System Windows 10/8 zawiera nową funkcję zabezpieczeń o nazwie Secure Boot , która chroni konfigurację i składniki rozruchu systemu Windows oraz ładuje sterownik ^(Windows)Early Launch Anti-Malware ( ELAM ). Ten sterownik uruchamia się przed innymi sterownikami rozruchu i umożliwia ocenę tych sterowników oraz pomaga jądru systemu Windows^{(Windows kernel)} zdecydować, czy należy je zainicjować. Uruchamiając najpierw jądro, ELAM ma pewność, że zostanie uruchomiony przed jakimkolwiek innym oprogramowaniem innych firm. Dzięki temu jest w stanie wykryć złośliwe oprogramowanie w samym procesie rozruchu i uniemożliwić jego ładowanie lub inicjowanie.

Wczesne uruchomienie^{(Launch Anti-Malware)} ochrony przed złośliwym oprogramowaniem

Windows Defender korzysta z funkcji Early-Launch Anti-Malware , dzięki czemu widzisz, że nie ładuje się już po zakończeniu procesu uruchamiania, ale na początku procesu uruchamiania.

Oprogramowanie antywirusowe innych firm również może korzystać z technologii ELAM . Aby to zrobić, będą musieli zintegrować tę samą funkcję Early Launch Anti-Malware ( ELAM ) w swoim oprogramowaniu. Aby pomóc producentom oprogramowania zabezpieczającego rozpocząć pracę, firma Microsoft^(Microsoft) wydała oficjalny dokument^(whitepaper)  zawierający informacje na temat opracowywania sterowników wczesnego uruchamiania ochrony przed złośliwym oprogramowaniem^{(Anti-Malware)} ( ELAM ) dla ^(ELAM)systemu Windows^(Windows)system operacyjny. Zawiera wytyczne dla twórców oprogramowania chroniącego przed złośliwym oprogramowaniem, dotyczące opracowywania sterowników chroniących przed złośliwym oprogramowaniem, które są inicjowane przed innymi sterownikami rozruchu oraz upewniania się, że kolejne sterowniki nie zawierają złośliwego oprogramowania. Kilka firm antywirusowych, które wydały swoje zaktualizowane rozwiązania dla systemu Windows^(Windows) , już wykorzystuje tę technologię.

Sterownik rozruchowy Early Launch Antimalware sklasyfikował sterowniki w następujący sposób:^{(Launch Antimalware)}

1. Dobrze^(Good) : Kierowca został podpisany i nie manipulowano przy nim.
2. Źle^(Bad) : sterownik został zidentyfikowany jako złośliwe oprogramowanie. Zaleca się, aby nie zezwalać na inicjowanie znanych złych sterowników.
3. Nieprawidłowy, ale wymagany do rozruchu^{(Bad, but required for boot)} : sterownik został zidentyfikowany jako złośliwe oprogramowanie, ale komputer nie może pomyślnie uruchomić się bez załadowania tego sterownika.
4. Nieznany^(Unknown) : ten sterownik nie został potwierdzony przez aplikację do wykrywania złośliwego oprogramowania i nie został sklasyfikowany przez sterownik rozruchu wczesnego uruchamiania Antimalware .^{(Launch Antimalware)}

Domyślnie system Windows 10 ładuje te sterowniki, które zostały sklasyfikowane jako dobre^(Good) , nieznane^(Unknown) i złe^(Bad) , ale krytyczne dla rozruchu^{(Boot Critical)} ; tj. 1, 3 i 4 powyżej. Złe^(Bad) sterowniki nie są ładowane.

Skonfiguruj zasady inicjalizacji sterownika rozruchowego^{(Boot-Start Driver Initialization Policy)} za pomocą Edytora zasad grupy^{(Group Policy Editor)}

Chociaż najlepiej pozostawić to ustawienie z wartością domyślną, jeśli chcesz, możesz zmienić to ustawienie za pomocą Edytora zasad grupy^{(Group Policy Editor)} . Aby to zrobić, otwórz menu WinX > Run > gpedit.msc> Naciśnij Enter^{(Hit Enter)} . Przejdź^(Navigate) do następującego ustawienia zasad:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

W prawym okienku kliknij dwukrotnie  Zasady inicjalizacji sterownika rozruchu i rozruchu,^{(Boot-Start Driver Initialization Policy)} aby je skonfigurować.

Zobaczysz domyślną konfigurację Nie skonfigurowano^{(Not Configured)} . Jeśli wyłączysz lub nie skonfigurujesz tego ustawienia zasad, sterowniki rozruchowe określone jako Dobry, Nieznany^(Unknown) lub Zły^(Bad) , ale krytyczny dla rozruchu^{(Boot Critical)} zostaną zainicjowane, a inicjalizacja sterowników uznanych za złe^(Bad) jest pomijana.

