CrowdStrike 更新引发 Windows 蓝屏危机，微软揭秘背后根本原因

IT之家最新消息称，在过去的十天里，CrowdStrike和微软一直在全力帮助受到大规模Windows蓝屏死机问题影响的用户。这一问题是由CrowdStrike的一个错误更新引起的。除了提供解决方法外，CrowdStrike还发布了关于本次宕机的初步事故后审查报告。根据报告显示，蓝屏死机是由内存安全问题引起的，CrowdStrike的CSagent驱动程序发生了越界读取访问冲突。

微软最近发表了有关CrowdStrike驱动程序引发的宕机事件的详细技术分析。微软的分析结果验证了CrowdStrike的发现，即这次崩溃是由CrowdStrike的CSagent.sys驱动程序中的越界内存安全错误引起的。csagent.sys模块在Windows计算机上注册为文件系统过滤器驱动程序，以接收有关文件操作的通知，这使得包括CrowdStrike在内的安全产品能够扫描保存到磁盘的任何新文件。

IT之家报道称，在问题发生时，微软因允许第三方软件开发商进行内核级访问而遭到大量批评。微软解释了为何要为安全产品提供内核级访问：

• 内核驱动程序允许系统范围内的可见性，并且能在启动过程的早期加载，以检测启动套件和根套件等威胁，这些威胁可能在用户模式应用程序加载之前。

• 微软提供系统事件回调、文件过滤器驱动程序等功能。

• 内核驱动程序能够为高吞吐量网络活动等提供更佳性能。

• 安全解决方案旨在确保其软件不能被恶意软件、定向攻击或恶意内部人员禁用，即使这些攻击者拥有管理员权限。因此，Windows提供了早期启动反恶意软件（ELAM）。

尽管如此，内核驱动程序也需要权衡，因为它们在Windows最可信的级别运行，这增加了风险。微软还在努力将复杂的Windows核心服务从内核模式迁移到用户模式，例如字体文件解析。微软建议安全解决方案提供商在可视性和防篡改需求与内核模式操作风险之间取得平衡。例如，他们可以使用在内核模式下运行的最小传感器进行数据收集和执行，以限制对可用性问题的暴露。至于其他功能，如管理更新、解析内容和其他操作，可以在用户模式下隔离进行。

此外，微软还对Windows操作系统内置的安全功能进行了解释。这些安全功能提供了多层保护，可以防止恶意软件和攻击。微软计划通过与反恶意软件生态系统合作，利用Windows内置安全功能进一步提高安全性和可靠性。

截至7月25日，受影响的Windows计算机已经超过97%恢复在线，微软正在努力防止未来出现类似问题。微软Windows程序管理副总裁John Cable最近在一篇关于CrowdStrike问题的博客文章中提到，Windows必须优先考虑端到端的弹性变化和创新，这也是客户对微软的期望。

广告声明：文中包含的外部链接仅供参考，点击后将跳转至其他页面。