Tecnologia di protezione anti-malware (ELAM) di avvio anticipato in Windows

Windows 10/8 include una nuova funzionalità di sicurezza chiamata Secure Boot, che protegge la configurazione ei componenti di avvio di Windows e carica un Anti-malware di avvio precoce (Driver ELAM). Questo driver si avvia prima di altri driver di avvio e abilita la valutazione di quei driver e aiuta il kernel di Windows a decidere se devono essere inizializzati. Essendo lanciato prima dal kernel, ELAM è garantito che sia lanciato prima di qualsiasi altro software di terze parti. È quindi in grado di rilevare malware nel processo di avvio stesso e impedirne il caricamento o l`inizializzazione.

Protezione antimalware di avvio anticipato

Windows Defender sfrutta l`anti-malware in fase di avvio anticipato e di conseguenza, si vede che non carica più dopo il completamento del processo di avvio, ma all`inizio durante il processo di avvio.

Anche il software antivirus di terze parti è in grado di sfruttare la tecnologia ELAM. Per fare ciò, dovranno integrare le stesse funzionalità di Early Launch Anti-Malware (ELAM) nel loro software. Per aiutare i produttori di software di sicurezza a iniziare, Microsoft ha rilasciato un white paper che fornisce informazioni sullo sviluppo dei driver ELAM (Early Launch Anti-Malware) per i sistemi operativi Windows. Fornisce linee guida per gli sviluppatori anti-malware per sviluppare driver anti-malware che vengono inizializzati prima di altri driver di avvio e assicurano che i driver successivi non contengano malware. Diverse società di antivirus, che hanno rilasciato le loro soluzioni aggiornate per Windows, incorporano già questa tecnologia.

Il driver avvio Avvio Antimalware precoce ha classificato i driver come segue:

1. Buono : il driver è stato firmato e ha non è stato manomesso.
2. Bad : il driver è stato identificato come malware. Si consiglia di non consentire l`inizializzazione di driver errati noti.
3. Non valido, ma necessario per l`avvio : il driver è stato identificato come malware, ma il computer non può essere avviato correttamente senza caricare questo driver.
4. Sconosciuto : questo driver non è stato attestato dalla tua applicazione di rilevamento malware e non è stato classificato dal driver Avvio avvio Antimalware.

Per impostazione predefinita, Windows 8 carica quei driver che sono stati classificati come Buoni, Sconosciuto e cattivo ma Boot Critical; cioè 1, 3 e 4 sopra. I driver errati non sono stati caricati.

Configura il criterio di inizializzazione del driver all`avvio utilizzando l`Editor dei Criteri di gruppo

Mentre questa impostazione è meglio lasciare al suo valore predefinito, se lo desideri, puoi modificare questa impostazione tramite il tuo Criteri di gruppo Editor . Per fare ciò, aprire il menu WinX> Esegui> gpedit.msc> Invio invio. Passare alla seguente impostazione dei criteri:

Configurazione computer> Modelli amministrativi> Sistema> Avvio precoce Antimalware

Nel riquadro destro, fare doppio clic su Avvio avvio criterio di inizializzazione driver per configurarlo.

Verrà visualizzata la configurazione predefinita di Non configurato. Se si disattiva o non si configura questa impostazione di criterio, i driver di avvio all`avvio sono determinati come Buono, Sconosciuto o Negativo, ma i Criteri di avvio vengono inizializzati e l`inizializzazione dei driver determinata come errata viene saltata.

Se Abilita questa impostazione di criterio, sarete in grado di scegliere quali driver di avvio all`avvio inizializzare al successivo avvio del computer.

Se si utilizza Windows 8/10, si desidera verificare se il proprio anti-malware il software include un driver avvio avvio Antimalware in anticipo. In caso contrario, tutti i driver di avvio avvio verranno inizializzati e non sarà possibile sfruttare questa nuova tecnologia ELAM.