Forstå Early Launch Anti-Malware (ELAM) beskyttelsesteknologi i Windows
Windows 10/8 inneholder en ny sikkerhetsfunksjon som kalles Secure Boot, som beskytter Windows-oppstartskonfigurasjonen og komponentene, og laster en Tidlig lansering av anti-malware (ELAM) driver. Denne driveren starter før andre startstartdrivere og muliggjør evaluering av disse driverne, og hjelper Windows-kjernen til å avgjøre om de skal initialiseres. Ved å bli lansert først av kjernen, er ELAM sikret at den lanseres før noen annen tredjeparts programvare. Det er derfor i stand til å oppdage malware i oppstartsprosessen selv og forhindre at den lastes eller initialiseres.
Først Start Anti-Malware beskyttelse
Windows Defender utnytter Early-Launch Anti-Malware, og du ser derfor at den ikke laster lenger etter at oppstartsprosessen er fullført, men tidlig i oppstartsprosessen.
Tredjeparts antivirusprogramvare kan også dra nytte av ELAM-teknologien. For å gjøre det, må de integrere samme Early Launch Anti-Malware (ELAM) evne i programvaren. For å hjelpe sikkerhetsprogramvareleverandørene i gang, har Microsoft gitt ut en hvittekst som gir informasjon om å utvikle Early Launch Anti-Malware (ELAM) drivere for Windows-operativsystemer. Det gir retningslinjer for anti-malware-utviklere å utvikle anti-malware-drivere som initialiseres før andre oppstartsdrivere, og sørge for at de påfølgende driverne ikke inneholder skadelig programvare. Flere antivirus selskaper, som har gitt ut sine oppdaterte løsninger for Windows, har allerede denne teknologien.
Start-start-driveren for Early Launch Antimalware har klassifisert driverne på følgende måte:
- Flink: Føreren har blitt signert og har ikke blitt manipulert med.
- dårlig: Driveren har blitt identifisert som skadelig programvare. Det anbefales at du ikke tillater at kjente dårlige drivere blir initialisert.
- Dårlig, men nødvendig for oppstart: Driveren har blitt identifisert som skadelig programvare, men datamaskinen kan ikke starte opp uten å laste inn denne driveren.
- Ukjent: Denne driveren har ikke blitt bekreftet av malware-deteksjonsprogrammet og har ikke blitt klassifisert av startstart-driveren for tidlig start Antimalware.
Windows 8 laster som standard de driverne som er klassifisert som God, Ukjent og Dårlig, men Boot Critical; dvs. 1, 3 og 4 over. Dårlige drivere er ikke lastet inn.
Konfigurer startinitieringsinitialiseringspolicy ved hjelp av gruppepolicyredigerer
Mens denne innstillingen er best igjen ved standardverdien, kan du endre denne innstillingen via din, hvis du ønsker det Gruppepolicyredigerer. For å gjøre det, åpne WinX-menyen> Kjør> gpedit.msc> Hit Enter. Naviger til følgende policyinnstilling:
Datamaskinkonfigurasjon> Administrative maler> System> Early Launch Antimalware
I høyre rute dobbeltklikker du på Oppstart-Start Driver Initialization Policy å konfigurere den.
Du vil se standard konfigurasjon av Ikke konfigurert. Hvis du deaktiverer eller ikke konfigurerer denne policyinnstillingen, startes startstartdrivere som er gode, ukjente eller dårlige, men oppstartskritiske, og initieringen av drivere som er fast bestemt på å være dårlig, hoppes over.
Hvis du Aktiver Denne policyinnstillingen vil du kunne velge hvilke oppstartsdrivere som skal initialiseres neste gang datamaskinen startes.
Hvis du bruker Windows 8/10, vil du sjekke om din anti-malware-programvare inkluderer en startstart-driver for Early Launch Antimalware. Hvis ikke, vil alle startstartdriverne bli initialisert, og du vil ikke kunne dra nytte av denne nye ELAM-teknologien.