【環球網科技綜合報道】7月29日消息,在過去十天裏,CrowdStrike和微軟一直在全力協助那些受到大規模Windows藍屏死機問題影響的用戶。該問題由CrowdStrike的一個錯誤更新引起。除了提供解決方法外,CrowdStrike已經發布了關於此次宕機的初步事故後審查報告。
根據報告顯示,藍屏死機是由內存安全問題引起的,具體是CrowdStrike的CSagent驅動程序發生了越界讀取訪問衝突。csagent.sys模塊在Windows電腦上註冊爲文件系統過濾器驅動程序,以接收有關文件操作(包括創建或修改文件)的通知,這允許包括CrowdStrike在內的安全產品掃描保存到磁盤的任何新文件。
微軟昨天發佈了對CrowdStrike驅動程序導致的此次宕機的詳細技術分析,證實了CrowdStrike的發現。事件發生時,微軟因允許第三方軟件開發商進行內核級訪問受到了大量批評。對此,微軟在博客文章中解釋了爲何爲安全產品提供內核級訪問:內核驅動程序允許系統範圍內的可見性,並能夠在啓動過程早期加載,以檢測啓動套件和根套件等威脅;同時,它還可以爲高吞吐量網絡活動等情況提供更好的性能;而且,安全解決方案希望確保其軟件無法被惡意軟件、定向攻擊或惡意內部人員禁用,即使這些攻擊者具有管理員權限。
然而,內核驅動程序也需要在安全性和風險之間進行權衡,因爲它們在Windows最可信的級別運行。微軟還致力於將複雜的Windows核心服務從內核模式遷移到用戶模式,以降低風險。同時,微軟建議安全解決方案提供商在可視性和防篡改需求與內核模式操作風險之間取得平衡。
在起所發佈的博客文章中,微軟還解釋了Windows操作系統的內置安全功能,這些功能提供了多層保護,防止惡意軟件和攻擊企圖。微軟計劃通過微軟病毒計劃(MVI)與反惡意軟件生態系統合作,進一步提高安全性和可靠性。
微軟目前規劃了以下安全措施:提供安全部署指南、最佳實踐和技術,使安全產品更新更安全;減少內核驅動程序訪問重要安全數據的需要;通過最近宣佈的VBS孤島等技術提供增強的隔離和防篡改功能;啓用零信任方法,如高完整性認證,該方法可根據Windows原生安全功能的健康狀況確定機器的安全狀態。
截至7月25日,受此問題影響的Windows電腦已超過97%恢復在線。微軟現在正着眼於防止未來出現此類問題,並致力於實現端到端的彈性和創新,以滿足客戶的期望。