Технология ранней защиты от вредоносных программ (ELAM) в Windows

В Windows 10/8 включена новая функция безопасности под названием «Безопасная загрузка», которая защищает конфигурацию и компоненты загрузки Windows и загружает Early Launch Anti-malware (ELAM). Этот драйвер запускается перед другими драйверами загрузки и позволяет оценивать эти драйверы и помогает ядру Windows решить, должны ли они быть инициализированы. При первом запуске ядра ELAM обеспечивает его запуск перед любым другим сторонним программным обеспечением. Таким образом, он способен обнаруживать вредоносное ПО в самом процессе загрузки и предотвращать его загрузку или инициализацию.

Ранняя активация защиты от вредоносных программ

Защитник Windows использует преимущества раннего запуска антивирусной защиты и вы, следовательно, видите, что он больше не загружается после завершения процесса запуска, но в начале процесса загрузки.

Стороннее антивирусное программное обеспечение также может воспользоваться технологией ELAM. Для этого им необходимо будет интегрировать те же возможности раннего запуска антивирусной защиты (ELAM) в свое программное обеспечение. Чтобы помочь разработчикам программного обеспечения для обеспечения безопасности, Microsoft выпустила технический документ, который содержит информацию о разработке драйверов раннего запуска анти-вредоносного ПО (ELAM) для операционных систем Windows. В нем содержатся рекомендации для разработчиков антивирусных программ для разработки драйверов антивирусных программ, которые инициализируются перед другими драйверами загрузки, и убедитесь, что эти последующие драйверы не содержат вредоносных программ. Несколько антивирусных компаний, выпустивших свои обновленные решения для Windows, уже используют эту технологию.

Драйвер начальной загрузки раннего запуска Antimalware классифицировал драйверы следующим образом:

1. Good : драйвер был подписан и имеет не был подделан.
2. Плохо : Драйвер был идентифицирован как вредоносная программа. Рекомендуется не инициализировать известные неисправные драйверы.
3. Плохо, но необходимо для загрузки : драйвер был идентифицирован как вредоносная программа, но компьютер не может успешно загрузиться без загрузки этого драйвера.
4. Неизвестно : этот драйвер не был подтвержден вашим программным обеспечением обнаружения вредоносных программ и не был классифицирован драйвером начальной загрузки раннего запуска Antimalware.

По умолчанию Windows 8 загружает те драйверы, которые были классифицированы как «Хорошие», Неизвестно и плохо, но Boot Critical; т.е. 1, 3 и 4 выше. Плохие драйверы не загружены.

Настроить политику инициализации драйвера начальной загрузки с помощью редактора групповой политики

Если этот параметр лучше всего оставить по умолчанию, если вы хотите, вы можете изменить этот параметр с помощью групповой политики Редактор . Для этого откройте меню WinX> Выполнить> gpedit.msc> Нажмите Enter. Перейдите к следующему параметру политики:

Конфигурация компьютера> Административные шаблоны> Система> Раннее запускающее средство защиты от вредоносных программ

В правой панели дважды щелкните по Политика инициализации драйвера загрузки , чтобы настроить его.

Вы увидите конфигурацию по умолчанию Не настроено. Если вы отключите или не настроите этот параметр политики, драйверы начальной загрузки, определенные как «Хорошие», «Неизвестные» или «Плохие», но «Критические загрузки» инициализируются, и инициализация драйверов, определяемая как «Плохо», пропускается.

Если вы Включите этот параметр политики, вы сможете выбрать, какие драйверы начальной загрузки будут инициализироваться при следующем запуске компьютера.

Если вы используете Windows 8/10, вы хотите проверить, существует ли ваша антивирусная программа программное обеспечение включает в себя драйвер начальной загрузки стартового запуска Antimalware. Если этого не произойдет, все загрузочные драйверы будут инициализированы, и вы не сможете воспользоваться этой новой технологией ELAM.