Anti-Malware-beskyttelsesteknologi (ELAM) i Windows

Windows 10/8 indeholder en ny sikkerhedsfunktion kaldet Secure Boot, som beskytter Windows-opstartskonfigurationen og -komponenterne og indlæser en Early Launch Anti-Malware (ELAM) driver. Denne driver starter før andre opstartsdrivere og muliggør evaluering af disse drivere, og hjælper Windows-kernen med at beslutte, om de skal initialiseres. Ved at blive lanceret først af kernen er ELAM sikret, at den lanceres inden nogen anden tredjeparts software. Det er derfor i stand til at registrere malware i selve opstartsprocessen og forhindre, at den læses eller initialiseres.

Tidlig start Anti-Malware beskyttelse

Windows Defender udnytter Early-launch Anti-Malware og Derfor ser du, at den ikke længere indlæses efter opstartsprocessen er færdig, men tidligt i løbet af opstartsprocessen.

Tredjeparts antivirusprogrammel kan også drage fordel af ELAM-teknologien. For at gøre det skal de integrere den samme Early Launch Anti-Malware (ELAM) kapacitet i deres software. For at hjælpe sikkerhedssoftwareleverandører i gang, har Microsoft udgivet en hvidbog, der indeholder oplysninger om udvikling af Early Launch Anti Malware (ELAM) drivere til Windows-operativsystemer. Det giver retningslinjer for anti-malware-udviklere at udvikle anti-malware-drivere, der initialiseres før andre opstartsdrivere, og sikre, at de efterfølgende drivere ikke indeholder malware. Flere antivirusvirksomheder, som har udgivet deres opdaterede løsninger til Windows, indbygger allerede denne teknologi.

Startup driveren til Early Launch Antimalware har klassificeret drivere som følger:

1. God : Føreren er blevet underskrevet og har ikke blevet manipuleret.
2. Dårligt : Driveren er blevet identificeret som malware. Det anbefales at du ikke tillader at kendte drevne drivere initialiseres.
3. Dårligt, men det kræves for boot : Driveren er blevet identificeret som malware, men computeren kan ikke starte uden at indlæse denne driver.
4. Ukendt : Denne driver er ikke blevet attesteret af dit malware-genkendelsesprogram og har ikke været klassificeret af startstartdriveren Early Launch Antimalware.

Som standard indlæser Windows 8 de drivere, der er klassificeret som Gode, Ukendt og dårligt, men Boot Critical; dvs. 1, 3 og 4 ovenfor. Dårlige drivere er ikke indlæst.

Konfigurer startinitieringsinitieringspolitik ved hjælp af gruppepolicyeditor

Mens denne indstilling bedst overlades til standardværdien, kan du ændre denne indstilling via din Gruppepolitik Editor . For at gøre det skal du åbne WinX-menuen> Kør> gpedit.msc> Hit Enter. Naviger til følgende politikindstilling:

Computerkonfiguration> Administrative skabeloner> System> Early Launch Antimalware

Dobbeltklik på Initialiseringspolitik i højre rude for at konfigurere det.

Du vil se standardkonfigurationen af ​​ Ikke konfigureret. Hvis du deaktiverer eller ikke konfigurerer denne politikindstilling, initialiseres startstartschaufførerne, der er gode, ukjente eller dårlige, men opstartskritiske, og initialiseringen af ​​drivere, der er fastslået at være dårlige, oversprides.

Hvis du Aktivér denne politikindstilling, du vil kunne vælge, hvilke opstartsdrivere der skal initialiseres, næste gang computeren startes.

Hvis du bruger Windows 8/10, vil du kontrollere, om din anti-malware software indeholder en start-start driver til Early Launch Antimalware. Hvis det ikke gøres, vil alle startstartdrivere blive initialiseret, og du vil ikke kunne udnytte denne nye ELAM-teknologi.