Microsoft решила вывести защитное ПО из ядра Windows после инцидента CrowdStrike

Microsoft совместно с крупнейшими производителями антивирусов начала масштабный пересмотр архитектуры безопасности Windows, ключевая цель — вывести антивирусы и системы мониторинга угроз (EDR) из ядра операционной системы. Поводом для изменений стал громкий инцидент почти годичной давности, когда ошибочное обновление ПО CrowdStrike парализовало около 8,5 миллионов компьютеров по всему миру. Сбой произошел именно из-за того, что драйвер CrowdStrike работал на уровне ядра Windows — наиболее привилегированной части ОС, где любая ошибка может обрушить всю систему.

Вендоры, включая CrowdStrike (виновника прошлогоднего инцидента), Bitdefender, ESET и Trend Micro, активно участвуют в разработке новой платформы. Предоставлены десятки технических документов с предложениями. Первыми изменений коснутся именно антивирусы и EDR-системы. Сейчас стартует закрытое тестирование, где вендоры смогут влиять на доработки. Позже изменения могут затронуть и другие драйверы, работающие в ядре, например, античит-системы в играх.

Параллельно Microsoft готовит функцию «Quick Machine Recovery» для летнего обновления Windows. Она поможет быстро «реанимировать» компьютер, который не может загрузиться из-за сбоя, автоматически переключая его в среду восстановления. Также компания намерена отказаться от привычно дизайна уведомления о системной ошибке

Текущая архитектура, позволяющая защитному ПО глубоко интегрироваться в ядро, — давняя проблема Windows. Она даёт мощные возможности для защиты, но делает систему уязвимой к ошибкам в самом защитном ПО. Новый подход должен повысить стабильность системы без ущерба для уровня безопасности. Ожидается, что новая архитектура станет одним из самых значимых изменений в безопасности Windows за последние годы.