距离CrowdStrike的错误更新导致全球850万台Windows设备瘫痪已过去近一年,微软希望确保此类问题不再发生。在去年与安全厂商举行峰会后,微软准备发布Windows更新的私人预览版,该更新将把杀毒软件 (AV) 和终端检测与响应 (EDR) 应用从Windows内核中移除。
新的Windows端点安全平台正在与CrowdStrike、Bitdefender、ESET、趋势科技以及许多其他安全供应商合作构建。“数十家合作伙伴向我们提供了图纸,其中一些图纸长达数百页,阐述了他们希望如何设计平台以及有哪些要求,”微软企业和操作系统安全副总裁David Weston在接受采访时解释道。“我对此非常满意。这是一个竞争激烈的行业,但每个人都站出来表示,我们必须构建一个我们所有人都能参与的平台。”
微软热衷于强调,它并非制定规则并期望所有人都立即遵守,而是共同构建规则。“我们不是来告诉他们 API 应该如何运作的,而是来倾听他们的意见并提供安全性和可靠性的,”Weston说。“我认为,如果我们对一些竞争对手说,‘这就是我们要的,要么接受,要么放弃’,那将是一个真正的挑战。”
几十年来,微软一直以一种允许开发人员交付深深植根于 Windows 的安全软件的方式构建 Windows,这些软件运行在 Windows 内核层——操作系统的核心部分,可以不受限制地访问系统内存和硬件。去年 CrowdStrike 的错误更新凸显了内核级驱动程序多么容易出错,导致机器崩溃,最终导致蓝屏死机 (BSOD)。
微软目前拥有一些最资深的 Windows 工程师致力于这些安全改进。“我们拥有核心开发人员,包括 Windows 的一些内核架构师,以及一些传统上不从事安全工作的人员,”Weston说。“这实际上是 Windows 核心团队最强大的大脑参与其中,并与 CrowdStrike、ESET 等公司合作。”
内部预览版将为安全供应商提供请求更改的机会。Weston表示,他预计需要进行几次迭代,才能让供应商顺利完成切换。此外,它不会立即解决所有内核级驱动程序问题。“我们的目标是从 AV 和 EDR 开始,但随着我们转向下一组用例,内核驱动程序可能会在一段时间内继续存在。”
Windows系统中另一个使用内核级驱动程序的重要领域是游戏的反作弊引擎。微软一直在与游戏开发者探讨如何减少内核的使用量,但这是一个更为复杂的用例,因为作弊者通常需要故意篡改他们的设备才能禁用保护措施并运行作弊引擎。
“很多(游戏开发者)都希望不必维护内核内容,而且他们对如何做到这一点非常感兴趣,”Weston说。“我们一直在讨论这方面的要求,我想不久的将来我们会对此有更多消息。” Riot Games称,他们愿意关注潜在的 Windows 安全变化,并“退出内核空间”。
虽然微软和安全供应商需要一些时间来适应这些Windows的变化,但微软相信它将获得良好的采用率,因为其客户在CrowdStrike事件之后要求做出改变。
微软还准备在今年夏天晚些时候发布 Windows 更新,其中将包含一项新的“快速机器恢复”功能,旨在快速恢复无法启动的机器。它会提示设备进入 Windows 恢复环境,机器可以访问网络并向微软提供诊断信息。“我们基本上构建了去年事故发生时我们最希望拥有的功能,”Weston说。
蓝屏死机的景象也将成为过去。微软已经宣布,现在正式重新设计了其蓝屏死机 (BSOD),使其变为黑色而非蓝色。