微软将在CrowdStrike事件后将安全软件移出Windows内核

微软与主要的杀毒软件开发商一起，正在彻底改革Windows的安全架构，目标是将杀毒软件和端点检测与响应（EDR）系统移出操作系统内核。这一转变是为了应对近一年前发生的一起高调事件，当时一个有缺陷的CrowdStrike更新使全球约850万台计算机瘫痪。崩溃的原因正是因为CrowdStrike的驱动程序在Windows内核级别运行——这是操作系统最特权的层级，任何缺陷都可能导致整个系统崩溃。

包括CrowdStrike（去年故障的幕后黑手）、Bitdefender、ESET和Trend Micro在内的供应商，正在积极共同设计新平台。已经提交了数十个技术提案。杀毒软件和EDR工具将是首批采用这些变化的产品。闭门测试现已开始，允许供应商完善这一方法。之后，更新可能会扩展到其他内核级驱动程序，例如游戏中的反作弊系统。

与此同时，微软正在为今年夏季的Windows更新准备一个“快速机器恢复”功能。它将自动将无法启动的PC引导到恢复环境，以快速恢复崩溃后的系统。该公司还计划退休经典的蓝屏死机设计，用于关键错误警报。

Windows当前的架构——允许安全工具深度集成内核——长期以来一直是一把双刃剑。虽然它提供了强大的保护，但也使系统容易受到安全软件自身缺陷的影响。新模型旨在提高稳定性而不妥协安全性，并有望成为Windows多年来最重要的安全转变之一。