本周,微软证实,在 7 月份发生大规模宕机事件导致全球数百万台 Windows 设备瘫痪后,该公司正在采取合理措施。该公司正在做出一些改变。
但值得注意的是,这些变化并不包括将供应商踢出 Windows 内核。访问内核(Windows 的核心控制中心)导致 CrowdStrike Falcon 更新出现故障,导致 850 万台 Windows 设备进入“蓝屏死机”状态,造成持续数天的重大社会混乱。
那么微软到底在做什么呢?首先,这家科技巨头正在为 IT 管理员提供一种方式,即使 Windows 设备无法启动,也可以部署修复程序。如果当时有这样的服务,7 月份的宕机影响可能会大大减少,因为需要手动修复每个 Windows 系统,因此恢复需要几天而不是几个小时。
但对于网络安全行业来说,微软本周发布的第二份声明意义重大。针对要求微软为安全供应商提供内核访问替代方案的呼声,Windows 安全主管 David Weston 证实,微软确实正在酝酿此类方案。
韦斯顿在周二的帖子中写道:“我们正在开发新的 Windows 功能,让安全产品开发人员能够在内核模式之外构建他们的产品。”
因此,安全工具将能够在操作系统中与应用程序相同的部分运行,即“用户模式”。
不过,该声明中有两件事令我印象深刻。
一是没有迹象表明微软正在考虑将这个用户模式选项作为唯一选项,从而实际上禁止安全供应商进入内核。至少短期内不会。
在此次中断之后,多家安全供应商(不仅仅是 CrowdStrike)都表示内核访问对于他们的工作至关重要,因此是网络安全中不可或缺的组成部分。
例如,Sophos 首席执行官 Joe Levy告诉我,内核访问至关重要,因为每个端点安全供应商都在与想要禁用其工具的网络对手作斗争。
“他们想要关闭或卸载我们的系统,或者破坏我们进行监控和流程控制的能力,而这正是阻止恶意软件运行和勒索软件执行所必需的,”Levy 说。“因此,我们必须在内核层面采取行动,以保护自己免遭逃避或驱逐。”
微软尚未提供关于“用户模式”替代内核访问的计划细节。因此目前尚不清楚新功能是否能解决 Levy 在此处描述的问题,即让安全工具完全在内核之外运行。
(我已联系微软,如果收到回复,我将更新此帖子。)
令我震惊的第二件事是微软并不急于提供这些新功能。
安全供应商必须等到明年 7 月才能试用,届时微软计划以私人预览版的形式推出这些功能。目前还不清楚这个内核替代方案何时才能投入使用。
这一切或许都不足为奇。
我最近与 Gartner 公司专注于端点安全的首席分析师 Eric Grenier 进行了交谈,他曾担任耶鲁大学端点工程经理。
也就是说,格雷尼尔通过第一手经验了解 Windows 世界是如何运作的。而且它的大多数重大举措都是循序渐进的。
“Windows 世界中的重大变革需要数年时间,”他在我们的采访中说道(坦白说,这次采访是在微软本周发布声明之前,但似乎仍然适用。)
“部分原因在于必须在一定程度上重新编码窗口。部分原因在于供应商必须重新编码其平台,”格雷尼尔告诉我。“所有这些都需要时间。”
