微软宣布了对Windows系统进行修改的计划,这将有助于CrowdStrike和其他安全厂商在Windows内核之外运行。本周早些时候,微软在华盛顿雷德蒙德总部举办了一场安全峰会,会上讨论了7月份灾难性的CrowdStrike事件后对Windows系统的改变。
自从CrowdStrike灾难导致850万台Windows pc和服务器瘫痪以来,Windows内核访问一直是热门话题。CrowdStrike的软件运行在Windows的内核层——操作系统的核心部分,可以不受限制地访问系统内存和硬件。这就是为什么一旦受影响的系统启动,错误的更新就会产生蓝屏死机。
在那之后的几个月里,微软一直呼吁对Windows进行改进,以提高其弹性,并暗示将安全供应商移出Windows内核,以防止这种情况再次发生。但微软一直受到来自合作伙伴和监管机构的压力,要求它不要单方面做出改变。
微软表示,它现在已经与CrowdStrike、Broadcom、Sophos和趋势科技等合作伙伴“讨论了创建一个能够满足安全供应商需求的新平台的要求和主要挑战”。
微软企业和操作系统安全副总裁David Weston说:“我们的客户和生态系统合作伙伴都要求微软在内核模式之外提供额外的安全功能,这些功能与安全部署实践一起,可以用来创建高可用性的安全解决方案。”
微软已经讨论了性能需求和安全供应商在内核模式之外操作所面临的挑战,以及安全产品的防篡改保护需求和安全传感器需求。Weston表示:“下一步,微软将在生态系统合作伙伴的投入和协作下,继续设计和开发这一新的平台功能,以实现在不牺牲安全性的情况下提高可靠性的目标。”
虽然微软没有直接说要关闭对Windows内核的访问,但很明显,它正处于设计一个安全平台的早期阶段,最终可以将CrowdStrike和其他公司赶出内核。微软上一次试图关闭对Windows Vista内核的访问是在2006年,但遭到了网络安全供应商和监管机构的反对。
这一次,安全供应商对此更加开放。Sophos首席执行官乔·列维在微软提供的一份声明中表示:“这是一个受欢迎的机会,可以与业内同行一起公开讨论微软Windows和端点安全生态系统的改进,这些改进将通过提高微软Windows和端点安全生态系统的弹性和健壮性来服务我们的客户。”
趋势科技首席运营官凯文?西姆泽表示:“我赞赏微软敞开大门,继续与领先的端点安全领导者合作。就连本次峰会的推动者CrowdStrike也对微软的努力表示赞赏。CrowdStrike负责隐私和网络政策的副总裁Drew Bagley说:“我们很高兴有机会与微软和业内同行一起讨论如何最好地合作建立一个更有弹性和开放的Windows端点安全生态系统,为我们的共同客户加强安全。”
不过,并不是所有参与安全领域的人都对微软的潜在变化感到高兴。Cloudflare首席执行官马修?普林斯(Matthew Prince)上个月在微软Windows安全峰会上表示:“监管机构需要予以关注。”“一个只有微软才能提供有效端点安全的世界,并不是一个更安全的世界。”
普林斯说,他并不担心微软可能会锁定Windows内核,但更担心的是,该公司可能会锁定“其他所有人”,同时仍然提供自己的“特权访问”。微软还邀请了美国和欧洲的政府官员参加其安全峰会,因为它清楚地意识到普林斯提到的问题。
此次峰会召开之际,正值微软内部进行更广泛的网络安全改革之际,此前数年发生了一系列事件和批评。微软现在直接根据员工的安全工作来评判他们,公司将这些努力与员工的绩效考核挂钩。
