【转载】微软正在构建Windows 安全功能以防止CS蓝屏事件再次发生【微软要收紧内核？】

驭龙

我上一个帖子中就提到过微软想收紧内核，现在看来微软这次要动真格的了，铁了心要收紧Windows内核模式的权限，看上去只有几个企业版巨头参与了，其他的安全厂商不知道有没有参与，没有参与的话，感觉未来不妙了啊，说是构建新的安全功能，可安全性和可靠性岂不是微软自己说了算？MD的各种小毛病不断，我真不希望MD一家独大，希望微软信守承诺对第三方开放与MD相同的权限和功能吧。

本周是国内的网络安全宣传周，感觉现在的网络安全环境并不是表面上那么好啊，隐蔽性的威胁无处不在，我们只能保持良好的安全习惯，尽可能避免中招吧。

关于微软的做法，饭友们有什么看法吗？欢迎大家畅所欲言。

原文地址：
https://www.163.com/dy/article/JBUEFU9S0511BLFD.html

微软宣布计划对 Windows 进行修改，以帮助 CrowdStrike 和其他安全厂商的程序在 Windows 内核之外运行。这一消息源于本周早些时候微软在华盛顿州雷德蒙德总部举办的一次安全峰会，会上微软讨论了7月份灾难性的CrowdStrike事件后对Windows的修改。

自从 CrowdStrike 导致 850 万台 Windows PC 和服务器瘫痪以来，Windows 内核访问一直是一个热门话题。CrowdStrike 的软件在 Windows 的内核级运行，这是操作系统的核心部分，可以不受限制地访问系统内存和硬件。这也是错误更新导致受影响系统一启动就产生蓝屏死机的原因。

在此后的几个月里，微软一直呼吁对 Windows 进行修改，以提高其自我保障能力，并暗示要将安全厂商移出 Windows 内核，以防止此类事件再次发生。但来自合作伙伴和监管机构的压力一直存在，要求微软不要单方面做出改变。

微软表示，它现在已经与 CrowdStrike、Broadcom、Sophos 和 Trend Micro 等合作伙伴"讨论了创建一个能够满足安全厂商需求的新平台的要求和主要挑战"。

微软企业与操作系统安全副总裁大卫-韦斯顿（David Weston）说："我们的客户和生态系统合作伙伴都呼吁微软在内核模式之外提供额外的安全功能，这些功能与安全部署实践一起，可用于创建高度可用的安全解决方案。 "

微软讨论了性能需求和安全厂商在内核模式之外运行所面临的挑战，以及安全产品的防篡改保护需求和安全传感器需求。韦斯顿说："下一步，微软将继续设计和开发这一新的平台功能，并听取生态系统合作伙伴的意见和合作，在不牺牲安全性的前提下实现增强可靠性的目标。"

虽然微软没有直接表示要关闭对Windows内核的访问，但它显然处于设计安全平台的早期阶段，该平台最终可以将CrowdStrike和其他公司从内核中移出。微软上一次试图关闭Windows内核访问权限是在2006年的Windows Vista系统中，但遭到了网络安全厂商和监管机构的反对。

这一次，安全厂商对此持更加开放的态度。Sophos首席执行官乔-利维（Joe Levy）在微软提供的一份声明中说："这是一个值得欢迎的机会，我们可以与业界同行一起公开讨论各种进步，通过提升微软Windows和端点安全生态系统的弹性和稳健性来服务我们的客户。"

趋势科技（Trend Micro）首席运营官凯文-西姆泽（Kevin Simzer）说："我赞赏微软敞开大门，继续与领先的端点安全领导者合作。就连整个峰会的催化剂 CrowdStrike 也对微软的努力表示赞赏。"

CrowdStrike 公司负责隐私和网络政策的副总裁 Drew Bagley 说："我们很高兴有机会与微软和业界同行共同参与这些重要的讨论，探讨如何以最佳方式合作建立一个更具弹性和开放性的 Windows 端点安全生态系统，从而加强我们共同客户的安全。"

不过，并非所有安全领域的从业者都对微软的潜在变化感到高兴。CloudFlare首席执行官马修-普林斯（Matthew Prince）上个月在X上提到微软的Windows安全峰会时说："监管机构需要关注。一个只有微软才能提供有效端点安全的世界并不是一个更安全的世界。"

普林斯说，他并不担心微软可能会锁定Windows内核，而是担心该公司可能会"为其他人"锁定Windows内核，同时仍然为自己的产品提供"特权访问"。微软还邀请了美国和欧洲的政府官员参加其安全峰会，因为它显然意识到了普林斯等人会有此类担忧。

