CrowdStrike大面积故障后 微软呼吁监管机构允许修改Windows并提高其复原力

微软仍在帮助CrowdStrike清理一周前因CrowdStrike更新漏洞导致850万台PC离线而引发的混乱。现在，这家软件巨头正在呼吁对Windows进行修改，并透露了一些微妙的暗示，即优先考虑提高Windows的弹性，并愿意推动CrowdStrike等安全厂商停止访问Windows内核。

虽然CrowdStrike将更新失败的原因归咎于其测试软件中的一个错误，但它的软件运行在内核级别（操作系统的核心部分，可以不受限制地访问系统内存和硬件），因此如果CrowdStrike的应用程序出了问题，就会导致Windows机器出现蓝屏死机。

CrowdStrike的猎鹰软件使用一种特殊的驱动程序，允许它在比大多数应用程序更低的级别上运行，因此它可以检测整个Windows系统中的威胁。2006年，微软曾试图限制第三方访问WindowsVista的内核，但遭到了网络安全厂商和欧盟监管机构的反对。不过，苹果公司在2020年锁定了macOS操作系统，使开发者无法再访问内核。

现在，微软似乎想重新开启围绕限制Windows内核级访问权限的对话。

Windows服务和交付项目管理副总裁约翰-凯布尔（JohnCable）在一篇题为"前进之路"的博文中说："这一事件清楚地表明，Windows必须优先考虑端到端弹性领域的变革和创新。凯布尔呼吁微软与其"同样非常关注Windows生态系统安全性"的合作伙伴加强合作，以改进安全性。"

虽然微软没有详细说明在CrowdStrike事件后将对Windows做出的具体改进，但Cable还是提供了一些微软希望看到的发展方向的线索。凯布尔列举了"不要求内核模式驱动程序具有防篡改功能"的新VBSenclaves功能和微软的AzureAttestation服务，作为近期安全创新的范例。

Cable说："这些例子使用了现代的零信任方法，展示了如何鼓励不依赖内核访问的开发实践。我们将继续开发这些功能，加固我们的平台，并与广大安全社区开放合作，为提高Windows生态系统的弹性做出更多努力。"

这些暗示可能会掀起一场围绕Windows内核访问的讨论，即使微软声称由于监管机构的原因，它无法像苹果那样隔离其操作系统。Cloudflare首席执行官马修-普林斯（MatthewPrince）已经就微软进一步封锁Windows的影响发出了警告，因此微软如果想寻求真正的改变，就必须仔细考虑安全厂商的需求。