微软计划从Windows内核中移除防病毒（Anti-Virus）和终端检测和响应（EDR）工具，以提高系统稳定性并减少崩溃风险。此举是为了避免类似2024年CrowdStrike大规模蓝屏死机事件的重演。微软的Windows Resilience Initiative（WRI）战略是推进这一改变的关键，旨在减少关键系统故障。新策略将Anti-Virus和EDR工具隔离在用户模式之外，降低其对关键系统组件的访问权限，从而减少因防病毒引擎故障导致系统崩溃的可能性。

🛡️ 微软正在推进Windows Resilience Initiative（WRI）长期战略，以减少关键系统故障，移除内核中的Anti-Virus和EDR工具是该战略的关键一环。

⚠️ Anti-Virus和EDR工具在内核深处运行，虽然能有效捕捉高级威胁，但也带来风险，内核错误可能导致系统崩溃。微软此举旨在降低风险。

💻 对于普通消费者，这一转变将基本无感。微软Defender防病毒（或其他第三方防病毒软件）将继续运行，但将在更安全的环境中工作。

🚀 微软还在开发“快速机器恢复”的新功能，允许网络管理员更快地恢复无法启动的设备，这一功能也将面向消费者。

IT之家 6 月 28 日消息，科技媒体 pureinfotech 昨日（6 月 27 日）发布博文，报道称微软提高系统稳定性并减少崩溃风险，计划从 Windows 内核中，移除防病毒（Anti-Virus）和终端检测和响应（EDR）工具，从而避免重蹈 2024 年 CrowdStrike 全球大规模蓝屏死机事件覆辙。

IT之家此前报道，在 2024 年 CrowdStrike 全球大规模蓝屏死机事件之后，微软启动了 Windows Resilience Initiative（WRI）长期战略，目标是减少关键系统故障。

而在 Windows 内核中移除 Anti-Virus 和 EDR 工具，是推进该长期战略的关键一环，即将进入私有预览阶段。

Anti-Virus 和 EDR 工具目前在内核深处运行，以获取对进程、内存和驱动程序的全访问权限，虽然有效捕捉到高级威胁，但同时也带来了风险，内核中的错误或不良更新可能导致整个系统崩溃。

微软通过移除 Anti-Virus / EDR 工具隔离在用户模式之外，减少其对关键系统组件的访问权限，这意味着如果防病毒引擎出现故障，它导致计算机崩溃的可能性将大大降低。

对于普通消费者来说，这一转变将基本是无感的。微软 Defender 防病毒（或其他任何第三方防病毒软件）可以继续运行，用户的笔记本电脑、平板电脑或台式电脑将保持保护状态。然而，它们将在后台更安全、受控的环境中工作。

目前，用户还不能卸载微软 Defender。Defender 仍将是操作系统的默认安全组件，特别是对于不安装第三方 Anti-Virus 软件的用户。

不过，将 Defender 移出内核可能会为后续的模块化打开大门。未来，可能会更容易禁用或替换默认防病毒软件，而不会影响系统完整性。

此外，微软还在开发一项名为“快速机器恢复”的新功能，允许网络管理员更快地恢复无法启动的设备，这是对 CrowdStrike 内核崩溃造成的混乱的直接回应。这一功能也将面向消费者，而不仅仅是组织。