降级引发 CrowdStrike Windows 蓝屏危机 微软揭秘面前基本要素

7 月 29 日信息，过去十天，CrowdStrike 和微软不时在全力帮忙受大规模 Windows 蓝屏死机疑问影响的用户。该疑问是由 CrowdStrike 的一个失误降级惹起的。除了提供处置方法外，CrowdStrike 曾经发布了对于此次宕机的初步意外后审查报告。依据报告，蓝屏死机是由内存安保疑问惹起的，CrowdStrike 的 CSagent 驱动程序出现了越界读取访问抵触。

微软昨天发布了对 CrowdStrike 驱动程序造成的此次宕机的具体技术剖析。微软的剖析证明了 CrowdStrike 的发现， 即解体是由 CrowdStrike 的驱动程序中的越界内存安保失误惹起的 。模块在 Windows 电脑上注册为文件系统过滤器驱动程序，以接纳无关文件操作（包含创立或修正文件）的通知，这准许包含 CrowdStrike 在内的安保产品扫描保留到磁盘的任何新文件。

IT之家留意到，事情出现时，微软因准许第三方软件开发商启动内核级访问遭到了少量批判。在博客文章中， 微软解释了为何为安保产品提供内核级访问 ：

但是，内核驱动程序也须要掂量，由于它们在 Windows 最可信的级别运转，参与了危险。微软还努力于将复杂的 Windows外围服务从内核形式迁徙到用户形式，例如字体文件解析。微软倡导安保处置方案提供商在可视性和防窜改需求与内核形式操作危险之间取得平衡。例如，他们可以经常使用在内核形式下运转的最小传感器启动数据搜集和口头，从而限度对可用性疑问的泄露。其他配置，如治理降级、解析内容和其他操作，可以在用户形式下隔离启动。

在博客文章中，微软还解释了 Windows 操作系统的内置安保配置。这些安保配置提供了多层包全，防止恶意软件和攻打希图。微软将经过微软病毒方案（MVI）与反恶意软件生态系统协作，应用 Windows 内置安保配置进一步提高安保性和牢靠性。

微软目后方案：

截至 7 月 25 日，受此疑问影响的 Windows 电脑已超越 97% 复原在线，微软如今正着眼于防止未来出现此类疑问。微软 Windows程序治理副总裁 John Cable 最近宣布了一篇对于 CrowdStrike 疑问的博客文章，其中提到 Windows必定优先思考端到端弹性的变动和翻新，这正是客户对微软的希冀。