Microsoft планирует заблокировать доступ к ядру Windows сторонним поставщикам безопасности. К таким действиям компания намерена прибегнуть после масштабного сбоя из-за CrowdStrike. Об этом пишет The Verge.
Работа на уровне ядра – основной части операционной системы – предоставляет программному обеспечению неограниченный доступ к системной памяти и аппаратному обеспечению. Именно поэтому программное обеспечение CrowdStrike смогло вызвать «синий экран смерти» на компьютерах с Windows.
Программное обеспечение Falcon от CrowdStrike использует специальный драйвер, позволяющий ему работать на более низком уровне, чем большинство программ, что позволяет ему обнаруживать угрозы в системе Windows.
Microsoft пыталась ограничить доступ третьих лиц к ядру в Windows Vista в 2006 году, но натолкнулась на сопротивление со стороны поставщиков услуг по кибербезопасности и регуляторам ЕС . Впрочем, Apple все-таки смогла ограничить доступ к ядру в операционной системе MacOS в 2020 году.
«Этот инцидент четко показывает, что Windows должна определить приоритеты изменений и инноваций в сфере сквозной отказоустойчивости», — пишет вице-президент по управлению программами по обслуживанию и поставке Windows Джон Кейбл.
Хотя Microsoft не сообщает, какие именно улучшения будут внесены в Windows после проблем CrowdStrike, Кейбл дает несколько подсказок о том, в каком направлении Microsoft хочет видеть развитие событий. Он называет новую функцию анклавов VBS, “которая не требует, чтобы драйверы режима ядра были устойчивы к несанкционированному доступу”, и службу Azure Attestation от Microsoft в качестве примеров новых инноваций в области безопасности.
Это может стать началом больших изменений в вопросе доступа к ядру Windows, даже если Microsoft утверждает, что не может оградить свою операционную систему так же, как это делает Apple.