A catástrofe do CrowdStrike que derrubou 8,5 milhões de PCs e servidores com Windows em julho deixou muitos dos maiores clientes da Microsoft em busca de respostas para garantir que tal evento nunca aconteça novamente. Agora, a Microsoft tem algumas respostas na forma de uma nova Iniciativa de Resiliência do Windows, que visa melhorar a segurança e a confiabilidade do Windows.
A Iniciativa de Resiliência do Windows inclui mudanças essenciais no Windows que facilitarão a recuperação de máquinas baseadas em Windows caso ocorra outro incidente semelhante ao do CrowdStrike. Também há algumas melhorias na plataforma Windows para fornecer controles mais fortes sobre quais aplicativos e drivers podem ser executados, além de ajudar a permitir o processamento de antivírus fora do modo kernel.
A Microsoft desenvolveu um novo recurso de Recuperação Rápida de Máquinas à luz do incidente do CrowdStrike, que permitirá que administradores de TI direcionem correções para máquinas remotamente, mesmo quando não conseguem iniciar corretamente. A Recuperação Rápida de Máquinas aproveita melhorias no Ambiente de Recuperação do Windows (Windows RE).
“Em um futuro evento, espero que isso nunca aconteça, poderíamos enviar [uma atualização] do Windows Update para este Ambiente de Recuperação que diga para deletar este arquivo para todos”, explica David Weston, vice-presidente de segurança empresarial e do sistema operacional da Microsoft, em uma entrevista ao The Verge. “Se houver um problema central que precisamos enviar para muitos clientes, isso nos dá a capacidade de fazer isso a partir do Windows RE.”
Weston conversou com centenas de clientes desde o debacle do CrowdStrike, e todos estão pedindo por melhores ferramentas de recuperação, práticas de implantação aprimoradas dos fornecedores de segurança e maior resiliência do próprio Windows para garantir que os eventos que ocorreram em julho nunca se repitam.
“Cada um deles está dizendo que deve uma resposta ao seu conselho sobre como isso não acontece novamente”, diz Weston. A Microsoft agora exige que os fornecedores de segurança que fazem parte da Iniciativa de Vírus da Microsoft (MVI) tomem medidas específicas para melhorar a segurança e a confiabilidade. Essas etapas incluem melhores processos de teste e resposta, juntamente com práticas seguras de implantação de atualizações para PCs e servidores com Windows – incluindo implantações graduais e procedimentos de monitoramento e recuperação.
A Microsoft também está trabalhando com seus parceiros do MVI para permitir o processamento de antivírus fora do kernel. O software do CrowdStrike opera no nível do kernel do Windows – a parte central de um sistema operacional que tem acesso irrestrito à memória do sistema e ao hardware. Esse acesso profundo ao kernel permitiu que uma atualização defeituosa gerasse uma Tela Azul da Morte assim que os sistemas afetados começassem a inicializar.
“Estamos desenvolvendo uma estrutura que [os fornecedores de segurança] querem usar e são incentivados a usar, agora ela precisa ser boa o suficiente para atender ao seu caso de uso”, explica Weston. A Microsoft está agora desenvolvendo essa nova estrutura, e um preview dela estará disponível de forma privada para parceiros de segurança do Windows em julho de 2025.
“É um desafio técnico significativo centralizar isso e atender aos requisitos de todos, mas temos pessoas realmente experientes em detecção de pontos finais e no espaço do kernel”, diz Weston. No Summit do Ecossistema de Segurança de Ponto Final do Windows da Microsoft em setembro, a empresa teve arquitetos do kernel da equipe do Windows presentes para conversar diretamente com fornecedores de segurança como o CrowdStrike sobre mover a varredura para fora do kernel.
Em última análise, cabe à Microsoft proteger ainda mais o Windows e fornecer uma estrutura que funcione bem para os fornecedores de segurança também. “Nós meio que controlamos a física aqui. Podemos mudar o gerenciador de memória ou a estrutura de drivers e não precisamos respeitar as regras que um desenvolvedor terceirizado teria”, diz Weston. “É por isso que estou otimista sobre nossa capacidade de executar isso aqui.”
As melhorias para administradores que estão chegando ao Windows 11.
Imagem: Microsoft
Além das melhorias de resiliência, o Windows 11 também receberá proteção para administradores em breve. É um novo recurso que permite que os usuários tenham a segurança de um usuário padrão, mas com a capacidade de fazer alterações no sistema e até instalar aplicativos quando necessário. A proteção de administrador concede temporariamente direitos de administrador para uma tarefa específica, uma vez que um usuário tenha se autenticado usando o Windows Hello e depois os remove imediatamente após uma alteração no sistema ser feita ou um aplicativo ser instalado. “O Windows cria um token de administrador isolado temporário para realizar a tarefa. Este token temporário é imediatamente destruído assim que a tarefa é concluída, garantindo que os privilégios de administrador não persistam”, diz Weston.