Wczesne uruchomienie technologii ochrony przed złośliwym oprogramowaniem (ELAM) w systemie Windows 10

System Windows 10/8 zawiera nową funkcję zabezpieczeń o nazwie Secure Boot , która chroni konfigurację i składniki rozruchu systemu Windows oraz ładuje sterownik (Windows)Early Launch Anti-Malware ( ELAM ). Ten sterownik uruchamia się przed innymi sterownikami rozruchu i umożliwia ocenę tych sterowników oraz pomaga jądru systemu Windows(Windows kernel) zdecydować, czy należy je zainicjować. Uruchamiając najpierw jądro, ELAM ma pewność, że zostanie uruchomiony przed jakimkolwiek innym oprogramowaniem innych firm. Dzięki temu jest w stanie wykryć złośliwe oprogramowanie w samym procesie rozruchu i uniemożliwić jego ładowanie lub inicjowanie.

Wczesne uruchomienie(Launch Anti-Malware) ochrony przed złośliwym oprogramowaniem

Windows Defender korzysta z funkcji Early-Launch Anti-Malware , dzięki czemu widzisz, że nie ładuje się już po zakończeniu procesu uruchamiania, ale na początku procesu uruchamiania.

Oprogramowanie antywirusowe innych firm również może korzystać z technologii ELAM . Aby to zrobić, będą musieli zintegrować tę samą funkcję Early Launch Anti-Malware ( ELAM ) w swoim oprogramowaniu. Aby pomóc producentom oprogramowania zabezpieczającego rozpocząć pracę, firma Microsoft(Microsoft) wydała oficjalny dokument(whitepaper)  zawierający informacje na temat opracowywania sterowników wczesnego uruchamiania ochrony przed złośliwym oprogramowaniem(Anti-Malware) ( ELAM ) dla (ELAM)systemu Windows(Windows)system operacyjny. Zawiera wytyczne dla twórców oprogramowania chroniącego przed złośliwym oprogramowaniem, dotyczące opracowywania sterowników chroniących przed złośliwym oprogramowaniem, które są inicjowane przed innymi sterownikami rozruchu oraz upewniania się, że kolejne sterowniki nie zawierają złośliwego oprogramowania. Kilka firm antywirusowych, które wydały swoje zaktualizowane rozwiązania dla systemu Windows(Windows) , już wykorzystuje tę technologię.

Sterownik rozruchowy Early Launch Antimalware sklasyfikował sterowniki w następujący sposób:(Launch Antimalware)

  1. Dobrze(Good) : Kierowca został podpisany i nie manipulowano przy nim.
  2. Źle(Bad) : sterownik został zidentyfikowany jako złośliwe oprogramowanie. Zaleca się, aby nie zezwalać na inicjowanie znanych złych sterowników.
  3. Nieprawidłowy, ale wymagany do rozruchu(Bad, but required for boot) : sterownik został zidentyfikowany jako złośliwe oprogramowanie, ale komputer nie może pomyślnie uruchomić się bez załadowania tego sterownika.
  4. Nieznany(Unknown) : ten sterownik nie został potwierdzony przez aplikację do wykrywania złośliwego oprogramowania i nie został sklasyfikowany przez sterownik rozruchu wczesnego uruchamiania Antimalware .(Launch Antimalware)

Domyślnie system Windows 10 ładuje te sterowniki, które zostały sklasyfikowane jako dobre(Good) , nieznane(Unknown) i złe(Bad) , ale krytyczne dla rozruchu(Boot Critical) ; tj. 1, 3 i 4 powyżej. Złe(Bad) sterowniki nie są ładowane.

Skonfiguruj zasady inicjalizacji sterownika rozruchowego(Boot-Start Driver Initialization Policy) za pomocą Edytora zasad grupy(Group Policy Editor)

Chociaż najlepiej pozostawić to ustawienie z wartością domyślną, jeśli chcesz, możesz zmienić to ustawienie za pomocą Edytora zasad grupy(Group Policy Editor) . Aby to zrobić, otwórz menu WinX > Run > gpedit.msc> Naciśnij Enter(Hit Enter) . Przejdź(Navigate) do następującego ustawienia zasad:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

Wczesne uruchomienie ochrony przed złośliwym oprogramowaniem

W prawym okienku kliknij dwukrotnie  Zasady inicjalizacji sterownika rozruchu i rozruchu,(Boot-Start Driver Initialization Policy) aby je skonfigurować.

Zobaczysz domyślną konfigurację Nie skonfigurowano(Not Configured) . Jeśli wyłączysz lub nie skonfigurujesz tego ustawienia zasad, sterowniki rozruchowe określone jako Dobry, Nieznany(Unknown) lub Zły(Bad) , ale krytyczny dla rozruchu(Boot Critical) zostaną zainicjowane, a inicjalizacja sterowników uznanych za złe(Bad) jest pomijana.

Jeśli włączysz to ustawienie zasad, będziesz mógł wybrać, które sterowniki startowe mają być inicjowane przy następnym uruchomieniu komputera .(Enable)

Jeśli używasz Windows 10/8 , chcesz sprawdzić, czy oprogramowanie antymalware zawiera sterownik rozruchowy Early Launch Antimalware . Jeśli tak się nie stanie, wszystkie sterowniki startowe zostaną zainicjowane i nie będzie można korzystać z nowej technologii ELAM .



About the author

Jestem inżynierem komputerowym z ponad 10-letnim doświadczeniem w branży oprogramowania, w szczególności w Microsoft Office. Napisałem artykuły i samouczki na różne tematy związane z pakietem Office, w tym wskazówki, jak efektywniej korzystać z jego funkcji, sztuczki do opanowania typowych zadań biurowych i nie tylko. Moje umiejętności jako pisarza sprawiają, że jestem również doskonałym źródłem informacji dla innych osób, które chcą dowiedzieć się więcej o pakiecie Office lub po prostu potrzebują szybkiej porady.



Related posts