捷维科技 6 月 28 日消息,科技媒体 pureinfotech 昨日(6 月 27 日)发布博文,报道称Microsoft提升系统稳定性并降低崩溃风险,计划从 Windows 内核中,移除防病毒(Anti|Virus)和终端测试和响应(EDR)工具,从而防止重蹈 2024 年 CrowdStrike 全球大规模蓝屏死机事件覆辙。
捷维科技此前报道,在 2024 年 CrowdStrike 全球大规模蓝屏死机事件之后,Microsoft启动了 Windows Resilience Initiative(WRI)长期策略,目的是降低重点系统问题。
而在 Windows 内核中移除 Anti|Virus 和 EDR 工具,是推进该长期策略的重点一环,马上进入私有预览阶段。
Anti|Virus 和 EDR 工具现在在内核深处运行,以获得对进程、内存和驱动程序的全访问权限,虽然有效捕捉到高级威胁,但同时也带来了风险,内核中的错误或不好的更新可能致使整个系统崩溃。
Microsoft通过移除 Anti|Virus / EDR 工具隔离在用户模式以外,降低其对重点系统组件的访问权限,这意味着假如防病毒引擎出现问题,它致使计算机崩溃的可能性将大大减少。
对于普通买家来讲,这一转变将基本是无感的。Microsoft Defender 防病毒(或其他任何第三方防病毒软件)可以继续运行,用户的手提电脑、平板电脑或台式电脑将维持保护状况。然而,它们将在后台更安全、受控的环境中工作。
现在,用户还不可以卸载Microsoft Defender。Defender 仍将是操作系统的默认安全组件,尤其是对于不安装第三方 Anti|Virus 软件的用户。
不过,将 Defender 移出内核或许会为后续的模块化打开大门。将来,或许会更容易禁用或替换默认防病毒软件,而不会干扰系统完整性。
除此之外,Microsoft还在开发一项名为迅速机器恢复的新功能,允许互联网管理员更快地恢复没办法启动的设施,这是对 CrowdStrike 内核崩溃导致的混乱的直接回话。这一功能也将面向买家,而不止是组织。