Vorzeitige Einführung der Anti-Malware (ELAM)-Schutztechnologie in Windows 10

Windows 10/8 enthält eine neue Sicherheitsfunktion namens „Secure Boot“, die die Startkonfiguration und -komponenten schützt Fenster und lädt den Treiber Anti-Malware-Schutz für den frühen Start(Frühstart-Anti-Malware) ( ELAM ). Dieser Treiber läuft vor anderen Bootstrap-Treibern und wertet diese Treiber aus und hilft Windows-Kernel(Windows-Kernel) entscheiden, ob sie initialisiert werden sollen. Zuerst vom Kernel gestartet, ELAM garantiert, dass es vor jeder anderen Software von Drittanbietern gestartet wird. So kann es Malware während des Download-Vorgangs selbst erkennen und verhindern, dass sie heruntergeladen oder initialisiert wird.

Frühstartschutz von Malware(Anti-Malware starten)

Windows Defender(Windows Defender) nutzt Early-Launch Anti-Malware und deshalb sehen Sie, dass es nicht mehr geladen wird, nachdem der Startvorgang abgeschlossen ist, sondern zu Beginn des Ladevorgangs.

Auch Antivirensoftware von Drittanbietern kann die Technologie nutzen ELAM . Dazu müssen sie die gleiche Funktion in ihre Software integrieren. Anti-Malware-Schutz für den frühen Start(Frühstart-Anti-Malware) ( ELAM ). Um Anbietern von Sicherheitssoftware den Einstieg zu erleichtern, Microsoft veröffentlichte ein Whitepaper mit Informationen zur Entwicklung von Early-Launch-Treibern Anti (ELAM)-Malware(Anti-Malware) ( ELAM (Whitepaper) ) für Fenster.Betriebssysteme. Es enthält Anleitungen für Anti-Malware-Entwickler zur Entwicklung von Anti-Malware-Treibern, die beim Booten vor anderen Starttreibern initialisiert werden, und stellt sicher, dass diese nachfolgenden Treiber frei von Malware sind. Mehrere Antivirus-Unternehmen, die ihre aktualisierten Lösungen für veröffentlicht haben Fenster nutzen diese Technologie bereits.

Boot-Treiber früh Antimalware starten klassifiziert Fahrer wie folgt:

  1. Gut(Gut): Der Treiber wurde signiert und nicht manipuliert.
  2. Schlecht(Schlecht) : Der Treiber wurde als Malware identifiziert. Es wird empfohlen, bekanntermaßen fehlerhafte Treiber nicht zu initialisieren.
  3. Schlecht, aber notwendig, um herunterzuladen(Schlecht, aber zum Booten erforderlich) : Ein Treiber wurde als Malware identifiziert, aber der Computer kann nicht erfolgreich booten, ohne dass dieser Treiber geladen wird.
  4. Unbekannt(Unbekannt) : Dieser Treiber wurde von Ihrer Malware-Erkennungsanwendung nicht validiert und nicht vom Early-Boot-Treiber klassifiziert Antimalware starten .

Standardmäßig lädt Windows 10 die Treiber, die als klassifiziert wurden die guten(gut), Unbekannt(Unbekannt) und Schlecht(schlecht) aber kritisch herunterzuladen(Boot kritisch) ; diese. 1, 3 und 4 oben. Schlecht(Bad) Treiber werden nicht geladen.

Einstellung Boot-Start-Treiberinitialisierungsrichtlinien(Boot-Start Driver Initialization Policy) mit Gruppenrichtlinien-Editor(Gruppenrichtlinien-Editor)

Obwohl es am besten ist, diese Einstellung auf dem Standardwert zu belassen, können Sie diese Einstellung bei Bedarf mit ändern Gruppenrichtlinien-Editor(Gruppenrichtlinien-Editor). Öffnen Sie dazu das Menü winx > laufen > gpedit.msc > Drücken Sie Enter(Drücke Enter) . Navigieren(Navigieren) Sie zu der folgenden Richtlinieneinstellung:

Computerkonfiguration > Administrative Vorlagen > System > Early Launch Antimalware

Doppelklicken Sie im rechten Bereich Treiber-Initialisierungsrichtlinie(Boot-Start Driver Initialization Policy) beim Booten, um es zu konfigurieren.

Sie sehen die Standardkonfiguration Nicht konfiguriert . Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden als „Gut“ gekennzeichnete Starttreiber initialisiert. Unbekannt(Unbekannt)” oder ” Schlecht(schlecht) aber kritisch herunterladen(Boot Critical) “, und die Initialisierung von Treibern definiert als ” Schlecht(Schlecht) “, wird übersprungen.

Wenn Sie einschalten(Aktivieren) Sie diese Richtlinieneinstellung, können Sie auswählen, welche Bootstrap-Treiber beim nächsten Start Ihres Computers initialisiert werden sollen.

