这次蓝屏事件才发现，原来那么多物联网设备用了 windows 系统

@james122333 告诉你一个不幸的消息，4 月份的时候 Crowdstrike 已经炸了 Linux 阵营的商业用户一波，Debian 系首当其冲，但是因为 Linux 用户基数太小，几乎没有引起什么波澜，更不谈赔偿。问题定位过了整整一天才弄清楚，过了更长时间 Crowdstrike 才承认是他们的问题；而且这波过了以后，Redhat 系的 Rocky Linux 又被同样炸了一波，同样的原因，更长的修复时间。

@Andim 建行目前全部都是 win7 特别订制版呢

@kk2syc 其实 Windows 7 Embedded Standard 这个系统还是非常优秀的，如果有应用技持的话，
4G 内存可以非常流畅的运行

@shijingshijing

这我早就知道了 虽说这阵子我是第一次知道这个软件 撇除管控不讲 搞防毒在 linux 下是很可笑的 当然不是说没有 但是机制才是最重要的
写在驱动层更是种傻行为 首先不用这种东西是最好的 即便真的用了 linux 下方便的跳过也简单 不用停摆那么久损失这么多 这是我的原意

@shijingshijing

而且果不其然支援最好的 linux 就是那些
有品牌价值的

@james122333

首先，这不是简单的防病毒软件，是 EDR ，两者有本质区别。
其次，要实现有些权限较高的功能，只能以驱动的形式嵌入到内核里，不管是 Windows 还是 Linux ，实现方法有差异，但原理是类似的，Linux 下面同样会 panic ，而且 Linux 发行版众多，恢复难易程度差异会很大。
最后，这次出问题的不只是软件本身，更大的问题是这个公司的软件工程和项目管理方面的问题，测试不充分，推送策略有问题，最终导致了大规模爆发。

@shijingshijing

差不多的 只是分析更多
这是亡羊补牢 不是釜底抽薪
个人不看好这种东西
至于它实现的不好导致 panic 那是它的问题
我是说正常驱动不应该导致 panic
而测试再多依究都是亡羊补牢而不是釜底抽薪

@shijingshijing linux 和 macos 都提供用户空间的内核扩展接口吧

@moudy

是这样但这样效能不能保证

@MaxLen linux 厂商驱动一定不会很全，处处制约。写一个驱动首先要考虑如何避开 gpl 许可证 API 不然就得被迫开源，那就得绞尽脑汁想如何在用户层实现。而且实现 gui 就更麻烦了，你得考虑系统桌面的库有什么是否可以兼容运行。相反，windows 简单太多了

@saltedfishgames

gui 不需要考虑这个 因为你把库装上即可

@saltedfishgames

但讲究一致性不突兀是另外一回事

@james122333 讲个人感觉没用，这是商业利益。企业要满足信息安全合规，你说要靠机制，有没想过这类终端监管正是机制的一部分，而且有可能是性价比最高的一部分。不要把你家管理几台台式机笔记本 nas 的经验套用到大公司上万台机器的场景上去。如果还不清楚，可以想想你现在要给娃配电脑，电脑他二十四小时带在身边，你今后没正当理由不会拿回来。你要满足他装各种学习软件（上课老师说装啥，当场就能装）还要防着他下载同学扔过来的不明小游戏安装，不可描述视频文件及网站，即使被搞了，回家接上你家 wifi 不会把内网什么小爱音箱，智能灯泡啥的 hack 当跳板，你准备用什么技术方案

这个东西吧，你要是说把 Linux 放到那个场景不需要 EDR 软件，其实 Windows 也可以不需要。到时候写坏了该崩还是崩。
@james122333
话说先行 Linux 发行版有办法配置成发生故障时自动切换内核吗

@saltedfishgames 微软有一整套的内核扩展模块的分析软件，基于形式化分析和 formal analysis 原理，能够找出很深的 nullptr 解引用等 bug 。win 驱动要求强制过这个质量标准才给内核证书的。但是这次的问题是更新的资源文件带进来的，这微软真是放不了了

@Andim 4G ！太多了，都是 2G 。系统内驱动全部阉割，只有特定的几个驱动，以前运维随便什么键盘，现在还得带专门定制芯片的键盘才行

现在还一大堆政府企业医院系统，是十几二十年前做的，为啥不重新做 1 个呢。是不想么。

要钱的啊。。哥哥。。

@moudy

我是说安全靠机制与选用好的技术 监控是另外一件事情

@iseki

win 需要的 因为 win 并没有办法给你自己选用系统组件

听说装了那个软件的 linux 也中招了😅