Microsoft thay đổi hệ điều hành Windows nhằm ngăn chặn thảm họa kiểu CrowdStrike tiếp theo.

Tác giả tanthanh 10/02/2026 14 phút đọc

Vào mùa hè năm 2024, nhà cung cấp phần mềm chống phần mềm độc hại CrowdStrike của công ty đã đẩy một bản cập nhật bị hỏng lên hàng triệu PC và máy chủ chạy một số phiên bản phần mềm Windows của Microsoft, gỡ bỏ các hệ thống mà cả công ty và người tiêu dùng đều dựa vào để di chuyển bằng đường hàng không, thanh toán, dịch vụ khẩn cấp và cà phê buổi sáng của h. Đó là một sự cố ngừng hoạt động lớn, và nó gây ra nhiều ngày và nhiều tuần đau đớn khi các nhân viên CNTT bị bao vây vĩnh viễn của thế giới đã đưa các hệ thống trở lại trực tuyến, trong một số trường hợp chạm vào từng PC bị ảnh hưởng riêng lẻ để xóa bản cập nhật xấu và đưa hệ thống trở lại và chạy.

Sự cố ngừng hoạt động cuối cùng là lỗi của CrowdStrike, và sau sự cố, công ty đã hứa một danh sách dài các cải tiến quy trình để giữ cho một bản cập nhật xấu như thế không bị ra ngoài lần nữa. Nhưng vì sự cố ngừng hoạt động ảnh hưởng đến hệ thống Windows, Microsoft thường có chia sẻ và đôi khi thậm thanh toán hàng đầu trong tin tức chính thống, phủ sóng—another in một chuỗi những bối rối liên quan đến an ninh điều đó đã thúc đẩy Giám đốc điều hành Satya Nadella và giám đốc điều hành khác hứa rằng công ty sẽ tập trung lại nỗ lực cải thiện tính bảo mật cho sản phẩm của mình.

Sự cố CrowdStrike có thể xảy ra một phần do cách phần mềm chống phần mềm độc hại hoạt động trong Windows. Các nhà cung cấp bảo mật và các sản phẩm AV của họ thường có quyền truy cập vào nhân Windows, nền tảng của hệ điều hành nằm giữa phần cứng của bạn và hầu hết các ứng dụng người dùng. Nhưng hầu hết các ứng dụng người dùng không có quyền truy cập kernel cụ thể vì một ứng dụng lỗi (hoặc một ứng dụng bị phần mềm độc hại chiếm quyền điều khiển) có quyền truy cập kernel có thể làm toàn bộ hệ thống bị hỏng thay vì chỉ ảnh hưởng đến ứng dụng cập nhật CrowdStrike xấu chủ yếu là do nó được tải quá sớm trong quá trình khởi động Windows’ mà nhiều hệ thống không thể kiểm tra và tải xuống bản sửa lỗi CrowdStrike trước khi chúng bị lỗi.

Là một phần của một bài đăng blog bảo mật trên phạm vi rộng đầu tuần này, Microsoft đã công bố một thay đổi dường như nhỏ có thể có tác động lớn: “bản xem trước riêng tư của nền tảng bảo mật điểm cuối Windows” mà “sẽ cho phép [nhà cung cấp bảo mật điểm cuối] bắt đầu xây dựng giải pháp của họ để chạy bên ngoài nhân Windows.”

“Điều này có nghĩa là các sản phẩm bảo mật như giải pháp chống vi-rút và bảo vệ điểm cuối có thể chạy ở chế độ người dùng giống như các ứng dụng, ông David Weston, Phó chủ tịch phụ trách bảo mật hệ điều hành và doanh nghiệp của Microsoft viết. “Thay đổi này sẽ giúp các nhà phát triển bảo mật cung cấp mức độ tin cậy cao và phục hồi dễ dàng hơn dẫn đến ít tác động hơn đến các thiết bị Windows trong trường hợp xảy ra sự cố không mong muốn.”

Bản xem trước này sẽ được gửi đến các công ty tham gia Microsoft Virus Initiative (MVI) của Microsoft, một danh sách bao gồm CrowdStrike, Bitdefender, ESET, SentinelOne, Trellix, Trend Micro và WithSecure. Các công ty đó đều có đại diện được trích dẫn trong bài đăng trên blog của Microsoft, tất cả đều cung cấp một số phiên bản (để diễn giải) bảo mật “là quan trọng và chúng tôi rất vui khi được làm việc với Microsoft để làm cho nó tốt hơn.”

