Warum Microsofts Entfernung des Antivirus aus dem Windows-Kernel von Bedeutung ist

Warum Microsofts Entfernung des Antivirus aus dem Windows-Kernel von Bedeutung ist
  • Microsoft führt eine Migration von Antiviren- und Endpunkterkennungstools aus dem Windows-Kernel durch, um die Systemstabilität zu verbessern und die Anzahl der Abstürze zu verringern.
  • Ziel dieser Änderung ist es, Sicherheitssoftware auf den Benutzermodus zu beschränken und so Probleme wie den CrowdStrike-Vorfall im Jahr 2024 zu vermeiden, der zu weit verbreiteten Bluescreen-Fehlern führte.
  • Sowohl Microsoft Defender als auch Antivirenlösungen von Drittanbietern bleiben funktionsfähig, jedoch in einer sichereren Umgebung.

Microsofts strategischer Wandel bei Sicherheitssoftware

In einem wichtigen Schritt konfiguriert Microsoft die Funktionsweise von Antiviren- (AV) und Endpoint Detection and Response (EDR)-Software neu, indem es diese aus dem Windows-Kernel entfernt. Diese Initiative befindet sich in der privaten Vorschauphase und ist Teil der umfassenderen Windows Resilience Initiative. Diese langfristige Strategie zielt darauf ab, kritische Systemausfälle zu reduzieren, wie der CrowdStrike-Vorfall im Jahr 2024 deutlich zeigte, der Millionen von Systemen aufgrund eines fehlerhaften Kernel-Updates funktionsunfähig machte.

Gründe für die Änderung

Bisher funktionierten Antiviren- und EDR-Tools im Kernel, der Kernkomponente des Windows-Betriebssystems (einschließlich der Versionen 11 und 10).Diese tiefe Integration ermöglicht zwar eine effektive Bedrohungserkennung, birgt aber auch Risiken: Jeder Fehler oder jedes mangelhafte Update im Kernel kann zu systemweiten Abstürzen führen, wie Stakeholder bei den Problemen von CrowdStrike beobachtet haben.

Durch die Umstellung der AV/EDR-Tools auf den Benutzermodus minimiert Microsoft deren Zugriff auf wichtige Systemelemente. Dadurch sinkt die Wahrscheinlichkeit von Systemabstürzen bei einer Fehlfunktion der Antiviren-Engine erheblich.

Auswirkungen für normale Benutzer

Die meisten Windows 11-Nutzer werden diesen Übergang nicht bemerken, was für Endnutzer eine positive Entwicklung darstellt. Microsoft Defender Antivirus sowie alle installierten Antivirenlösungen von Drittanbietern funktionieren weiterhin reibungslos und funktionieren nun in einer sichereren und besser regulierten Umgebung.

Können Sie Microsoft Defender jetzt deinstallieren? Die Antwort lautet vorerst: Nein. Microsoft Defender wird weiterhin als Standard-Sicherheitssoftware im Betriebssystem dienen, insbesondere für Benutzer, die kein alternatives Antivirenprogramm installieren möchten. Die Migration vom Kernel könnte jedoch letztendlich einen modularen Ansatz ermöglichen, der es Benutzern ermöglicht, Defender zu deaktivieren oder zu ersetzen, ohne die Systemintegrität zu gefährden.

Darüber hinaus bleibt Ihr System auch dann geschützt, wenn ein Antiviren-Update fehlschlägt, was zu einer Verringerung der Bluescreen-of-Death-Ereignisse führt.

Darüber hinaus entwickelt Microsoft eine neue Funktion namens „Quick Machine Recovery“, die es Netzwerkadministratoren ermöglichen soll, Geräte wiederherzustellen, die nicht schnell booten können. Diese Funktion ist eine Reaktion auf die durch den Kernel-Absturz von CrowdStrike verursachten Störungen und wird sowohl Unternehmen als auch Privatkunden zur Verfügung stehen.

Auswirkungen auf Unternehmen

Diese Architekturänderung ist auch für Unternehmen von Vorteil. Antivirenlösungen auf Kernel-Ebene bargen bisher Risiken durch fehlgeschlagene Updates, Treiberkonflikte oder Kompatibilitätsfehler, die mehrere Rechner gleichzeitig lahmlegen konnten. Das neue Design isoliert Sicherheitstools von Drittanbietern vom Betriebssystemkern. Dadurch sind Unternehmen weniger anfällig für Ausfälle und die Wiederherstellung wird vereinfacht.

Microsoft arbeitet proaktiv mit Branchenführern wie CrowdStrike, Bitdefender, Sophos, Trend Micro und ESET zusammen, um sicherzustellen, dass deren Software auch über Kernel-Einschränkungen hinaus funktioniert. Diese Zusammenarbeit unterstreicht, dass die Neugestaltung ein gemeinsames Bestreben zur Verbesserung der Antiviren-Integration in das Betriebssystem ist.

Darüber hinaus ermöglicht diese neue Konfiguration einen kontrollierteren Ansatz bei der Bereitstellung von Sicherheitsupdates und kommt IT-Abteilungen durch schrittweise Einführungen, verbesserte Telemetrie und bessere Rollback-Funktionen zugute.

Umgang mit Anti-Cheat-Systemen beim Spielen

Zusätzlich zu diesen Antiviren-Änderungen ist sich Microsoft bewusst, dass Anti-Cheat-Systeme in Spielen oft auf Kernel-Treiber angewiesen sind, um Cheaten und Speichermanipulationen zu erkennen. Solche Ansätze bergen jedoch das gleiche Instabilitätsrisiko wie Antivirensoftware. Um diesem Problem entgegenzuwirken, arbeitet Microsoft gemeinsam mit Spieleentwicklern an alternativen Anti-Cheat-Mechanismen, die nicht auf Kernel-Ebene ansetzen. Ziel ist es, ein stabileres Spielerlebnis zu ermöglichen und die Anzahl falsch-positiver Sperren zu reduzieren.

Die neu gestaltete Architektur der Antiviren- und EDR-Tools ist derzeit auf Windows 11 und zukünftige Versionen ausgerichtet. Eine Rückportierung auf Windows 10 ist derzeit nicht geplant. Da Microsoft jedoch beabsichtigt, die weitere Nutzung von Windows 10 nach dem Ende des Supports am 14. Oktober 2025 zu ermöglichen, besteht weiterhin die Möglichkeit, dass dieses Update auf die frühere Betriebssystemversion angewendet wird.

Quelle & Bilder

Ähnliche Artikel:

Eine Anleitung zum Spielen des Minecraft RTS Mod: Reign of Nether
Der Schöpfer des Squid-Games spricht über die Gefahren für Nordkorea nach dem Tod eines Schmugglers

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert