上周末发生的大规模 IT 中断对于CrowdStrike来说并不是一件坏事,但对微软来说也是如此。 Windows 服务和交付程序管理副总裁John Cable 在一篇博客文章中表示,为了避免未来发生大规模问题,微软正在评估阻止第三方安全软件访问 Windows 内核。
如果这一变化得以实施,该限制将模仿苹果 2020 年的举措,限制第三方软件访问其核心操作系统。这一变化是在 macOS Big Sur 中引入的,确保包含核心操作系统的每个系统分区(或卷)都经过加密验证,直至每个文件。当然,目标是防止第三方实体进行可能导致整个系统崩溃的更改。听起来有点熟?
当然,这种改变说起来容易做起来难。微软在 2006 年的 Windows Vista 中就试图做到这一点,阻止第三方访问内核。然而,由于欧盟监管机构的抵制以及(你猜对了)网络安全供应商的投诉,该计划失败了。
John Cable 在博客文章中表示,“创新示例包括最近发布的VBS enclaves ,它提供了一个独立的计算环境,不需要内核模式驱动程序防篡改,以及 Microsoft Azure 证明服务,它可以帮助确定启动路径安全态势。”他接着表示,他们将继续开发这些功能并增强 Windows 生态系统的弹性。
理论上,通过阻止安全软件访问内核,Windows 将永远不会再经历最近经历的全球范围内的中断,并导致850 万台 PC由于 CrowdStrike 错误而崩溃。当然,缺点是阻止内核访问也意味着安全软件将无法监控任何潜在威胁。毕竟,朝这个方向发展并不意味着其他类型的攻击是不可能的。
让我们明确一点:微软并未确认这就是它从现在开始将采取的路径。但这篇博文确实提出了这个想法,这很重要。既然我们已经看到了事态的严重性,那么现在我们可能比以往任何时候都更有动力考虑锁定 Windows。