Protokoll for tidlig lansering av anti-malware (ELAM) i Windows

Windows 10/8 inneholder en ny sikkerhetsfunksjon som kalles Secure Boot, som beskytter Windows-oppstartskonfigurasjonen og komponentene, og laster inn en Anti-malware for tidlig start (ELAM) driver. Denne driveren starter før andre oppstartsdrivere og muliggjør evaluering av disse driverne, og hjelper Windows-kjernen til å avgjøre om de skal initialiseres. Ved å bli lansert først av kjernen, er ELAM sikret at den lanseres før noen annen tredjeparts programvare. Det er derfor i stand til å oppdage malware i selve oppstartsprosessen og forhindre at den lastes eller initialiseres.

Tidlig lansering Anti-Malware Protection

Windows Defender utnytter Anti-Malware for tidlig oppstart, og Derfor ser du at den ikke laster lenger etter at oppstartsprosessen er fullført, men tidlig i oppstartsprosessen.

Tredjeparts antivirusprogramvare kan også dra nytte av ELAM-teknologien. For å gjøre det, må de integrere den samme Early Launch Anti-Malware-funksjonen (ELAM) i programvaren. For å hjelpe sikkerhetsprogramvareleverandører påbegynt, har Microsoft gitt ut en hvittekst som gir informasjon om å utvikle Early Launch Anti-Malware (ELAM) drivere for Windows-operativsystemer. Det gir retningslinjer for anti-malware-utviklere for å utvikle anti-malware-drivere som initialiseres før andre oppstartsdrivere, og sørge for at de påfølgende driverne ikke inneholder skadelig programvare. Flere antivirusprogrammer, som har gitt ut sine oppdaterte løsninger for Windows, inneholder allerede denne teknologien.

Startstart-driveren for Early Launch Antimalware har klassifisert driverne på følgende måte:

1. Bra : Føreren har blitt signert og har ikke blitt manipulert.
2. Dårlig : Driveren er blitt identifisert som skadelig programvare. Det anbefales at du ikke tillater at kjente dårlige drivere blir initialisert.
3. Dårlig, men nødvendig for oppstart : Driveren har blitt identifisert som skadelig programvare, men datamaskinen kan ikke starte opp uten å laste inn denne driveren.
4. Ukjent : Denne driveren har ikke blitt bekreftet av programvaren for skadelig programvare og har ikke blitt klassifisert av startstartdriveren for Early Launch Antimalware.

Som standard laster Windows 8 de driverne som er klassifisert som God, Ukjent og dårlig, men Boot Critical; dvs. 1, 3 og 4 ovenfor. Dårlige drivere er ikke lastet.

Konfigurer startinitieringsinitialiseringspolicy ved hjelp av gruppepolicyredigerer

Mens denne innstillingen er best igjen ved standardverdien, kan du endre denne innstillingen via Gruppepolicyen din Editor . For å gjøre det, åpne WinX-menyen> Kjør> gpedit.msc> Hit Enter. Naviger til følgende policyinnstilling:

Datamaskinkonfigurasjon> Administrative maler> System> Early Launch Antimalware

Dobbeltklikk på Initialiseringsregler for startoppstart i den høyre ruten for å konfigurere den.

Du vil se standardkonfigurasjonen på Ikke konfigurert. Hvis du deaktiverer eller ikke konfigurerer denne policyinnstillingen, startes startstartdriverne som er gode, ukjente eller dårlige, men oppstartskritiske, og initieringen av drivere som er bestemt for å være dårlig, hoppes over.

Hvis du Aktiver denne policyinnstillingen, og du vil kunne velge hvilke startstartdrivere som skal initialiseres neste gang datamaskinen startes.

Hvis du bruker Windows 8/10, vil du sjekke om anti-malware Programvaren inkluderer en startstartdriver for Early Launch Antimalware. Hvis ikke, vil alle startstartdrivere bli initialisert, og du vil ikke kunne dra nytte av denne nye ELAM-teknologien.