Прошёл почти год с тех пор, как обновление CrowdStrike вывело из строя 8,5 млн устройств на базе Windows по всему миру. Компания Microsoft намерена сделать так, чтобы подобная проблема не повторилась. После проведения совещания с исследователями безопасности софтверный гигант планирует выпустить закрытую предварительную версию Windows, в которой выведет антивирусное ПО (AV) и системы обнаружения угроз (EDR) из ядра ОС. Telegram-канал создателя Трешбокса про технологии
Новая платформа безопасности конечных точек Windows создаётся в сотрудничестве с CrowdStrike, Bitdefender, ESET, Trend Micro и многими другими поставщиками антивирусного ПО. Десятки компаний предоставили Microsoft документы, в которых описывалось то, как они видят решение проблемы. Microsoft подчёркивает, что корпорация не указывает партнёрам, как должны работать их API, а прислушивается к их мнению для обеспечения безопасности. Закрытый предварительный просмотр позволит поставщикам антивирусного ПО запрашивать изменения. Будет несколько версий, пока поставщики не подготовятся к переходу.
В течение десятилетий Microsoft создавала ОС Windows таким образом, что это позволяло разработчикам поставлять программное обеспечение безопасности, которое глубоко укоренилось в операционной системе и работало на уровне ядра. То есть имело неограниченный доступ к системной памяти и оборудованию. Серьёзный сбой, вызванный обновлением CrowdStrike в июле 2024 года, показал, насколько легко драйверу уровня ядра вывести систему из строя.
Античит-движки для игр — ещё одна крупная область Windows, которая использует драйверы на уровне ядра. Microsoft общалась с разработчиками игр о том, как сократить объём использования ядра. Однако это более сложный случай, поскольку злоумышленникам часто приходится намеренно вмешиваться в работу системы, чтобы отключить защиту и запустить движок. О готовности следовать изменениям безопасности Windows уже заявила Riot Games.
Microsoft также готовится выпустить этим летом обновление Windows, которое будет включать новую функцию Quick Machine Recovery, предназначенную для быстрого восстановления системы после серьёзного сбоя. Функция позволит устройству войти в режим восстановления, где оно получит доступ к сети и предоставит Microsoft необходимую диагностическую информацию.
Источник: trashbox.ru