Технология защиты Early Launch Anti-Malware (ELAM) в Windows 10

Windows 10/8 включает новую функцию безопасности под названием « Безопасная загрузка », которая защищает конфигурацию и компоненты загрузки Windows и загружает драйвер раннего запуска защиты от вредоносных программ(Early Launch Anti-malware) ( ELAM ). Этот драйвер запускается перед другими драйверами начальной загрузки и позволяет оценить эти драйверы и помогает ядру Windows(Windows kernel) решить, следует ли их инициализировать. Будучи запущенным сначала ядром, ELAM гарантирует, что он будет запущен раньше любого другого стороннего программного обеспечения. Таким образом, он может обнаруживать вредоносное ПО в самом процессе загрузки и предотвращать его загрузку или инициализацию.

Ранний запуск защиты от вредоносных программ(Launch Anti-Malware)

Защитник Windows(Windows Defender) использует преимущества Early-Launch Anti-Malware , и поэтому вы видите, что он больше не загружается после завершения процесса запуска, а в начале процесса загрузки.

Стороннее антивирусное программное обеспечение также может использовать преимущества технологии ELAM . Для этого им придется интегрировать в свое программное обеспечение ту же функцию раннего запуска защиты от вредоносных программ(Early Launch Anti-Malware) ( ELAM ). Чтобы помочь поставщикам программного обеспечения для обеспечения безопасности начать работу, Microsoft выпустила технический документ, в  котором содержится информация о разработке драйверов Early Launch Anti (ELAM)-Malware(Anti-Malware) ( ELAM(whitepaper) ) для Windows .операционные системы. В нем содержатся рекомендации для разработчиков средств защиты от вредоносных программ по разработке драйверов защиты от вредоносных программ, которые инициализируются перед другими драйверами запуска при загрузке, и обеспечения того, чтобы эти последующие драйверы не содержали вредоносных программ. Несколько антивирусных компаний, выпустивших свои обновленные решения для Windows , уже используют эту технологию.

Загрузочный драйвер Early Launch Antimalware классифицирует драйверы следующим образом:

  1. Хорошо(Good) : Драйвер был подписан и не подвергался подделке.
  2. Плохо(Bad) : драйвер был идентифицирован как вредоносное ПО. Рекомендуется не разрешать инициализацию известных плохих драйверов.
  3. Плохо, но необходимо для загрузки(Bad, but required for boot) : драйвер был идентифицирован как вредоносное ПО, но компьютер не может успешно загрузиться без загрузки этого драйвера.
  4. Неизвестно(Unknown) : этот драйвер не был подтвержден вашим приложением для обнаружения вредоносных программ и не был классифицирован загрузочным драйвером Early Launch Antimalware .

По умолчанию Windows 10 загружает те драйверы, которые были классифицированы как хорошие(Good) , неизвестные(Unknown) и плохие(Bad) , но критические для загрузки(Boot Critical) ; т.е. 1, 3 и 4 выше. Плохие(Bad) драйвера не загружаются.

Настройка политики инициализации драйвера Boot-Start(Boot-Start Driver Initialization Policy) с помощью редактора групповой политики(Group Policy Editor)

Хотя для этого параметра лучше всего оставить значение по умолчанию, при желании вы можете изменить этот параметр с помощью редактора групповой политики(Group Policy Editor) . Для этого откройте меню WinX > Run > gpedit.msc > Нажмите Enter(Hit Enter) . Перейдите(Navigate) к следующему параметру политики:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

Ранний запуск защиты от вредоносных программ

На правой панели дважды щелкните  Политику инициализации драйвера(Boot-Start Driver Initialization Policy) при загрузке , чтобы настроить ее.

Вы увидите конфигурацию по умолчанию Not Configured . Если вы отключите или не настроите этот параметр политики, инициализируются драйверы запуска, определенные как «Хорошие», « Неизвестные(Unknown) » или « Плохие(Bad) , но критически важные для загрузки(Boot Critical) », а инициализация драйверов, определенных как « Плохие(Bad) » , пропускается.

Если вы включите(Enable) этот параметр политики, вы сможете выбрать, какие драйверы начальной загрузки следует инициализировать при следующем запуске компьютера.

Если вы используете Windows 10/8 , вы хотите проверить, включает ли ваше антивирусное программное обеспечение загрузочный драйвер Early Launch Antimalware . В противном случае все драйверы начальной загрузки будут инициализированы, и вы не сможете воспользоваться преимуществами этой новой технологии ELAM .



About the author

Я разработчик бесплатного программного обеспечения и сторонник Windows Vista/7. Я написал несколько сотен статей на различные темы, связанные с операционной системой, включая советы и рекомендации, руководства по ремонту и рекомендации. Я также предлагаю консультационные услуги, связанные с офисом, через мою компанию Help Desk Services. Я хорошо понимаю, как работает Office 365, его функции и способы их наиболее эффективного использования.



Related posts