据微软内部消息，为杜绝2024年CrowdStrike全球蓝屏事件重演，正计划将防病毒与EDR工具彻底移出Windows内核。那场波及850万台设备的灾难，让航空医疗等关键领域陷入瘫痪，也成了微软痛定思痛的转折点。

内核权限大洗牌：安全防护被迫「去底层化」

微软安全副总裁David Weston坦言，内核级驱动虽能深度防护，却也像颗「不定时炸弹」。

此次调整并非简单剥离，而是要搭建用户模式安全接口——2025年7月开发者预览版将允许厂商基于新接口开发无内核权限的EDR工具。

这种变革源于残酷现实：Trellix研究显示，攻击者正利用合法安全驱动实施BYOVD攻击，内核权限反而成了漏洞温床。

杀毒厂商生死局：CrowdStrike们被逼上转型路

对依赖内核权限的安全厂商而言，这无异于「釜底抽薪」。

CrowdStrike事件后已紧急转向用户模式开发，而微软正联合Bitdefender等厂商构建新生态，要求分阶段部署更新。

值得注意的是，Windows Defender正借此强化地位——其已整合UEFI扫描等固件防护，热补丁技术更将系统重启次数锐减67%。有业内人士质疑，这是否是微软借安全升级挤压第三方市场的「阳谋」？

用户要面对啥？安全效率或迎「阵痛期」

普通用户可能面临选择困境：

第三方工具迁移至用户模式后，资源占用与检测率能否平衡？

2025年4月测试显示，360等工具仍保持高效，但部分传统厂商表现欠佳。更关键的是，当内核级防护交棒给Windows Defender，其能否扛起大旗？

毕竟CrowdStrike事件暴露的「内核漏洞响应滞后」问题，至今让不少企业心有余悸。

微软这刀砍向内核杀毒，是革故鼎新还是饮鸩止渴？你怎么看？

（内容来源：51CTO/光明网/新京报等公开报道）