有消息稱，微軟正在重新設(shè)計(jì)EDR與Windows內(nèi)核的交互方式，以避免再次引發(fā)全球藍(lán)屏事件。

很明顯，在2024年7月，由CrowdStrike故障引發(fā)的全球藍(lán)屏事件給微軟留下了極其深刻的記憶，從而促使后者進(jìn)一步審視EDR在產(chǎn)品在設(shè)計(jì)和實(shí)施上的潛在風(fēng)險(xiǎn)，尤其是與內(nèi)核交互的風(fēng)險(xiǎn)。

微軟發(fā)文稱，將在Windows 11中引入新的平臺(tái)功能，并著重強(qiáng)調(diào)安全供應(yīng)商在“內(nèi)核模式之外”操作，以此避免類似事件的再次發(fā)生。因?yàn)槲④浺呀?jīng)無(wú)法再承受一次藍(lán)屏事件的打擊，需要確保EDR工具不會(huì)因?yàn)楦禄蛘咂渌僮鞫鴮?dǎo)致整個(gè)系統(tǒng)的崩潰或者不穩(wěn)定。

安全供應(yīng)商在不進(jìn)入內(nèi)核模式的情況下運(yùn)行安全產(chǎn)品，也有利于減少惡意軟件利用內(nèi)核漏洞的風(fēng)險(xiǎn)，提高整體系統(tǒng)的安全性。

雖然目前尚未公布具體細(xì)節(jié)，但是微軟此次將“安全踢出Windows內(nèi)核”的決心已經(jīng)十分明顯。

眾所周知，在經(jīng)歷了越來(lái)越多的安全事件后，微軟已在今年8月份提出“安全高于一切”的價(jià)值觀，將安全工作與員工績(jī)效評(píng)估聯(lián)系起來(lái)，并把安全作為核心優(yōu)先事項(xiàng)。微軟副總裁David Weston也表示，這次重新設(shè)計(jì)將被視為實(shí)現(xiàn)長(zhǎng)期韌性和安全目標(biāo)的一部分。

這意味著微軟不僅僅是在解決眼前的問(wèn)題，而是在為未來(lái)的安全挑戰(zhàn)做準(zhǔn)備。由此也可以推測(cè)，安全產(chǎn)品將再也不會(huì)有機(jī)會(huì)重新進(jìn)入Windows內(nèi)核，微軟也將在未來(lái)持續(xù)發(fā)力新的EDR標(biāo)準(zhǔn)和最佳實(shí)踐。

正如David Weston在峰會(huì)中所指出的，Windows 11改進(jìn)的安全姿態(tài)和安全默認(rèn)設(shè)置，使該平臺(tái)能夠在內(nèi)核模式之外為解決方案提供商提供更多的安全功能，并強(qiáng)調(diào)EDR供應(yīng)商更新時(shí)EDR供應(yīng)商必須采用微軟所謂的“安全部署實(shí)踐（SDP）”。

而SDP的一個(gè)核心原則就是，可逐步和分階段向客戶發(fā)送更新的方式進(jìn)行部署，以及使用“多樣化的端點(diǎn)進(jìn)行有節(jié)制的推出”，在必要時(shí)還可提供暫停或回滾更新的能力。

難怪有安全專家稱，這次安全更新幾乎就是微軟在向外界展示，關(guān)于全球藍(lán)屏事件的態(tài)度與回應(yīng)。

為確保新設(shè)計(jì)的EDR供應(yīng)商訪問(wèn)權(quán)限安全，微軟將遵循最小權(quán)限原則，只授予EDR工具執(zhí)行其功能所必需的最低權(quán)限，以規(guī)避潛在風(fēng)險(xiǎn)。通過(guò)使用隔離和沙箱技術(shù)，則可以確保EDR工具即使出現(xiàn)故障也不會(huì)影響到系統(tǒng)的其他部分。這樣即使EDR供應(yīng)商的軟件出現(xiàn)問(wèn)題，也不會(huì)導(dǎo)致整個(gè)系統(tǒng)崩潰。

此外，微軟可能會(huì)要求EDR供應(yīng)商遵循安全開(kāi)發(fā)生命周期，以及定期對(duì)EDR供應(yīng)商的代碼進(jìn)行審查，確保他們的軟件在設(shè)計(jì)、編碼、測(cè)試和部署過(guò)程中都有體現(xiàn)安全性。通過(guò)集成SIEM系統(tǒng)，也可以監(jiān)控EDR工具的活動(dòng)，及時(shí)發(fā)現(xiàn)異常行為，并采取相應(yīng)的響應(yīng)措施等。

參考來(lái)源：https://www.securityweek.com/post-crowdstrike-fallout-microsoft-redesigning-edr-vendor-access-to-windows-kernel/