微软仍在帮助 CrowdStrike 清理一周前发生的混乱,当时由于 CrowdStrike 更新出现错误,导致 850 万台 PC 离线。现在,这家软件巨头呼吁对 Windows 进行更改,并暗示其优先考虑使 Windows 更具弹性,并愿意推动 CrowdStrike 等安全供应商停止访问 Windows 内核。
虽然 CrowdStrike 将其更新失败归咎于测试软件中的错误,但其软件在内核级别运行——这是操作系统核心部分,可以无限制地访问系统内存和硬件——因此,如果 CrowdStrike 的应用程序出现问题,它可能会导致 Windows 机器出现蓝屏死机。
CrowdStrike 的 Falcon 软件使用一个特殊的驱动程序,使其能够在比大多数应用程序更低的级别运行,以便能够检测 Windows 系统中的威胁。2006 年,微软试图限制第三方访问 Windows Vista 的内核,但遭到了网络安全供应商和欧盟监管机构的反对。然而,苹果在 2020 年成功锁定了其 macOS 操作系统,以防止开发人员访问内核。
现在,看起来微软想要重新开启围绕限制 Windows 内核级访问的讨论。
“这次事件清楚地表明,Windows 必须优先考虑在端到端弹性领域的变化和创新,”Windows 服务和交付项目管理副总裁约翰·凯布尔在题为“前进道路” 博客文章中说。凯布尔呼吁微软与其合作伙伴“同样关心 Windows 生态系统的安全”之间进行更密切的合作,以进行安全改进。
虽然微软没有详细说明其在 CrowdStrike 事件后将对 Windows 进行的具体改进,但凯布尔确实提供了一些关于微软希望看到的发展方向的线索。凯布尔提到了一个新的 VBS 区域特征“不需要内核模式驱动程序来防篡改”,以及微软的 Azure Attestation 服务,作为最近安全创新的例子。
“这些示例使用了现代零信任方法,并展示了如何鼓励不依赖于内核访问的开发实践,”凯布尔说。“我们将继续开发这些功能,强化我们的平台,并做更多工作来提高 Windows 生态系统的弹性,与广泛的安全社区开放合作。”
这些暗示可能会引发关于 Windows 内核访问的讨论,即使微软声称它无法像苹果一样封锁其操作系统,因为监管机构的存在。Cloudflare 首席执行官马修·普林斯已经警告了微软进一步锁定 Windows 带来的影响,因此微软在寻求真正改变时需要仔细考虑安全供应商的需求。
