Windows 10/8 включва нова функция за сигурност, наречена Secure Boot , която защитава конфигурацията и компонентите за зареждане на Windows и зарежда драйвер за ранно стартиране на зловреден софтуер^{(Early Launch Anti-malware)} ( ELAM ). Този драйвер стартира преди други драйвери за стартиране на стартиране и позволява оценката на тези драйвери и помага на ядрото на Windows^{(Windows kernel)} да реши дали трябва да бъдат инициализирани. Като се стартира първи от ядрото, ELAM се гарантира, че се стартира преди всеки друг софтуер на трети страни. Следователно той е в състояние да открие злонамерен софтуер в самия процес на зареждане и да предотврати неговото зареждане или инициализиране.

Защита срещу злонамерен софтуер за ранно стартиране^{(Launch Anti-Malware)}

Windows Defender се възползва от Early-Launch Anti-Malware и следователно виждате, че той вече не се зарежда след завършване на процеса на стартиране, а в началото на процеса на зареждане.

Антивирусният софтуер на трети страни също може да се възползва от технологията ELAM . За да направят това, те ще трябва да интегрират същата способност за Early Launch Anti-Malware ( ELAM ) в своя софтуер. За да помогне на доставчиците на софтуер за сигурност да започнат, Microsoft пусна бяла книга^(whitepaper) , която предоставя информация за разработването на драйвери за  ранно стартиране Anti-Malware ( ELAM ) за ^(ELAM)Windowsоперационна система. Той предоставя насоки за разработчиците на анти-зловреден софтуер да разработят анти-зловреден софтуер драйвери, които се инициализират преди други драйвери за стартиране на стартиране, и гарантира, че тези последващи драйвери не съдържат зловреден софтуер. Няколко антивирусни компании, които пуснаха своите актуализирани решения за Windows , вече включват тази технология.

Драйверът за стартиране на ранно стартиране Antimalware^{(Launch Antimalware)} е класифицирал драйверите, както следва:

1. Добре^(Good) : Шофьорът е подписан и не е подправен.
2. Лошо^(Bad) : Драйверът е идентифициран като злонамерен софтуер. Препоръчително е да не позволявате инициализирането на известни лоши драйвери.
3. Лошо, но необходимо за зареждане^{(Bad, but required for boot)} : Драйверът е идентифициран като злонамерен софтуер, но компютърът не може да се стартира успешно без зареждане на този драйвер.
4. Неизвестен^(Unknown) : Този драйвер не е удостоверен от вашето приложение за откриване на злонамерен софтуер и не е класифициран от драйвера за стартиране на ранно стартиране на Antimalware^{(Launch Antimalware)} .

По подразбиране Windows 10 зарежда онези драйвери, които са класифицирани като добри^(Good) , неизвестни^(Unknown) и лоши^(Bad) , но критични за стартиране^{(Boot Critical)} ; т.е. 1, 3 и 4 по-горе. Лошите^(Bad) драйвери не се зареждат.

Конфигурирайте политиката за инициализация на драйвера при стартиране при стартиране^{(Boot-Start Driver Initialization Policy)} с помощта на редактора на групови правила^{(Group Policy Editor)}

Въпреки че е най-добре да оставите тази настройка на стойността по подразбиране, ако желаете, можете да промените тази настройка чрез редактора на групови правила^{(Group Policy Editor)} . За да направите това, отворете менюто на WinX > Run > gpedit.msc > Натиснете Enter^{(Hit Enter)} . Придвижете^(Navigate) се до следната настройка на правилата:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

В десния прозорец щракнете двукратно върху  Правилата за инициализиране на драйвери при стартиране при стартиране, за^{(Boot-Start Driver Initialization Policy)} да го конфигурирате.

Ще видите конфигурацията по подразбиране на Not Configured . Ако деактивирате или не конфигурирате тази настройка на правилата, драйверите за стартиране на стартиране, определени като добри, неизвестни^(Unknown) или лоши^(Bad) , но критични^{(Boot Critical)} за стартиране, се инициализират, а инициализацията на драйвери, определени като лоши^(Bad) , се пропуска.

Ако активирате^(Enable) тази настройка на правилата, ще можете да изберете кои драйвери за стартиране на стартиране да инициализирате при следващото стартиране на компютъра.

Ако използвате Windows 10/8 , искате да проверите дали вашият анти-зловреден софтуер включва драйвер за стартиране на ранно стартиране Antimalware . Ако това не стане, всички драйвери за стартиране ще бъдат инициализирани и вие няма да можете да се възползвате от тази нова технология ELAM .

