Windows 10/8 включает новую функцию безопасности под названием « Безопасная загрузка », которая защищает конфигурацию и компоненты загрузки Windows и загружает драйвер раннего запуска защиты от вредоносных программ^{(Early Launch Anti-malware)} ( ELAM ). Этот драйвер запускается перед другими драйверами начальной загрузки и позволяет оценить эти драйверы и помогает ядру Windows^{(Windows kernel)} решить, следует ли их инициализировать. Будучи запущенным сначала ядром, ELAM гарантирует, что он будет запущен раньше любого другого стороннего программного обеспечения. Таким образом, он может обнаруживать вредоносное ПО в самом процессе загрузки и предотвращать его загрузку или инициализацию.

Ранний запуск защиты от вредоносных программ^{(Launch Anti-Malware)}

Защитник Windows^{(Windows Defender)} использует преимущества Early-Launch Anti-Malware , и поэтому вы видите, что он больше не загружается после завершения процесса запуска, а в начале процесса загрузки.

Стороннее антивирусное программное обеспечение также может использовать преимущества технологии ELAM . Для этого им придется интегрировать в свое программное обеспечение ту же функцию раннего запуска защиты от вредоносных программ^{(Early Launch Anti-Malware)} ( ELAM ). Чтобы помочь поставщикам программного обеспечения для обеспечения безопасности начать работу, Microsoft выпустила технический документ, в  котором содержится информация о разработке драйверов Early Launch Anti ^(ELAM)-Malware^{(Anti-Malware)} ( ELAM^(whitepaper) ) для Windows .операционные системы. В нем содержатся рекомендации для разработчиков средств защиты от вредоносных программ по разработке драйверов защиты от вредоносных программ, которые инициализируются перед другими драйверами запуска при загрузке, и обеспечения того, чтобы эти последующие драйверы не содержали вредоносных программ. Несколько антивирусных компаний, выпустивших свои обновленные решения для Windows , уже используют эту технологию.

Загрузочный драйвер Early Launch Antimalware классифицирует драйверы следующим образом:

1. Хорошо^(Good) : Драйвер был подписан и не подвергался подделке.
2. Плохо^(Bad) : драйвер был идентифицирован как вредоносное ПО. Рекомендуется не разрешать инициализацию известных плохих драйверов.
3. Плохо, но необходимо для загрузки^{(Bad, but required for boot)} : драйвер был идентифицирован как вредоносное ПО, но компьютер не может успешно загрузиться без загрузки этого драйвера.
4. Неизвестно^(Unknown) : этот драйвер не был подтвержден вашим приложением для обнаружения вредоносных программ и не был классифицирован загрузочным драйвером Early Launch Antimalware .

По умолчанию Windows 10 загружает те драйверы, которые были классифицированы как хорошие^(Good) , неизвестные^(Unknown) и плохие^(Bad) , но критические для загрузки^{(Boot Critical)} ; т.е. 1, 3 и 4 выше. Плохие^(Bad) драйвера не загружаются.

Настройка политики инициализации драйвера Boot-Start^{(Boot-Start Driver Initialization Policy)} с помощью редактора групповой политики^{(Group Policy Editor)}

Хотя для этого параметра лучше всего оставить значение по умолчанию, при желании вы можете изменить этот параметр с помощью редактора групповой политики^{(Group Policy Editor)} . Для этого откройте меню WinX > Run > gpedit.msc > Нажмите Enter^{(Hit Enter)} . Перейдите^(Navigate) к следующему параметру политики:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

На правой панели дважды щелкните  Политику инициализации драйвера^{(Boot-Start Driver Initialization Policy)} при загрузке , чтобы настроить ее.

Вы увидите конфигурацию по умолчанию Not Configured . Если вы отключите или не настроите этот параметр политики, инициализируются драйверы запуска, определенные как «Хорошие», « Неизвестные^(Unknown) » или « Плохие^(Bad) , но критически важные для загрузки^{(Boot Critical)} », а инициализация драйверов, определенных как « Плохие^(Bad) » , пропускается.

Если вы включите^(Enable) этот параметр политики, вы сможете выбрать, какие драйверы начальной загрузки следует инициализировать при следующем запуске компьютера.

