Microsoft оновлює безпеку Windows для запобігання збоям, як у CrowdStrike

Літнє оновлення CrowdStrike в 2024 році призвело до збою мільйонів ПК та серверів на базі Windows, що спричинило порушення в авіаперевезеннях, платіжних системах, службах екстреної допомоги і навіть у кав’ярнях. Ця ланцюгова реакція виявила критичну проблему в архітектурі безпеки Windows: драйвери антивірусного програмного забезпечення на рівні ядра можуть призвести до збоїв всієї операційної системи, якщо вони завантажуються занадто рано або містять дефекти. У відповідь на це Microsoft оголосила про глибоке перероблення своєї платформи безпеки кінцевих пристроїв, перенісши рішення сторонніх виробників в режим користувача та запровадивши функції, які обіцяють простіше відновлення та менше випадків синіх екранів.
Чому антивірус на рівні ядра став єдиною точкою відмови
Традиційні антивірусні програми та продукти захисту кінцевих пристроїв встановлюють драйвери на рівні ядра для перехоплення системних викликів, інтеграції в Windows Filtering Platform (WFP) та реєстрації зворотних викликів для вводу/виводу файлів, створення процесів та мережевого трафіку. Хоча це забезпечує глибоке спостереження, це також підвищує ризик нестабільності системи:
- Антивірус для раннього запуску (ELAM): Драйвери, які завантажуються до більшості компонентів системи, блокують загрози під час завантаження, але не залишають можливості повернення назад, якщо сам драйвер має дефект.
- Пошкодження пам’яті: Один неправильний вказівник або переповнення буфера в коді ядра можуть спричинити помилку (BSoD), зупинивши всю ОС.
- Залежності під час завантаження: Коли Windows завантажує драйвери ELAM, може не бути працюючого мережевого стека для отримання патчів, що заважає системам виходити з циклів збоїв без ручного втручання.
Дефектне оновлення CrowdStrike використало саме ці умови, залишивши багато машин без можливості завантажити середовище відновлення або отримати виправлення через мережу.
Платформа безпеки кінцевих пристроїв Microsoft: Перенесення захисту в режим користувача
У нещодавньому блоці безпеки віце-президент Microsoft з безпеки підприємств та ОС Девід Уестон представив приватний попередній перегляд нової платформи безпеки кінцевих пристроїв Windows. Основні моменти включають:
- Виконання в режимі користувача: Сторонні антивірусні движки можуть працювати як служби в режимі користувача, використовуючи офіційно підтримувані API замість не задокументованих хук-драйверів ядра.
- Гарантії стабільності: Оскільки код сторонніх виробників обмежений простором користувача, збій в антивірусному движку більше не викликає синій екран на всій системі.
- Модульна архітектура драйверів: Тонкий драйвер ядра виконує лише основні завдання, такі як ініціалізація служби в режимі користувача та виконання перевірок цілісності, тоді як важкі обчислення переміщуються на процеси Win32.
“Ця зміна допоможе розробникам безпеки забезпечити високий рівень надійності та спростити відновлення”, – написав Уестон. “Ми прагнемо зменшити зону впливу будь-яких майбутніх дефектів, зберігаючи при цьому ту ж якість виявлення загроз.”
Попередній перегляд обмежений партнерами ініціативи Virus Initiative (MVI) Microsoft, до яких входять CrowdStrike, Bitdefender, ESET, SentinelOne, Trellix, Trend Micro та WithSecure, які співпрацюватимуть у питаннях стабільності API, налаштування продуктивності та тестування сумісності.
Швидке відновлення машин: Швидший вихід з циклів збоїв
Усвідомлюючи, що профілактика сама по собі не може усунути всі дефекти, Microsoft також впроваджує Швидке відновлення машин (QMR), значне оновлення середовища відновлення Windows (Windows RE). Коли виявляються багаторазові несподівані перезавантаження або цикли завантаження, Windows тепер:
- Автоматично переходить до Windows RE, яке знаходиться на мінімальному, тільки для читання розділі.
