在 2024 年 CrowdStrike 全球大规模蓝屏[*]机事件之后，微软启动了 Windows Resilience Initiative长期战略，目标是减少关键系统故障。

　　而在 Windows 内核中移除 AV 和 EDR 工具，是推进该长期战略的关键一环，即将进入私有预览阶段。

　　AV 和 EDR 工具目前在内核深处运行，以获取对进程、内存和驱动程序的全访问权限，虽然有效捕捉到高级威胁，但同时也带来了风险，内核中的错误或不良更新可能导致整个系统崩溃。

　　微软通过移除 AV / EDR 工具隔离在用户模式之外，减少其对关键系统组件的访问权限，这意味着如果防病毒引擎出现故障，它导致计算机崩溃的可能性将大大降低。

　　对于普通消费者来说，这一转变将基本是无感的。微软 Defender 防病毒可以继续运行，用户的笔记本电脑、平板电脑或台式电脑将保持保护状态。然而，它们将在后台更安全、受控的环境中工作。

　　目前，用户还不能卸载微软 Defender。Defender 仍将是操作系统的默认安全组件，特别是对于不安装第三方 AV 软件的用户。

　　不过，将 Defender 移出内核可能会为后续的模块化打开大门。未来，可能会更容易禁用或替换默认防病毒软件，而不会影响系统完整性。

　　此外，微软还在开发一项名为“快速机器恢复”的新功能，允许网络管理员更快地恢复无法启动的设备，这是对 CrowdStrike 内核崩溃造成的混乱的直接回应。这一功能也将面向消费者，而不仅仅是组织。