最近由CrowdStrike觸發的Windows操作系統大規模宕機事件引發了業界的廣泛關注。微軟近日表示，這可能是因為歐盟委員會在2009年實施的一項互操作性協議帶來的安全隱患。

　　微軟發言人在接受《華爾街日報》采訪時表示，這項協議導致微軟出于安全目的無法完全鎖定Windows操作系統。

　　由于簽署了互操作性協議，微軟不得不向安全軟件制造商授予與微軟自身相同的Windows訪問權限。

　　微軟網站上的一個文件概述了這項協議的內容：“微軟應確保第三方軟件產品能夠與其他微軟軟件產品一樣，在平等的基礎上使用相同的互操作性信息，與微軟的相關軟件產品進行互操作。”

　　歐盟法律要求開放API訪問

　　根據協議，微軟需要向第三方安全軟件制造商提供其安全產品在Windows客戶端和服務器操作系統中使用的API。此外，微軟被要求在開發者網絡上記錄這些API，除非這樣做會帶來安全風險。

　　由于歐盟加大了打擊大型科技公司反競爭行為的力度，因此不太可能允許微軟)進一步鎖定Windows操作系統，盡管微軟認為這可能帶來更多的好處。

　　除了Windows客戶端和服務器操作系統之外，根據協議，軟件開發商還可以訪問微軟的PC生產力應用程序、SharePoint,、Outlook和Exchange、以及.NET框架。

　　有趣的是，歐盟還沒能與蘋果或谷歌達成這樣的協議，macOS和ChromeOS都沒有受到任何包容性義務的約束。這可能與這些公司在商業模式方面與微軟不同有關。蘋果公司對其軟件進行了封閉式集成，而谷歌的開源Android平臺已經有了很大的透明度。

　　Crowdstrike導致的宕機本可以避免

　　雖然該協議本身旨在通過使第三方軟件供應商能夠與微軟的產品無縫集成和運行，從而確保公平的競爭環境，但從安全的角度來看并不盡如人意，因為它向第三方開放了關鍵的系統，有時甚至可能導致大規模的宕機或中斷，就像最近CrowdStrike補丁導致的重大服務中斷等安全事件一樣。

　　咨詢機構Pareekh Consulting的CEO兼首席分析師Pareekh Jain為此表示：“這一事件凸顯了歐盟法律規定的開放系統和API訪問安全供應商的風險。展望未來，立法者需特別關注安全領域的考量，既要倡導開放獲取的原則，又需要確保為安全軟件公司構建公平的競爭環境。”

　　CrowdStrike導致的宕機事件是由Windows主機的Falcon內容更新中發現的一個缺陷引起的，這一事實得到了CrowdStrike CEO George Kurtz的確認。

　　分析認為，如果沒有互操作性義務的約束，或許微軟能夠在最短79分鐘內迅速采取措施，有效阻止將這個更新推送到在全球范圍內運行Windows操作系統的設備上。