Grundlegendes zur ELAM-Schutztechnologie (ELAM = Early Launch Anti-Malware) in Windows
Windows 10/8 enthält eine neue Sicherheitsfunktion namens Secure Boot, die die Windows-Startkonfiguration und -komponenten schützt und lädt Frühes Starten von Anti-Malware (ELAM) -Treiber. Dieser Treiber startet vor anderen Boot-Start-Treibern, ermöglicht die Bewertung dieser Treiber und hilft dem Windows-Kernel bei der Entscheidung, ob sie initialisiert werden sollen. Durch den ersten Start durch den Kernel wird sichergestellt, dass ELAM vor allen anderen Softwareprogrammen von Drittanbietern gestartet wird. Es ist daher in der Lage, Malware im Bootvorgang selbst zu erkennen und zu verhindern, dass Malware geladen oder initialisiert wird.
Early Launch Anti-Malware-Schutz
Windows Defender nutzt Early-Launch Anti-Malware und stellt daher fest, dass es nicht mehr geladen wird, nachdem der Startvorgang abgeschlossen ist, aber früh während des Startvorgangs.
Auch Antivirensoftware von Drittanbietern kann die ELAM-Technologie nutzen. Dazu müssen sie dieselbe ELAM-Funktion (Early Launch Anti-Malware) in ihre Software integrieren. Microsoft hat ein Whitepaper veröffentlicht, das Informationen zum Entwickeln von ELAM-Treibern (Early Launch Anti-Malware) für Windows-Betriebssysteme enthält. Es enthält Richtlinien für Anti-Malware-Entwickler, um Anti-Malware-Treiber zu entwickeln, die vor anderen Start-Start-Treibern initialisiert werden, und um sicherzustellen, dass diese nachfolgenden Treiber keine Malware enthalten. Mehrere Antivirus-Unternehmen, die ihre aktualisierten Lösungen für Windows veröffentlicht haben, integrieren diese Technologie bereits.
Der Startstart-Treiber für den Early Launch Antimalware hat die Treiber wie folgt klassifiziert:
- Gut: Der Treiber wurde signiert und wurde nicht manipuliert.
- Schlecht: Der Treiber wurde als Malware erkannt. Es wird empfohlen, dass Sie nicht zulassen, dass bekannte fehlerhafte Treiber initialisiert werden.
- Schlecht, aber zum Booten erforderlich: Der Treiber wurde als Malware erkannt, der Computer kann jedoch nicht erfolgreich gestartet werden, ohne diesen Treiber zu laden.
- unbekannte: Dieser Treiber wurde von Ihrer Malware-Erkennungsanwendung nicht bestätigt und vom Early Launch Antimalware-Starttreiber nicht klassifiziert.
Standardmäßig lädt Windows 8 die Treiber, die als Gut, Unbekannt und Schlecht, aber kritisch beim Booten eingestuft wurden. dh 1, 3 und 4 oben. Fehlerhafte Treiber werden nicht geladen.
Konfigurieren Sie die Start-Start-Treiberinitialisierungsrichtlinie mithilfe des Gruppenrichtlinien-Editors
Während diese Einstellung am besten auf dem Standardwert belassen wird, können Sie diese Einstellung bei Bedarf ändern Gruppenrichtlinien-Editor. Öffnen Sie dazu das WinX-Menü> Ausführen> gpedit.msc> Drücken Sie die Eingabetaste. Navigieren Sie zu der folgenden Richtlinieneinstellung:
Computerkonfiguration> Administrative Vorlagen> System> Antimalware für den frühen Start
Doppelklicken Sie im rechten Fensterbereich auf Richtlinie zum Start der Treiberinitialisierung um es zu konfigurieren.
Sie sehen die Standardkonfiguration von Nicht konfiguriert. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die Boot-Start-Treiber, die als "Gut", "Unbekannt" oder "Bad" bestimmt wurden, aber "Boot Critical" initialisiert, und die Initialisierung der als "Bad" festgelegten Treiber wird übersprungen.
Wenn du Aktivieren Mit dieser Richtlinieneinstellung können Sie auswählen, welche Start-Start-Treiber beim nächsten Start des Computers initialisiert werden sollen.
Wenn Sie Windows 8/10 verwenden, möchten Sie prüfen, ob Ihre Anti-Malware-Software einen Early Launch Antimalware-Starttreiber enthält. Ist dies nicht der Fall, werden alle Boot-Start-Treiber initialisiert, und Sie können diese neue ELAM-Technologie nicht nutzen.