Microsoft в рамках инициативы Windows Resiliency Initiative готовится протестировать важные изменения в архитектуре Windows, направленные на предотвращение повторения масштабных сбоев, подобных инциденту с CrowdStrike в 2024 году.
Почти год назад неисправное обновление CrowdStrike привело к сбоям на 8,5 миллионах устройств с Windows по всему миру. Чтобы не допустить подобных ситуаций в будущем, Microsoft разрабатывает новую платформу безопасности для Windows, в рамках которой антивирусные и EDR-программы (Endpoint Detection and Response) будут выведены из ядра операционной системы.
Совместная работа с ведущими вендорами
Над новой архитектурой Microsoft работает совместно с такими компаниями, как CrowdStrike, Bitdefender, ESET, Trend Micro и другими. По словам Дэвида Уэстона, вице-президента по безопасности ОС и корпоративных решений, десятки партнёров представили сотни страниц с предложениями и требованиями к новой платформе.
«Это отрасль конкурентов, но все согласились: нам нужна единая платформа, над которой мы работаем вместе», — отмечает Уэстон.
Microsoft подчёркивает, что не навязывает правила, а предлагает партнёрский подход: вендоры могут участвовать в создании API и стандартов, а не просто следовать готовым решениям.
Опасность драйверов в ядре и новый подход
Традиционно Windows позволяла антивирусам и системам безопасности работать на уровне ядра — самого критичного уровня ОС, обладающего неограниченным доступом к памяти и оборудованию. Однако именно это стало причиной критических сбоев в случае CrowdStrike, когда одно обновление драйвера вызвало массовые «синие экраны смерти» (BSOD).
Теперь лучшие инженеры Microsoft, включая архитекторов ядра, работают над безопасной реализацией новой платформы. В рамках закрытого предварительного просмотра вендоры смогут протестировать подход и внести предложения по его улучшению.
«Наша цель — начать с AV и EDR, но поддержка драйверов ядра полностью не исчезнет сразу. Это будет поэтапный переход», — поясняет Уэстон.
Что с драйверами античитов?
Античит-системы в играх — ещё одна область, активно использующая драйверы ядра. Microsoft уже обсуждает с разработчиками игр пути снижения зависимости от таких решений. Это более сложный случай, ведь нарушители сами пытаются вмешаться в работу системы безопасности для обхода защиты.
«Многие разработчики игр хотят избавиться от необходимости работать с ядром, и мы обсуждаем с ними, как это сделать», — говорит Уэстон.
Riot Games, например, уже выразила готовность следовать новым стандартам Microsoft и отказаться от использования ядра в своей античит-системе.
Дополнительные меры: «Быстрое восстановление системы» и редизайн BSOD
Помимо новой архитектуры безопасности, Microsoft планирует этим летом выпустить обновление Windows с новой функцией «Быстрое восстановление системы» (Quick Machine Recovery). Она предназначена для восстановления устройств, которые не загружаются, автоматически переводя их в среду восстановления (WinRE) с доступом к сети и возможностью диагностики.
«Мы создали то, что сами хотели бы иметь во время инцидента в прошлом году», — отмечает Уэстон.
Кроме того, Microsoft официально меняет цвет своего знаменитого BSOD: теперь экран критической ошибки будет не синим, а чёрным.
Последние статьи #Microsoft
• Обновление KB5060829 (Build 26100.4484) Preview для Windows 11, версия 24H2
• Обновление KB5060826 (Build 22631.5549) Preview для Windows 11, версия 23H2
• Microsoft добавила «Быстрое восстановление системы» в «Параметры» Windows 11. Как протестировать новый режим защиты от критических сбоев
• Windows 11 получает «Черный экран смерти» (BSOD) и новые инструменты для восстановления после сбоев
• Microsoft меняет архитектуру Windows: антивирусы больше не будут работать в ядре системы
• Базовая линия безопасности Windows Server 2025 будет обновляться чаще и станет проще в настройке