Microsoft wirft Antivirensoftware aus dem Windows-Kernel

Im vergangenen Jahr hatte CrowdStrike Millionen Windows-Systeme mit einem Update lahmgelegt. Langsam mahlen die Mühlen der Bürokratie – doch nun dringen die geplanten Änderungen zur künftigen Vermeidung solcher Vorfälle immer weiter auf die Geräte im Einsatz vor. Nun kündigt Microsoft einen weiteren Schritt an: Antivirensoftware darf nicht mehr in den Windows-Kernel langen.

Das kündigt Microsoft in einem Blog-Post zum aktuellen Stand der auf Microsoft-Hausmesse Ignite 2024 gegründeten „Windows Resiliency Initiative“ (WRI) an. Einer der neuen Mechanismen soll den Windows-Start auch dann ermöglichen, wenn Boot-Probleme auftreten. In den Windows-Vorschau-Versionen für Insider ist die Quick Machine Recovery (QMR), die in solchen Fällen die Windows Recovery Environment (Windows RE) startet, bereits seit April des Jahres im Test.

Windows soll widerstandsfähiger werden

Die QMR soll „später im Sommer allgemein verfügbar“ werden, kündigt Microsoft dort an. Sie kommt für alle Windows-11-Geräte auf Stand 24H2 und soll auf Home-Geräten standardmäßig aktiv sein. IT-Admins behalten hingegen die volle Kontrolle darüber.

Das bedeutet jedoch auch weitreichende Änderungen für IT-Sicherheitssoftware in Windows. Eine weitere gegründete Initiative nennt Microsoft die „Microsoft Virus Initiative (MVI)“, in der die Redmonder zusammen mit Partnerunternehmen Möglichkeiten ausloten, die Windows-Plattform zu verbessern, um das Ziel der verbesserten Resilienz ohne Verluste bei der Sicherheit zu erreichen. Inzwischen sind die Teilnehmer nun beim „MVI 3.0-Programm“ angelangt, die bestimmte Aktionen seitens der Partnerunternehmen vorsehen.

Dazu gehört das Aufsetzen und Testen eines Vorfall-Reaktions-Prozesses und das Befolgen von sicheren Verteilpraktiken (Safe Deployment Practices, SDP) für Updates für Windows-Endgeräte. „Sicherheitsproduktupdates müssen schrittweise in Verteil-Ringen erfolgen und Überwachung einsetzen, um negative Einflüsse zu minimieren“, erklärt Microsoft. Das passe sich in die Microsoft-Plattformen ein – so geht etwa auch Microsoft Autopatch für Windows Updates vor. Das führe zu größerer Stabilität, schnellerer Wiederherstellung und reduzierten Risiken im Einsatz bei Enterprise-Kunden, die sich auf eine sichere und verlässliche Windows-Umgebung stützen.

Raus aus dem Kernel!

Im kommenden Monat will Microsoft eine Vorschau der Windows-Endpoint-Security-Plattform an einige MVI-Partner verteilen. Die ermöglicht es ihnen, ihre IT-Sicherheitslösungen so zu bauen, dass sie außerhalb des Windows-Kernels laufen. Software wie Antivirus und Endgeräteschutz befinden sich dann im User Mode, wie normale Apps auch. „Diese Änderung hilft IT-Security-Entwicklern, einen hohen Level an Verlässlichkeit sowie eine einfachere Wiederherstellung im Falle von unerwarteten Problemen auf Windows-Geräten zu liefern“, ist sich Microsoft sicher. Microsoft zitiert einige der Partnerunternehmen, die sich zufrieden mit der künftigen Lösung zeigen. Dazu gehören Bitdefender, CrowdStrike, ESET, SentinelOne, Trellix, Trend Micro und WithSecure.

Vor rund 20 Jahren hatte Microsoft in Windows Vista APIs eingebaut, die IT-Sicherheitssoftware den sichereren Zugriff auf den sonst streng geschützten 64-Bit-Kernel gegeben hat. Die ist damit nun wohl in Kürze Geschichte.

Einen weiteren Schritt im Rahmen der WRI macht Microsoft beim Bluescreen of Death. Das wurde dem Unternehmen wohl zu bunt. Künftig wird der Absturzfehlerbericht daher schwarz.

(dmk)