Technologia ochrony przed uruchomieniem programu Early Launch Anti-Malware (ELAM) w systemie Windows

System Windows 10/8 zawiera nową funkcję bezpieczeństwa o nazwie Bezpieczne uruchamianie, która chroni konfigurację i składniki rozruchowe systemu Windows, a także ładuje Wczesne uruchamianie modułu Anti-Malware (ELAM). Sterownik ten uruchamia się przed innymi sterownikami rozruchowymi i umożliwia ocenę tych sterowników oraz pomaga jądrze systemu Windows w podjęciu decyzji, czy należy je zainicjować. Dzięki uruchomieniu najpierw przez jądro ELAM zapewnia, że ​​jest uruchamiany przed jakimkolwiek oprogramowaniem innych firm. W związku z tym jest w stanie wykryć szkodliwe oprogramowanie w samym procesie rozruchu i uniemożliwić jego załadowanie lub zainicjowanie.

Wczesne uruchamianie Zabezpieczenie przed złośliwym oprogramowaniem

Program Windows Defender korzysta z wczesnego uruchamiania modułu Anti-Malware, a także w związku z tym widzisz, że nie ładuje się już po zakończeniu procesu uruchamiania, ale wcześnie podczas procesu uruchamiania.

Oprogramowanie antywirusowe innych firm również może korzystać z technologii ELAM. Aby to zrobić, będą musieli zintegrować tę samą funkcję wczesnego uruchamiania programu Anti-Malware (ELAM) w swoim oprogramowaniu. Aby pomóc producentom oprogramowania zabezpieczającego rozpocząć pracę, firma Microsoft wydała oficjalny dokument zawierający informacje o tworzeniu sterowników wczesnego uruchamiania programu Anti-Malware (ELAM) dla systemów operacyjnych Windows. Zawiera wskazówki dla programistów ochrony przed złośliwym oprogramowaniem do opracowywania sterowników anty-malware, które są inicjowane przed innymi sterownikami rozruchowymi i zapewniają, że te kolejne sterowniki nie zawierają złośliwego oprogramowania. Niektóre firmy antywirusowe, które wydały zaktualizowane rozwiązania dla systemu Windows, już zawierają tę technologię.

Sterownik rozruchu systemu wczesnego uruchamiania systemu Antimalware sklasyfikował sterowniki w następujący sposób:

1. Dobrze : Sterownik został podpisany i ma nie zostało naruszone.
2. Bad : Sterownik został zidentyfikowany jako złośliwe oprogramowanie. Zaleca się, aby nie zezwalać na inicjowanie znanych złych sterowników.
3. Złe, ale wymagane do rozruchu : Sterownik został zidentyfikowany jako złośliwe oprogramowanie, ale komputer nie może się poprawnie uruchomić bez załadowania tego sterownika.
4. Nieznany : ten sterownik nie został poświadczony przez twoją aplikację do wykrywania złośliwego oprogramowania i nie został sklasyfikowany przez sterownik uruchamiania startowego systemu wczesnego uruchamiania Antimalware.

Domyślnie Windows 8 ładuje sterowniki, które zostały sklasyfikowane jako dobre, Nieznany i Zły, ale Krytyczny rozruch; tj. 1, 3 i 4 powyżej. Złe sterowniki nie zostały załadowane.

Skonfiguruj zasady inicjowania sterownika rozruchu przy użyciu Edytora zasad grupy

Jeśli to ustawienie najlepiej pozostawić na wartości domyślnej, możesz zmienić to ustawienie za pomocą Zasad grupy Edytor . Aby to zrobić, otwórz menu WinX> Uruchom> gpedit.msc> Naciśnij Enter. Przejdź do następującego ustawienia zasad:

Konfiguracja komputera> Szablony administracyjne> System> Antimalware wczesnego uruchamiania

W prawym okienku kliknij dwukrotnie pozycję Zasady inicjowania sterownika rozruchu , aby ją skonfigurować.

Zobaczysz domyślną konfigurację Nie skonfigurowano. Jeśli wyłączysz lub nie skonfigurujesz tego ustawienia zasad, zostaną określone sterowniki startowe, które zostały uznane za dobre, nieznane lub złe, ale rozruchowe krytyczne, a inicjalizacja sterowników określona jako zła zostanie pominięta.

Jeśli Włącz to ustawienie zasad, będziesz mógł wybrać, które sterowniki rozruchowe zainicjować przy następnym uruchomieniu komputera.

Jeśli używasz systemu Windows 8/10, chcesz sprawdzić, czy twój program antywirusowy oprogramowanie zawiera sterownik uruchamiania startowego Antimalware Early Launch. Jeśli nie, wszystkie sterowniki rozruchowe zostaną zainicjowane i nie będziesz mógł skorzystać z tej nowej technologii ELAM.