微软将在明年7月测试安全软件在内核外运行 避免出错后导致蓝屏死机
2024 年 7 月美国网络安全公司 Crowdstrike 引起的全球级蓝屏死机事件让业界记忆犹新,当时微软就发文抱怨欧盟的政策是此次问题的潜在原因之一。欧盟要求微软必须给安全软件开发商相同的地位,即能够在 Windows NT 内核中运行,而不是仅限于微软自家安全产品才能在内核中运行。
在内核中运行的好处是安全软件可以获得更高的权限以进行更全面的安全检测和防病毒服务,但坏处是如果安全软件质量不够那就会导致 Crowdstrike 这样类似的蓝屏死机事件。
基于此事件微软也在与合作伙伴进行讨论看看有没有更好的措施能够提高安全性和可靠性,包括更好的测试流程和响应流程,以及对 Windows PC 和服务器更新的安全部署实践,例如分阶段受控推出并进行质量监控。
然而这些措施本质上说是没什么用的,全球有几百家上千家安全公司,按理说所有软件开发商在发布更新时都应该遵循最佳实践先进行测试并受控推出,但 Crowdstrike 这种规模的公司还是存在这种低级错误。
所以微软想到的第二个方法就是让安全软件在 Windows NT 外运行,这种情况下如果安全软件存在错误最多也只能让自己崩溃,不至于让 Windows NT 崩溃。
但在内核中运行时安全软件可以不受限制地访问系统内存和硬件,如果在内核外运行则可能影响安全软件的查杀能力,为此微软准备开发一个框架,这个框架能够满足安全软件开发商的需求。
微软计划在 2025 年 7 月向 MVI 合作伙伴私下提供这个框架的预览版,到时候会按照测试效果进行改进,具体推出时间则还可能要等待一大段时间。