Microsoft выводит антивирусные решения за пределы ядра Windows

Примерно год назад из-за некорректного обновления CrowdStrike вышло из строя 8,5 миллиона компьютеров с Windows по всему миру, и Microsoft стремится гарантировать, что такая проблема больше никогда не повторится. После проведения саммита с поставщиками решений в области безопасности в прошлом году, Microsoft готовится к выпуску закрытой предварительной версии изменений в Windows, которые выведут антивирусные (AV) и приложения для обнаружения и реагирования на угрозы (EDR) за пределы ядра Windows. Новая платформа безопасности конечных точек Windows создается в сотрудничестве с CrowdStrike, Bitdefender, ESET, Trend Micro и многими другими поставщиками решений в области безопасности.

"Мы получили от десятков партнеров документы, некоторые из которых насчитывали сотни страниц, о том, как они хотели бы, чтобы это было спроектировано, и каковы требования", - объясняет Дэвид Вестон (David Weston), вице-президент Microsoft по безопасности корпоративных и операционных систем, в интервью The Verge. "Я действительно доволен этим. Это отрасль конкурентов, но каждый проявил инициативу и сказал, что мы должны создать платформу, на которой будем работать все мы".

Microsoft подчеркивает, что не намерена устанавливать правила и ожидать, что все им немедленно последуют, а хочет совместно разработать эти правила. "Мы здесь не для того, чтобы говорить им, как должен работать API, мы здесь для того, чтобы слушать и обеспечивать безопасность и надежность", - говорит Вестон. "Я думаю, если бы мы обратились к нашим конкурентам и сказали: 'Вот, берите или оставляйте', это было бы настоящим вызовом".

На протяжении десятилетий Microsoft разрабатывала Windows таким образом, чтобы разработчики могли предоставлять программное обеспечение для обеспечения безопасности, которое глубоко интегрировано в Windows, работая на уровне ядра Windows – основной части операционной системы, которая имеет неограниченный доступ к системной памяти и аппаратному обеспечению. Некорректное обновление CrowdStrike в прошлом году наглядно показало, насколько легко драйвер на уровне ядра может выйти из строя и привести к сбою системы, что приводит к появлению "Синего экрана смерти" (BSOD).

В настоящее время Microsoft привлекла к работе над этими изменениями в системе безопасности наиболее опытных инженеров Windows. "К этой работе привлечены ключевые разработчики, некоторые из архитекторов ядра Windows и люди, которые традиционно не работают в области безопасности", - говорит Вестон. "Это действительно самые опытные специалисты из основной команды Windows, которые участвуют в сотрудничестве с CrowdStrike, ESET и всеми этими компаниями".

Закрытая предварительная версия даст поставщикам решений в области безопасности возможность запросить изменения. Вестон говорит, что ожидает несколько итераций, прежде чем она будет готова к переходу поставщиков. И это не решит все случаи с драйверами на уровне ядра сразу. "Наша цель - начать с AV и EDR, но драйверы ядра, вероятно, будут присутствовать в течение некоторого времени, пока мы перейдем к следующему набору сценариев использования".

Еще одной большой областью Windows, где используются драйверы на уровне ядра, являются античит-системы для игр. Microsoft вела переговоры с разработчиками игр о том, как уменьшить использование ядра, но это более сложный случай, поскольку читеры часто намеренно вносят изменения в свою систему, чтобы отключить защиту и запустить чит-системы. "Многие [разработчики игр] хотели бы не поддерживать работу с ядром, и они очень заинтересованы в том, как это сделать", - говорит Вестон. "Мы обсуждали там требования, и я думаю, что в ближайшем будущем мы сможем рассказать об этом подробнее". Riot Games сообщила в прошлом году, что готова следовать потенциальным изменениям в системе безопасности Windows и "отступить от пространства ядра".

Хотя Microsoft и поставщикам решений в области безопасности потребуется некоторое время, чтобы реализовать эти изменения в Windows, Microsoft уверена, что они будут широко приняты, поскольку ее клиенты просят внести изменения после инцидента с CrowdStrike. Microsoft также готовится к выпуску обновления Windows этим летом, которое будет включать новую функцию Quick Machine Recovery, предназначенную для быстрой восстановления машин, которые не могут загрузиться. Она предлагает устройству войти в Среду восстановления Windows, где машина может получить доступ к сети и предоставить Microsoft диагностическую информацию. "Мы, по сути, создали то, что хотели бы иметь во время инцидента в прошлом году", - говорит Вестон.

"Синий экран смерти" также уйдет в прошлое. Microsoft официально перерабатывает свой BSOD, чтобы он был черным, а не синим. Подробнее об этом большом изменении можно узнать здесь.