Wenn Sie verwenden Windows 10/8 möchten Sie überprüfen, ob Ihre Antivirensoftware einen Early Launch-Starttreiber enthält Malware-Schutz . Andernfalls werden alle Bootstrap-Treiber initialisiert und Sie können diese neue Technologie nicht nutzen. ELAM .

Windows 10/8 enthält eine neue Sicherheitsfunktion namens Secure Boot, die die Windows-Boot-Konfiguration und -Komponenten schützt und lädt Frühzeitiger Start von Anti-Malware (ELAM)-Treiber. Dieser Treiber startet vor anderen Boot-Start-Treibern und ermöglicht die Auswertung dieser Treiber und hilft dem Windows-Kernel bei der Entscheidung, ob sie initialisiert werden sollen. Da ELAM zuerst vom Kernel gestartet wird, wird sichergestellt, dass es vor jeder anderen Software von Drittanbietern gestartet wird. Es ist daher in der Lage, Malware im Startvorgang selbst zu erkennen und zu verhindern, dass sie geladen oder initialisiert wird.

Frühzeitiger Anti-Malware-Schutz

Windows Defender nutzt Early-Launch Anti-Malware, und Sie sehen daher, dass es nicht mehr nach Abschluss des Startvorgangs geladen wird, sondern früh während des Bootvorgangs.

Auch Antivirus-Software von Drittanbietern kann die Vorteile der ELAM-Technologie nutzen. Dazu müssen sie dieselbe Early Launch Anti-Malware (ELAM)-Funktion in ihre Software integrieren. Um Anbietern von Sicherheitssoftware den Einstieg zu erleichtern, hat Microsoft ein Whitepaper veröffentlicht, das Informationen zur Entwicklung von ELAM-Treibern (Early Launch Anti-Malware) für Windows-Betriebssysteme enthält. Es enthält Richtlinien für Anti-Malware-Entwickler, um Anti-Malware-Treiber zu entwickeln, die vor anderen Boot-Start-Treibern initialisiert werden, und um sicherzustellen, dass diese nachfolgenden Treiber keine Malware enthalten. Mehrere Antivirus-Unternehmen, die ihre aktualisierten Lösungen für Windows veröffentlicht haben, integrieren diese Technologie bereits.

Der Early Launch Antimalware-Starttreiber hat die Treiber wie folgt klassifiziert:

  1. gut: Der Treiber wurde signiert und nicht manipuliert.
  2. Schlecht: Der Treiber wurde als Malware identifiziert. Es wird empfohlen, dass Sie nicht zulassen, dass bekanntermaßen fehlerhafte Treiber initialisiert werden.
  3. Schlecht, aber zum Booten erforderlich: Der Treiber wurde als Malware identifiziert, aber der Computer kann nicht erfolgreich gestartet werden, ohne diesen Treiber zu laden.
  4. Unbekannt: Dieser Treiber wurde von Ihrer Malware-Erkennungsanwendung nicht bestätigt und wurde nicht vom Early Launch Antimalware-Starttreiber klassifiziert.

Standardmäßig lädt Windows 10 die Treiber, die als gut, unbekannt und schlecht, aber bootkritisch klassifiziert wurden; dh 1, 3 und 4 oben. Schlechte Treiber werden nicht geladen.

Konfigurieren Sie die Boot-Start-Treiberinitialisierungsrichtlinie mit dem Gruppenrichtlinien-Editor

Während diese Einstellung am besten auf dem Standardwert belassen wird, können Sie diese Einstellung bei Bedarf über Ihren ändern Gruppenrichtlinien-Editor. Öffnen Sie dazu das WinX-Menü > Ausführen > gpedit.msc > Drücken Sie die Eingabetaste. Navigieren Sie zur folgenden Richtlinieneinstellung:

Computerkonfiguration > Administrative Vorlagen > System > Early Launch Antimalware

Frühzeitiger Anti-Malware-Schutz

Doppelklicken Sie im rechten Bereich auf Boot-Start-Treiber-Initialisierungsrichtlinie um es zu konfigurieren.

Sie sehen die Standardkonfiguration von . Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die Boot-Start-Treiber, die als Gut, Unbekannt oder Schlecht, aber Boot-Kritisch eingestuft wurden, initialisiert, und die Initialisierung von Treibern, die als Schlecht eingestuft werden, wird übersprungen.

Wenn Sie diese Richtlinieneinstellung verwenden, können Sie auswählen, welche Starttreiber beim nächsten Start des Computers initialisiert werden sollen.

Wenn Sie Windows 10/8 verwenden, sollten Sie überprüfen, ob Ihre Anti-Malware-Software einen Early Launch Antimalware-Starttreiber enthält. Wenn dies nicht der Fall ist, werden alle Boot-Start-Treiber initialisiert, und Sie können diese neue ELAM-Technologie nicht nutzen.