杀毒软件“退居”用户态？微软 Ignite 2025 带来的安全架构巨变

wwwab

作者: 腾讯安全威胁情报中心 - 科恩实验室

引言

在刚刚结束的 Microsoft Ignite 2025 中，微软照例发布了一系列议题，而在其中有一个由 Windows 弹性计划 (Windows Resiliency Initiative, WRI) 团队带来的议题，旨在强调在安全和 AI 趋势推动下 Windows 在系统稳定性方面的努力和进展。在这个议题中除了安全恢复工具之外，最值得广大安全研究人员关注的就是Windows 安全平台（Windows EndPoint Security Platform，WESP） 的正式公开。

而说起 WRI 的起源，那就不得不说到 2024 年 7 月 19 日那个令众多 IT 运维彻夜难眠的周五。那一天著名安全厂商 CrowdStrike 照例发布一次日常更新。却未曾想此次更新导致了全球大规模的 Windows 操作系统蓝屏事件的发生。此次事件的深层缘由，可以追溯到 2009 年微软与欧盟达成的协议，微软必须向第三方安全软件开发商开放相关的 API，自那之后安全软件便拥有了系统内核级别的访问及修改权限。CrowdStrike 正是由于其驱动更新的异常，直接触发了这起有史以来最严重的 IT 故障事件。

该事件发生后，微软在 Ignite 2024 上正式宣布了 Windows 弹性计划 — 为避免此类事件在未来再次发生而重新设计终端安全软件与内核交互方式的计划。在 25 年 6 月份的博客中，微软就已透露其愿景：通过与安全厂商合作，推动反病毒和终端保护程序“降级”，像普通应用程序一样在用户模式下运行。直到上周五 WESP 正式公布，标志着 Windows 端点安全防护模式面临全新的变革，也对安全厂商提出了新的技术挑战。

01 - WESP：全新的终端安全产品形态
自 John McAfee 在 1983年发布第一款杀毒软件 Mcafee 以来，终端安全防御技术在攻防对抗中已经经历了多次技术迭代。早期的杀毒软件主要依赖于静态特征识别和文件哈希检测，通过比对已知的恶意代码数据库来拦截威胁。然而，随着恶意软件技术的不断升级，简单的特征匹配已无法应对多态病毒和未知威胁，安全防御技术逐渐演进为基于模式识别和行为分析的动态检测机制。 在这个过程中，安全产品的形态也从传统的防病毒软件（Antivirus, AV）演变为更复杂的端点检测与响应系统（Endpoint Detection and Response, EDR）。为了获得更强的端点行为遥测能力以及面向恶意行为及时阻断的能力，安全厂商的检测和防御机制也慢慢地从最初的用户态行为检测逐步深入到底层，转向内核态行为检测。这种向内核层面的下沉虽赋予了安全厂商更强大的监控与阻断能力，但也是一把双刃剑。安全厂商不得不投入巨大的资源来应对Windwos版本兼容性挑战，在未公开的内核数据结构和复杂的系统机制之间如履薄冰。这不仅让产商在开发维护时异常痛苦，更为系统的稳定性埋下了巨大的隐患。正如 CrowdStrike 大范围蓝屏事件所揭示的一样，运行在内核级的驱动程序拥有最高的系统权限，任何微小的代码逻辑错误或兼容性问题，都足以导致整个操作系统崩溃（BSOD）。

而 WESP 改变了安全产品的构建方式。正如微软在演讲中所述，WESP 不再让每个端点安全应用各自为政，在操作系统中创建私有的可见性和控制点，而是由 Windows 平台直接提供一套安全的用户态接口。安全厂商直接利用这些接口来实现系统监控和威胁防护，不会像过去那样为了获取底层遥测数据或执行阻断操作而冒险进入内核。

面对这一架构变革，安全厂商必须对现有的防御方案进行彻底的迭代与升级。在未来，随着 WESP 的逐步普及，过去那种依赖私有内核 Hook 和非标准数据采集的传统技术路线将难以为继。安全厂商都将面临着产品架构重构的任务，各大安全软件都将需要把原本运行在内核态的检测逻辑迁移至用户态，并全面适配 WESP 的标准化接口。这不仅是技术实现的变更，更是竞争维度的转移。未来的安全攻防很大程度上将不再取决于谁能潜入系统底层挖掘更深的 Hook，而是取决于谁能更智能、更高效地利用标准化的遥测数据进行威胁分析与响应。

