微软披露有关WindowsCrowdStrike崩溃的更多详细信息

在全球数百万台Windows机器出现死机蓝屏约一周后，微软确认了此次事件的根本原因，该事件导致数千架航班停飞，并扰乱了众多企业和公共服务。

微软在周六发布的此次崩溃的技术分析中解释道：“我们的观察证实了CrowdStrike的分析，即这是CrowdStrike开发的CSagent.sys驱动程序中出现的读取越界内存安全错误。”

报告指出，CrowdStrike的驱动程序是一种文件系统过滤驱动程序，它是附加到文件软件堆栈的可选驱动程序，在反恶意软件代理中很常见。这些驱动程序与为特定硬件设计的设备驱动程序(如GPU驱动程序)不同。CrowdStrike为Windows机器提供的服务加载了四个驱动程序模块，但一个特定文件被认为是导致崩溃的原因。

微软指出：“我们可以看到，CrowdStrike分析中指定的控制通道文件版本291也出现在崩溃中，表明该文件已被读取”，这证实了CrowdStrike上周的说法，即291通道文件的问题导致了IT崩溃。

微软此前估计，CrowdStrike故障导致850万台Windows电脑瘫痪。微软在周六发布的帖子中表示，7月19日收到了约400万份崩溃报告(并非所有用户都选择接收崩溃报告)。

虽然微软可能希望进一步限制对其Windows内核的访问，但这家科技巨头也解释了为什么它首先允许第三方访问它。Windows内核是其操作系统的深层。内核级网络安全让开发人员能够更好地保护机器，性能更好，并且更难被威胁者改变或禁用。当内核级网络安全解决方案尽早加载时，它会在威胁出现时为用户提供尽可能多的数据和上下文。

例如，在竞技电子游戏领域，内核级反作弊系统有时用于阻止作弊者运行程序来添加瞄准机器人或改变游戏物理效果。但内核级反作弊解决方案并不总是有效，而且其广泛的权限是一些游戏玩家争论的焦点。

微软承认，内核级网络安全产品的缺点是，如果出现故障，很难修复。该公司表示：“所有在内核级运行的代码都需要进行大量验证，因为它不能像普通用户应用程序那样出现故障并重新启动。”

微软表示：“在内核驱动程序方面，安全供应商必须权衡利弊。由于内核驱动程序运行在Windows最受信任的级别，而遏制和恢复功能本质上受到限制，因此安全供应商必须仔细平衡可见性和防篡改等需求与在内核模式下运行的风险。”