现问题的机器主要集中在某一批次（戴尔 OptiPlex 7090），其他机型也有零星案例。所有出现问题的机器有一个共同点：昨天（周一）都收到了一个通过 SCCM（System Center Configuration Manager）推送的驱动更新包。&lt;/p&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;故障现象&#34;&gt;&lt;a href=&#34;#%e6%95%85%e9%9a%9c%e7%8e%b0%e8%b1%a1&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;故障现象&#xD;&#xA;&lt;/h2&gt;&lt;ul&gt;&#xA;&lt;li&gt;多台机器出现不同的 BSOD 错误码：&#xA;&lt;ul&gt;&#xA;&lt;li&gt;&lt;code&gt;DRIVER_IRQL_NOT_LESS_OR_EQUAL&lt;/code&gt;&lt;/li&gt;&#xA;&lt;li&gt;&lt;code&gt;SYSTEM_THREAD_EXCEPTION_NOT_HANDLED&lt;/code&gt;&lt;/li&gt;&#xA;&lt;li&gt;&lt;code&gt;PAGE_FAULT_IN_NONPAGED_AREA&lt;/code&gt;&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;/li&gt;&#xA;&lt;li&gt;部分机器重启后再次蓝屏，无法正常进入 Windows&lt;/li&gt;&#xA;&lt;li&gt;出问题的机器集中在昨天收到驱动更新的设备&lt;/li&gt;&#xA;&lt;li&gt;问题机器操作系统：Windows 10 22H2&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;排查过程&#34;&gt;&lt;a href=&#34;#%e6%8e%92%e6%9f%a5%e8%bf%87%e7%a8%8b&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;排查过程&#xD;&#xA;&lt;/h2&gt;&lt;h3 id=&#34;第一步收集崩溃转储文件&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e4%b8%80%e6%ad%a5%e6%94%b6%e9%9b%86%e5%b4%a9%e6%ba%83%e8%bd%ac%e5%82%a8%e6%96%87%e4%bb%b6&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第一步：收集崩溃转储文件&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;蓝屏后，Windows 会生成内存转储文件（Minidump）。收集几台典型故障机的转储文件：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-fallback&#34; data-lang=&#34;fallback&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;路径：C:\Windows\Minidump\*.dmp&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;使用 WinDbg（Windows 调试工具）分析：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-fallback&#34; data-lang=&#34;fallback&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;# 在 WinDbg 中打开 dmp 文件后执行：&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;!analyze -v&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;对 3 台不同机器的 dmp 文件分析结果，都指向同一个模块：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-fallback&#34; data-lang=&#34;fallback&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Probably caused by : e1d65x64.sys ( e1d65x64+XXXXX )&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;&lt;code&gt;e1d65x64.sys&lt;/code&gt; 是 &lt;strong&gt;Intel 网卡驱动&lt;/strong&gt;（具体型号为 Intel Ethernet Connection I219-LM）。&lt;/p&gt;&#xA;&lt;h3 id=&#34;第二步确认驱动版本&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e4%ba%8c%e6%ad%a5%e7%a1%ae%e8%ae%a4%e9%a9%b1%e5%8a%a8%e7%89%88%e6%9c%ac&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第二步：确认驱动版本&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;在一台还能启动的问题机器上查看网卡驱动版本：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-fallback&#34; data-lang=&#34;fallback&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;设备管理器 → 网络适配器 → Intel(R) Ethernet Connection I219-LM → 属性 → 驱动程序&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;显示：&lt;/p&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;驱动版本：&lt;strong&gt;12.19.2.45&lt;/strong&gt;（更新后的版本）&lt;/li&gt;&#xA;&lt;li&gt;驱动日期：&lt;strong&gt;2025-05-19&lt;/strong&gt;（昨天）&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;p&gt;在一台没有收到更新、运行正常的同款机器上查看：&lt;/p&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;驱动版本：12.18.9.23（旧版本）&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h3 id=&#34;第三步查看-sccm-更新推送记录&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e4%b8%89%e6%ad%a5%e6%9f%a5%e7%9c%8b-sccm-%e6%9b%b4%e6%96%b0%e6%8e%a8%e9%80%81%e8%ae%b0%e5%bd%95&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第三步：查看 SCCM 更新推送记录&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;登录 SCCM 控制台，查看昨天（2025-05-19）推送的软件包：&lt;/p&gt;&#xA;&lt;p&gt;发现昨天推送了一个&amp;quot;Intel 网卡驱动更新包 v12.19.2.45&amp;quot;，部署范围为&amp;quot;所有工作站（Windows 10）&amp;quot;，推送时间为 18:00，因此很多员工是今天上班开机后才开始安装，安装完成重启后触发蓝屏。