在近日公布的新聞中，我們了解到自上周起，CrowdStrike公司與微軟聯(lián)手，竭盡全力幫助那些受到嚴(yán)重Windows藍(lán)屏死機(jī)問題影響的用戶們。這一問題的起源實(shí)際上源自Croud Strike的一次誤判性的更新。除了解決方案的制定和實(shí)施，Croud Strike公司也首次發(fā)布了針對此次停機(jī)事故的初步調(diào)查結(jié)果。事故報(bào)告明確指出，藍(lán)屏死機(jī)的根本原因在于內(nèi)存安全問題，具體表現(xiàn)為Croud Strike的CSagent驅(qū)動程序出現(xiàn)了越界讀取訪問沖突。

值得一提的是，就在昨日，微軟發(fā)布了一份詳盡的技術(shù)分析報(bào)告，深入剖析了此次停機(jī)事故背后的罪魁禍?zhǔn)住狢rowdStrike的驅(qū)動程序。微軟的分析結(jié)果與Croud Strike的發(fā)現(xiàn)不謀而合，確認(rèn)了崩潰現(xiàn)象確實(shí)是由Crowd Strike的CSagent.sys驅(qū)動程序中的越界內(nèi)存安全錯(cuò)誤所引發(fā)。csagent.sys模塊作為一種文件系統(tǒng)過濾器驅(qū)動程序，被安裝在Windows電腦上，用于接收有關(guān)文件操作（包括創(chuàng)建或修改文件）的實(shí)時(shí)通知，這使得包括Crowd Strike在內(nèi)的眾多安全產(chǎn)品得以對保存在磁盤上的所有新文件進(jìn)行全面掃描。

在此次事件發(fā)生之際，微軟因允許第三方軟件開發(fā)商進(jìn)行內(nèi)核級訪問而遭受了廣泛的質(zhì)疑。在官方博客文章中，微軟對此做出了解釋，闡述了為何要為安全產(chǎn)品提供內(nèi)核級訪問的理由：

首先，內(nèi)核驅(qū)動程序能夠?qū)崿F(xiàn)系統(tǒng)范圍內(nèi)的可見性，并且能夠在啟動過程的早期階段加載，以便及時(shí)檢測出諸如啟動套件和根套件等潛在威脅，這些威脅可能會在用戶模式應(yīng)用程序加載之前就已經(jīng)存在。

其次，微軟提供了諸如系統(tǒng)事件回調(diào)、文件過濾器驅(qū)動程序等多種實(shí)用功能。

最后，內(nèi)核驅(qū)動程序在處理高吞吐量網(wǎng)絡(luò)活動等特殊場景時(shí)，能夠提供更為出色的性能表現(xiàn)。

為了確保安全解決方案的軟件不會被惡意軟件、定向攻擊或者惡意內(nèi)部人員禁用，即便這些攻擊者擁有管理員權(quán)限，Windows系統(tǒng)在啟動初期便會提供早期啟動反惡意軟件（ELAM）功能。

然而，內(nèi)核驅(qū)動程序的使用也需要謹(jǐn)慎權(quán)衡，因?yàn)樗鼈冊赪indows系統(tǒng)最為信賴的級別上運(yùn)行，無疑增加了潛在風(fēng)險(xiǎn)。微軟始終致力于將復(fù)雜的Windows核心服務(wù)從內(nèi)核模式逐步遷移至用戶模式，比如字體文件解析等功能。微軟建議安全解決方案提供商在保證可見性和防篡改需求的同時(shí)，也要妥善應(yīng)對內(nèi)核模式操作帶來的風(fēng)險(xiǎn)。例如，他們可以選擇僅在內(nèi)核模式下運(yùn)行最小限度的傳感器來進(jìn)行數(shù)據(jù)采集和執(zhí)行，以此降低對可用性問題的影響。至于其他功能，如管理更新、解析內(nèi)容以及其他操作，則可以在用戶模式下進(jìn)行隔離處理。

在官方博客文章中，微軟還詳細(xì)介紹了Windows操作系統(tǒng)內(nèi)置的安全功能。這些安全功能為用戶提供了多重防護(hù)，有效抵御各類惡意軟件及攻擊行為。微軟將借助微軟病毒計(jì)劃（MVI）與全球反惡意軟件生態(tài)系統(tǒng)展開緊密合作，充分發(fā)揮Windows內(nèi)置安全功能的優(yōu)勢，進(jìn)一步提升系統(tǒng)的安全性和穩(wěn)定性。

微軟目前正在積極推進(jìn)以下幾項(xiàng)工作：

1. 提供安全部署指南、最佳實(shí)踐以及相關(guān)技術(shù)支持，以確保安全產(chǎn)品更新過程更加安全可靠。

2. 努力減少內(nèi)核驅(qū)動程序訪問關(guān)鍵安全數(shù)據(jù)的必要性。

3. 通過近期推出的VBS孤島等先進(jìn)技術(shù)手段，提供更為強(qiáng)大的隔離和防篡改功能。

4. 引入零信任策略，如采用高完整性認(rèn)證方式，依據(jù)Windows原生安全功能的健康狀況來評估計(jì)算機(jī)的安全等級。

截至今年7月25日，受此次問題影響的Windows電腦已有超過97%成功恢復(fù)在線狀態(tài)。如今，微軟正全力以赴預(yù)防類似問題再次發(fā)生。微軟Windows程序管理副總裁John Cable近期發(fā)表了一篇關(guān)于Crowd Strike問題的博客文章，他在文中強(qiáng)調(diào)，Windows系統(tǒng)必須優(yōu)先考慮端到端彈性的變革和創(chuàng)新，這也是廣大客戶對微軟的殷切期待。