/cdn.vox-cdn.com/uploads/chorus_asset/file/25740076/Windows_Security_ignite_2024.png?ssl=1 "Inisiatif Ketahanan Windows baru dari Microsoft bertujuan untuk mencegah insiden CrowdStrike lainnya")
Bencana CrowdStrike itu menghancurkan 8,5 juta PC dan server Windows pada bulan Juli telah membuat banyak pelanggan terbesar Microsoft mencari jawaban untuk memastikan kejadian seperti itu tidak akan terjadi lagi. Kini, Microsoft memiliki beberapa jawaban dalam bentuk Inisiatif Ketahanan Windows baru yang dirancang untuk meningkatkan keamanan dan keandalan Windows.
Inisiatif Ketahanan Windows mencakup perubahan mendasar pada Windows yang akan memudahkan pelanggan Microsoft memulihkan mesin berbasis Windows jika insiden serupa CrowdStrike terjadi lagi. Ada juga beberapa perbaikan baru pada platform Windows untuk memberikan kontrol yang lebih kuat terhadap aplikasi dan driver mana yang dapat dijalankan dan untuk membantu mengaktifkan pemrosesan antivirus di luar mode kernel.
Microsoft telah mengembangkan fitur pemulihan mesin cepat baru sehubungan dengan insiden CrowdStrike yang memungkinkan administrator TI melakukan perbaikan pada mesin dari jarak jauh meskipun mesin tidak dapat melakukan booting dengan benar. Pemulihan Mesin Cepat memanfaatkan peningkatan di Lingkungan Pemulihan Windows (Windows RE).
“Di ajang mendatang, mudah-mudahan hal itu tidak pernah terjadi, kita bisa keluar [an update] dari Pembaruan Windows hingga lingkungan pemulihan yang mengatakan hapus file ini untuk semua orang,” jelas David Weston, wakil presiden keamanan perusahaan dan sistem operasi di Microsoft, dalam sebuah wawancara dengan Tepi. “Jika ada masalah inti yang perlu kami sampaikan kepada banyak pelanggan, hal ini memberi kami kemampuan untuk melakukannya dari Windows RE.”
Weston telah berbicara dengan ratusan pelanggan sejak bencana Crowdstrike, dan mereka semua menyerukan alat pemulihan yang lebih baik, praktik implementasi yang lebih baik oleh vendor keamanan, dan ketahanan yang lebih besar dari Windows itu sendiri untuk memastikan bahwa peristiwa yang terjadi pada bulan Juli tidak akan terulang kembali.
“Mereka semua mengatakan saya berhutang jawaban kepada dewan direksi agar hal ini tidak terjadi lagi,” kata Weston. Microsoft kini mewajibkan vendor keamanan yang merupakan bagian dari Microsoft Virus Initiative (MVI) untuk mengambil langkah spesifik guna meningkatkan keamanan dan keandalan. Langkah-langkah ini mencakup peningkatan proses pengujian dan respons, serta praktik penerapan yang aman untuk PC Windows dan pembaruan server, termasuk penerapan bertahap serta prosedur pemantauan dan pemulihan.
Microsoft juga telah bekerja sama dengan mitra MVI untuk mengaktifkan pemrosesan antivirus di luar kernel. Perangkat lunak CrowdStrike berjalan pada tingkat kernel Windows, bagian inti dari sistem operasi yang memiliki akses tak terbatas ke memori sistem dan perangkat keras. Akses mendalam ke kernel ini memungkinkan pembaruan yang salah menghasilkan layar biru kematian segera setelah sistem yang terpengaruh di-boot.
“Kami sedang mengembangkan kerangka kerja itu [security vendors] ingin menggunakannya dan diberi insentif untuk menggunakannya, sekarang harus cukup baik untuk mencakup kasus penggunaannya,” jelas Weston. Microsoft sedang mengembangkan kerangka kerja baru ini dan pratinjaunya akan tersedia secara pribadi untuk mitra keamanan Windows pada Juli 2025.
“Merupakan tantangan teknis yang signifikan untuk memusatkan hal ini dan memenuhi kebutuhan semua orang, namun kami memiliki orang-orang yang benar-benar berpengalaman dalam deteksi titik akhir dan ruang kernel,” kata Weston. Di dalam KTT Ekosistem Keamanan Titik Akhir Microsoft Windows Pada bulan September, perusahaan ini merekrut arsitek kernel dari tim Windows untuk berbicara langsung dengan vendor keamanan seperti CrowdStrike tentang pemindahan pemindaian dari kernel.
Pada akhirnya, terserah pada Microsoft untuk lebih melindungi Windows dan menyediakan kerangka kerja yang juga berfungsi dengan baik untuk vendor keamanan. “Di sini kami mengontrol fisika. Kami dapat mengubah pengelola memori atau kerangka driver, dan kami tidak harus mengikuti aturan yang dilakukan pengembang pihak ketiga,” kata Weston. “Itulah mengapa saya optimis dengan kemampuan kami untuk mengeksekusi di sini.”