Early Launch Anti-Malware (ELAM) protection technology in Windows 10

Windows 10/8 includes a new security feature саlled Secure Boot, which protects the Windows boot cоnfіguration and components, and loads an Early Launch Anti-malware (ELAM) driver. This driver starts before other boot-start drivers and enables the evaluation of those drivers and helps the Windows kernel decide whether they should be initialized. By being launched first by the kernel, ELAM is ensured that it is launched before any other third-party software. It is, therefore, able to detect malware in the boot process itself and prevent it from loading or initializing.

Early Launch Anti-Malware protection

Windows Defender takes advantage of Early-Launch Anti-Malware, and you, therefore, see that it no longer loads after the start-up process is complete, but early on during the boot process.

Third-party antivirus software too, is able to take advantage of the ELAM technology. To do so, they will have to integrate the same Early Launch Anti-Malware (ELAM) capability in their software. To help security software vendors get started, Microsoft has released a whitepaper that provides information about developing Early Launch Anti-Malware (ELAM) drivers for Windows operating systems. It provides guidelines for anti-malware developers to develop anti-malware drivers that are initialized before other boot-start drivers, and ensure that those subsequent drivers do not contain malware. Several antivirus companies, who have released their updated solutions for Windows already incorporate this technology.

The Early Launch Antimalware boot-start driver has classified the drivers as follows:

1. Good: The driver has been signed and has not been tampered with.
2. Bad: The driver has been identified as malware. It is recommended that you do not allow known bad drivers to be initialized.
3. Bad, but required for boot: The driver has been identified as malware, but the computer cannot successfully boot without loading this driver.
4. Unknown: This driver has not been attested to by your malware detection application and has not been classified by the Early Launch Antimalware boot-start driver.

By default, Windows 10 loads those drivers which have been classified as Good, Unknown, and Bad but Boot Critical; ie 1, 3 and 4 above. Bad drivers are not loaded.

Configure Boot-Start Driver Initialization Policy using Group Policy Editor

While this setting is best left at its default value, if you wish, you can change this setting via your Group Policy Editor. To do so, open the WinX menu > Run > gpedit.msc > Hit Enter. Navigate to the following policy setting:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

In the right pane, double-click on  Boot-Start Driver Initialization Policy to configure it.

You will see the default configuration of Not Configured. If you disable or do not configure this policy setting, the boot-start drivers determined to be Good, Unknown or Bad but Boot Critical are initialized, and the initialization of drivers determined to be Bad is skipped.

If you Enable this policy setting, you will be able to choose which boot-start drivers to initialize the next time the computer is started.

If you are using Windows 10/8, you want to check if your anti-malware software includes an Early Launch Antimalware boot-start driver. If it doesn’t, all boot-start drivers will be initialized, and you will not be able to take advantage of this new ELAM technology.

Related posts

• Активирайте подобрената защита срещу измама в Windows 10 Hello Face Authentication

• Как да форматирате компютър с Windows 10

• Функциите премахнати в Windows 10 v 21H1

• Как да активирате или деактивирате автоматичното обучение в Windows 10

• Активиране, деактивиране на събирането на данни за монитор за надеждност в Windows 10

• Конвертирайте PowerShell скрипт (PS1) файл в EXE с IExpress в Windows 10

• Спрете Windows 10 да надгражда до следващата версия или да инсталира актуализация на функции

• Включете или изключете поддръжката за сърфиране с карета в Windows 10

• Активирайте или деактивирайте новини и интереси в лентата на задачите в Windows 10

• 5-те най-добри нови функции в актуализацията 1809 на Windows 10

• Как да активирате или деактивирате функцията за изолиране на приложения в Windows 10

• Как да използвате монитора на ресурсите в Windows 10

• Деактивирайте телеметрията и събирането на данни в Windows 10 с помощта на Task Scheduler

• Семейни функции Отчет за времето на екрана за активността не работи в Windows 10

• Как да използвате функцията Fresh Start в Windows 10

• Секцията за свойства на принтера Функции липсва в Windows 10

• Основен софтуер и функции за нов компютър с Windows 10

• Ефективен инструмент за разрешения за файлове и папки в Windows 10

• Как да деактивирате Steps Recorder в Windows 10

• Как да деактивирате или активирате и конфигурирате Focus Assist в Windows 10