全球藍屏後，微軟決定將安全性踢出Windows內核

有消息指出，微軟正在重新設計EDR與Windows核心的互動方式，以避免再次引發全球藍色畫面事件。

很明顯，在2024年7月，由CrowdStrike故障引發的全球藍屏事件給微軟留下了極其深刻的記憶，從而促使後者進一步審視EDR在產品在設計和實施上的潛在風險，尤其是與內核交互的風險。

微軟發文稱，將在Windows 11中引入新的平台功能，並著重強調安全供應商在「核心模式之外」操作，以此避免類似事件的再次發生。因為微軟已經無法再承受一次藍色畫面事件的打擊，需要確保EDR工具不會因為更新或其他作業而導致整個系統的崩潰或不穩定。

安全供應商在不進入核心模式的情況下運行安全產品，也有利於減少惡意軟體利用核心漏洞的風險，並提高整體系統的安全性。

雖然目前尚未公佈具體細節，但是微軟此次將「安全踢出Windows核心」的決心已經十分明顯。

眾所周知，在經歷了越來越多的安全事件後，微軟已在今年8月提出「安全高於一切」的價值觀，將安全工作與員工績效評估聯繫起來，並把安全作為核心優先事項。微軟副總裁David Weston也表示，這次重新設計將被視為實現長期韌性和安全目標的一部分。

這意味著微軟不僅僅是在解決眼前的問題，而是在為未來的安全挑戰做準備。由此也可以推測，安全產品將再也不會有機會重新進入Windows內核，微軟也將在未來持續發力新的EDR標準和最佳實踐。

正如David Weston在峰會中所指出的，Windows 11改進的安全姿態和安全性默認設置，使該平台能夠在核心模式之外為解決方案提供者提供更多的安全功能，並強調EDR供應商更新時EDR供應商必須採用微軟所謂的「安全部署實務（SDP）」。

而SDP的一個核心原則是，可逐步和分階段向客戶發送更新的方式進行部署，以及使用“多樣化的端點進行有節制的推出”，在必要時還可提供暫停或回滾更新的能力。

難怪有安全專家稱，這次安全更新幾乎就是微軟在向外界展示，關於全球藍屏事件的態度與回應。

為確保新設計的EDR供應商存取權限安全，微軟將遵循最小權限原則，只授予EDR工具執行其功能所需的最低權限，以規避潛在風險。透過使用隔離和沙箱技術，則可以確保EDR工具即使故障也不會影響系統的其他部分。這樣即使EDR供應商的軟體出現問題，也不會導致整個系統崩潰。

此外，微軟可能會要求EDR供應商遵循安全開發生命週期，並定期對EDR供應商的程式碼進行審查，確保他們的軟體在設計、編碼、測試和部署過程中都有體現安全性。透過整合SIEM系統，也可以監控EDR工具的活動，及時發現異常行為，並採取相應的反應措施等。

參考來源：https://www.securityweek.com/post-crowdstrike-fallout-microsoft-redesigning-edr-vendor-access-to-windows-kernel/