微软重大更新:防病毒软件将移出内核
来源:倍可亲(backchina.com)科技媒体 pureinfotech 昨日(6 月 27 日)发布博文,报道称微软提高系统稳定性并减少崩溃风险,计划从 Windows 内核中,移除防病毒(AV)和终端检测和响应(EDR)工具,从而避免重蹈 2024 年 CrowdStrike 全球大规模蓝屏死机事件覆辙。
IT之家此前报道,在 2024 年 CrowdStrike 全球大规模蓝屏死机事件之后,微软启动了 Windows Resilience Initiative(WRI)长期战略,目标是减少关键系统故障。
而在 Windows 内核中移除 AV 和 EDR 工具,是推进该长期战略的关键一环,即将进入私有预览阶段。
AV 和 EDR 工具目前在内核深处运行,以获取对进程、内存和驱动程序的全访问权限,虽然有效捕捉到高级威胁,但同时也带来了风险,内核中的错误或不良更新可能导致整个系统崩溃。
微软通过移除 AV / EDR 工具隔离在用户模式之外,减少其对关键系统组件的访问权限,这意味着如果防病毒引擎出现故障,它导致计算机崩溃的可能性将大大降低。
对于普通消费者来说,这一转变将基本是无感的。微软 Defender 防病毒(或其他任何第三方防病毒软件)可以继续运行,用户的笔记本电脑、平板电脑或台式电脑将保持保护状态。然而,它们将在后台更安全、受控的环境中工作。
目前,用户还不能卸载微软 Defender。Defender 仍将是操作系统的默认安全组件,特别是对于不安装第三方 AV 软件的用户。
不过,将 Defender 移出内核可能会为后续的模块化打开大门。未来,可能会更容易禁用或替换默认防病毒软件,而不会影响系统完整性。
此外,微软还在开发一项名为“快速机器恢复”的新功能,允许网络管理员更快地恢复无法启动的设备,这是对 CrowdStrike 内核崩溃造成的混乱的直接回应。这一功能也将面向消费者,而不仅仅是组织。
