Microsoft will Windows-Treiber sicherer machen

Windows-Treiber sieht Microsoft als Sicherheitsproblem an. Daher sollen die nun sicherer werden. Einen Ausblick, wie das Unternehmen sich das vorstellt, hat es nun auf der Ignite-Veranstaltung geliefert.

Microsoft schreibt in einem zugehörigen Blog-Beitrag, dass Treiber resilienter werden sollen, um IT-Vorfälle zu vermeiden. Das Unternehmen nennt dazu das Vorgehen bei Antiviren-Software als erfolgreiches Beispiel. Neben umfangreicher Tests und dem präventiven Aufsetzen von „Vorfall-Reaktion“-Prozessen. Ganz wichtiger Punkt zudem: „Raus aus dem Kernel!“ – Microsoft wollte in dem Rahmen Schnittstellen bereitstellen, die es Antivirenherstellern ermöglichen, außerhalb des Windows-Kernels zu operieren – im User-Space, ohne Kernel-Treiber. Es handelt sich um eine Reaktion auf das Crowdstrike-Debakel, das im vergangenen Jahr global zum Ausfall von Millionen von Windows-Systemen geführt hatte.

Im Blog-Beitrag erörtert Microsoft, dass die Verschiebung von AV-Software in den User-Mode dazu führt, dass Fehler dadurch nicht das ganze Windows-System mit in den Abgrund reißen. Sie betreffen dann nur die Antiviren-Software. Das „Driver Resilience Playbook“ will Microsoft auf dieser Basis auf das ganze Windows-Ökosystem ausweiten, über das AV-Szenario hinaus. Microsoft fasst zusammen, dass das Unternehmen die Latte für die Treibersignierung höher legt und es zugleich einfacher macht, verlässliche Windows-Treiber zu bauen.

Teils schwammige Beschreibungen

Microsoft gibt eine Übersicht über die Änderungen. Details werden sicherlich folgen, da Entwickler deutlich präzisere Informationen benötigen. Etwas schwammig erklärt Microsoft, dass das Treiber-Signieren die Latte mit neuen Zertifizierungstests höher legt für Sicherheit und Resilienz. Microsoft will zudem die vom Unternehmen bereitgestellten und mitgelieferten Treiber und APIs ausweiten, sodass Partner selbst geschriebene, angepasste Kernel-Treiber mit standardisierten Windows-Treibern ersetzen oder Programmlogik gar in den User-Mode verschieben können. Der Hersteller erwartet, dass in den kommenden Jahren eine signifikante Reduktion an Kernel-Mode-Code über mehrere Treiberklassen hinweg eintritt, etwa bei den Geräteklassen Netzwerk, Kameras, USB, Drucker, Akkus, Speicher und Audio.

Unterstützung für Kernel-Treiber von Drittanbietern soll es aber auch weiterhin geben, insbesondere dort, wo es keine Windows-eigenen Treiber gibt. Als Beispiel nennt Microsoft etwa Grafiktreiber, die aus Performancegründen den Kernel-Mode nutzen müssen. Allerdings will Microsoft praktische Weichen stellen, die die Qualität verbessern und Fehler begrenzen, bevor diese in Ausfälle münden. Dazu gehören zwingend erforderliche Compiler-Sicherheitsvorkehrungen, um Treiber-Verhalten einzuschränken, Treiber-Isolierung, um die Weite der Auswirkungen zu begrenzen und DMA-Remapping, um unbeabsichtigten Treiber-Zugriff auf Kernel-Speicher zu verhindern.

Auf der Vertriebsveranstaltung Ignite 2025 hat Microsoft auch weitere Ankündigungen gemacht, wie der Hersteller Windows sicherer machen will. Etwa das Forensik- und Überwachungswerkzeug Sysmon aus der Sysinternals-Werkzeugsammlung wird im kommenden Jahr Windows-Bestandteil.

(dmk)