微软仍在帮助CrowdStrike清理一周前因CrowdStrike更新漏洞导致850万台PC离线而引发的混乱。现在,这家软件巨头正在呼吁对Windows进行修改,并透露了一些微妙的暗示,即优先考虑提高Windows的弹性,并愿意推动CrowdStrike等安全厂商停止访问Windows内核。
,Z
�q:�na� Z`Y&cK�s�n 虽然CrowdStrike将更新失败的原因归咎于其测试软件中的一个错误,但它的软件运行在内核级别(操作系统的核心部分,可以不受限制地访问系统内存和硬件),因此如果CrowdStrike的应用程序出了问题,就会导致Windows机器出现蓝屏死机。
�(`� *BZ�_ 
a-��{|/
n% CrowdStrike的猎鹰软件使用一种特殊的驱动程序,允许它在比大多数应用程序更低的级别上运行,因此它可以检测整个Windows系统中的威胁。2006年,微软曾试图限制第三方访问Windows Vista的内核,但遭到了网络安全厂商和欧盟监管机构的反对。不过,苹果公司在2020年锁定了macOS操作系统,使开发者无法再访问内核。
3s6o�bw$ki 6"&�cQ>$xh 现在,微软似乎想重新开启围绕限制Windows内核级访问权限的对话。
/Zv�P.VW&� 1�G>Ud6(3< Windows服务和交付项目管理副总裁约翰-凯布尔(John Cable)在一篇题为"前进之路"的博文中说:"这一事件清楚地表明,Windows必须优先考虑端到端弹性领域的变革和创新。凯布尔呼吁微软与其"同样非常关注Windows生态系统安全性"的合作伙伴加强合作,以改进安全性。"
G+zhL6]F�
�={g)[:(C. 虽然微软没有详细说明在CrowdStrike事件后将对Windows做出的具体改进,但Cable还是提供了一些微软希望看到的发展方向的线索。凯布尔列举了"不要求内核模式驱动程序具有防篡改功能"的新VBS enclaves功能和微软的Azure Attestation服务,作为近期安全创新的范例。
@8L5���U�T IMf�|/a9�- Cable说:"这些例子使用了现代的零信任方法,展示了如何鼓励不依赖内核访问的开发实践。我们将继续开发这些功能,加固我们的平台,并与广大安全社区开放合作,为提高Windows生态系统的弹性做出更多努力。"
�'S`l[L:.8 ~KK}
$�i�M 这些暗示可能会掀起一场围绕Windows内核访问的讨论,即使微软声称由于监管机构的原因,它无法像苹果那样隔离其操作系统。Cloudflare首席执行官马修-普林斯(Matthew Prince)已经就微软进一步封锁Windows的影响发出了警告,因此微软如果想寻求真正的改变,就必须仔细考虑安全厂商的需求。
�*u},(4Qf�
微博帐号登录