- Розгортає цільові пакети виправлень через інтернет або інтрамережу, такі як оновлені драйвери або виправлення реєстру.
- Перезавантажується безпосередньо в чистий робочий стан або в безпечний режим без необхідності ручного перевстановлення або створення образу системи IT-персоналом.
За замовчуванням QMR активовано в Windows 11 Home. У виданнях Pro та Enterprise є адміністративні контролі через групову політику (Computer ConfigurationAdministrative TemplatesSystemRecovery
) або політики MDOP для налаштування порогів і визначення власних скриптів виправлення.
Що під капотом: Від синього до чорного та далі
Microsoft також переробляє відомий синій екран, тепер офіційно названий “екран несподіваного перезавантаження”. Він отримає чорний фон для поліпшення читабельності та оновлену типографіку, що відповідає принципам Fluent Design. Що ще важливіше, коди помилок та діагностика дампу пам’яті будуть структуровані у схемі, подібній до JSON, що спростить автоматичне парсування інструментами управління кінцевими пристроями.
Додатковий аналіз
Вплив на екосистему постачальників безпеки
Перенесення антивірусних движків в режим користувача є парадигмальною зміною для усталених постачальників. Спадкові продукти часто покладаються на не задокументовані рутинні процедури ядра для забезпечення таких функцій, як сканування файлів у реальному часі та низькорівнева перевірка пам’яті. Перенесення цих можливостей у простір користувача вимагає використання нових API Windows:
- Event Tracing for Windows (ETW): Для моніторингу створення процесів і потоків у реальному часі.
- Windows Extended Protection (WEP): Фільтр мережі в режимі користувача, який доповнює WFP.
- Комунікація між ядром і користувачем: Інтерфейси швидкого керування вводу/виводу (IOCTL), вдосконалені за рахунок буферів з пам’яттю для зменшення затримок.
Експерти попереджають, що без ретельної оптимізації антивірус у режимі користувача може зазнати втрат продуктивності на серверах з високим трафіком або при навантаженнях, що потребують інтенсивного вводу/виводу. Microsoft обіцяє опублікувати бенчмарки продуктивності та рекомендації з налаштування пізніше цього року.
Розгляд продуктивності та надійності
Служби в режимі користувача можуть зазнавати збоїв і автоматично перезапускатися, не зупиняючи основну ОС — це важливе покращення надійності. Однак перезапуски служб створюють прогалини в захисті. Microsoft планує пом’якшити це за допомогою монітора служб, який працює в мінімальному драйвері ядра, що обмежує запити вводу/виводу та мережі, поки антивірусна служба не відновиться. Крім того, вбудований драйвер Windows Defender діє як резервний сканер під час збоїв у режимі користувача, забезпечуючи, щоб жодні непроскановані файли не залишалися без уваги.
Дорожня карта для архітектури безпеки Windows
Це оголошення закладає основу для глибших інновацій у сфері безпеки:
- Покращення безпеки на основі віртуалізації (VBS): Майбутні оновлення можуть ізолювати бази даних підписів та евристичні движки в захищених середовищах.
- Уніфіковані API телеметрії: Загальна площина даних для продуктів Microsoft та сторонніх виробників для обміну інформацією про загрози та зменшення надмірності сканування.
- Виправлення, що постачаються з хмари: Інтеграція з Azure Arc для організації QMR по всьому глобальному парку пристроїв.
Висновок
Перенісши захист сторонніх кінцевих пристроїв з ядра, додавши швидкі режими відновлення та модернізуючи досвід при збої, Microsoft прагне запобігти тому, щоб одне погане оновлення перетворилося на глобальну кризу. Ця еволюція обіцяє більш безпечні та стійкі середовища Windows — за умови, що постачальники та команди IT тісно співпрацюють для адаптації своїх інструментів і процесів до нової моделі.