有消息稱，微軟正在重新設計EDR與Windows內核的交互方式，以避免再次引發全球藍屏事件。

很明顯，在2024年7月，由CrowdStrike故障引發的全球藍屏事件給微軟留下了極其深刻的記憶，從而促使后者進一步審視EDR在產品在設計和實施上的潛在風險，尤其是與內核交互的風險。

微軟發文稱，將在Windows 11中引入新的平臺功能，并著重強調安全供應商在“內核模式之外”操作，以此避免類似事件的再次發生。因為微軟已經無法再承受一次藍屏事件的打擊，需要確保EDR工具不會因為更新或者其他操作而導致整個系統的崩潰或者不穩定。

安全供應商在不進入內核模式的情況下運行安全產品，也有利于減少惡意軟件利用內核漏洞的風險，提高整體系統的安全性。

雖然目前尚未公布具體細節，但是微軟此次將“安全踢出Windows內核”的決心已經十分明顯。

眾所周知，在經歷了越來越多的安全事件后，微軟已在今年8月份提出“安全高于一切”的價值觀，將安全工作與員工績效評估聯系起來，并把安全作為核心優先事項。微軟副總裁David Weston也表示，這次重新設計將被視為實現長期韌性和安全目標的一部分。

這意味著微軟不僅僅是在解決眼前的問題，而是在為未來的安全挑戰做準備。由此也可以推測，安全產品將再也不會有機會重新進入Windows內核，微軟也將在未來持續發力新的EDR標準和最佳實踐。

正如David Weston在峰會中所指出的，Windows 11改進的安全姿態和安全默認設置，使該平臺能夠在內核模式之外為解決方案提供商提供更多的安全功能，并強調EDR供應商更新時EDR供應商必須采用微軟所謂的“安全部署實踐（SDP）”。

而SDP的一個核心原則就是，可逐步和分階段向客戶發送更新的方式進行部署，以及使用“多樣化的端點進行有節制的推出”，在必要時還可提供暫停或回滾更新的能力。

難怪有安全專家稱，這次安全更新幾乎就是微軟在向外界展示，關于全球藍屏事件的態度與回應。

為確保新設計的EDR供應商訪問權限安全，微軟將遵循最小權限原則，只授予EDR工具執行其功能所必需的最低權限，以規避潛在風險。通過使用隔離和沙箱技術，則可以確保EDR工具即使出現故障也不會影響到系統的其他部分。這樣即使EDR供應商的軟件出現問題，也不會導致整個系統崩潰。

此外，微軟可能會要求EDR供應商遵循安全開發生命周期，以及定期對EDR供應商的代碼進行審查，確保他們的軟件在設計、編碼、測試和部署過程中都有體現安全性。通過集成SIEM系統，也可以監控EDR工具的活動，及時發現異常行為，并采取相應的響應措施等。

參考來源：https://www.securityweek.com/post-crowdstrike-fallout-microsoft-redesigning-edr-vendor-access-to-windows-kernel/