微软欲修改 Windows 内核权限，防止“蓝屏事件”重现！

整理 | 屠敏

出品 | CSDN（ID：CSDNnews）

两个月前，一场由美国网络安全公司 CrowdStrike 软件出现问题引发的操作系统蓝屏、全球 Windows 宕机事件让人印象深刻，此事也被称之为“7·19 微软蓝屏事件”。

虽然事后分析主要责任在于 CrowdStrike，而非微软，但还是有不少质疑微软为何要对 CrowdStrike 开放 Windows 内核的访问权限？

当时微软出面解释，这是因为欧盟委员会在 2009 年实施的一项互操作性协议带来的安全隐患。由于签署了互操作性协议，微软不得不向安全软件制造商授予与微软自身相同的 Windows 访问权限。

现在，为了防止再次出现 CrowdStrike 错误更新导致的严重后果，也顺便收回“权限”，微软正在考虑对 Windows 进行修改，创建一个专门用于防病毒监控的新平台，将安全产品从内核中移除。

这项声明是微软在本月初与 CrowdStrike 等安全供应商开讨论会得出的，当时这场会议没有对外开放，没有人知道他们谈论了什么。直到近日，微软对外分享了部分成果，其中包括如上提及的探讨“在 Windows 中提供新的平台功能”的可能性。

微软考虑给 Windows 加个“安全层”

“虽然这不是一次决策会议，但我们相信透明度和社区参与的重要性”，微软在博客文章中写道。

其表示，本次安全讨论峰会上达成的一个关键共识是：当 Windows 和安全产品有多种选择时，我们的端点安全供应商和共同客户都会受益。

在短期内，微软讨论了几种改善如何支持共同客户的安全和恢复能力的几个机会：

• 首先，采用安全部署实践 (SDP)。微软表示，在向庞大的 Windows 生态系统安全推出更新的过程中，往往面临着一系列共同的挑战，从决定如何对不同的端点进行测试推出新功能，到能够在需要时暂停或回滚。SDP 的核心原则是逐步分阶段部署发送给客户的更新。

• 其次，微软与合作伙伴讨论了如何增加关键组件的测试、改进不同配置的联合兼容性测试、推动更好地共享有关开发中和上市产品健康状况的信息，以及通过更紧密的协调和恢复程序提高事件响应的有效性。

• 最后，微软提出自己的想法，其计划在 Windows 中提供的新平台功能。Windows 11 改进安全态势和安全默认设置，使该平台能够在内核模式之外为解决方案提供商提供更多安全功能。

微软提出这样的建议，也在情理之中。毕竟当时因为 CrowdStrike 的软件可以直接访问 Windows 内核，最终由于软件更新错误导致全球 850 万台 Windows PC 和服务器瘫痪，让人心有余悸。

针对这一事件，据外媒 Semafor 报道，此前 CrowdStrike 的软件工程师向上级抱怨项目期限太紧、工作量太大、技术问题越来越多，长达一年多的时间里，该公司的软件出现灾难性故障，导致航空公司瘫痪，银行和其他服务中断数小时。

CrowdStrike 公司的高级用户体验设计师 Jeff Gardner 说：“速度是最重要的。”他说自己在该公司工作两年后，于 2023 年 1 月被解雇。“质量控制并不是我们工作流程或谈话的一部分"。

前员工表示，这些问题是在会议、电子邮件和离职面谈中提出的。近二十多名前软件工程师、经理和其他员工描述了这样一个工作环境：高管们把速度看得比质量更重要，员工并不总是得到充分的培训，编码和其他任务的错误不断增加。一位前高级经理说，他们参加了多次会议，会上员工警告公司领导，CrowdStrike 发布的产品无法得到支持，将 “辜负”客户的期望。

也或是担心第三方如此“不靠谱”，自 CrowdStrike 这一件事发生之后，微软当时便呼吁对 Windows 进行改进，以提高 Windows 的弹性，并暗示将安全供应商从 Windows 内核中移除，以防止这种情况再次发生，此举也有可能将 Windows 变成一个类似于苹果 macOS 的更加封闭的操作系统。

但其合作伙伴和监管机构都对微软施加压力，要求其不要单方面做出这一改变。

时下，微软与其合作伙伴开了内部讨论会，并没有对 Windows 内核采取严厉措施，而是称这是一个长期项目。

但至少事实证明，其也正在做出相应的努力。微软也补充说：“下一步，微软将继续在生态系统合作伙伴的投入和协作下设计和开发这一新平台功能，以实现在不牺牲安全性的情况下提高可靠性的目标。”