2024年CrowdStrike引发的全球蓝屏事件，让微软意识到安全软件在Windows内核中运行的风险。欧盟要求微软给予所有安全软件开发商在内核中运行的权限，但这也导致了系统稳定性问题。为此，微软正计划将安全软件转移到Windows NT内核外运行，以避免类似事件再次发生。微软将开发一个框架，满足安全软件开发商的需求，并计划于2025年7月向合作伙伴提供预览版，后续将根据测试结果进行改进和正式发布。

🤔2024年CrowdStrike事件导致全球范围内的Windows系统蓝屏，微软认为欧盟政策是潜在原因之一，因为该政策要求微软允许所有安全软件在Windows NT内核中运行。

🛡️安全软件在内核中运行可以提升安全检测能力，但同时也存在风险，例如CrowdStrike事件中出现的蓝屏死机问题，这与安全软件质量有关。

🔄微软正在考虑将安全软件转移到Windows NT内核外运行，这样即使安全软件出现错误，也不会导致系统崩溃，但可能影响其查杀能力。

🛠️微软计划开发一个框架，以满足安全软件开发商在内核外运行的需求，并于2025年7月提供预览版，后续将根据测试结果进行改进和正式发布。

⚠️虽然微软采取措施提高安全性和可靠性，但本质上问题在于安全软件开发商自身，所有软件开发商都应该遵循最佳实践，例如测试和受控推出。

2024 年 7 月美国网络安全公司 Crowdstrike 引起的全球级蓝屏死机事件让业界记忆犹新，当时微软就发文抱怨欧盟的政策是此次问题的潜在原因之一。

欧盟要求微软必须给安全软件开发商相同的地位，即能够在 Windows NT 内核中运行，而不是仅限于微软自家安全产品才能在内核中运行。

在内核中运行的好处是安全软件可以获得更高的权限以进行更全面的安全检测和防病毒服务，但坏处是如果安全软件质量不够那就会导致 Crowdstrike 这样类似的蓝屏死机事件。

基于此事件微软也在与合作伙伴进行讨论看看有没有更好的措施能够提高安全性和可靠性，包括更好的测试流程和响应流程，以及对 Windows PC 和服务器更新的安全部署实践，例如分阶段受控推出并进行质量监控。

然而这些措施本质上说是没什么用的，全球有几百家上千家安全公司，按理说所有软件开发商在发布更新时都应该遵循最佳实践先进行测试并受控推出，但 Crowdstrike 这种规模的公司还是存在这种低级错误。

所以微软想到的第二个方法就是让安全软件在 Windows NT 外运行，这种情况下如果安全软件存在错误最多也只能让自己崩溃，不至于让 Windows NT 崩溃。

但在内核中运行时安全软件可以不受限制地访问系统内存和硬件，如果在内核外运行则可能影响安全软件的查杀能力，为此微软准备开发一个框架，这个框架能够满足安全软件开发商的需求。

微软计划在 2025 年 7 月向 MVI 合作伙伴私下提供这个框架的预览版，到时候会按照测试效果进行改进，具体推出时间则还可能要等待一大段时间。