Înțelegerea tehnologiei de protecție Anti-Malware (ELAM) în Windows

Windows 10/8 include o nouă caracteristică de securitate numită Secure Boot, care protejează configurația de boot Windows și componentele și o încarcă Anti-malware de lansare timpurie (ELAM). Acest driver începe înainte de alte drivere de boot-start și permite evaluarea acestor drivere și ajută kernelul Windows să decidă dacă acestea ar trebui inițializate. Prin lansarea mai întâi de kernel, ELAM este asigurat ca acesta să fie lansat înainte de orice alt software terț. Prin urmare, este capabil să detecteze malware-ul în procesul de boot în sine și să îl împiedice să se încarce sau să inițializeze.

Protecție anti-malware de lansare timpurie

Windows Defender beneficiază de Early-Launch Anti-Malware și, prin urmare, văd că nu mai este încărcat după terminarea procesului de pornire, dar mai devreme în timpul procesului de boot.

Antivirus de la terți, de asemenea, pot profita de tehnologia ELAM. Pentru a face acest lucru, ei vor trebui să integreze aceeași capacitate de lansare anti-malware (ELAM) în software-ul lor. Pentru a ajuta furnizorii de software de securitate să înceapă, Microsoft a lansat o imagine albă care oferă informații despre dezvoltarea driverelor Anti-Malware Early Launch (ELAM) pentru sistemele de operare Windows. Acesta oferă orientări pentru dezvoltatorii anti-malware pentru a dezvolta drivere anti-malware care sunt inițializate înaintea altor drivere de boot-start și pentru a se asigura că acele drivere ulterioare nu conțin programe malware. Mai multe companii antivirus, care și-au lansat soluțiile actualizate pentru Windows, au încorporat deja această tehnologie.

Driverul de boot-start Antimalware Launch Early a clasificat driverele după cum urmează:

1. Bun: Driverul a fost semnat și nu a fost manipulat.
2. Rău: Driverul a fost identificat ca malware. Se recomandă să nu permiteți inițierea driverelor cunoscute.
3. Rău, dar necesar pentru boot: Driverul a fost identificat ca malware, dar computerul nu poate porni cu succes fără încărcarea acestui driver.
4. Necunoscut: Acest driver nu a fost atestat de aplicația dvs. de detecție a programelor malware și nu a fost clasificat de către driverul de boot Early Launch Antimalware.

Implicit, Windows 8 încarcă driverele care au fost clasificate drept Bine, Necunoscute și Bad, dar Boot Critical; adică 1, 3 și 4 de mai sus. Driverele greșite nu sunt încărcate.

Configurați politica inițială de inițiere a driverului de pornire utilizând Editorul de politică de grup

În timp ce această setare este mai bine lăsată la valoarea implicită, dacă doriți, puteți schimba această setare prin intermediul dvs. Editor de politici de grup. Pentru a face acest lucru, deschideți meniul WinX> Run> gpedit.msc> Apăsați Enter. Navigați la următoarea setare de politică:

Configurarea computerului> Șabloane de administrare> Sistem> Antimalware de lansare timpurie

În panoul din dreapta, faceți dublu clic pe Începutul politicii de inițializare a driverului de boot pentru ao configura.

Veți vedea configurația implicită din Neconfigurat. Dacă dezactivați sau nu configurați această setare de politică, driverele de pornire pentru pornire sunt determinate ca fiind Bine, Necunoscute sau Rău, dar Boot Critical sunt inițializate și inițiativa driverelor determinată a fi Bad este omisă.

daca tu Permite această setare de politică, veți putea alege care drivere de boot-start să fie inițializate la următoarea pornire a computerului.