Летом 2024 года компания CrowdStrike, предоставляющая антивирусные решения для корпораций, случайно распространила неисправное обновление среди миллионов компьютеров и серверов с программным обеспечением Microsoft Windows. Это ошибочное обновление привело к массовым сбоям систем, затронув критически важные службы такие как авиаперевозки, финансовые операции, экстренные службы и даже поставку утреннего кофе для бизнеса и потребителей. Инцидент вызвал значительные простои, при этом IT-специалисты по всему миру боролись днями и неделями за восстановление этих систем. В некоторых случаях им пришлось вручную обращаться к каждому пострадавшему компьютеру, чтобы удалить проблемное обновление и повторно активировать систему.
Отключение электроэнергии было возложено на CrowdStrike, и после инцидента они пообещали внести множество корректировок в процессы для предотвращения подобного случая. Однако поскольку сбой затронул системы Windows, Microsoft часто получала значительное внимание в основных новостях – ещё один пример ошибок безопасности, которые привели генерального директора Сатью Наделлу и других руководителей к решению перераспределить ресурсы для усиления безопасности своих продуктов.
Сбой CrowdStrike можно отчасти объяснить тем, как антивирусное программное обеспечение функционирует в среде Windows. Эти поставщики безопасности, включая свои антивирусные решения, обычно имеют доступ к ядру Windows — важной части операционной системы, находящейся между аппаратным обеспечением и большинством пользовательских приложений. Это связано с тем, что приложениям обычно не требуется прямой доступ к ядру. Однако если приложение (неправильное или зараженное вредоносным ПО) получает доступ к ядру, это потенциально может привести к сбою всей системы вместо того, чтобы повлиять только на конкретное приложение. Неудачное обновление CrowdStrike было проблематичным главным образом потому, что оно загружалось во время раннего этапа загрузки Windows, из-за чего многие системы не могли загрузить и применить исправление до возникновения критического отказа.
В недавнем обширном блоге о безопасности Microsoft сообщила о потенциально значимом изменении: они предоставляют предварительный эксклюзивный обзор своей платформы оконной конечной защиты. Этот шаг позволяет сторонним разработчикам конечных решений по защите создавать свои продукты для независимой работы от ядра Windows.
Дэвид Уэстон, вице-президент по корпоративной безопасности и безопасности операционной системы в Microsoft, объяснил, что это означает, инструменты защиты, такие как антивирусы и защита конечных точек, теперь могут работать как обычные приложения внутри системы. Этот переход направлен на повышение надежности и упрощение восстановления для разработчиков систем безопасности, что приводит к меньшему количеству сбоев на устройствах Windows при решении непредвиденных проблем.
Этот обзор будет отправлен компаниям, участвующим в инициативе Microsoft по борьбе с вирусами (MVAI), среди которых CrowdStrike, Bitdefender, ESET, SentinelOne, TrelliX, Trend Micro и WithSecure. Представители всех этих компаний были упомянуты в блоге Microsoft, подчеркивая значимость безопасности и радость сотрудничества с Microsoft для её дальнейшего улучшения.
Заявление Microsoft предполагает, что разработчики приложений для безопасности имеют возможность создавать программное обеспечение, функционирующее в пользовательском режиме, однако они не обязаны это делать. Остается неясным, является ли этот шаг постепенной фазой вывода сторонних поставщиков безопасности из ядра Windows или же он просто предлагает дополнительный и более безопасный выбор для приложений, которые не требуют такого высокого уровня доступа.
Идея с некоторым багажом
Попытки компании Майкрософт ограничить сторонние фирмы безопасности от внесения изменений в ядро системы (Windows Kernel) вызывали споры в прошлом. В 2006 году, когда разрабатывалась Windows Vista и закладывались основы для современных 64-битных версий Windows, Microsoft намеревалась не допустить изменения ядра со стороны компаний по обеспечению безопасности, как это делалось ранее в 32-битных версиях Windows. Вместо этого они предложили использовать более ограниченные интерфейсы прикладного программирования (API) для обеспечения безопасности.
Однако в этот период компания Microsoft внедряла свою собственную линейку антивирусных решений, одним из которых был Windows Defender. Конкуренты, такие как Symantec, утверждали, что ограничение доступа к ядру противоречит честной конкуренции и предоставит решениям безопасности от Microsoft возможности, которые другие компании не могут повторить.
Похоже, что Microsoft сотрудничает с внешними организациями для разработки этих правил и решения возникающих проблем от партнеров. Возможно, это их стратегия предотвращения подобных разногласий в будущем.
Вестон упомянул, что мы будем поддерживать тесные рабочие отношения с нашими партнерами по MVI во время фазы приватного тестирования.
Смерть приходит за синим экраном
Статья Microsoft предлагает несколько дополнительных настроек безопасности для Windows, некоторые из которых предоставляют альтернативные методы минимизации вероятности инцидентов, подобных тем, что произошли с CrowdStrike.
Термин «неожиданный экран перезагрузки», более формально известный как то, что многие пользователи Windows называют «синим экраном смерти», претерпевает ряд изменений. Во-первых, вместо отображения синего фона, теперь будет показываться чёрный фон — изменение, которое Microsoft временно экспериментировала на ранних этапах разработки Windows 11, но позже вернулась к первоначальному варианту.
Базовый макет неожиданного экрана перезапуска был изменен для повышения читаемости, что делает его более соответствующим эстетике Windows 11 без ущерба для отображения необходимых технических деталей.
Однако значительная трансформация происходит под поверхностью, где было введено новое дополнение под названием «мгновенное восстановление машин» (MRM).
Если компьютер с операционной системой Windows сталкивается с частыми неожиданными перезагрузками или попадает в цикл загрузки, подобно многим системам, пострадавшим от ошибки CrowdStrike, система попытается загрузиться в среду восстановления Windows (Windows RE). Это оптимизированная среда восстановления, предоставляющая несколько диагностических инструментов и позволяющая перейти в безопасный режим или получить доступ к UEFI-микропрограмме ПК. Используя быстро управляемое развертывание (QMRT), Microsoft может распространять целевые решения на затронутые устройства через среду восстановления Windows, что позволяет решать некоторые проблемы даже если компьютеры не могут загрузиться в обычный режим работы Windows. Таким образом пользователи могут вернуться к продуктивному состоянию без сложной ручной помощи от IT.
Проще говоря, начиная с Windows 11 Home, функция Quick Memory Restore (QM R) будет активирована автоматически. Однако IT-администраторы смогут управлять настройками QMR в версиях Pro и Enterprise. Функция QM R вместе с чёрной версией синего экрана смерти будут включены в Windows 11 24H2 примерно летом этого года. Microsoft планирует дополнительно расширить возможности настройки QM R позднее в этом году.
Смотрите также
- 7 лучших чехлов для Apple iPhone 16 Pro Max 2024 года
- HannsNote 2 — Android-планшет, непохожий ни на один другой
- Концовка «Последняя капля»: сможет ли Нэнси пережить ночь в закусочной и отомстить?
- Наконец-то я нашел утилиту для игрового ноутбука, которую действительно стоит использовать
- Как проверить, какая у вас материнская плата, за два простых шага
- Garmin Fenix 8 против Apple Watch Ultra 2: какой фитнес-трекер купить?
- Honor Magic 7 Pro против Honor Magic 6 Pro: стоит ли обновляться?
- Asus объявляет о скоростной клавиатуре в день ее запрета
- Оппо Найди Икс8 Ультра против Сяоми 15 Ультра: Битва флагманов камерных устройств
- 20 лучших циферблатов Samsung Galaxy Watch, которые вам стоит использовать
2025-06-27 20:55