Windows Resiliency Initiative: новая инициатива Microsoft направлена на предотвращение инцидентов, подобных сбою CrowdStrike
Глобальный сбой, связанный с CrowdStrike, который привел к выходу из строя 8,5 миллионов ПК и серверов на базе Windows в июле, заставил многих крупнейших клиентов Microsoft требовать решений, которые предотвратят подобные события в будущем. Теперь Microsoft предлагает такие решения в рамках нового проекта Windows Resiliency Initiative, разработанного для повышения безопасности и устойчивости Windows.
Инициатива включает основные изменения в Windows, которые упрощают восстановление устройств на базе Windows, а также новые улучшения платформы, обеспечивающие более строгий контроль над запуском приложений и драйверов, и возможность переноса антивирусной обработки за пределы режима ядра.
Одним из нововведений стала функция «Быстрое восстановление машины», (Quick Machine Recovery), созданная с учетом инцидента CrowdStrike. Она позволяет администраторам IT удаленно применять исправления, даже если устройства не могут корректно загружаться. Это достигается за счет улучшений среды восстановления Windows (Windows Recovery Environment, Windows RE).
Дэвид Вестон (David Weston), вице-президент по безопасности корпоративных решений и ОС в Microsoft, заявил:
Если что-то подобное случится снова (надеюсь, что этого никогда не произойдет), мы сможем отправить обновление через службу обновления Windows в Recovery Environment, чтобы, например, удалить определенный файл у всех пользователей.
После инцидента Вестон провел переговоры со многими клиентами, которые потребовали более совершенных инструментов восстановления, улучшенных практик развертывания обновлений от поставщиков безопасности и повышения общей устойчивости Windows, чтобы инциденты, подобные сбою CrowdStrike больше не повторялись..
Microsoft также требует от своих партнеров по инициативе Microsoft Virus Initiative (MVI) соблюдения новых стандартов. Они включают более тщательное тестирование, безопасные методы развертывания обновлений и улучшенные процессы мониторинга и восстановления.
Microsoft совместно с партнерами по MVI разрабатывает новый фреймворк, позволяющий антивирусам функционировать вне ядра Windows. Проблемы CrowdStrike были связаны с глубокой интеграцией в ядро системы, что привело к массовым сбоям BSOD после установки ошибочного обновления.
Уэстон добавил:
Мы создаем фреймворк, которым будут пользоваться поставщики безопасности, но он должен быть достаточно хорош, чтобы удовлетворять их потребности.
Это серьезная техническая задача — централизовать это и удовлетворить все требования, но у нас есть действительно опытные люди в области обнаружения конечных точек и пространства ядра
Превью нового фреймворка будет доступно в июле 2025 года.
На саммите Microsoft Windows Endpoint Security Ecosystem в сентябре компания пригласила архитекторов ядра из команды Windows, чтобы напрямую поговорить с поставщиками безопасности, такими как CrowdStrike, о перемещении сканирования за пределы ядра.
В конечном счете, Microsoft должна еще больше защитить Windows и предоставить фреймворк, который также хорошо подходит для поставщиков безопасности.
Уэстон пояснил:
Мы как бы контролируем физику здесь. Мы можем изменить диспетчер памяти или фреймворк драйвера, и нам не нужно соблюдать правила, которые должен соблюдать сторонний разработчик. Вот почему я настроен оптимистично относительно наших возможностей в данной рабочей области.
Наряду с улучшениями отказоустойчивости Windows 11 также скоро получит защиту администратора. Это новая функция, которая позволяет получить безопасность уровня обычного пользователя, но с возможностью вносить системные изменения и даже устанавливать приложения при необходимости. Защита администратора временно предоставляет права администратора для определенной задачи после того, как пользователь прошел аутентификацию с помощью Windows Hello, а затем удаляет их сразу после внесения системных изменений или установки приложения.
Уэстон объяснил:
Windows создает временный изолированный токен администратора для выполнения работы. Этот временный токен немедленно уничтожается после завершения задачи, гарантируя, что привилегии администратора не сохранятся.
При разработке новых систем Microsoft применяет язык программирования Rust, который считается безопасным для памяти. Переход с реализации C++ на Rust позволит еще больше повысить безопасность ОС.
Последние статьи #Microsoft
• Обновление KB5046733 (Build 22635.4580) для Windows 11, версия 23H2 (Beta)
• Обновление KB5048780 (Build 26120.2510) для Windows 11, версия 24H2 (Dev): Функции Recall доступны для Copilot+ ПК на базе Intel и AMD
• Новая уязвимость нулевого дня в Windows, включая Windows 11 24H2, раскрывает учетные данные NTLM. Доступен неофициальный патч от 0patch
• «Вторник Патчей», 10 декабря 2024: Eжемесячные обновления безопасности для Windows 11 и Windows 10
• Microsoft выпускает предварительную версию Copilot Vision
• Microsoft подробнее рассказала про функцию «Устранение неполадок с помощью Центра обновления Windows» для Windows 11