有消息稱，微軟正在重新設(shè)計EDR與Windows內(nèi)核的交互方式，以避免再次引發(fā)全球藍(lán)屏事件。

很明顯，在2024年7月，由CrowdStrike故障引發(fā)的全球藍(lán)屏事件給微軟留下了極其深刻的記憶，從而促使后者進(jìn)一步審視EDR在產(chǎn)品在設(shè)計和實施上的潛在風(fēng)險，尤其是與內(nèi)核交互的風(fēng)險。

微軟發(fā)文稱，將在Windows 11中引入新的平臺功能，并著重強調(diào)安全供應(yīng)商在“內(nèi)核模式之外”操作，以此避免類似事件的再次發(fā)生。因為微軟已經(jīng)無法再承受一次藍(lán)屏事件的打擊，需要確保EDR工具不會因為更新或者其他操作而導(dǎo)致整個系統(tǒng)的崩潰或者不穩(wěn)定。

安全供應(yīng)商在不進(jìn)入內(nèi)核模式的情況下運行安全產(chǎn)品，也有利于減少惡意軟件利用內(nèi)核漏洞的風(fēng)險，提高整體系統(tǒng)的安全性。

雖然目前尚未公布具體細(xì)節(jié)，但是微軟此次將“安全踢出Windows內(nèi)核”的決心已經(jīng)十分明顯。

眾所周知，在經(jīng)歷了越來越多的安全事件后，微軟已在今年8月份提出“安全高于一切”的價值觀，將安全工作與員工績效評估聯(lián)系起來，并把安全作為核心優(yōu)先事項。微軟副總裁David Weston也表示，這次重新設(shè)計將被視為實現(xiàn)長期韌性和安全目標(biāo)的一部分。

這意味著微軟不僅僅是在解決眼前的問題，而是在為未來的安全挑戰(zhàn)做準(zhǔn)備。由此也可以推測，安全產(chǎn)品將再也不會有機會重新進(jìn)入Windows內(nèi)核，微軟也將在未來持續(xù)發(fā)力新的EDR標(biāo)準(zhǔn)和最佳實踐。

正如David Weston在峰會中所指出的，Windows 11改進(jìn)的安全姿態(tài)和安全默認(rèn)設(shè)置，使該平臺能夠在內(nèi)核模式之外為解決方案提供商提供更多的安全功能，并強調(diào)EDR供應(yīng)商更新時EDR供應(yīng)商必須采用微軟所謂的“安全部署實踐（SDP）”。

而SDP的一個核心原則就是，可逐步和分階段向客戶發(fā)送更新的方式進(jìn)行部署，以及使用“多樣化的端點進(jìn)行有節(jié)制的推出”，在必要時還可提供暫?；蚧貪L更新的能力。

難怪有安全專家稱，這次安全更新幾乎就是微軟在向外界展示，關(guān)于全球藍(lán)屏事件的態(tài)度與回應(yīng)。

為確保新設(shè)計的EDR供應(yīng)商訪問權(quán)限安全，微軟將遵循最小權(quán)限原則，只授予EDR工具執(zhí)行其功能所必需的最低權(quán)限，以規(guī)避潛在風(fēng)險。通過使用隔離和沙箱技術(shù)，則可以確保EDR工具即使出現(xiàn)故障也不會影響到系統(tǒng)的其他部分。這樣即使EDR供應(yīng)商的軟件出現(xiàn)問題，也不會導(dǎo)致整個系統(tǒng)崩潰。

此外，微軟可能會要求EDR供應(yīng)商遵循安全開發(fā)生命周期，以及定期對EDR供應(yīng)商的代碼進(jìn)行審查，確保他們的軟件在設(shè)計、編碼、測試和部署過程中都有體現(xiàn)安全性。通過集成SIEM系統(tǒng)，也可以監(jiān)控EDR工具的活動，及時發(fā)現(xiàn)異常行為，并采取相應(yīng)的響應(yīng)措施等。

參考來源：https://www.securityweek.com/post-crowdstrike-fallout-microsoft-redesigning-edr-vendor-access-to-windows-kernel/