微软将安全软件从Windows NT内核移出 避免再出现全球级的蓝屏死机事件

2024 年 7 月网络安全公司 CrowdStrike 发布的软件更新出现兼容性问题导致全球范围内大约 800 万台计算机出现蓝屏死机，此次故障给多个行业都造成严重影响，尤其是依赖于 Windows NT 的航空公司。

在事件发生后微软发文透露引起这种情况的根本原因在于欧盟的政策，欧盟要求微软必须授予安全软件开发商与微软同等的权利，即微软的反病毒软件可以在内核中运行，那微软也必须允许诸如卡巴斯基等安全软件也在内核中运行。

不过为了避免重演 CrowdStrike 事件，微软制定计划将安全软件的驱动程序从 Windows NT 内核中移出，这样即便再出现不兼容的驱动程序也不至于再次导致大规模的蓝屏死机事件。

具体来说微软制定了名为 Windows Resiliency Initiative (Windows 弹性计划，WRI)，WRI 旨在将弹性融入到 Windows NT 内核中，涵盖软件更新、第三方集成和端点安全技术。

WRI 的核心在于将反病毒软件和端点保护工具从 Windows NT 内核移动到用户模式，也就是后续反病毒软件的运行将在用户模式中而非内核中，即便出现问题也不会导致整个系统崩溃。

微软称正在和安全行业的合作伙伴携手开发 WRI，目标是保持高安全标准的同时减少中断，微软将很快以私下预览的方式向安全合作伙伴提供这些功能，预计到今年 11 月的 Ignite 2025 大会应该就有具体的发布时间了。