CrowdStrike đã gần như chấm dứt quá trình gây thiệt hại của nó và Microsoft đang hướng tới tương lai để ngăn chặn thảm họa như vậy sẽ tiếp tục diễn ra. Bước đầu tiên trong chiến lược của công ty là gì? Hãy bắt chước Apple và làm cho bảo mật Windows giống Mac hơn bằng cách hạn chế quyền truy cập kernel!
Microsoft có ý định hạn chế quyền truy cập kernel, theo gương của Apple
John Cable viết trên blog CNTT của Microsoft như sau:
Sự cố này cho thấy rõ ràng rằng Windows phải ưu tiên thay đổi và đổi mới trong lĩnh vực phục hồi đầu cuối. Những cải tiến này phải song hành với những cải tiến liên tục về bảo mật và phải hợp tác chặt chẽ với nhiều đối tác của chúng tôi, những người cũng rất quan tâm đến bảo mật của hệ sinh thái Windows.
Các ví dụ về đổi mới bao gồm các VBS Enclave mới được công bố, cung cấp môi trường tính toán biệt lập không yêu cầu kernel mode driver phải chống giả mạo và service Microsoft Azure Attestation, có thể giúp xác định trạng thái bảo mật đường dẫn boot. Những ví dụ này sử dụng các phương pháp Zero Trust hiện đại và cho thấy những gì có thể thực hiện để khuyến khích các hoạt động phát triển không phụ thuộc vào quyền truy cập kernel.
Một số người có thể tự hỏi: John Cable này là ai?
John Cable là Phó chủ tịch của Windows Servicing and Delivery, profile của ông cho biết đây là "tổ chức chịu trách nhiệm bảo vệ và duy trì hiệu suất cho hơn một tỷ thiết bị Windows".
Ông có thể không đóng vai trò then chốt như Satya Nadella, nhưng chắc chắn là một trong những người chính chịu trách nhiệm đảm bảo sự cố như CrowdStrike không bao giờ xảy ra nữa. Điều đó có nghĩa là lời nói của ông có trọng lượng rất lớn.
Microsoft không chỉ đưa ra lời xin lỗi suông với những lời hứa mơ hồ. Họ đang lớn tiếng báo hiệu ý định hạn chế quyền truy cập kernel cho các công ty như CrowdStrike trong tương lai.
Công ty sẽ không tước bỏ các đặc quyền kernel trong bản cập nhật Windows sắp tới. Một sự thay đổi như thế này sẽ mất nhiều thời gian. Nhưng định hướng tương lai của Microsoft có vẻ đã rõ ràng.
Tại sao máy Mac không bị ảnh hưởng bởi CrowdStrike?
Các giao thức bảo mật nghiêm ngặt của Apple dành cho máy Mac không cho phép bên thứ ba truy cập kernel giống như Windows. Đây là lý do tại sao máy Mac không bị ảnh hưởng bởi sự cố CrowdStrike.
Mặc dù cho rằng CrowdStrike là một chiến dịch tiếp thị miễn phí cho Mac, nhưng nhiều người thực sự không mong đợi Microsoft sẽ thực hiện những thay đổi bảo mật nghiêm túc theo ví dụ của Mac. Công ty đã thẳng thắn nói rằng họ không thể làm vậy - nhưng rõ ràng là Microsoft có ý định thử.
Sẽ mất một thời gian trước khi chúng ta thấy được thành quả từ những nỗ lực của Microsoft. Nhưng hy vọng rằng thế giới sẽ không phải đối mặt với một sự cố như CrowdStrike nữa.
Microsoft phát hành công cụ khôi phục giúp sửa chữa các máy Windows gặp phải sự cố CrowdStrike
Microsoft đã phát hành một công cụ khôi phục được thiết kế để giúp quản trị viên CNTT sửa chữa các máy Windows bị ảnh hưởng bởi bản cập nhật bị lỗi của CrowdStrike khiến 8,5 triệu thiết bị Windows ngưng hoat động vào thứ Sáu tuần trước. Công cụ này tạo một USB boot mà quản trị viên CNTT có thể sử dụng để giúp nhanh chóng khôi phục các máy bị ảnh hưởng.
Mặc dù CrowdStrike đã phát hành bản cập nhật để sửa phần mềm dẫn đến hàng triệu hệ thống gặp lỗi Màn hình xanh chết chóc nhưng không phải máy nào cũng có thể tự động nhận được bản sửa lỗi đó. Một số quản trị viên CNTT đã báo cáo rằng việc khởi động lại PC nhiều lần sẽ nhận được bản cập nhật cần thiết, nhưng đối với những người khác, cách duy nhất là phải khởi động thủ công vào Safe Mode và xóa file cập nhật CrowdStrike có vấn đề.
Công cụ của Microsoft hiện giúp quá trình khôi phục này bớt thủ công hơn bằng cách khởi động vào môi trường Windows PE qua USB, truy cập vào ổ đĩa của máy bị ảnh hưởng và tự động xóa file CrowdStrike có vấn đề, giúp máy khởi động bình thường. Điều này tránh phải khởi động vào Safe Mode hoặc yêu cầu quyền admin trên máy, vì công cụ này chỉ truy cập vào ổ đĩa mà không cần khởi động vào bản sao Windows cục bộ. Nếu ổ đĩa được bảo vệ bằng mã hóa BitLocker, công cụ sẽ nhắc nhập khóa khôi phục BitLocker rồi tiếp tục sửa bản cập nhật CrowdStrike.
Microsoft cũng có các bước khôi phục riêng dành cho máy ảo Windows chạy trên Azure và công ty cũng đã công bố những bước khôi phục cho tất cả các thiết bị Windows 10 và Windows 11 tại trang web hỗ trợ của mình.