過去十天，CrowdStrike 和微軟一直在全力協助受大規模 Windows 藍屏死機問題影響的用戶。該問題是由 CrowdStrike 的一個錯誤更新引起的。除了提供解決方法外，CrowdStrike 已經發布了關于此次宕機的初步事故后審查報告。根據報告，藍屏死機是由內存安全問題引起的，CrowdStrike 的 CSagent 驅動程序發生了越界讀取訪問沖突。

　　微軟昨天發布了對 CrowdStrike 驅動程序導致的此次宕機的詳細技術分析。微軟的分析證實了 CrowdStrike 的發現，即崩潰是由 CrowdStrike 的 CSagent.sys 驅動程序中的越界內存安全錯誤引起的。csagent.sys 模塊在 Windows 電腦上注冊為文件系統過濾器驅動程序，以接收有關文件操作(包括創建或修改文件)的通知，這允許包括 CrowdStrike 在內的安全產品掃描保存到磁盤的任何新文件。

　　IT之家注意到，事件發生時，微軟因允許第三方軟件開發商進行內核級訪問受到了大量批評。在博客文章中，微軟解釋了為何為安全產品提供內核級訪問：

　　內核驅動程序允許系統范圍內的可見性，并能夠在啟動過程早期加載，以檢測啟動套件和根套件等威脅，這些威脅可以在用戶模式應用程序之前加載。

　　微軟提供系統事件回調、文件過濾器驅動程序等功能。

　　內核驅動程序可為高吞吐量網絡活動等情況提供更好的性能。

　　安全解決方案希望確保其軟件無法被惡意軟件、定向攻擊或惡意內部人員禁用，即使這些攻擊者具有管理員權限。為此，Windows 在啟動早期提供早期啟動反惡意軟件(ELAM)。

　　然而，內核驅動程序也需要權衡，因為它們在 Windows 最可信的級別運行，增加了風險。微軟還致力于將復雜的 Windows 核心服務從內核模式遷移到用戶模式，例如字體文件解析。微軟建議安全解決方案提供商在可視性和防篡改需求與內核模式操作風險之間取得平衡。例如，他們可以使用在內核模式下運行的最小傳感器進行數據收集和執行，從而限制對可用性問題的暴露。其余功能，如管理更新、解析內容和其他操作，可以在用戶模式下隔離進行。

　　在博客文章中，微軟還解釋了 Windows 操作系統的內置安全功能。這些安全功能提供了多層保護，防止惡意軟件和攻擊企圖。微軟將通過微軟病毒計劃(MVI)與反惡意軟件生態系統合作，利用 Windows 內置安全功能進一步提高安全性和可靠性。

　　微軟目前計劃：

　　提供安全部署指南、最佳實踐和技術，使安全產品更新更安全。

　　減少內核驅動程序訪問重要安全數據的需要。

　　通過最近宣布的 VBS 孤島等技術提供增強的隔離和防篡改功能。

　　啟用零信任方法，如高完整性認證，該方法可根據 Windows 原生安全功能的健康狀況確定機器的安全狀態。

　　截至 7 月 25 日，受此問題影響的 Windows 電腦已超過 97% 恢復在線，微軟現在正著眼于防止未來出現此類問題。微軟 Windows 程序管理副總裁 John Cable 最近發表了一篇關于 CrowdStrike 問題的博客文章，其中提到 Windows 必須優先考慮端到端彈性的變化和創新，這正是客戶對微軟的期望。