Microsoft представила решения для предотвращения масштабных сбоев: «Быстрое восстановление машины» и перенос антивирусов из ядра Windows

2024-11-19 2417 комментарии
Microsoft запустила Windows Resiliency Initiative, чтобы усилить устойчивость Windows к сбоям. Среди новшеств — функция «Быстрое восстановление машины» (Quick Machine Recovery) для удалённого восстановления и перемещение антивирусных сканеров за пределы ядра системы

Windows Resiliency Initiative: новая инициатива Microsoft направлена на предотвращение инцидентов, подобных сбою CrowdStrike

Microsoft разрабатывает новый фреймворк для вывода антивирусных сканеров из ядра Windows.

Глобальный сбой, связанный с CrowdStrike, который привел к выходу из строя 8,5 миллионов ПК и серверов на базе Windows в июле, заставил многих крупнейших клиентов Microsoft требовать решений, которые предотвратят подобные события в будущем. Теперь Microsoft предлагает такие решения в рамках нового проекта Windows Resiliency Initiative, разработанного для повышения безопасности и устойчивости Windows.

Инициатива включает основные изменения в Windows, которые упрощают восстановление устройств на базе Windows, а также новые улучшения платформы, обеспечивающие более строгий контроль над запуском приложений и драйверов, и возможность переноса антивирусной обработки за пределы режима ядра.

Одним из нововведений стала функция «Быстрое восстановление машины», (Quick Machine Recovery), созданная с учетом инцидента CrowdStrike. Она позволяет администраторам IT удаленно применять исправления, даже если устройства не могут корректно загружаться. Это достигается за счет улучшений среды восстановления Windows (Windows Recovery Environment, Windows RE).

Дэвид Вестон (David Weston), вице-президент по безопасности корпоративных решений и ОС в Microsoft, заявил:

Если что-то подобное случится снова (надеюсь, что этого никогда не произойдет), мы сможем отправить обновление через службу обновления Windows в Recovery Environment, чтобы, например, удалить определенный файл у всех пользователей.

После инцидента Вестон провел переговоры со многими клиентами, которые потребовали более совершенных инструментов восстановления, улучшенных практик развертывания обновлений от поставщиков безопасности и повышения общей устойчивости Windows, чтобы инциденты, подобные сбою CrowdStrike больше не повторялись..

Microsoft также требует от своих партнеров по инициативе Microsoft Virus Initiative (MVI) соблюдения новых стандартов. Они включают более тщательное тестирование, безопасные методы развертывания обновлений и улучшенные процессы мониторинга и восстановления.

Microsoft совместно с партнерами по MVI разрабатывает новый фреймворк, позволяющий антивирусам функционировать вне ядра Windows. Проблемы CrowdStrike были связаны с глубокой интеграцией в ядро системы, что привело к массовым сбоям BSOD после установки ошибочного обновления.

Уэстон добавил:

Мы создаем фреймворк, которым будут пользоваться поставщики безопасности, но он должен быть достаточно хорош, чтобы удовлетворять их потребности.

Это серьезная техническая задача — централизовать это и удовлетворить все требования, но у нас есть действительно опытные люди в области обнаружения конечных точек и пространства ядра

Превью нового фреймворка будет доступно в июле 2025 года.

На саммите Microsoft Windows Endpoint Security Ecosystem в сентябре компания пригласила архитекторов ядра из команды Windows, чтобы напрямую поговорить с поставщиками безопасности, такими как CrowdStrike, о перемещении сканирования за пределы ядра.

В конечном счете, Microsoft должна еще больше защитить Windows и предоставить фреймворк, который также хорошо подходит для поставщиков безопасности.

Уэстон пояснил:

Мы как бы контролируем физику здесь. Мы можем изменить диспетчер памяти или фреймворк драйвера, и нам не нужно соблюдать правила, которые должен соблюдать сторонний разработчик. Вот почему я настроен оптимистично относительно наших возможностей в данной рабочей области.

Наряду с улучшениями отказоустойчивости Windows 11 также скоро получит защиту администратора. Это новая функция, которая позволяет получить безопасность уровня  обычного пользователя, но с возможностью вносить системные изменения и даже устанавливать приложения при необходимости. Защита администратора временно предоставляет права администратора для определенной задачи после того, как пользователь прошел аутентификацию с помощью Windows Hello, а затем удаляет их сразу после внесения системных изменений или установки приложения.

Уэстон объяснил:

Windows создает временный изолированный токен администратора для выполнения работы. Этот временный токен немедленно уничтожается после завершения задачи, гарантируя, что привилегии администратора не сохранятся.

При разработке новых систем Microsoft применяет язык программирования Rust, который считается безопасным для памяти. Переход с реализации C++ на Rust позволит еще больше повысить безопасность ОС.

© . По материалам The Verge
Комментарии и отзывы

Нашли ошибку?

Новое на сайте