Если вы используете Windows 10/8 , вы хотите проверить, включает ли ваше антивирусное программное обеспечение загрузочный драйвер Early Launch Antimalware . В противном случае все драйверы начальной загрузки будут инициализированы, и вы не сможете воспользоваться преимуществами этой новой технологии ELAM .

Early Launch Anti-Malware (ELAM) protection technology in Windows 10

Windows 10/8 includes a new security feature called Secure Boot, which рrotects the Windows boot configuration and compоnents, and loads an Early Launch Anti-malware (ELAM) driver. This driver starts before other boot-start drivers and enables the evaluation of those drivers and helps the Windows kernel decide whether they should be initialized. By being launched first by the kernel, ELAM is ensured that it is launched before any other third-party software. It is, therefore, able to detect malware in the boot process itself and prevent it from loading or initializing.

Early Launch Anti-Malware protection

Windows Defender takes advantage of Early-Launch Anti-Malware, and you, therefore, see that it no longer loads after the start-up process is complete, but early on during the boot process.

Third-party antivirus software too, is able to take advantage of the ELAM technology. To do so, they will have to integrate the same Early Launch Anti-Malware (ELAM) capability in their software. To help security software vendors get started, Microsoft has released a whitepaper that provides information about developing Early Launch Anti-Malware (ELAM) drivers for Windows operating systems. It provides guidelines for anti-malware developers to develop anti-malware drivers that are initialized before other boot-start drivers, and ensure that those subsequent drivers do not contain malware. Several antivirus companies, who have released their updated solutions for Windows already incorporate this technology.

The Early Launch Antimalware boot-start driver has classified the drivers as follows:

1. Good: The driver has been signed and has not been tampered with.
2. Bad: The driver has been identified as malware. It is recommended that you do not allow known bad drivers to be initialized.
3. Bad, but required for boot: The driver has been identified as malware, but the computer cannot successfully boot without loading this driver.
4. Unknown: This driver has not been attested to by your malware detection application and has not been classified by the Early Launch Antimalware boot-start driver.

By default, Windows 10 loads those drivers which have been classified as Good, Unknown, and Bad but Boot Critical; ie 1, 3 and 4 above. Bad drivers are not loaded.

Configure Boot-Start Driver Initialization Policy using Group Policy Editor

While this setting is best left at its default value, if you wish, you can change this setting via your Group Policy Editor. To do so, open the WinX menu > Run > gpedit.msc > Hit Enter. Navigate to the following policy setting:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

In the right pane, double-click on  Boot-Start Driver Initialization Policy to configure it.

You will see the default configuration of Not Configured. If you disable or do not configure this policy setting, the boot-start drivers determined to be Good, Unknown or Bad but Boot Critical are initialized, and the initialization of drivers determined to be Bad is skipped.

If you Enable this policy setting, you will be able to choose which boot-start drivers to initialize the next time the computer is started.

If you are using Windows 10/8, you want to check if your anti-malware software includes an Early Launch Antimalware boot-start driver. If it doesn’t, all boot-start drivers will be initialized, and you will not be able to take advantage of this new ELAM technology.

Related posts

• Включить Enhanced Anti-Spoofing в Windows 10 Hello Face Authentication

• Как отформатировать компьютер Windows 10

• Особенности удалены в Windows 10 v 21H1

• Как включить или Disable Automatic Learning в Windows 10

• Включить, Disable Data Collection для Reliability Monitor в Windows 10

• Stop Windows 10 от обновления до следующей версии или установка функции Update

• Включить или Off Caret Browsing Support в Windows 10

• Что такое пакет включения в Windows 10

• Как использовать Reliability Monitor в Windows 10

• New Особенности для ИТ-профи в Windows 10 v 20H2 October 2020 Update

• Как отключить или, включить и настроить Focus Assist на Windows 10

• Как отключить Windows Mobility Centre в Windows 10

• Convert PowerShell script (PS1) Файл на EXE с IExpress в Windows 10

• Hide Toolbars option в Taskbar Context Menu в Windows 10

• Свойства принтера Features section отсутствуют в Windows 10

• Специальные возможности Windows 10 для людей с ограниченными возможностями

• Analyze Wait Chain: Identify hung или замороженный процесс в Windows 10

• Как просмотреть DPI Awareness Mode Apps в Windows 10 Task Manager

• Cortana Features, Tips and Tricks в Windows 10

• Как уменьшить Taskbar Updates для News & Interests в Windows 10