Ngôn ngữ của Microsoft nói rằng các nhà cung cấp bảo mật có thể phát triển các ứng dụng bảo mật hoạt động ở chế độ người dùng nhưng không phải ở chế độ đó phải làm vậy. Không rõ liệu thông báo này có phải là bước đầu tiên hướng tới việc khởi động hoàn toàn các công ty bảo mật của bên thứ ba ra khỏi nhân Windows hay nó chỉ đơn giản là một tùy chọn mới, hoàn hảo hơn cho các công ty có phần mềm không cần mức truy cập đó.

Một ý tưởng với một số hành lý

Những nỗ lực của Microsoft nhằm hạn chế các công ty bảo mật bên thứ ba truy cập vào nhân Windows đã gây tranh cãi trong quá kh. Trở lại năm 2006, khi Microsoft đồng thời phát triển Windows Vista và xây dựng nền tảng cho những gì sẽ trở thành phiên bản 64-bit ngày nay của Windows, Microsoft muốn hạn chế các công ty bảo mật từ việc vá kernel như họ đã có thể trong các phiên bản Windows 32 bit, nhấn mạnh rằng họ làm như vậy bằng cách sử dụng các API bảo mật bị hạn chế hơn thay th.

Nhưng Microsoft cũng đã bắt đầu cung cấp các sản phẩm chống vi-rút của riêng mình vào thời điểm đó, bao gồm cả phiên bản đầu tiên của Windows Defender. Các công ty như Symantec lập luận rằng việc hạn chế quyền truy cập của họ vào kernel là chống cạnh tranh và nó sẽ cung cấp cho các sản phẩm bảo mật của riêng Microsoft khả năng mà các bên thứ ba không thể cung cấp.

Làm việc với các công ty bên thứ ba để xác định các tiêu chuẩn này và giải quyết những lo ngại về các công ty’ đó dường như là cách Microsoft cố gắng tránh loại tranh cãi đó lần này.

“Chúng tôi sẽ tiếp tục hợp tác sâu sắc với các đối tác MVI của mình trong suốt quá trình xem trước riêng tư, Weston viết.

Cái chết đến vì màn hình xanh

black-screen-of-death — Microsoft đang thay đổi chữ “b” trong BSoD, nhưng điều đó ít thú vị hơn so với những thay đổi bên trong hệ thống. Credit: Microsoft

Nhiều thay đổi đang đến với màn hình khởi động lại bất ngờ “,” tên chính thức ít xúc phạm hơn cho những gì nhiều người dùng Windows biết thông tục là “màn hình xanh chết chóc.” Để bắt đầu, màn hình bây giờ sẽ có màu đen thay vì màu xanh, một thay đổi mà Microsoft đã cố gắng thực hiện trong thời gian ngắn trong những ngày đầu của Windows 11 nhưng sau đó đã quay trở lại.

Màn hình khởi động lại bất ngờ đã được “đơn giản hóa” theo cách “cải thiện khả năng đọc và căn chỉnh tốt hơn với các nguyên tắc thiết kế của Windows 11, đồng thời bảo toàn thông tin kỹ thuật trên màn hình khi cần thiết.”

Nhưng sự thay đổi có ý nghĩa hơn nằm ở phần dưới, dưới dạng một tính năng mới gọi là “quick machine recovery” (QMR).

Nếu một PC Windows có nhiều lần khởi động lại bất ngờ hoặc tham gia vào một loop—as khởi động đã xảy ra với nhiều hệ thống bị ảnh hưởng bởi bug— CrowdStrike PC sẽ cố gắng khởi động vào Windows RE, một môi trường khôi phục rút gọn cung cấp một số tùy chọn chẩn đoán và có thể được sử dụng để vào Chế độ an toàn hoặc mở chương trình cơ sở UEFI của PC. QMR sẽ cho phép Microsoft “triển khai rộng rãi các biện pháp khắc phục có mục tiêu cho các thiết bị bị ảnh hưởng thông qua Windows RE,” giúp khắc phục một số sự cố ngay cả khi PC không thể khởi động vào Windows tiêu chuẩn, “nhanh chóng đưa người dùng đến trạng thái hiệu quả mà không cần phức tạp can thiệp thủ công từ IT.”

QMR sẽ được bật theo mặc định trên Windows 11 Home, trong khi phiên bản Pro và Enterprise sẽ được quản trị viên CNTT cấu hình. Chức năng QMR và phiên bản màu đen của màn hình xanh chết chóc đều sẽ được thêm vào Windows 11 24H2 vào cuối mùa hè này. Microsoft có kế hoạch bổ sung thêm các tùy chọn tùy chỉnh cho QMR “vào cuối năm nay.”