Se, desde 2 de fevereiro de 2024, o Excel passou a demorar 10–30 s para salvar planilhas com macro em compartilhamentos SMB, o culpado pode ser o recurso Detect on Write do CrowdStrike Falcon. A seguir, veja como diagnosticar, mitigar e resolver definitivamente.
Resumo em uma frase
Uma atualização do sensor CrowdStrike Falcon, que introduziu o recurso Detect on Write (DoW) para inspecionar macros do Office no momento da gravação, provocou lentidão significativa ao salvar arquivos .xlsm e .xlsb no Excel 2016/Microsoft 365; desativar temporariamente o DoW ou atualizar o sensor para a versão corrigida resolve o problema.
Contexto e escopo do problema
Como o sintoma se manifesta
- Barras de progresso demoradas (10–30 s) ao salvar planilhas com macro (
.xlsmou.xlsb), especialmente em compartilhamentos de rede SMB; em menor escala, também no disco local. - Arquivos
.xlsx(sem macro) e documentos de outros aplicativos (Word, PDF, etc.) continuam a salvar normalmente, descartando falha genérica de rede/armazenamento. - O problema surge em estações com Excel 2016 ou Microsoft 365 Apps for Enterprise e em servidores de arquivos Windows que hospedam os compartilhamentos afetados.
O que esse problema não é
- Não é corrupção de perfil do usuário, complemento do Excel ou falha de hardware de armazenamento.
- Não é bug específico do Excel; reinstalar ou reverter a versão do Office não corrige a lentidão.
- Não é latência de rede generalizada: a cópia de arquivos grandes e o salvamento de outros formatos permanecem ágeis.
Causa raiz explicada
Organizações que utilizam o sensor CrowdStrike Falcon receberam, no início de fevereiro de 2024, uma versão com o recurso Detect on Write (DoW) ativado. Esse mecanismo inspeciona conteúdo potencialmente executável — como projetos VBA — no ato da escrita em disco. Ao interceptar o fluxo de gravação do Excel, o DoW analisa as estruturas internas de pastas de trabalho com macro, o que adiciona latência perceptível quando:
- o arquivo é
.xlsmou.xlsbe contém módulos VBA; e/ou - a pasta de trabalho já conteve macros no passado (resquícios estruturais ainda podem demandar varredura).
Como a inspeção ocorre durante a operação de save, o Excel precisa aguardar o término da varredura para concluir a transação de gravação, resultando nos 10–30 s observados. Em operações via rede SMB, a latência aumenta por envolver múltiplas operações de metadados e confirmações (ACKs) no caminho.
Diagnóstico rápido e objetivo
Antes de alterar políticas de segurança, confirme a hipótese em minutos:
- Teste controlado de formatos: salve a mesma pasta de trabalho como
.xlsxe como.xlsmno mesmo compartilhamento. Se o.xlsxconcluir rápido e o.xlsmdemorar, o problema aponta para inspeção de macro. - Teste em mídia local: repita o salvamento no disco local. A lentidão tende a reduzir, mas geralmente permanece mensurável em
.xlsm/.xlsb. - Desativação pontual do DoW (em um host de laboratório): crie uma política temporária com DoW desativado e aplique a apenas um endpoint de teste. Se o salvamento volta ao normal, você tem confirmação prática.
| Cenário de teste | Resultado esperado | Interpretação |
|---|---|---|
Salvar .xlsx no SMB | Rápido (<3 s) | Rede/armazenamento OK |
Salvar .xlsm no SMB | 10–30 s | Inspeção de macro no caminho |
Salvar .xlsm localmente | Mais rápido que no SMB, porém ainda perceptível | Latência do DoW persiste, sem sobrecarga de rede |
| Desativar DoW em host de teste | Salvar .xlsm/.xlsb volta ao normal | Confirma a causa |
Soluções e mitigação
Escolha a ação que melhor equilibra risco e urgência no seu ambiente. Todas abaixo são compatíveis entre si — você pode começar pela mitigação rápida e, em seguida, aplicar a correção definitiva.
| Opção | O que fazer | Impacto na segurança | Observações |
|---|---|---|---|
| Desativar “Detect on Write” | Console CrowdStrike → Endpoint Security → Prevention Policies → On Write → desativar Detect on Write para hosts/servidores afetados | Remove a inspeção de macros no ato da escrita; risco limitado se demais camadas de defesa estiverem ativas | A mudança propaga-se em 2–3 min e não exige reinício |
| Atualizar o sensor | Instalar o sensor 7.07.17807.0 (ou posterior), lançado em meados de fevereiro de 2024 | Mantém a proteção DoW sem penalidade de desempenho | Permite reativar DoW após a atualização |
| Aguardar correção oficial | Caso não possa alterar políticas, aguarde rollout automático da nova versão | Nenhum | Você pode manter a lentidão até a atualização |
Não é necessário reparar ou reinstalar o Microsoft Office; reverter a compilação do Office também não resolve, pois o gargalo está no agente de segurança.