02 - 源头治理：重塑驱动生态
除了通过 WESP 将安全软件移至用户态外，微软还针对整个 Windows 驱动生态推出了更广泛的治理措施，旨在从源头减少内核级漏洞的攻击面。一方面针对近年来频发的“自带易受攻击驱动”（Bring Your Own Vulnerable Driver, BYOVD）攻击技术，微软计划引入“易受攻击驱动阻断列表”功能。BYOVD 攻击是指攻击者利用拥有合法签名但存在已知漏洞的旧版驱动程序进入内核，进而绕过系统的安全机制。新的阻断列表功能类似于安全管家类软件的防御机制，但它直接集成在操作系统核心。该功能会阻止已知存在漏洞的驱动程序在设备上运行。微软通过整个 Windows 生态系统收集入侵指标（IOC），自动更新这一列表。这意味着用户和企业无需采取额外的配置或手动干预，即可获得针对已知漏洞驱动的实时防护，有效切断了攻击者利用合法驱动作恶的路径。

另一方面对于那些出于性能或架构原因（如显卡驱动）必须保留在内核态的驱动程序，微软并未放松要求，而是实施了更严格的审核与控制措施。为了提升驱动的健壮性，微软引入了强制性的编译器安全防护、驱动隔离以及 DMA 重映射等技术手段，旨在将驱动故障的影响范围限制在最小，防止单一驱动错误导致系统级崩溃。
此外，微软正在重塑驱动程序的更新机制。正如微软在 Ignite 2025上所强调的：“我们正在与整个驱动生态系统合作，致力于让 Windows Update 成为您安全地保持设备和驱动程序更新的基础平台。”这意味着，未来的驱动程序不仅需要通过更严格的签名审核，其分发和更新也将更加依赖于 Windows Update 这一安全通道。通过统一的更新渠道，微软能够确保用户获取经过验证的、更稳定的驱动版本，从而在源头上降低因驱动版本混乱或来源不可靠带来的安全与稳定性风险。

03 - Sysmon 原生集成：增强的系统可见性
长期以来，Sysinternals 套件中的 Sysmon 一直是社区中进行深度系统监控的首选工具，因其能够记录详细的系统活动日志而被广泛用于威胁狩猎和取证分析。但由于其长期由社区维护，并没有官方对其驱动稳定性的背书。大部分已知的 EDR 厂商均会选择自研一套类似于 Sysmon的采集工具，而非直接使用它。在 Ignite 2025 上，微软宣布了一个重要的里程碑：Sysmon 的功能将不再仅仅作为一个独立的工具存在，而是即将原生集成到 Windows 11 和 Windows Server 2025 中。这一转变标志着 Sysmon 从“外{过}{滤}挂工具”向“原生能力”的进化。对于安全厂商而言，原生集成的 Sysmon 提供了易于激活、丰富且可定制的威胁检测信号。这不仅显著提升了企业安全团队对系统内部行为的可见性，也为第三方安全供应商提供了标准化的日志数据源，从而使得整个安全生态系统更快速、更高效地识别和响应潜在威胁。


04 - 总结
从本次 Ignite 2025 上 WESP 的正式推出到 Sysmon 的原生集成，无不标识着微软重构端点安全产品构建逻辑的决心。在过去的几十年里，安全厂商的核心壁垒往往建立在独特的数据采集和底层对抗能力之上。正如“痛苦金字塔”理论所暗示的，谁能挖掘到更深层次的系统 Hook，谁能捕获到更隐蔽的内核关键函数调用，谁就更有可能发现隐蔽的高级威胁，从而就被认定拥有更强的检测能力。然而 WESP 平台的出现、原生 Sysmon 的融入，以及微软近年来在 ETW 和 ETW-TI 上持续投入的努力，正在扭转这一观点。操作系统在不久的将来将直接通过标准化的用户态 API 提供高质量、全覆盖的遥测数据。这不仅意味着所有的安全产商基本上站回了同一起跑线，更意味着客户无需再为安全软件内核驱动可能导致的操作系统故障而担忧。当“采集”能力不再是瓶颈，安全产品的竞争维度将回归到安全的本质。谁能从海量的标准化事件日志中，利用 AI 和威胁情报更快地嗅出攻击者的踪迹？谁能将复杂的攻击链路还原得更清晰？这才是未来安全产品的核心护城河。作为专业的安全研究团队，科恩实验室一直密切关注着这一特性的发展动态，并在上周五该功能公开后，我们迅速跟进并完成了本篇解读。围绕 WESP 的具体实现原理和技术细节，科恩后续将持续跟进研究，为大家带来更详尽的技术分析。

参考链接
[1] https://ignite.microsoft.com/en-US/sessions/BRK345
[2] https://blogs.windows.com/window ... -for-the-era-of-ai/
[3] https://blogs.windows.com/window ... verned-by-security/
[4] https://techcommunity.microsoft. ... -to-windows/4468112
[5] https://windowsforum.com/threads ... eed-to-know.390687/
[6] https://blogs.windows.com/window ... e-ready-enterprise/
[7] https://blogs.windows.com/window ... ting-your-business/

