蓝屏变黑屏?微软要把杀毒软件踢出内核
微软迈出了将杀毒软件踢出内核的第一步,并将永久消灭所有Windows用户的噩梦——“蓝屏死机”,代之以“黑屏死机”。
在2024年夏天,一场由CrowdStrike引发的软件灾难震惊全球:一次错误的反病毒软件更新,让数百万台Windows电脑和服务器陷入开机即蓝屏的死循环。从机场地勤系统到咖啡机收银机,再到急救指挥中心,都被迫中断。全球数以万计的IT工程师们通宵达旦加班,手动清理CrowdStrike的“毒补丁”。
虽然事故的直接责任在于CrowdStrike,但因事件波及大量Windows系统,微软也成为众矢之的。面对质疑,微软高层罕见地表态,将把安全性重新置于核心战略之上,并提出一个“根本”解决方案:让杀毒软件“退出内核”,避免同类事故重演。
微软启动“用户态杀毒”改革
根据微软近日发布的安全公告,公司正在对Windows端点安全架构进行一次意义重大的调整:开放“Windows端点安全平台”的私有预览,允许第三方杀毒软件在用户模式下运行,而不是像过去那样直接植入Windows内核。
微软企业与操作系统安全副总裁David Weston表示,此举能显著提升系统稳定性,并让杀毒软件即便出错,也不会造成整机瘫痪。
微软的逻辑很简单:Windows内核是操作系统的心脏,任何能访问内核的程序,一旦出错或被攻击,都会波及全系统。CrowdStrike事故之所以能摧毁如此多电脑,原因就在于其驱动程序在Windows启动阶段被加载进内核,导致系统在最脆弱的时刻崩溃无法自愈。
此次微软点名的合作方包括CrowdStrike、Bitdefender、ESET、SentinelOne、Trellix、趋势科技等国际杀毒巨头。各家公司代表均在微软博客中“表忠心”,声称与微软的合作将“共同提升安全体验”。
是否“强制退出”?微软语焉不详
值得玩味的是,微软并未明确表示第三方杀毒必须放弃内核模式,只是提供了用户模式的新选项。一些安全专家认为,这可能是微软为彻底剥夺第三方厂商内核访问权限的“前戏”,也有人认为,这只是给那些对内核级防护没有硬性需求的厂商提供更稳妥的替代方案。
类似的矛盾并非首次出现。2006年,微软在开发Windows Vista时尝试限制安全软件补丁内核的能力,却引发赛门铁克、McAfee等公司指责其垄断,将内核访问特权仅留给自家Windows Defender。彼时的争议甚至引来了欧盟反垄断机构的介入,最终迫使微软妥协。
而这一次,微软主动引入“病毒计划联盟”(MVI),与第三方厂商深度沟通,意在避免类似反垄断危机重演。
Windows11蓝屏变黑屏,还加了“自愈”
除了用户态杀毒,微软还对全球Windows用户最熟悉的那一幕——蓝屏死机(BSoD)——进行改造。微软宣布,未来的“意外重启画面”将由蓝色改为黑色(下图),并同步推出更简洁的排错信息布局,让用户和运维人员能更快看懂故障信息。
微软迈出了将杀毒软件踢出内核的第一步,并将永久消灭所有Windows用户的噩梦——“蓝屏死机”,代之以“黑屏死机”。
在2024年夏天,一场由CrowdStrike引发的软件灾难震惊全球:一次错误的反病毒软件更新,让数百万台Windows电脑和服务器陷入开机即蓝屏的死循环。从机场地勤系统到咖啡机收银机,再到急救指挥中心,都被迫中断。全球数以万计的IT工程师们通宵达旦加班,手动清理CrowdStrike的“毒补丁”。
虽然事故的直接责任在于CrowdStrike,但因事件波及大量Windows系统,微软也成为众矢之的。面对质疑,微软高层罕见地表态,将把安全性重新置于核心战略之上,并提出一个“根本”解决方案:让杀毒软件“退出内核”,避免同类事故重演。
微软启动“用户态杀毒”改革
根据微软近日发布的安全公告,公司正在对Windows端点安全架构进行一次意义重大的调整:开放“Windows端点安全平台”的私有预览,允许第三方杀毒软件在用户模式下运行,而不是像过去那样直接植入Windows内核。
微软企业与操作系统安全副总裁David Weston表示,此举能显著提升系统稳定性,并让杀毒软件即便出错,也不会造成整机瘫痪。
微软的逻辑很简单:Windows内核是操作系统的心脏,任何能访问内核的程序,一旦出错或被攻击,都会波及全系统。CrowdStrike事故之所以能摧毁如此多电脑,原因就在于其驱动程序在Windows启动阶段被加载进内核,导致系统在最脆弱的时刻崩溃无法自愈。
此次微软点名的合作方包括CrowdStrike、Bitdefender、ESET、SentinelOne、Trellix、趋势科技等国际杀毒巨头。各家公司代表均在微软博客中“表忠心”,声称与微软的合作将“共同提升安全体验”。
是否“强制退出”?微软语焉不详
值得玩味的是,微软并未明确表示第三方杀毒必须放弃内核模式,只是提供了用户模式的新选项。一些安全专家认为,这可能是微软为彻底剥夺第三方厂商内核访问权限的“前戏”,也有人认为,这只是给那些对内核级防护没有硬性需求的厂商提供更稳妥的替代方案。
类似的矛盾并非首次出现。2006年,微软在开发Windows Vista时尝试限制安全软件补丁内核的能力,却引发赛门铁克、McAfee等公司指责其垄断,将内核访问特权仅留给自家Windows Defender。彼时的争议甚至引来了欧盟反垄断机构的介入,最终迫使微软妥协。
而这一次,微软主动引入“病毒计划联盟”(MVI),与第三方厂商深度沟通,意在避免类似反垄断危机重演。
Windows11蓝屏变黑屏,还加了“自愈”
除了用户态杀毒,微软还对全球Windows用户最熟悉的那一幕——蓝屏死机(BSoD)——进行改造。微软宣布,未来的“意外重启画面”将由蓝色改为黑色(下图),并同步推出更简洁的排错信息布局,让用户和运维人员能更快看懂故障信息。