Quando escolher cada caminho
- Ambiente crítico de negócios: desative DoW imediatamente nos servidores de arquivos e estações que salvam
.xlsm/.xlsbcom frequência; em paralelo, planeje a atualização do sensor. - Ambiente com exigência de máxima proteção: priorize a atualização do sensor e reative DoW apenas na versão corrigida.
- Ambiente com mudança controlada por janela: se não puder ajustar políticas agora, comunique a degradação temporária e programe a atualização assim que permitido.
Passo a passo para cada opção
Desativar Detect on Write no Falcon
- No Console Falcon, acesse Endpoint Security → Prevention Policies.
- Abra a política aplicada aos hosts afetados e localize a seção On Write.
- Desative o Detect on Write (apenas para os grupos/hosts de interesse).
- Salve e publique. Aguarde de 2 a 3 minutos para propagação.
- Valide salvando um
.xlsmde teste em um compartilhamento SMB.
Boas práticas: aplique a alteração primeiro a um grupo piloto e tenha uma política de fallback para reverter rapidamente, se necessário.
Atualizar o sensor CrowdStrike Falcon
- Verifique as versões instaladas nas estações/servidores.
- Faça o download do instalador do sensor mais recente conforme sua arquitetura de SO.
- Implemente em ondas: TI e usuários avançados → áreas críticas → ampla adoção.
- Concluída a atualização, reative o DoW e valide o desempenho em
.xlsm/.xlsb.
Reativar o DoW com segurança
- Reative o DoW primeiro no grupo piloto; colete tempos de salvamento e monitore alertas durante 24–48 h.
- Se o desempenho permanecer normal, expanda gradualmente até cobrir todos os endpoints.
Como medir e provar o ganho de desempenho
Padronize a medição para isolar variações e registrar antes/depois das mudanças.
Metodologia simples
- Use um arquivo de teste
.xlsmcom macros e tamanho representativo (5–20 MB, por exemplo). - Salve cinco vezes em sequência no mesmo compartilhamento SMB e calcule a mediana do tempo.
- Repita com DoW desativado e, depois, com o sensor atualizado.
Macro VBA para cronometrar o salvamento
Adicione um módulo e use o código abaixo para medir e registrar o tempo de salvamento:
' Módulo: Módulo1
Option Explicit
Sub CronometrarSalvar()
Dim t0 As Double, t1 As Double, i As Long, n As Long
Dim destino As String
destino = ThisWorkbook.FullName ' ou escolha um caminho SMB de teste
n = 5
```
For i = 1 To n
Application.StatusBar = "Rodada " & i & " de " & n & "..."
DoEvents
t0 = Timer
ThisWorkbook.Save
t1 = Timer
Debug.Print "Rodada " & i & ": " & Format$(t1 - t0, "0.00") & " s"
Application.Wait Now + TimeSerial(0, 0, 2) ' respiro de 2 s
Next i
Application.StatusBar = False
MsgBox "Concluído. Verifique a Janela Imediata (Ctrl+G) para os tempos.", vbInformation
```
End Sub Tabela de exemplo de resultados
| Cenário | Mediana do salvamento | Observação |
|---|---|---|
| Antes, com DoW ativo | 18,7 s | Lentidão perceptível |
| DoW desativado (mesma versão do sensor) | 2,6 s | Normaliza a experiência |
| Sensor atualizado + DoW reativado | 2,8 s | Proteção restabelecida sem penalidade |
Linha do tempo resumida
- 02 fev 2024 — Sintomas surgem após atualização automática do sensor CrowdStrike.
- 08 fev 2024 — CrowdStrike admite o problema e recomenda desativar DoW como solução provisória.
- 20 fev 2024 — Nova versão do sensor (7.07.17807.0) publicada, normalizando a velocidade de salvamento.