来源: 《杀毒软件“退居”用户态？微软 Ignite 2025 带来的安全架构巨变》(https://mp.weixin.qq.com/s/fGaLfakjtvuh8xI727Ivmw)

00006666

微软这几年做的安全手段全部都是烂尾，包括WHQL签名这种必须由微软签发的都能让木马光明正大的签上，十多年前发明PatchGuard就是不想让大家进内核不让大家修改内核数据，结果不等于一点用没用，因为微软要考虑各种兼容性，它不可能放弃所有旧平台旧设备，最终结果就是烂尾，所以微软计划做的东西你看看就好，而且不关是杀软用驱动，反作弊也要用驱动，除非微软彻底不让大家用，微软把MiniFilter、InfinityHook、无痕HOOK等等各种方法全部禁止，这现实吗，这不现实。

superLYT

如果真执行的话，BD和卡巴这些系统监控突出的企业安全方案不就没有优势了吗，反而ESET这种影响不大

驭龙

预告了这么久，终于开始有所行动了，这下子主防类的安全软件不好混了，反而是Avira和ESET以及McAfee（就一个简单的FS Filter驱动）会因此获利

wwwab

00006666 发表于 2025-11-28 13:02
微软这几年做的安全手段全部都是烂尾，包括WHQL签名这种必须由微软签发的都能让木马光明正大的签上，十多年 ...

杀毒？反作弊？微软：小了，格局小了，别说软件驱动了，外部硬件设备驱动我都要砍——未来数年，网络、摄像头、USB、打印机、电池、存储及音频等驱动类别的内核模式代码量将显著减少。“
现在来看，微软的野心是重塑一整个Windows内核生态啊，什么杀毒和反作弊，没针对你们，整个生态圈一视同仁

你猜为什么上文中突然提到一段——”另一方面对于那些出于性能或架构原因（如显卡驱动）必须保留在内核态的驱动程序，微软并未放松要求，而是实施了更严格的审核与控制措施。为了提升驱动的健壮性，微软引入了强制性的编译器安全防护、驱动隔离以及 DMA 重映射等技术手段，旨在将驱动故障的影响范围限制在最小，防止单一驱动错误导致系统级崩溃。“

《Preparing for what’s next: Windows security and resiliency innovations help organizations mitigate risks, recover faster and prepare for the era of AI》(为未来做准备:Windows安全与韧性创新帮助组织降低风险，加快恢复速度，并为AI时代做好准备)
原文:

Windows Resiliency Initiative brings recovery at scale
One year ago, at Ignite 2024, we introduced the Windows Resiliency Initiative (WRI), a focused set of improvements to help IT departments prevent incidents, manage those that occur and recover quickly.

Most incidents stem from change, and today’s rapid developments in security and AI are accelerating change across products, processes and how people work, raising the bar for IT.

Guided by your engagement and feedback, we’re proud to announce new Windows capabilities that help strengthen resilience across your environment.

Preventing incidents through driver resiliency
We invest continuously in Windows quality through deep validation of all new Windows capabilities and monthly security and quality updates. We also work continuously with our partners in the open and innovative Windows app and driver ecosystem to help ensure great reliability end-to-end.

We’ve recently made significant progress on two investments to help improve reliability in anti-virus drivers. Effective April 1, 2025, Version 3.0 of the Microsoft Virus Initiative added new requirements for all Windows antivirus (AV) partners to maintain signing rights for Windows AV drivers. In June, we released the first private preview of the Windows endpoint security platform, which shifts AV enforcement from the kernel to user mode. Running AV in user mode prevents bugs from taking down Windows, instead impacting only the AV app, while preserving AV functionality and AV partners’ ability to innovate.

We’re now extending the driver resiliency playbook across the Windows ecosystem beyond the AV scenario. In short, we’re raising the bar for driver signing and making it easier to build reliable drivers for Windows.

What’s changing:

Driver signing will require a higher security and resiliency bar with many new certification tests.
We are expanding Microsoft-provided Windows in-box drivers and APIs so partners can replace many custom kernel drivers with standardized Windows drivers or move logic to user mode.
Over the coming years, we expect a significant reduction in code that runs in kernel mode across driver classes such as networking, cameras, USB, printers, batteries, storage and audio.
We will continue to support third-party kernel mode drivers. We will not limit partners from innovating where we don’t have Windows in-box drivers, or from using kernel mode drivers where required to help ensure a great Windows experience and for scenarios without in-box coverage. Graphics drivers, for example, will continue to run in kernel mode for performance reasons.

For kernel-mode drivers, we’re adding practical guardrails that improve quality and contain faults before they become outages. These include new mandatory compiler safeguards to constrain driver behavior, driver isolation to limit blast radius, and DMA-remapping to prevent accidental driver access to kernel memory.

