图片来源/CC BY-SA 2.0,
为防去年CrowdStrike事故造成数百万台Windows装置停摆事件重演,微软最新合作伙伴计划显示,可能不再让第三方防毒软体存取Windows核心。 微软是宣布Microsoft Virus Initiative(MVI)3.0计划勾勒出最新规画。MVI是在去年七月CrowdStrike更新出包,引发超过850万台Windows PC或伺服器当机而生。CrowdStrike事件后,微软于同年九月召集防毒及端点安全方案业者,发起了MVI以提升Windows韧性,并厘清彼此责任。 目前MVI已进入3.0。最新一代要求合作伙伴「采取特定行动」以改善Windows安全及稳定性。现有成果包括要求防毒软体更新必须渐进式,并监控可能的不良影响、测试事件回应流程,Windows端点更新的安全部署实践(safe deployment practices,SDP)等。 微软预告,下个月将发布Windows端点安全平台的不公开预览版给部份MVI厂商。新Windows功能将允许他们开始「打造在Windows核心外执行的方案」。这意谓安全产品如防毒和端点安全解决方案可和一般App一样,执行在使用者模式(user mode)中。微软说最新变更可帮助安全厂商提稳定性及回复更简单,以便在发生不预期问题时,「减少对Windows装置的影响」。微软说在预览测试中,将和合作伙伴进行协调。 参加MVI计划的资安业者包括Bitdefender、CrowdStrike、ESET、SentinelOne、Sophos、Trellix、趋势科技、WithSecure、 CrowdStrike事件影响超过850万台Windows机器,客户不乏机场、航空公司或金融、医疗、911紧急电话系统。究其原因出在其软体能存取Windows核心,进而触发了Windows错误。 媒体分析,事件责任不在微软身上,但引发的结果促使微软下决心解决,以免历史重演。Cybernews观察此事,将此新方案定义为微软将第三方安全软体踢出Windows核心。 Ars Technica则认为,虽然新功能看似提供第三方安全业者选择,使其可以不在Windows核心执行,但是否为微软将第三方安全软体赶出Windows核心的第一步,还是真的是供第三方软体开发商一个弹性选项,还有待观察。