微软正在构建Windows 安全功能 以防止CrowdStrike蓝屏事件再次发生

自从 CrowdStrike 导致 850 万台 Windows PC 和服务器瘫痪以来，Windows 内核访问一直是一个热门话题。CrowdStrike 的软件在 Windows 的内核级运行，这是操作系统的核心部分，可以不受限制地访问系统内存和硬件。这也是错误更新导致受影响系统一启动就产生蓝屏死机的原因。

在此后的几个月里，微软一直呼吁对 Windows 进行修改，以提高其自我保障能力，并暗示要将安全厂商移出 Windows 内核，以防止此类事件再次发生。但来自合作伙伴和监管机构的压力一直存在，要求微软不要单方面做出改变。

微软表示，它现在已经与 CrowdStrike、Broadcom、Sophos 和 Trend Micro 等合作伙伴"讨论了创建一个能够满足安全厂商需求的新平台的要求和主要挑战"。

微软企业与操作系统安全副总裁大卫-韦斯顿（David Weston）说："我们的客户和生态系统合作伙伴都呼吁微软在内核模式之外提供额外的安全功能，这些功能与安全部署实践一起，可用于创建高度可用的安全解决方案。 "

微软讨论了性能需求和安全厂商在内核模式之外运行所面临的挑战，以及安全产品的防篡改保护需求和安全传感器需求。韦斯顿说："下一步，微软将继续设计和开发这一新的平台功能，并听取生态系统合作伙伴的意见和合作，在不牺牲安全性的前提下实现增强可靠性的目标。"

虽然微软没有直接表示要关闭对Windows内核的访问，但它显然处于设计安全平台的早期阶段，该平台最终可以将CrowdStrike和其他公司从内核中移出。微软上一次试图关闭Windows内核访问权限是在2006年的Windows Vista系统中，但遭到了网络安全厂商和监管机构的反对。

这一次，安全厂商对此持更加开放的态度。Sophos首席执行官乔-利维（Joe Levy）在微软提供的一份声明中说："这是一个值得欢迎的机会，我们可以与业界同行一起公开讨论各种进步，通过提升微软Windows和端点安全生态系统的弹性和稳健性来服务我们的客户。"

趋势科技（Trend Micro）首席运营官凯文-西姆泽（Kevin Simzer）说："我赞赏微软敞开大门，继续与领先的端点安全领导者合作。就连整个峰会的催化剂 CrowdStrike 也对微软的努力表示赞赏。"

CrowdStrike 公司负责隐私和网络政策的副总裁 Drew Bagley 说："我们很高兴有机会与微软和业界同行共同参与这些重要的讨论，探讨如何以最佳方式合作建立一个更具弹性和开放性的 Windows 端点安全生态系统，从而加强我们共同客户的安全。"

不过，并非所有安全领域的从业者都对微软的潜在变化感到高兴。CloudFlare首席执行官马修-普林斯（Matthew Prince）上个月在X上提到微软的Windows安全峰会时说："监管机构需要关注。一个只有微软才能提供有效端点安全的世界并不是一个更安全的世界。"

普林斯说，他并不担心微软可能会锁定Windows内核，而是担心该公司可能会"为其他人"锁定Windows内核，同时仍然为自己的产品提供"特权访问"。微软还邀请了美国和欧洲的政府官员参加其安全峰会，因为它显然意识到了普林斯等人会有此类担忧。

此次峰会正值微软内部进行更广泛的网络安全整顿之际，在此之前，微软内部已经发生了多年的事故和批评。现在，微软员工的安全工作直接受到评判，公司将这些工作与员工绩效考核挂钩。