Izmjene u arhitekturi Windowsa zbog pouka CrowdStrikea
Microsoft najavljuje značajne promjene u arhitekturi Windowsa koje će omogućiti sigurnosnim aplikacijama rad izvan kernela, što bi trebalo spriječiti buduće sistemske krahove poput onog koji je prouzročio CrowdStrike
Microsoft je najavio značajne promjene u Windowsima kako bi spriječio buduće katastrofe poput one koju je prouzročio CrowdStrike u ljeto 2024. godine. Tada je CrowdStrikeovo ažuriranje milijuna računala i servera srušilo sustave na koje su se oslanjale i tvrtke za zračni promet, plaćanja i hitne službe.
CrowdStrikeova katastrofa bila je moguća dijelom zbog načina na koji antimalware radi u Windowsima. Antivirusi općenito imaju pristup Windows kernelu koji se nalazi između hardvera i većine korisničkih aplikacija. Loše ažuriranje se učitavalo tako rano tijekom podizanja sustava da drugi sustavi nisu mogli provjeriti i oporaviti sustav prije nego se sruši.
Kao dio širokog sigurnosnog blog posta ranije ovog tjedna, Microsoft je najavio promjenu koja bi mogla imati veliki utjecaj: "privatni pregled Windows sigurnosne platforme" koja će "omogućiti tvrtkama da počnu graditi svoja rješenja za rad izvan Windows kernela".
To znači da sigurnosni proizvodi poput antivirusa i sličnih rješenja mogu raditi u korisničkom načinu rada baš kao što to rade aplikacije.
Ovaj pregled bit će isporučen tvrtkama koje sudjeluju u Microsoftovoj Microsoft Virus Initiative (MVI), popisu koji uključuje CrowdStrike, Bitdefender, ESET, SentinelOne, Trellix, Trend Micro i WithSecure.
Microsoftovi pokušaji ograničavanja sigurnosnih tvrtki od pristupa kernelu bili su kontroverzni u prošlosti. Još 2006. godine Microsoft je htio ograničiti sigurnosne tvrtke od zakrpavanja kernela kao što su to mogle činiti u 32-bitnim verzijama Windowsa, no kako je počeo nuditi vlastite antivirusne proizvode u to vrijeme, uključujući prvu verziju Windows Defendera, tvrtke su smatrale da je ograničavanje njihovog pristupa kernelu antikonkurentsko.
No značajnija promjena je funkcija zvana "brzi oporavak stroja" (Qucik Machine Recovery). Ako Windowsi imaju više neočekivanih restarta ili uđu u boot petlju - kao što se dogodilo mnogim sustavima pogođenima CrowdStrike bugom - računalo će pokušati pokrenuti Windows RE, oskudno okruženje koje nudi nekoliko dijagnostičkih opcija.
