科技媒體 pureinfotech昨日(6月27日)發布博文,報導稱微軟提高系統穩定性並減少崩潰風險,計劃從 Windows內核中,移除防病毒(AV)和終端檢測和響應(EDR)工具,從而避免重蹈2024年 CrowdStrike全球大規模藍白當機畫面事件覆轍。
IT之家此前報導,在2024年 CrowdStrike全球大規模藍白當機畫面事件之後,微軟啟動了 Windows Resilience Initiative(WRI)長期戰略,目標是減少關鍵系統故障。
而在 Windows內核中移除 AV和 EDR工具,是推進該長期戰略的關鍵一環,即將進入私有預覽階段。
AV和 EDR工具目前在內核深處運行,以獲取對進程、記憶體和驅動程式的全訪問權限,雖然有效捕捉到高級威脅,但同時也帶來了風險,內核中的錯誤或不良更新可能導致整個系統崩潰。
微軟通過移除 AV/ EDR工具隔離在用戶模式之外,減少其對關鍵系統組件的訪問權限,這意味著如果防病毒引擎出現故障,它導致計算機崩潰的可能性將大大降低。
對於普通消費者來說,這一轉變將基本是無感的。微軟 Defender防病毒(或其他任何第三方防病毒軟體)可以繼續運行,用戶的筆記型電腦、平板電腦或桌上型電腦將保持保護狀態。然而,它們將在後台更安全、受控的環境中工作。
目前,用戶還不能卸載微軟 Defender。Defender仍將是作業系統的默認安全組件,特別是對於不安裝第三方 AV軟體的用戶。
不過,將 Defender移出內核可能會為後續的模塊化打開大門。未來,可能會更容易禁用或替換默認防病毒軟體,而不會影響系統完整性。
此外,微軟還在開發一項名為「快速機器恢復」的新功能,允許網絡管理員更快地恢復無法啟動的設備,這是對 CrowdStrike內核崩潰造成的混亂的直接回應。這一功能也將面向消費者,而不僅僅是組織。