Recomendações práticas
- Verifique a versão do sensor CrowdStrike em estações e servidores que hospedam compartilhamentos SMB.
- Implemente a correção mais rápida para o seu ambiente (desativar DoW ou atualizar o sensor).
- Reative DoW apenas após confirmar que a versão instalada contém a correção, ou limite a aplicação a dispositivos com baixo risco operacional.
- Monitore tempos de salvamento de
.xlsm/.xlsbapós cada alteração para validar o resultado.
Perguntas frequentes
Reinstalar ou reparar o Office resolve?
Não. O gargalo está no agente de segurança (sensor), não no Excel.
Reverter a versão do Excel ajuda?
Não. O problema não é um bug do Excel, e sim a inspeção no ato da escrita.
Somente .xlsm são afetados?
Não. .xlsb (Binário do Excel com macro) também sofre impacto, pois contém projetos VBA.
Por que .xlsx não é afetado?
Porque não carrega módulos VBA. O DoW não encontra conteúdo de macro para inspecionar, então a escrita é rápida.
Preciso reiniciar as máquinas ao mudar a política?
Não. A alteração propaga em alguns minutos e não requer reinício.
E quanto aos servidores de arquivos?
Se eles executam o sensor, inclua-os na política ou no plano de atualização, pois participam do fluxo de gravação SMB.
Risco e governança de segurança
Desativar temporariamente o DoW reduz a inspeção no momento da escrita, mas não deixa o ambiente desprotegido, desde que outras camadas permaneçam ativas (análise em tempo de execução, reputação, bloqueios de macro por política, regras de correio, etc.). Atualizar o sensor é a medida de longo prazo recomendada para manter cobertura completa sem afetar a experiência do usuário.
Checklist de campo
- ✅ Levantar lista de hosts com Excel e servidores SMB utilizados.
- ✅ Medir tempo de salvamento antes da intervenção (5 amostras; mediana).
- ✅ Aplicar mitigação rápida (DoW off) ou atualizar sensor.
- ✅ Medir novamente e registrar ganho.
- ✅ Reativar DoW após atualização e validar desempenho.
- ✅ Documentar políticas, versões e janelas de mudança.
Matriz de decisão
| Condição | Ação indicada | Justificativa |
|---|---|---|
| Operação impactada e janela de mudança imediata | Desativar DoW nos grupos afetados | Restaura produtividade em minutos; impacto de segurança mitigado por camadas existentes |
| Janela para manutenção disponível | Atualizar sensor para 7.07.17807.0+ | Corrige a causa mantendo proteção |
| Políticas controladas por terceiros | Aguardar rollout oficial e comunicar usuários | Evita mudanças fora de escopo; transparente quanto à experiência |
Anexos de automação e inventário
Descobrir a versão do sensor no Windows via PowerShell
Execute localmente em um endpoint para listar a versão instalada:
# Listar "CrowdStrike Windows Sensor" via registro (Uninstall)
$paths = @(
'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*',
'HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*'
)
Get-ItemProperty $paths |
Where-Object { $_.DisplayName -like 'CrowdStrikeSensor' } |
Select-Object DisplayName, DisplayVersion, Publisher |
Format-Table -Auto
Coletar de vários computadores (exige WinRM habilitado e permissões):
$computers = @('PC01','PC02','FILESRV01') # substitua pela sua lista
Invoke-Command -ComputerName $computers -ScriptBlock {
$paths = @(
'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*',
'HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*'
)
Get-ItemProperty $paths |
Where-Object { $_.DisplayName -like 'CrowdStrikeSensor' } |
Select-Object PSComputerName, DisplayName, DisplayVersion
} | Format-Table -Auto
Comunicação com usuários e suporte
- Informe que a lentidão ao salvar
.xlsm/.xlsbé conhecida e tem correção definida. - Compartilhe prazos e a medida escolhida (mitigação imediata e/ou atualização do sensor).
- Forneça uma planilha de teste para que os usuários validem o ganho após a mudança.
Conclusão
Se o Excel ficou de repente muito lento para salvar planilhas com macro a partir de 02/02/2024, a causa provável é o Detect on Write do sensor CrowdStrike Falcon. Desativar provisoriamente o DoW ou atualizar o sensor para a versão corrigida elimina a penalidade sem exigir alterações no Excel, no Windows ou na infraestrutura de rede. Siga o plano acima para confirmar a origem, aplicar a mitigação adequada, atualizar com segurança e restabelecer o desempenho esperado.