今年7月，导致850万台Windows电脑和服务器宕机的CrowdStrike灾难让微软的许多大客户开始寻找解决办法，以确保此类事件不再发生。现在，微软以一项新的Windows弹性计划的形式给出了一些答案，该计划旨在提高Windows的安全性和可靠性。

　　Windows弹性计划包括Windows的核心变化，这将使微软的客户更容易恢复基于Windows的机器，如果再发生类似crowdstrike的事件。还有一些新的Windows平台改进，对允许运行的应用程序和驱动程序提供更强的控制，并帮助允许在内核模式之外进行防病毒处理。

　　鉴于CrowdStrike事件，微软开发了一个新的快速机器恢复功能，使IT管理员能够远程修复机器，即使它们无法正常启动。快速机器恢复利用改进的Windows恢复环境（Windows RE）。

　　微软企业和操作系统安全副总裁大卫·韦斯顿在接受The Verge采访时解释说：“在未来的事件中，希望这种情况永远不会发生，我们可能会从Windows update向这个恢复环境推出（更新），要求为每个人删除这个文件。”“如果有一个核心问题我们需要向很多客户推送，这让我们有能力从Windows RE完成。”

　　自Crowdstrike崩溃以来，Weston已经与数百名客户进行了交谈，他们都要求提供更好的恢复工具，改进安全供应商的部署实践，以及提高Windows本身的弹性，以确保7月份发生的事件不再重演。

　　韦斯顿说：“他们每个人都在说，我应该给董事会一个答复，确保这种事情不会再发生。”微软现在要求作为微软病毒计划（MVI）一部分的安全供应商采取具体步骤来改进安全性和可靠性。这些步骤包括更好的测试和响应流程，以及Windows pc和服务器更新的安全部署实践——包括逐步推出、监控和恢复程序。

　　微软也一直在与它的MVI合作伙伴合作，在内核之外实现防病毒处理。CrowdStrike的软件运行在Windows的内核层——操作系统的核心部分，可以不受限制地访问系统内存和硬件。这种深层内核访问允许错误的更新在受影响的系统启动后立即生成蓝屏死机。

　　Weston解释说：“我们正在开发一个[安全供应商]想要使用的框架，他们也被激励使用，现在它必须足够好，以满足他们的用例。”微软目前正在开发这个新框架，它的预览版将于2025年7月向Windows安全合作伙伴提供。

　　Weston说：“集中并满足每个人的需求是一项重大的技术挑战，但我们在端点检测和内核空间方面确实有经验丰富的人员。”在9月份举行的微软Windows端点安全生态系统峰会上，微软邀请了Windows团队的内核架构师直接与CrowdStrike等安全供应商讨论将扫描移出内核的问题。

　　最终，微软要进一步保护Windows，并为安全供应商提供一个良好的框架。“我们在这里控制物理。我们可以改变内存管理器或驱动框架，我们不需要遵守第三方开发人员所遵守的规则，”Weston说。“这就是为什么我看好我们在这里的执行能力。”

　　除了弹性方面的改进，Windows 11也将很快获得管理员保护。这是一项新功能，可以让用户拥有标准用户的安全性，但也可以进行系统更改，甚至在需要时安装应用程序。一旦用户使用Windows Hello进行身份验证，管理员保护将临时授予特定任务的管理员权限，然后在系统更改或安装应用程序后直接删除它们。" Windows创建一个临时隔离的管理令牌来完成工作。一旦任务完成，这个临时令牌将立即销毁，以确保管理员特权不会持续存在，”Weston说。