在近日公布的新聞中，我們了解到自上周起，CrowdStrike公司與微軟聯手，竭盡全力幫助那些受到嚴重Windows藍屏死機問題影響的用戶們。這一問題的起源實際上源自Croud Strike的一次誤判性的更新。除了解決方案的制定和實施，Croud Strike公司也首次發(fā)布了針對此次停機事故的初步調查結果。事故報告明確指出，藍屏死機的根本原因在于內存安全問題，具體表現為Croud Strike的CSagent驅動程序出現了越界讀取訪問沖突。

值得一提的是，就在昨日，微軟發(fā)布了一份詳盡的技術分析報告，深入剖析了此次停機事故背后的罪魁禍首——CrowdStrike的驅動程序。微軟的分析結果與Croud Strike的發(fā)現不謀而合，確認了崩潰現象確實是由Crowd Strike的CSagent.sys驅動程序中的越界內存安全錯誤所引發(fā)。csagent.sys模塊作為一種文件系統(tǒng)過濾器驅動程序，被安裝在Windows電腦上，用于接收有關文件操作（包括創(chuàng)建或修改文件）的實時通知，這使得包括Crowd Strike在內的眾多安全產品得以對保存在磁盤上的所有新文件進行全面掃描。

在此次事件發(fā)生之際，微軟因允許第三方軟件開發(fā)商進行內核級訪問而遭受了廣泛的質疑。在官方博客文章中，微軟對此做出了解釋，闡述了為何要為安全產品提供內核級訪問的理由：

首先，內核驅動程序能夠實現系統(tǒng)范圍內的可見性，并且能夠在啟動過程的早期階段加載，以便及時檢測出諸如啟動套件和根套件等潛在威脅，這些威脅可能會在用戶模式應用程序加載之前就已經存在。

其次，微軟提供了諸如系統(tǒng)事件回調、文件過濾器驅動程序等多種實用功能。

最后，內核驅動程序在處理高吞吐量網絡活動等特殊場景時，能夠提供更為出色的性能表現。

為了確保安全解決方案的軟件不會被惡意軟件、定向攻擊或者惡意內部人員禁用，即便這些攻擊者擁有管理員權限，Windows系統(tǒng)在啟動初期便會提供早期啟動反惡意軟件（ELAM）功能。

然而，內核驅動程序的使用也需要謹慎權衡，因為它們在Windows系統(tǒng)最為信賴的級別上運行，無疑增加了潛在風險。微軟始終致力于將復雜的Windows核心服務從內核模式逐步遷移至用戶模式，比如字體文件解析等功能。微軟建議安全解決方案提供商在保證可見性和防篡改需求的同時，也要妥善應對內核模式操作帶來的風險。例如，他們可以選擇僅在內核模式下運行最小限度的傳感器來進行數據采集和執(zhí)行，以此降低對可用性問題的影響。至于其他功能，如管理更新、解析內容以及其他操作，則可以在用戶模式下進行隔離處理。

在官方博客文章中，微軟還詳細介紹了Windows操作系統(tǒng)內置的安全功能。這些安全功能為用戶提供了多重防護，有效抵御各類惡意軟件及攻擊行為。微軟將借助微軟病毒計劃（MVI）與全球反惡意軟件生態(tài)系統(tǒng)展開緊密合作，充分發(fā)揮Windows內置安全功能的優(yōu)勢，進一步提升系統(tǒng)的安全性和穩(wěn)定性。

微軟目前正在積極推進以下幾項工作：

1. 提供安全部署指南、最佳實踐以及相關技術支持，以確保安全產品更新過程更加安全可靠。

2. 努力減少內核驅動程序訪問關鍵安全數據的必要性。

3. 通過近期推出的VBS孤島等先進技術手段，提供更為強大的隔離和防篡改功能。

4. 引入零信任策略，如采用高完整性認證方式，依據Windows原生安全功能的健康狀況來評估計算機的安全等級。

截至今年7月25日，受此次問題影響的Windows電腦已有超過97%成功恢復在線狀態(tài)。如今，微軟正全力以赴預防類似問題再次發(fā)生。微軟Windows程序管理副總裁John Cable近期發(fā)表了一篇關于Crowd Strike問題的博客文章，他在文中強調，Windows系統(tǒng)必須優(yōu)先考慮端到端彈性的變革和創(chuàng)新，這也是廣大客戶對微軟的殷切期待。