微軟從 Windows 核心移除防毒軟體——這為何重要？

• 微軟正在將防毒和終端偵測工具從 Windows 核心移出，以提高系統穩定性並最大限度地降低崩潰風險。
• 這種轉變將把安全軟體隔離在使用者模式下，防止類似 2024 年 CrowdStrike 事件引發大規模藍屏死機錯誤的問題。
• Microsoft Defender 和第三方防毒軟體將繼續正常運行，但運行環境將更安全、更可控。

微軟正在重構防毒 (AV) 和端點偵測與回應 (EDR) 軟體的工作方式，將其從 Windows 核心中移除。這項變更即將進入內部預覽階段，是Windows 彈性計畫 (Windows Resilience Initiative)的一部分。該計劃是一項長期策略，旨在最大限度地減少關鍵系統故障，例如2024 年CrowdStrike事件中，由於核心級更新錯誤，導致數百萬台系統無法使用。

微軟做出這項改變的原因

傳統上，防毒軟體和終端偵測與回應 (EDR) 工具都在核心深處（Windows 11、10 及更早版本中的特權核心）運行，以取得對進程、記憶體和驅動程式的完全存取權。一方面，這使得它們能夠有效地捕捉高級威脅；但另一方面，這也使它們令人擔憂，因為核心中的漏洞或錯誤的更新可能導致整個系統崩潰，正如 CrowdStrike 事件所揭示的那樣。

透過將 AV/EDR 工具隔離在用戶模式下，微軟減少了對關鍵系統組件的訪問，這意味著如果防毒引擎無法正常工作，導致電腦崩潰的可能性會大大降低。

這對一般消費者意味著什麼

對於日常Windows 11用戶而言，這種過渡幾乎不會產生任何影響，這是一件好事。 Microsoft Defender 防毒軟體（或其他任何第三方防毒軟體）將繼續運行，您的筆記型電腦、平板電腦或桌上型電腦仍將受到保護。只不過，它將在後台以更安全、更可控的方式運作。

現在能卸載 Microsoft Defender 了嗎？簡而言之，目前還不行。 Microsoft Defender 仍將是作業系統中的預設安全元件，尤其對於未安裝第三方防毒軟體的使用者而言。不過，將 Defender 從核心移除或許能帶來更高的模組化程度。未來，停用或取代預設防毒軟體可能會變得更加容易，而不會影響系統完整性。

另一點需要指出的是，即使防毒軟體更新失敗，系統的其他部分仍會受到保護，從而減少藍屏死機錯誤。

此外，這家軟體巨頭正在開發一項名為「快速機器復原」的新功能，該功能允許網路管理員更快地恢復無法啟動的設備，這是對 CrowdStrike 核心崩潰造成的混亂的直接回應。這項功能不僅針對企業用戶，也將開放給個人用戶。

這對企業意味著什麼

對於企業和專業人士而言，這也是一項令人欣喜的變革。核心級防毒系統一直存在風險，例如更新失敗、驅動程式衝突或相容性檢查缺失等，這些都可能瞬間導致數千台機器癱瘓。此次架構變更將第三方安全工具與作業系統關鍵層隔離，從而降低了組織機構因係統崩潰而遭受損失的風險，並使其更容易恢復。

微軟已與包括 CrowdStrike、Bitdefender、Sophos、Trend Micro 和 ESET 在內的合作夥伴展開合作，確保他們的工具能夠在核心之外運作。該公司也強調，這並非單方面決定，而是各方協作重新設計防毒軟體與作業系統整合方式的結果。

此外，新平台還允許更有效地控制安全性更新的部署。技術部門將受益於分階段推出、更完善的遙測功能和更強大的回滾選項。

微軟也希望修復反作弊系統。

雖然從核心中移除防毒軟體是一個積極的進步，但這並非唯一的問題。許多遊戲中的反作弊方案都使用核心級驅動程式來偵測作弊工具和記憶體篡改。然而，這會帶來與防毒軟體相同的風險，例如程式碼編寫不佳或更新過時，這些都可能損害系統穩定性。

微軟目前正與遊戲開發商合作，設計非核心反作弊機制，這有望帶來更穩定的遊戲體驗和更少的誤報封鎖。

目前，針對防毒和EDR工具的新架構正在開發中，主要針對Windows 11及未來版本。沒有跡象表明這項變更會向下相容Windows 10。然而，由於該公司計劃讓用戶在2025年10月14日停止支援後更容易繼續使用Windows 10，因此這項變更仍有可能擴展到先前的作業系統版本。