避免重蹈 CrowdStrike 蓝屏事件：微软计划在 Windows 内核中移除防病毒、终端检测和响应工具

IT之家 6 月 28 日消息，科技媒体 pureinfotech 昨日（6 月 27 日）发布博文，报道称微软提高系统稳定性并减少崩溃风险，计划从 Windows 内核中，移除防病毒（Anti-Virus）和终端检测和响应（EDR）工具，从而避免重蹈 2024 年 CrowdStrike 全球大规模蓝屏死机事件覆辙。

IT之家此前报道，在 2024 年 CrowdStrike 全球大规模蓝屏死机事件之后，微软启动了 Windows Resilience Initiative（WRI）长期战略，目标是减少关键系统故障。

而在 Windows 内核中移除 Anti-Virus 和 EDR 工具，是推进该长期战略的关键一环，即将进入私有预览阶段。

Anti-Virus 和 EDR 工具目前在内核深处运行，以获取对进程、内存和驱动程序的全访问权限，虽然有效捕捉到高级威胁，但同时也带来了风险，内核中的错误或不良更新可能导致整个系统崩溃。

微软通过移除 Anti-Virus / EDR 工具隔离在用户模式之外，减少其对关键系统组件的访问权限，这意味着如果防病毒引擎出现故障，它导致计算机崩溃的可能性将大大降低。

对于普通消费者来说，这一转变将基本是无感的。微软 Defender 防病毒（或其他任何第三方防病毒软件）可以继续运行，用户的笔记本电脑、平板电脑或台式电脑将保持保护状态。然而，它们将在后台更安全、受控的环境中工作。

目前，用户还不能卸载微软 Defender。Defender 仍将是操作系统的默认安全组件，特别是对于不安装第三方 Anti-Virus 软件的用户。

不过，将 Defender 移出内核可能会为后续的模块化打开大门。未来，可能会更容易禁用或替换默认防病毒软件，而不会影响系统完整性。

此外，微软还在开发一项名为“快速机器恢复”的新功能，允许网络管理员更快地恢复无法启动的设备，这是对 CrowdStrike 内核崩溃造成的混乱的直接回应。这一功能也将面向消费者，而不仅仅是组织。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。