Jeśli włączysz to ustawienie zasad, będziesz mógł wybrać, które sterowniki startowe mają być inicjowane przy następnym uruchomieniu komputera .^(Enable)

Jeśli używasz Windows 10/8 , chcesz sprawdzić, czy oprogramowanie antymalware zawiera sterownik rozruchowy Early Launch Antimalware . Jeśli tak się nie stanie, wszystkie sterowniki startowe zostaną zainicjowane i nie będzie można korzystać z nowej technologii ELAM .

Early Launch Anti-Malware (ELAM) protection technology in Windows 10

Windows 10/8 includes a new security feature called Ѕecure Boоt, which protectѕ the Windows bоot configuration and components, and loads an Early Launch Anti-malware (ELAM) driver. This driver starts before other boot-start drivers and enables the evaluation of those drivers and helps the Windows kernel decide whether they should be initialized. By being launched first by the kernel, ELAM is ensured that it is launched before any other third-party software. It is, therefore, able to detect malware in the boot process itself and prevent it from loading or initializing.

Early Launch Anti-Malware protection

Windows Defender takes advantage of Early-Launch Anti-Malware, and you, therefore, see that it no longer loads after the start-up process is complete, but early on during the boot process.

Third-party antivirus software too, is able to take advantage of the ELAM technology. To do so, they will have to integrate the same Early Launch Anti-Malware (ELAM) capability in their software. To help security software vendors get started, Microsoft has released a whitepaper that provides information about developing Early Launch Anti-Malware (ELAM) drivers for Windows operating systems. It provides guidelines for anti-malware developers to develop anti-malware drivers that are initialized before other boot-start drivers, and ensure that those subsequent drivers do not contain malware. Several antivirus companies, who have released their updated solutions for Windows already incorporate this technology.

The Early Launch Antimalware boot-start driver has classified the drivers as follows:

1. Good: The driver has been signed and has not been tampered with.
2. Bad: The driver has been identified as malware. It is recommended that you do not allow known bad drivers to be initialized.
3. Bad, but required for boot: The driver has been identified as malware, but the computer cannot successfully boot without loading this driver.
4. Unknown: This driver has not been attested to by your malware detection application and has not been classified by the Early Launch Antimalware boot-start driver.

By default, Windows 10 loads those drivers which have been classified as Good, Unknown, and Bad but Boot Critical; ie 1, 3 and 4 above. Bad drivers are not loaded.

Configure Boot-Start Driver Initialization Policy using Group Policy Editor

While this setting is best left at its default value, if you wish, you can change this setting via your Group Policy Editor. To do so, open the WinX menu > Run > gpedit.msc > Hit Enter. Navigate to the following policy setting:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

In the right pane, double-click on  Boot-Start Driver Initialization Policy to configure it.

You will see the default configuration of Not Configured. If you disable or do not configure this policy setting, the boot-start drivers determined to be Good, Unknown or Bad but Boot Critical are initialized, and the initialization of drivers determined to be Bad is skipped.

If you Enable this policy setting, you will be able to choose which boot-start drivers to initialize the next time the computer is started.

If you are using Windows 10/8, you want to check if your anti-malware software includes an Early Launch Antimalware boot-start driver. If it doesn’t, all boot-start drivers will be initialized, and you will not be able to take advantage of this new ELAM technology.

Related posts

• Włącz ulepszoną ochronę przed podszywaniem się w systemie Windows 10 Hello Face Authentication

• Jak sformatować komputer z systemem Windows 10

• Funkcje usunięte w Windows 10 v 21H1

• Jak włączyć lub wyłączyć automatyczne uczenie się w systemie Windows 10?

• Włącz, wyłącz zbieranie danych dla Monitora niezawodności w systemie Windows 10

• Funkcje usunięte w aktualizacji systemu Windows 10 v20H2 z października 2020 r.

• Opcja Ukryj paski narzędzi w menu kontekstowym paska zadań w systemie Windows 10

• Skuteczne narzędzie uprawnień do plików i folderów w systemie Windows 10

• Spraw, aby przeglądarka Edge była czytana na głos eBook, PDF lub strona internetowa w systemie Windows 10

• Jak korzystać z nowej funkcji wyszukiwania z funkcją zrzutów ekranu w systemie Windows 10

• Nowe funkcje dla informatyków w systemie Windows 10 v 20H2 Aktualizacja z października 2020 r.

• Funkcje, porady i wskazówki Cortany w systemie Windows 10

• 5 najlepszych nowych funkcji w aktualizacji 1809 systemu Windows 10

• Zatrzymaj system Windows 10 przed aktualizacją do następnej wersji lub instalacją aktualizacji funkcji

• Jak korzystać z Monitora zasobów w systemie Windows 10

• Jak wyłączyć Rejestrator kroków w systemie Windows 10?

• Niezbędne oprogramowanie i funkcje dla nowego komputera z systemem Windows 10

• Jak włączyć lub wyłączyć funkcję izolacji aplikacji w systemie Windows 10?

• Włącz lub wyłącz wiadomości i zainteresowania na pasku zadań w systemie Windows 10

• Pobierz pakiet Media Feature Pack dla wersji Windows 10 N