微软仍在帮助 CrowdStrike 清理一周前因 CrowdStrike 更新漏洞导致 850 万台 PC 离线而引发的混乱。现在,这家软件巨头正在呼吁对 Windows 进行修改,并透露了一些微妙的暗示,即优先考虑提高 Windows 的弹性,并愿意推动 CrowdStrike 等安全厂商停止访问 Windows 内核。
虽然 CrowdStrike 将更新失败的原因归咎于其测试软件中的一个错误,但它的软件运行在内核级别(操作系统的核心部分,可以不受限制地访问系统内存和硬件),因此如果 CrowdStrike 的应用程序出了问题,就会导致 Windows 机器出现蓝屏死机。
CrowdStrike 的猎鹰软件使用一种特殊的驱动程序,允许它在比大多数应用程序更低的级别上运行,因此它可以检测整个 Windows 系统中的威胁。2006 年,微软曾试图限制第三方访问 Windows Vista 的内核,但遭到了网络安全厂商和欧盟监管机构的反对。不过,苹果公司在 2020 年锁定了 macOS 操作系统,使开发者无法再访问内核。
现在,微软似乎想重新开启围绕限制 Windows 内核级访问权限的对话。
Windows 服务和交付项目管理副总裁约翰-凯布尔(John Cable)在一篇题为"前进之路"的博文中说:"这一事件清楚地表明,Windows 必须优先考虑端到端弹性领域的变革和创新。凯布尔呼吁微软与其"同样非常关注 Windows 生态系统安全性"的合作伙伴加强合作,以改进安全性。"
虽然微软没有详细说明在 CrowdStrike 事件后将对 Windows 做出的具体改进,但 Cable 还是提供了一些微软希望看到的发展方向的线索。凯布尔列举了"不要求内核模式驱动程序具有防篡改功能"的新 VBS enclaves 功能和微软的 Azure Attestation 服务,作为近期安全创新的范例。
Cable 说:"这些例子使用了现代的零信任方法,展示了如何鼓励不依赖内核访问的开发实践。我们将继续开发这些功能,加固我们的平台,并与广大安全社区开放合作,为提高 Windows 生态系统的弹性做出更多努力。"
这些暗示可能会掀起一场围绕 Windows 内核访问的讨论,即使微软声称由于监管机构的原因,它无法像苹果那样隔离其操作系统。Cloudflare 首席执行官马修-普林斯(Matthew Prince)已经就微软进一步封锁 Windows 的影响发出了警告,因此微软如果想寻求真正的改变,就必须仔细考虑安全厂商的需求。