Early Launch Anti-Malware (ELAM) -Schutztechnologie in Windows

Windows 10/8 enthält eine neue Sicherheitsfunktion namens Secure Boot, die die Windows-Startkonfiguration und Komponenten schützt und eine Early Launch Anti-Malware lädt (ELAM) Treiber. Dieser Treiber startet vor anderen Start-Start-Treibern und ermöglicht die Auswertung dieser Treiber und hilft dem Windows-Kernel zu entscheiden, ob sie initialisiert werden sollen. Da ELAM zuerst vom Kernel gestartet wird, ist sichergestellt, dass ELAM vor jeder anderen Software von Drittanbietern gestartet wird. Es ist daher in der Lage, Malware im Boot-Prozess selbst zu erkennen und zu verhindern, dass sie geladen oder initialisiert wird.

Early-Launch-Anti-Malware-Schutz

Windows Defender nutzt Early-Launch-Anti-Malware und Sie sehen also, dass es nicht mehr geladen wird, nachdem der Startvorgang abgeschlossen ist, sondern bereits während des Startvorgangs.

Auch Antivirensoftware von Drittanbietern kann die Vorteile der ELAM-Technologie nutzen. Dazu müssen sie die gleiche ELAM-Funktion (Early Launch Anti-Malware) in ihre Software integrieren. Um den Sicherheits-Softwareanbietern den Einstieg zu erleichtern, hat Microsoft ein Whitepaper veröffentlicht, das Informationen zur Entwicklung von ELAM-Treibern (Early Launch Anti-Malware) für Windows-Betriebssysteme bereitstellt. Es bietet Richtlinien für Anti-Malware-Entwickler zur Entwicklung von Anti-Malware-Treibern, die vor anderen Boot-Start-Treibern initialisiert werden, und stellt sicher, dass diese nachfolgenden Treiber keine Malware enthalten. Mehrere Antivirus-Unternehmen, die ihre aktualisierten Lösungen für Windows veröffentlicht haben, enthalten diese Technologie bereits.

Der Boot-Start-Treiber Early Launch Antimalware hat die Treiber wie folgt klassifiziert:

1. Gut : Der Treiber wurde signiert und hat nicht manipuliert.
2. Schlecht : Der Treiber wurde als Malware erkannt. Es wird empfohlen, dass keine bekannten fehlerhaften Treiber initialisiert werden.
3. Schlecht, aber erforderlich für Start : Der Treiber wurde als Malware identifiziert, aber der Computer kann nicht erfolgreich gestartet werden, ohne diesen Treiber zu laden.
4. Unbekannt : Dieser Treiber wurde von Ihrer Malware-Erkennungsanwendung nicht bestätigt und wurde nicht vom Boot-Start-Treiber Early Launch Antimalware klassifiziert.

Windows 8 lädt standardmäßig die Treiber, die als "Gut" klassifiziert wurden. Unbekannt und Schlecht, aber Boot-kritisch; dh 1, 3 und 4 oben. Ungültige Treiber werden nicht geladen.

Konfigurieren der Boot-Start-Treiberinitialisierungsrichtlinie mit dem Gruppenrichtlinieneditor

Während diese Einstellung am besten auf ihrem Standardwert belassen wird, können Sie diese Einstellung bei Bedarf über Ihre Gruppenrichtlinie ändern Editor . Öffnen Sie dazu das WinX-Menü> Ausführen> gpedit.msc> Drücken Sie Enter. Navigieren Sie zu der folgenden Richtlinieneinstellung:

Computerkonfiguration> Administrative Vorlagen> System> Frühere Malware-Aktivierung

Doppelklicken Sie im rechten Fensterbereich auf Boot-Start Driver Initialization Policy , um es zu konfigurieren

Sie sehen die Standardkonfiguration von Nicht konfiguriert. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die Boot-Start-Treiber als Good, Unknown oder Bad, aber Boot Critical initialisiert, und die Initialisierung von Treibern als fehlerhaft wird übersprungen.

Wenn Sie Aktivieren Sie diese Richtlinieneinstellung. Sie können auswählen, welche Boot-Start-Treiber beim nächsten Start des Computers initialisiert werden.

Wenn Sie Windows 8/10 verwenden, möchten Sie überprüfen, ob Ihre Anti-Malware aktiv ist Die Software enthält einen Early Launch Antimalware Boot-Start-Treiber. Wenn dies nicht der Fall ist, werden alle Boot-Start-Treiber initialisiert und Sie können diese neue ELAM-Technologie nicht nutzen.