微软联手安全巨头共谋Win10/Win11安全更新策略，旨在防范Crowdstrike蓝屏事件重演

9月13日消息，微软于日前（12日）发表题为《多措并举提升 Windows 客户的韧性与安全性》的博客文章。该文聚焦于Crowdstrike全球范围内的蓝屏崩溃事件之后，微软采取的多项策略，旨在优化Windows系统的安全升级体验。

微软于 9 月 10 日星期二在华盛顿州雷德蒙德总部举办“Windows 终端安全生态系统峰会”，在于集思广益，探讨如何提升 Windows 安全性能，以及改进针对 Windows 电脑的安全更新发布机制。

微软在博文中总结了本次峰会的探讨结果，但强调此次峰会“并非决策会议”，只是提出了短期及长期内，一些改进 Windows 安全与更新的构想。

微软表示，将在不久的将来分享其自身的安全部署实践（SDP），并探讨了安全供应商如何在数据、工具和流程方面共享其实践。附上博文内容如下：

Windows 系统生态目前已非常庞大，如何安全地推送更新存在一系列挑战，涵盖决定如何针对多样化的终端进行有计划的逐步部署，到在必要时能够暂停或回滚更新。

软件分发包（SDP）的核心原则之一是向客户分阶段渐进式发送更新，目标在于与供应商合作，“共同制定一套最佳实践准则”。

Microsoft Defender for Endpoint 发布了 SDP，并且我们的许多生态系统合作伙伴，如 Broadcom、Sophos 和 Trend Micro，也分享了他们处理 SDP 的方法。

微软或将推出两款《变形金刚》新作，预计2024年面世

近日，TFW2005游戏论坛用户Silver Optimus爆料，微软工作室目前正在开发两款《变形金刚》系列游戏，代号“Transformers”，具体细节尚未公开。

考虑到近年来《变形金刚》系列游戏如《赛博坦之战》、《赛博坦的陨落》及《暗焰崛起》等作品均发布于2010年代，业界推测这两大新作可能是对以往经典游戏的高清复刻或加强版，旨在登陆现代游戏主机及PC平台，为粉丝带来重温旧梦的机会。

CrowdStrike最新更新触发Windows蓝屏事件，微软深入解析故障核心缘由

7月29日消息，CrowdStrike与微软在过去十天里紧密合作，以缓解因CrowdStrike错误更新导致的大范围Windows系统蓝屏故障问题。故障根源已被识别为CrowdStrike的CSagent驱动程序中的内存安全漏洞，具体表现为越界读取访问冲突所引发的蓝屏现象。

CrowdStrike不仅提供了问题解决方案，还发布了详细的事故后审查初步报告，力求透明化处理此次事件并防止未来类似情况的发生。

微软昨天发布了对 CrowdStrike 驱动程序导致的此次宕机的详细技术分析。微软的分析证实了 CrowdStrike 的发现，即崩溃是由 CrowdStrike 的 CSagent.sys 驱动程序中的越界内存安全错误引起的。csagent.sys 模块在 Windows 电脑上注册为文件系统过滤器驱动程序，以接收有关文件操作（包括创建或修改文件）的通知，这允许包括 CrowdStrike 在内的安全产品扫描保存到磁盘的任何新文件。

事件发生时，微软因允许第三方软件开发商进行内核级访问受到了大量批评。在博客文章中，微软解释了为何为安全产品提供内核级访问：

内核驱动程序允许系统范围内的可见性，并能够在启动过程早期加载，以检测启动套件和根套件等威胁，这些威胁可以在用户模式应用程序之前加载。

微软提供系统事件回调、文件过滤器驱动程序等功能。

内核驱动程序可为高吞吐量网络活动等情况提供更好的性能。

安全解决方案希望确保其软件无法被恶意软件、定向攻击或恶意内部人员禁用，即使这些攻击者具有管理员权限。为此，Windows 在启动早期提供早期启动反恶意软件（ELAM）。

然而，内核驱动程序也需要权衡，因为它们在 Windows 最可信的级别运行，增加了风险。微软还致力于将复杂的 Windows 核心服务从内核模式迁移到用户模式，例如字体文件解析。微软建议安全解决方案提供商在可视性和防篡改需求与内核模式操作风险之间取得平衡。例如，他们可以使用在内核模式下运行的最小传感器进行数据收集和执行，从而限制对可用性问题的暴露。其余功能，如管理更新、解析内容和其他操作，可以在用户模式下隔离进行。

在博客文章中，微软还解释了 Windows 操作系统的内置安全功能。这些安全功能提供了多层保护，防止恶意软件和攻击企图。微软将通过微软病毒计划（MVI）与反恶意软件生态系统合作，利用 Windows 内置安全功能进一步提高安全性和可靠性。

微软目前计划：

提供安全部署指南、最佳实践和技术，使安全产品更新更安全。

减少内核驱动程序访问重要安全数据的需要。

通过最近宣布的 VBS 孤岛等技术提供增强的隔离和防篡改功能。

启用零信任方法，如高完整性认证，该方法可根据 Windows 原生安全功能的健康状况确定机器的安全状态。

截至 7 月 25 日，受此问题影响的 Windows 电脑已超过 97% 恢复在线，微软现在正着眼于防止未来出现此类问题。微软 Windows 程序管理副总裁 John Cable 最近发表了一篇关于 CrowdStrike 问题的博客文章，其中提到 Windows 必须优先考虑端到端弹性的变化和创新，这正是客户对微软的期望。