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;受影响范围评估：&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;昨天收到该更新包的设备：约 240 台&lt;/li&gt;&#xA;&lt;li&gt;已出现蓝屏的：18 台（均为戴尔 OptiPlex 7090，搭载 Intel I219-LM 网卡）&lt;/li&gt;&#xA;&lt;li&gt;其他品牌机型：有同款网卡的也出现了少量案例&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;h3 id=&#34;第四步查阅驱动版本相关信息&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e5%9b%9b%e6%ad%a5%e6%9f%a5%e9%98%85%e9%a9%b1%e5%8a%a8%e7%89%88%e6%9c%ac%e7%9b%b8%e5%85%b3%e4%bf%a1%e6%81%af&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第四步：查阅驱动版本相关信息&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;查阅 Intel 官网和微软 WHQL 驱动数据库，以及该版本驱动的发布说明：&lt;/p&gt;&#xA;&lt;p&gt;在 Intel 社区论坛找到了相关讨论，有其他用户反映 12.19.2.45 版本的驱动在 Windows 10 特定版本上存在兼容性问题，官方正在排查，建议暂时回滚到上一个稳定版本（12.18.9.23）。&lt;/p&gt;&#xA;&lt;h3 id=&#34;第五步制定处理方案&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e4%ba%94%e6%ad%a5%e5%88%b6%e5%ae%9a%e5%a4%84%e7%90%86%e6%96%b9%e6%a1%88&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第五步：制定处理方案&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;对于&lt;strong&gt;还能启动&lt;/strong&gt;的问题机器：通过脚本回滚驱动。&lt;/p&gt;&#xA;&lt;p&gt;对于&lt;strong&gt;无法启动&lt;/strong&gt;的问题机器（重复蓝屏）：需要进入安全模式或 WinPE 回滚驱动。&lt;/p&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;解决方案&#34;&gt;&lt;a href=&#34;#%e8%a7%a3%e5%86%b3%e6%96%b9%e6%a1%88&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;解决方案&#xD;&#xA;&lt;/h2&gt;&lt;h3 id=&#34;方案一能正常启动的机器远程或用户自行操作&#34;&gt;&lt;a href=&#34;#%e6%96%b9%e6%a1%88%e4%b8%80%e8%83%bd%e6%ad%a3%e5%b8%b8%e5%90%af%e5%8a%a8%e7%9a%84%e6%9c%ba%e5%99%a8%e8%bf%9c%e7%a8%8b%e6%88%96%e7%94%a8%e6%88%b7%e8%87%aa%e8%a1%8c%e6%93%8d%e4%bd%9c&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;方案一：能正常启动的机器（远程或用户自行操作）&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;通过 PowerShell 批量回滚网卡驱动：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;4&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;5&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-powershell&#34; data-lang=&#34;powershell&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 查看当前网卡驱动版本&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Get-WmiObject Win32_PnPSignedDriver | Where-Object {$_.DeviceName &lt;span style=&#34;color:#f92672&#34;&gt;-like&lt;/span&gt; &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;*Intel*Ethernet*&amp;#34;&lt;/span&gt;} | Select-Object DeviceName, DriverVersion, DriverDate&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 回滚驱动（设备管理器操作）&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 或通过命令行卸载当前版本并安装旧版本&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;手动操作步骤：&lt;/p&gt;&#xA;&lt;ol&gt;&#xA;&lt;li&gt;设备管理器 → 网络适配器 → Intel Ethernet Connection I219-LM&lt;/li&gt;&#xA;&lt;li&gt;右键 → 属性 → 驱动程序 → 回退驱动程序&lt;/li&gt;&#xA;&lt;li&gt;如果&amp;quot;回退驱动程序&amp;quot;按钮灰色不可用（没有备份），则使用旧版驱动安装包手动安装&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;p&gt;准备了旧版驱动安装包（12.18.9.23），部署到 SCCM 软件分发，用户可以直接运行安装。