翻译:

Windows 韧性计划：实现规模化故障恢复

一年前，在2024年Ignite大会上，我们推出了Windows韧性计划(WRI)，这是一系列针对性改进措施，旨在帮助IT部门预防事故、处理突发事件并快速恢复。

大多数事故源于变革。当前安全与AI领域的快速发展正在加速产品、流程及工作方式的变革，这对IT部门提出了更高要求。基于您的参与和反馈，我们自豪地宣布推出全新Windows功能，助力提升全环境韧性。

通过驱动韧性预防事故
我们通过深度验证所有新Windows功能及每月安全质量更新，持续投入Windows质量建设。同时与开放创新的Windows应用及驱动生态系统伙伴紧密合作，确保端到端的卓越可靠性。

近期我们在两项提升防病毒驱动可靠性的投资上取得重大进展：自2025年4月1日起，微软病毒防护计划3.0版新增要求，所有Windows防病毒合作伙伴须维持其驱动签名权限；6月我们发布了Windows终端安全平台首个私有预览版，将AV防护从内核模式迁移至用户模式。用户模式运行可避免系统崩溃，仅影响AV应用本身，同时保留防护功能与合作伙伴的创新空间。

现在，我们将这套驱动韧性方案扩展至AV场景之外的整个Windows生态系统。简言之，我们正在提高驱动签名标准，同时降低开发可靠驱动的难度。

主要变革：
• 驱动签名将执行更高安全韧性标准，新增多项认证测试
• 扩展微软内置驱动与API，支持合作伙伴用标准化驱动替代定制内核驱动或将逻辑移至用户模式
• 未来数年，网络、摄像头、USB、打印机、电池、存储及音频等驱动类别的内核模式代码量将显著减少

我们仍将支持第三方内核模式驱动，不会限制合作伙伴在无内置驱动领域创新，或在必要场景使用内核驱动以确保优质体验。例如显卡驱动仍将保留内核模式以保障性能。

针对内核模式驱动，我们新增实用防护措施：强制编译器安全机制约束驱动行为、驱动隔离限制故障范围、DMA重映射防止误访内核内存，从而在故障演变为宕机前提升质量并控制影响。

00006666

不会限制合作伙伴在无内置驱动领域创新，或在必要场景使用内核驱动以确保优质体验。例如显卡驱动仍将保留内核模式以保障性能

文章里就这句话就无解了，微软做的始终不是强制性的，而是可选的，还要考虑各种兼容性，事实上今天的WHQL认证就很严格了，一系列机检加人工，理论上对驱动的限制已经足够高了，实际上就没有发挥多大作用

隔山打空气

superLYT 发表于 2025-11-28 18:37
如果真执行的话，BD和卡巴这些系统监控突出的企业安全方案不就没有优势了吗，反而ESET这种影响不大

这俩除了给第三方驱动挂IRP Hook（BD仅BEST启用防篡改）之外真没什么可说道的 哪怕是ETW-TI的潜力都没运用出来 说难听点除了防御未知BYOVD这方面之外很难说监控能力受影响（

wwwab

00006666 发表于 2025-11-28 21:34
不会限制合作伙伴在无内置驱动领域创新，或在必要场景使用内核驱动以确保优质体验。例如显卡驱动仍将保留内 ...

你猜为什么举的例子显卡驱动是使用内核驱动的必要场景，而按照这个意思来看，网络、摄像头、USB、打印机、电池、存储及音频等设备使用定制内核模式驱动似乎都不是必要场景，需要减少网络、摄像头、USB、打印机、电池、存储及音频等驱动类别的内核模式代码量。
那么，如果说网络、摄像头、USB、打印机、电池、存储及音频等设备使用定制内核模式驱动都不算是使用定制内核驱动必要场景，外部硬件设备的驱动 内核模式代码量都得减少，那么你觉得杀毒和反作弊会是使用内核驱动的必要场景？

隔山打空气

操作系统在不久的将来将直接通过标准化的用户态 API 提供高质量、全覆盖的遥测数据。

微软你最好把RPC/ALPC Win32K的那一堆全给我加上完整可靠的内核数据源（

00006666

wwwab 发表于 2025-11-28 21:44
你猜为什么举的例子显卡驱动是使用内核驱动的必要场景，而按照这个意思来看，网络、摄像头、USB、打印机 ...

除非他彻底封死内核，不然就是没有很大意义的，因为现在很多杀软也是在用不合规的方法，比如360玩的无痕hook，绕过了微软内核限制，完全不兼容微软硬件安全性，然后微软是睁一只眼闭一只眼，就没管过，所以这个东西就算做出来了，落地结果是怎么样的也不好说