2024 年 7 月网络安全公司 CrowdStrike 发布的软件更新存在问题导致全球大约有 800 万台电脑发生蓝屏死机,部分航空公司和超市收银等系统全部崩溃无法使用,这起事件给业界造成巨大损失,同时也给不少普通人的日常生活造成影响。为了应对这类蓝屏死机事件微软在 Windows 11 最新测试版中添加名为快速机器恢复的新功能,该功能会在系统无法正常启动进入 WinRE 恢复环境时出现,旨在帮助用户尤其是企业 IT 管理员快速完成系统恢复。
快速机器恢复功能会联网检索潜在的解决方案,这里还是以 CrowdStrike 事件为例:
当时该公司发布的软件更新附带的内核级驱动程序出现不兼容导致蓝屏死机,出现死机后 IT 管理员无法远程执行修复,也就是必须手动对每台设备进行恢复,这种修复方案速度慢导致企业整体业务恢复时间也被大幅度延长。
新的快速机器恢复方案会自动通过以太网或 Wi-Fi 建立网络连接,同时向微软发送系统诊断数据来查找解决方案,微软则会根据数据进行分析制定潜在的解决方案,然后通过 Windows 更新系统远程推出解决方案。
因此如果未来再次出现类似的蓝屏死机事件,微软可以快速远程推出解决方案让这些机器可以联网进行恢复,不需要 IT 管理员人工访问机器挨个进行处理,这样可以缩短整体的修复时间。
对个人和家庭用户来说也有好处:
此功能同时支持个人和家庭用户以及企业用户,默认情况下在个人和家庭版的 Windows 11 上将自动启用该功能,而企业 IT 管理员则可以通过策略完全控制该功能,包括启用或禁用该功能。
IT 管理员还可以使用 RemoteRemediation CSP 或通过命令提示符启用或禁用快速机器恢复,还可以提前配置网络凭据并设置扫描间隔,从而在机器故障时可以自动进行恢复减少人工干预浪费的时间。
这还不是全部:
目前微软还在计划从 Windows NT 中删除所有安全软件组件,也就是不再允许安全软件开发商申请数字签名后在内核中运行,这可以避免类似 CrowdStrike 这种猪队友造成内核级的故障。
但这个计划目前还存在争议,如果安全软件不能以内核级别运行则查杀效率和防护能力可能会有所下降,毕竟安全软件如果也以标准用户模式运行可能无法查杀内核级的病毒。