此次峰会正值微软内部进行更广泛的网络安全整顿之际，在此之前，微软内部已经发生了多年的事故和批评。现在，微软员工的安全工作直接受到评判，公司将这些工作与员工绩效考核挂钩。

现在只能希望微软新的安全体系能对安全厂商开放相同的权限，不要搞分级层次化的访问权限吧，要不然MD岂不是一家独大了

更新美版的微软官方英文原文章地址：
https://blogs.windows.com/window ... -windows-customers/

英文原文中不单单有博通 趋势 CS Sophos 还有Trellix和ESET以及SentinelOne也应该参与其中了，目前没看到GEN和BD的态度，那就是没有被邀请参加这次的峰会，如此说来，以后选安全软件，只能选择在名单里的几个厂商了？毕竟是这次Windows Endpoint Security Ecosystem Summit的受邀参与的厂商。

00006666

杀软除了防御，还要进攻，比如各种底层的穿透驱动，不知道微软会不会也给接口，不然到时候，能扫出来毒，杀不掉…

不知道什么是穿透驱动的可以看这个
https://blog.topsec.com.cn/%e6%94%bb%e9%98%b2%e5%af%b9%e6%8a%97%e4%b9%8b%e6%9d%80%e8%bd%af%e7%a9%bf%e9%80%8f%e9%a9%b1%e5%8a%a8%e6%8f%ad%e7%a7%98/

当然我个人觉得，微软如果真要限制内核权限，怕不是要对所有的应用程序限制，要大改驱动开发文档，如果只靠安全厂商自觉配合，等于没有限制

驭龙

这次小规模的蓝屏，微软准备找谁背锅？找惠普吗？

微软：谁叫惠普商用电脑有硬件级的安全功能，嗯，就是惠普的问题，与我家MD没关系。

相关信息在MD区的帖子
https://bbs.kafan.cn/thread-2273698-1-1.html

IDKF

不太懂技术，不过我感觉如果收紧权限，美系安软受到的影响会小一些，像avast和Avira都是Gen下属的子公司也还好，就是BitDefender和Kaspersky，效果可能会被削弱，Kaspersky都被赶出美国市场了，要是仗再这么打下去，或许英加澳新，欧洲和日韩也会跟随。

aikafans

cs感觉给微软一个借口，属于瞌睡送枕头

a8855942

应该跟安全厂商联合开发。

tihs

如果一家独大，反垄断调查估计又要来了

驭龙

IDKF 发表于 2024-9-13 09:36
不太懂技术，不过我感觉如果收紧权限，美系安软受到的影响会小一些，像avast和Avira都是Gen下属的子公司也 ...

感觉就是针对俄系了，中文版的文章不完整，刚刚更新微软英文的原文，好家伙，ESET也去凑热闹了，目前美系和ESET应该都参与计划了，俄系可能未来更难了

IDKF

驭龙 发表于 2024-9-13 13:39
感觉就是针对俄系了，中文版的文章不完整，刚刚更新微软英文的原文，好家伙，ESET也去凑热闹了，目前美系 ...

嗯，未来企业版多少还能留点余地，个人消费版的权限估计就会收紧了。

驭龙

IDKF 发表于 2024-9-13 14:40
嗯，未来企业版多少还能留点余地，个人消费版的权限估计就会收紧了。

希望微软兑现承诺，将新的安全体系开放给合作伙伴，而不是给MD加特权吧，不然其他厂商的企业版也不好混

IDKF

驭龙 发表于 2024-9-13 14:42
希望微软兑现承诺，将新的安全体系开放给合作伙伴，而不是给MD加特权吧，不然其他厂商的企业版也不好混

多少有点不乐观，越开放意味出问题的可能就越大，前阵子蓝屏那个事情，微软是被殃及，还是会受到指责和批评的，虽然这几年也不靠谱，可是谁能保证以后不会再发生这种事情呢？这是一个绝佳的借口和理由。另外最近发现，Windows11 ltsc 24h2上即使安装了第三方安全软件（Kaspersky），MD仍然在后台默默运行着，我甚至看到硬盘里保存的Windows 11轻松设置中涉及关闭MD的那几个程序被删掉了，而且我没用MD扫描过，这种双监控系统不会出事吗？看来以后安装Windows 11得在PE中就把MD删掉，但又怕出什么问题，MD已经和系统深度融合了，至少比起Windows 7和Windows 10那个时候。

ongarabazanade

其实MD现在就已经快要一家独大了，不论360还是小A或者卡巴，包括其他杀软，没有哪一个比微软MD的用户更多