تقوم Microsoft بتحريك مقدمي خدمات مكافحة الفيروسات من نواة Windows

0 2 دقائق

لقد مر ما يقرب من عام منذ انخفاض تحديث CrowdStrike المعيب 8.5 مليون آلات قائمة على Windows حول العالم ، وتريد Microsoft التأكد من أن هذه المشكلة لا تحدث مرة أخرى. بعد الاحتفاظ بقمة مع بائعي الأمن العام الماضي ، تستعد Microsoft لإصدار معاينة خاصة لتغييرات Windows التي ستحرك تطبيقات مكافحة الفيروسات (AV) واكتشاف نقطة النهاية والاستجابة (EDR) من Kernel Windows.

تم تصميم منصة أمان Windows Endpoint الجديدة بالتعاون مع CrowdStrike و Bitdefender و ESET و Trend Micro والعديد من بائعي الأمن الآخرين. يوضح ديفيد ويستون ، نائب رئيس شركة Enterprise و OS Security في Microsoft ، في مقابلة مع Microsoft ، “لقد كان لدينا عشرات الشركاء أوراق العرض لنا ، بعضها مئات الصفحات طويلة ، حول كيفية تصميمها وما هي المتطلبات”. حرية. “لقد كنت سعيدًا حقًا بهذا. إنها صناعة من المنافسين ، لكن الجميع صعد وقال إن علينا أن نبني منصة نعمل عليها جميعًا.”

تحرص Microsoft على التأكيد على أنها لا تحدد القواعد وتتوقع من الجميع متابعتها على الفور ، ولكن بدلاً من ذلك بناء القواعد معًا. يقول ويستون: “لسنا هنا لنخبرهم كيف يجب أن تعمل واجهة برمجة التطبيقات ، نحن هنا للاستماع وتوفير الأمن والموثوقية”. “أعتقد أنه إذا خرجنا أن بعض منافسينا وقالوا:” هنا ، خذها أو تركها ، “سيكون هذا تحديًا”.

على مدى عقود ، قامت Microsoft ببناء Windows بطريقة سمحت للمطورين بتسليم برامج أمان متجذرة بعمق في Windows ، وتشغيلها على مستوى Kernel من Windows – الجزء الأساسي من نظام التشغيل الذي لديه وصول غير مقيد إلى ذاكرة النظام والأجهزة. أبرز تحديث CrowdStrike المعيب العام الماضي مدى سهولة سائقه على مستوى kernel أن يخطئ وإنزال آلة ، مما أدى إلى شاشة زرقاء من الموت (BSOD).

لدى Microsoft الآن بعض من مهندسي Windows الأكثر دراية يعملون على هذه التغييرات في الأمان. يقول ويستون: “لقد كان لدينا مطورون رئيسيون في هذا الأمر ، بعض المهندسين المعماريين في النوافذ والأشخاص الذين لا يعملون تقليديًا في الأمن”. “إنها حقًا أكبر أدمغة النوافذ الأساسية التي تشارك وتتعاون مع Crowdstrike و ESET وجميع هؤلاء الأشخاص.”

ستمنح المعاينة الخاصة بائعي الأمن فرصة لطلب التغييرات. يقول ويستون إنه يتوقع بعض التكرارات حتى يصبح جاهزًا للبائعين إجراء التبديل. كما أنها لن تحل كل مثال سائق على مستوى Kernel على الفور. “هدفنا هو أن نبدأ بـ AV و EDR ، ولكن من المحتمل أن يكون هناك برامج تشغيل kernel لفترة ما مع الانتقال إلى المجموعة التالية من حالات الاستخدام.”

منطقة كبيرة أخرى من النوافذ التي تستخدم برامج تشغيل على مستوى النواة هي محركات مضادة للألعاب. تحدثت Microsoft مع مطوري الألعاب حول كيفية تقليل مقدار استخدام kernel ، لكنها حالة استخدام أكثر تعقيدًا حيث يتعين على الغشاشين في كثير من الأحيان العبث بآلةهم لتعطيل الحماية وتشغيل محركات الغش.

”الكثير من [game developers] يقول ويستون: “إن لا تضطر إلى الحفاظ على أشياء kernel ، وهم مهتمين جدًا بكيفية قيامهم بذلك. لقد تحدثنا عن المتطلبات هناك ، وأعتقد أنه سيكون لدينا المزيد لنقوله في المستقبل القريب”. أخبرتني ألعاب مكافحة الشغب العام الماضي أنها على استعداد لمتابعة تغييرات أمن Windows المحتملة و “تنحسر من مساحة Kernel”.

على الرغم من أن الأمر سيستغرق من Microsoft وبائعي الأمن بعض الوقت للعمل من خلال تغييرات Windows هذه ، فإن Microsoft واثق من أنها ستشهد معدلات تبني جيدة لأن عملائها يطلبون تغييرات في أعقاب حادثة الحشود.

تستعد Microsoft أيضًا لإصدار تحديث Windows في وقت لاحق من هذا الصيف ، ويتضمن ميزة جديدة لاستعادة الآلات السريعة ، والتي تم تصميمها لاستعادة الآلات التي لا تستطيع التمهيد بسرعة. يطالب جهازًا بإدخال بيئة استرداد Windows ، حيث يمكن للجهاز الوصول إلى الشبكة وتزويد Microsoft بمعلومات تشخيصية. يقول ويستون: “لقد بنينا بشكل أساسي الشيء الذي نود أن نواجهه للحادث العام الماضي”.

سيكون مشهد الشاشة الزرقاء للموت شيئًا من الماضي أيضًا. تقوم Microsoft الآن بإعادة تصميم BSOD رسميًا بحيث تكون أسودًا وليس أزرقًا. المزيد عن هذا التغيير الكبير هنا.