Microsoft в рамках инициативы Windows Resiliency Initiative готовится протестировать важные изменения в архитектуре Windows, направленные на предотвращение повторения масштабных сбоев, подобных инциденту с CrowdStrike в 2024 году.
Почти год назад неисправное обновление CrowdStrike привело к сбоям на 8,5 миллионах устройств с Windows по всему миру. Чтобы не допустить подобных ситуаций в будущем, Microsoft разрабатывает новую платформу безопасности для Windows, в рамках которой антивирусные и EDR-программы (Endpoint Detection and Response) будут выведены из ядра операционной системы.
Совместная работа с ведущими вендорами
Над новой архитектурой Microsoft работает совместно с такими компаниями, как CrowdStrike, Bitdefender, ESET, Trend Micro и другими. По словам Дэвида Уэстона, вице-президента по безопасности ОС и корпоративных решений, десятки партнёров представили сотни страниц с предложениями и требованиями к новой платформе.
«Это отрасль конкурентов, но все согласились: нам нужна единая платформа, над которой мы работаем вместе», — отмечает Уэстон.
Microsoft подчёркивает, что не навязывает правила, а предлагает партнёрский подход: вендоры могут участвовать в создании API и стандартов, а не просто следовать готовым решениям.
Опасность драйверов в ядре и новый подход
Традиционно Windows позволяла антивирусам и системам безопасности работать на уровне ядра — самого критичного уровня ОС, обладающего неограниченным доступом к памяти и оборудованию. Однако именно это стало причиной критических сбоев в случае CrowdStrike, когда одно обновление драйвера вызвало массовые «синие экраны смерти» (BSOD).
Теперь лучшие инженеры Microsoft, включая архитекторов ядра, работают над безопасной реализацией новой платформы. В рамках закрытого предварительного просмотра вендоры смогут протестировать подход и внести предложения по его улучшению.
«Наша цель — начать с AV и EDR, но поддержка драйверов ядра полностью не исчезнет сразу. Это будет поэтапный переход», — поясняет Уэстон.
Что с драйверами античитов?
Античит-системы в играх — ещё одна область, активно использующая драйверы ядра. Microsoft уже обсуждает с разработчиками игр пути снижения зависимости от таких решений. Это более сложный случай, ведь нарушители сами пытаются вмешаться в работу системы безопасности для обхода защиты.
«Многие разработчики игр хотят избавиться от необходимости работать с ядром, и мы обсуждаем с ними, как это сделать», — говорит Уэстон.
Riot Games, например, уже выразила готовность следовать новым стандартам Microsoft и отказаться от использования ядра в своей античит-системе.
Дополнительные меры: «Быстрое восстановление системы» и редизайн BSOD
Помимо новой архитектуры безопасности, Microsoft планирует этим летом выпустить обновление Windows с новой функцией «Быстрое восстановление системы» (Quick Machine Recovery). Она предназначена для восстановления устройств, которые не загружаются, автоматически переводя их в среду восстановления (WinRE) с доступом к сети и возможностью диагностики.
«Мы создали то, что сами хотели бы иметь во время инцидента в прошлом году», — отмечает Уэстон.
Кроме того, Microsoft официально меняет цвет своего знаменитого BSOD: теперь экран критической ошибки будет не синим, а чёрным.
Последние статьи #Microsoft
• Обновление Windows Maintenance Tool: Очистка конфиденциальных данных и автоматическая установка Winget
• Windows 11 Build 27898 (Canary): Что нового, готовые ISO-образы
• Как получить бесплатные обновления безопасности Windows 10 до октября 2026 года: два способа
• Windows 11 теперь использует движок JScript9Legacy для повышения безопасности
• Microsoft добавила «Быстрое восстановление системы» в «Параметры» Windows 11. Как протестировать новый режим защиты от критических сбоев
• Microsoft начала внедрение «Чёрного экрана смерти» в Windows 11