微软更改Windows以防止下一次类似CrowdStrike的灾难

安全软件供应商担心这可能会使微软的安全软件占据优势。

Andrew Cunningham – 2025年6月27日 下午12:55 | 58

图片来源： Aurich Lawson / Ars Technica

图片来源： Aurich Lawson / Ars Technica

2024年夏天，企业反恶意软件提供商CrowdStrike向数百万运行微软Windows软件不同版本的电脑和服务器推送了一个损坏的更新，导致依赖于该系统的公司和消费者在航空旅行、支付、应急服务和早晨咖啡等方面出现系统崩溃。这是一次巨大的停机事故，导致全球IT人员数天甚至数周的困扰，他们不得不重新上线系统，有些情况下甚至逐个检查受影响的电脑以移除不良更新并恢复系统运行。

此次停机事故最终归咎于CrowdStrike，事故发生后，该公司承诺了一系列流程改进以防止类似问题再次发生。但由于事故影响了Windows系统，微软经常与CrowdStrike共同出现在主流新闻报道中——这是该公司一系列与安全相关的尴尬事件之一，促使首席执行官萨提亚·纳德拉和其他高管承诺公司将重新聚焦于改进其产品的安全性。

CrowdStrike崩溃部分原因在于Windows中反恶意软件软件的工作方式。安全供应商及其安全产品通常可以访问Windows内核，这是操作系统的核心，位于硬件和大多数用户应用程序之间。但大多数用户应用程序并不具备内核访问权限，主要是因为一个存在漏洞的应用程序（或被恶意软件劫持的应用程序）如果拥有内核访问权限，可能会导致整个系统崩溃，而不仅仅是影响该应用程序。此次不良的CrowdStrike更新之所以如此糟糕，主要是因为它在Windows启动过程的早期加载，许多系统在崩溃前无法检查并下载CrowdStrike的修复程序。

本周早些时候，微软在其一篇广泛的安全博客文章中宣布了一项看似微小但可能产生重大影响的变更：“Windows终端安全平台的私有预览版”，该平台“将允许终端安全供应商开始构建其解决方案以在Windows内核之外运行”。

微软企业及操作系统安全副总裁大卫·韦斯顿写道：“这意味着像反病毒和终端保护解决方案这样的安全产品可以像应用程序一样在用户模式下运行。”他补充说：“这一变更将帮助安全开发者提供高水平的可靠性与更简单的恢复，从而在发生意外问题时减少对Windows设备的影响。”

该预览版将提供给参与微软病毒倡议（MVI）的公司，该名单包括CrowdStrike、Bitdefender、ESET、SentinelOne、Trellix、Trend Micro和WithSecure。这些公司都在微软的博客文章中被引用，他们都以某种方式表达了（概括而言）“安全很重要，我们很高兴与微软合作以使其更好”的观点。

微软的表述表明安全供应商可以开发在用户模式下运行的安全应用程序，但并未明确表示他们必须这样做。尚不清楚此次公告是向完全将第三方安全公司逐出Windows内核迈出的第一步，还是仅仅为那些软件不需要该级别访问权限的公司提供了一种新的、更可靠的选项。

一个带有包袱的想法

微软试图限制第三方安全公司访问Windows内核的尝试在过去曾引发争议。早在2006年，当微软同时开发Windows Vista并构建今天64位版本Windows的基础时，微软希望限制安全公司像在32位版本Windows中那样修补内核，坚持要求他们使用更受限制的安全API。

但当时微软也开始推出自己的反病毒产品，包括Windows Defender的第一个版本。像赛门铁克这样的公司则认为限制其对内核的访问是反竞争的，并且会赋予微软自己的安全产品第三方无法提供的功能。

与第三方公司合作以定义这些标准并解决他们的担忧似乎是微软此次避免类似争议的方式。

韦斯顿写道：“我们将在私有预览期间继续与MVI合作伙伴深入合作。”

死亡降临于蓝屏

微软正在更改“BSoD”中的“b”，但这不如底层的变更有趣。图片来源：微软

微软的帖子还概述了其他几个与安全相关的Windows调整，包括一些通过不同途径防止类似CrowdStrike的停机事故的措施。

多个变更将针对“意外重启屏幕”，这是许多Windows用户俗称的“蓝屏死机”的非贬义官方名称。首先，屏幕将从蓝色变为黑色，这是微软在Windows 11早期尝试过但随后撤回的变更。

意外重启屏幕已被“简化”，以“提高可读性并更好地符合Windows 11设计原则，同时保留屏幕上的技术信息以备需要时使用”。

但更有意义的变更在于底层，以“快速机器恢复”（QMR）新功能的形式出现。

如果Windows电脑出现多次意外重启或陷入启动循环——如受CrowdStrike漏洞影响的许多系统所经历的那样——电脑将尝试启动到Windows恢复环境（Windows RE），这是一个精简的恢复环境，提供少量诊断选项，可用于进入安全模式或打开电脑的UEFI固件。QMR将允许微软“通过Windows RE向受影响设备广泛部署针对性修复措施”，使某些问题即使无法启动到标准Windows也能得到解决，“快速将用户带入工作状态，而无需IT人员进行复杂的手动干预”。

QMR将在Windows 11家庭版中默认启用，而专业版和企业版将由IT管理员配置。QMR功能和黑色版本的“蓝屏死机”都将添加到今年夏天晚些时候发布的Windows 11 24H2中。微软计划在“今年晚些时候”添加更多QMR的自定义选项。