为防 CrowdStrike 事件再发生,微软要让 Windows 安全性更像 Mac
作者 邱 倢芯 | 发布日期 2024 年 07 月 29 日 10:30 | 分类 Microsoft , Windows , 资讯安全
国外资安大厂 CrowdStrike 日前发生软件更新出包事件,让全世界的 Windows 系统瘫痪、冲击全球 IT 系统,许多机场也因此一事件而一度无法正常运转。现在微软正努力防止此类事件再度发生,而该公司的第一步就是要跟随苹果的脚步,透过限制核心存取的方式让 Windows 安全性更像 Mac。
微软的 John Cable 在 Microsoft IT 部落格中写到“这件事清楚地表明,Windows 系统必须优先考虑端到端弹性领域的变革与新,这些改进必须与安全性方面的持续改善并进,并与持续与合作伙伴密切合作,因为他们也非常关心 Windows 生态系统的安全。”
Cable 进一步指出,创新的例子包括微软近期发表的“虚拟式安全性 (VBS) 内存保护区”,其提供一个独立的运算环境,毋需核心模式驱动程式来防篡改;另外还有 Microsoft Azure 证明服务,其可协助确定启动路径的安全状况。
上述的例子都是使用现代化的零信任方法,展示了可以采取哪些措施来鼓励不依赖核心存取的开发实践。
你可能会问“John Cable 是谁?”他是微软 Windows 服务与交付项目管理副总裁,他也在简介中介绍其团队的任务是“负责保护超过 10 亿台 Windows 装置并提高其生产力”。
Cable 的发言让微软不再只有发表一些空洞的道歉或是给出一个模糊的承诺,相反地,现在表明微软打算在未来限制像 CrowdStrike 这一的公司的核心存取。只不过微软不会在即将释出的 Windows 更新中直接移除这些核心存取特权,毕竟这一类的变化需要大量时间来改变,只是现在凸显出微软未来的方向已经很明确了。
苹果的 Mac 在这次的 CrowdStrike 软件更新灾难中幸免于难,主因在于 Mac 的安全协定不允许像 Windows 那样,允许第三方进行相同类型的核心存取,这也是为什么 Mac 没有受到 CrowdStrike 中断影响的原因。
早先许多人都开玩笑说,这次的 CrowdStrike 软件更新灾难带给 Mac 免费行销,且也没有人期望微软会效仿 Mac 的做法来实施重大安全变更。不过这次 Cable 的言论,显然是该公司打算尝试一下这样的变化。
https://technews.tw/2024/07/29/crowdstrike-windows-mac/
这是在微软的Blog写的原始文章
https://tinyurl.com/4yzf84vd
可是水果会这样玩也是因为Mac引入APFS后使用其可建立逻辑卷宗的方式来把系统资料隔
离出来唯读并让使用者仅可修改Macintosh HD - Data的内容。不然在HFS+下顶多就只能
开启系统完整性保护(但在旧有的环境下只要取得Root权限照样可以修改)
而且Mac这套方式也是从iOS那边搬过来的。其他外媒则是说如果微软使用上述方式来防止
系统档案窜改,那第三方防毒软件不是防护能力有限不然就是功能全倒