&lt;/p&gt;&#xA;&lt;h3 id=&#34;方案二无法启动的机器反复蓝屏&#34;&gt;&lt;a href=&#34;#%e6%96%b9%e6%a1%88%e4%ba%8c%e6%97%a0%e6%b3%95%e5%90%af%e5%8a%a8%e7%9a%84%e6%9c%ba%e5%99%a8%e5%8f%8d%e5%a4%8d%e8%93%9d%e5%b1%8f&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;方案二：无法启动的机器（反复蓝屏）&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;&lt;strong&gt;方法一：进入安全模式&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;ol&gt;&#xA;&lt;li&gt;强制重启 3 次，Windows 自动进入&amp;quot;高级启动选项&amp;quot;&lt;/li&gt;&#xA;&lt;li&gt;疑难解答 → 高级选项 → 启动设置 → 重新启动&lt;/li&gt;&#xA;&lt;li&gt;进入安全模式后，设备管理器回滚网卡驱动，或直接卸载驱动（安全模式下无线网络功能不加载有问题的驱动）&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;p&gt;&lt;strong&gt;方法二：WinPE 启动盘&lt;/strong&gt;&#xA;对于安全模式也进不去的机器，使用 IT 部门预先制作的 WinPE 启动 U 盘：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-cmd&#34; data-lang=&#34;cmd&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;# 在 WinPE 中挂载 Windows 系统分区后，删除问题驱动&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;dism /image:C:\ /remove-driver /driver:oem12.inf&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;其中 &lt;code&gt;oem12.inf&lt;/code&gt; 对应 Intel 网卡驱动的 INF 文件编号（需在正常机器上预先确认）。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;效果：&lt;/strong&gt; 所有 18 台问题机器在当天下午 3 点前全部恢复正常。&lt;/p&gt;&#xA;&lt;h3 id=&#34;立即在-sccm-中暂停并撤回该驱动更新&#34;&gt;&lt;a href=&#34;#%e7%ab%8b%e5%8d%b3%e5%9c%a8-sccm-%e4%b8%ad%e6%9a%82%e5%81%9c%e5%b9%b6%e6%92%a4%e5%9b%9e%e8%af%a5%e9%a9%b1%e5%8a%a8%e6%9b%b4%e6%96%b0&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;立即在 SCCM 中暂停并撤回该驱动更新&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;对已推送但还未安装的机器，在 SCCM 中将该部署的状态设置为&amp;quot;不可用&amp;quot;，防止继续安装。&lt;/p&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;根因分析&#34;&gt;&lt;a href=&#34;#%e6%a0%b9%e5%9b%a0%e5%88%86%e6%9e%90&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;根因分析&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;根本原因是 &lt;strong&gt;SCCM 驱动更新推送前缺乏充分的测试验证&lt;/strong&gt;，将一个存在兼容性 bug 的驱动版本（Intel 12.19.2.45）直接大批量推送到生产环境，导致大量安装了该驱动的设备出现蓝屏。&lt;/p&gt;&#xA;&lt;p&gt;次要原因是&lt;strong&gt;推送范围过广&lt;/strong&gt;，没有采用灰度（分阶段）部署策略，第一批应该只推送少量测试机器，验证稳定后再扩大范围。&lt;/p&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;预防措施&#34;&gt;&lt;a href=&#34;#%e9%a2%84%e9%98%b2%e6%8e%aa%e6%96%bd&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;预防措施&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;&lt;strong&gt;1. 驱动更新分阶段推送&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;在 SCCM 中创建测试集合（如 20 台代表性机器），先推送测试集合，观察 24-48 小时无问题后，再推送全量。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;2. 推送时间选择&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;避免在下班后推送涉及重启的更新，否则出现问题无人第一时间响应。改为在周三/周四工作时间推送，方便快速响应。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;3. 崩溃转储监控&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;接入 Microsoft Intune 或 SCCM 的设备健康报告，监控 BSOD 发生率。若在 24 小时内某款驱动关联的 BSOD 数量超过阈值，自动暂停相关更新并告警。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;4. 维护一个&amp;quot;已验证驱动版本&amp;quot;白名单&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;对常用驱动（网卡、显卡、声卡等），维护一个经过验证的稳定版本列表，未经测试的新版本不进入大规模推送流程。&lt;/p&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;总结&#34;&gt;&lt;a href=&#34;#%e6%80%bb%e7%bb%93&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;总结&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;批量蓝屏事件对 IT 运维团队来说是高压力事件，尤其是当用户的工作电脑无法正常使用时，会产生大量抱怨和催促。这次事件暴露了我们在软件/驱动更新管理上的薄弱环节。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;最重要的教训：&lt;/strong&gt; 生产环境的变更永远要&amp;quot;小步走&amp;quot;，灰度测试不是可选项，而是必选项。一个小时的测试，可能避免数百台机器同时出问题。&lt;/p&gt;&#xA;</description>
        </item></channel>
</rss>
