全球蓝屏后，微软决定将安全踢出Windows内核

有消息称，微软正在重新设计EDR与Windows内核的交互方式，以避免再次引发全球蓝屏事件。

很明显，在2024年7月，由CrowdStrike故障引发的全球蓝屏事件给微软留下了极其深刻的记忆，从而促使后者进一步审视EDR在产品在设计和实施上的潜在风险，尤其是与内核交互的风险。

微软发文称，将在Windows 11中引入新的平台功能，并着重强调安全供应商在“内核模式之外”操作，以此避免类似事件的再次发生。因为微软已经无法再承受一次蓝屏事件的打击，需要确保EDR工具不会因为更新或者其他操作而导致整个系统的崩溃或者不稳定。

安全供应商在不进入内核模式的情况下运行安全产品，也有利于减少恶意软件利用内核漏洞的风险，提高整体系统的安全性。

虽然目前尚未公布具体细节，但是微软此次将“安全踢出Windows内核”的决心已经十分明显。

众所周知，在经历了越来越多的安全事件后，微软已在今年8月份提出“安全高于一切”的价值观，将安全工作与员工绩效评估联系起来，并把安全作为核心优先事项。微软副总裁David Weston也表示，这次重新设计将被视为实现长期韧性和安全目标的一部分。

这意味着微软不仅仅是在解决眼前的问题，而是在为未来的安全挑战做准备。由此也可以推测，安全产品将再也不会有机会重新进入Windows内核，微乳也将在未来持续发力新的EDR标准和最佳实践。

正如David Weston在峰会中所指出的，Windows 11改进的安全姿态和安全默认设置，使该平台能够在内核模式之外为解决方案提供商提供更多的安全功能，并强调EDR供应商更新时EDR供应商必须采用微软所谓的“安全部署实践（SDP）”。

而SDP的一个核心原则就是，可逐步和分阶段向客户发送更新的方式进行部署，以及使用“多样化的端点进行有节制的推出”，在必要时还可提供暂停或回滚更新的能力。

难怪有安全专家称，这次安全更新几乎就是微软在向外界展示，关于全球蓝屏事件的态度与回应。

为确保新设计的EDR供应商访问权限安全，微软将遵循最小权限原则，只授予EDR工具执行其功能所必需的最低权限，以规避潜在风险。通过使用隔离和沙箱技术，则可以确保EDR工具即使出现故障也不会影响到系统的其他部分。这样即使EDR供应商的软件出现问题，也不会导致整个系统崩溃。

此外，微软可能会要求EDR供应商遵循安全开发生命周期，以及定期对EDR供应商的代码进行审查，确保他们的软件在设计、编码、测试和部署过程中都有体现安全性。通过集成SIEM系统，也可以监控EDR工具的活动，及时发现异常行为，并采取相应的响应措施等。

参考来源：https://www.securityweek.com/post-crowdstrike-fallout-microsoft-redesigning-edr-vendor-access-to-windows-kernel/