A Windows 10/8 tartalmaz egy új, Secure Boot nevű biztonsági funkciót , amely védi a Windows rendszerindítási konfigurációját és összetevőit, valamint betölt egy Early Launch Anti-malware ( ELAM ) illesztőprogramot. Ez az illesztőprogram a többi rendszerindítási illesztőprogram előtt indul el, és lehetővé teszi ezen illesztőprogramok kiértékelését, és segít a Windows kernelnek^{(Windows kernel)} eldönteni, hogy inicializálni kell-e őket. A kernel által először elindított ELAM biztosítja, hogy minden más harmadik féltől származó szoftver előtt induljon el. Ezért képes magában a rendszerindítási folyamatban észlelni a rosszindulatú programokat, és megakadályozni azok betöltését vagy inicializálását.

Early Launch Anti-Malware védelem

A Windows Defender^{(Windows Defender)} kihasználja az Early-Launch Anti-Malware előnyeit , így Ön azt látja, hogy már nem az indítási folyamat befejezése után töltődik be, hanem a rendszerindítási folyamat elején.

A harmadik féltől származó víruskereső szoftverek is képesek kihasználni az ELAM technológia előnyeit. Ehhez ugyanazt az Early Launch Anti-Malware ( ELAM ) képességet kell integrálniuk a szoftverükbe. A biztonsági szoftverek gyártóinak az indulás elősegítése érdekében a Microsoft kiadott egy tanulmányt^(whitepaper)  , amely információkat tartalmaz a korai indítású kártevő-elhárító^{(Anti-Malware)} ( ELAM ) illesztőprogramok fejlesztéséről Windows rendszerhez .^(Windows)operációs rendszer. Útmutatást ad a rosszindulatú programok elleni fejlesztők számára, hogy olyan kártevő-meghajtókat fejlesszenek ki, amelyek inicializálása a többi rendszerindítási illesztőprogram előtt történik, és biztosítsa, hogy ezek a későbbi illesztőprogramok ne tartalmazzanak rosszindulatú programokat. Számos vírusirtó cég, amely kiadta frissített Windows -megoldásait, már beépítette ezt a technológiát.

Az Early Launch Antimalware rendszerindítási illesztőprogram a következőképpen osztályozta az illesztőprogramokat:

1. Jó^(Good) : A vezetőt aláírták, és nem manipulálták.
2. Rossz^(Bad) : Az illesztőprogramot rosszindulatú programként azonosították. Javasoljuk, hogy ne engedélyezze az ismert rossz illesztőprogramok inicializálását.
3. Rossz, de szükséges a rendszerindításhoz^{(Bad, but required for boot)} : Az illesztőprogramot rosszindulatú programként azonosították, de a számítógép nem tud sikeresen elindulni az illesztőprogram betöltése nélkül.
4. Ismeretlen^(Unknown) : Ezt az illesztőprogramot nem igazolta a kártevő-észlelő alkalmazás, és nem sorolta be az Early Launch Antimalware rendszerindítási illesztőprogram sem.

Alapértelmezés szerint a Windows 10 azokat az illesztőprogramokat tölti be, amelyek besorolása jó^(Good) , ismeretlen^(Unknown) és rossz^(Bad) , de rendszerindítási kritikus^{(Boot Critical)} ; azaz a fenti 1, 3 és 4. A rossz^(Bad) illesztőprogramok nincsenek betöltve.

Konfigurálja a Boot-Start illesztőprogram inicializálási házirendjét^{(Boot-Start Driver Initialization Policy)} a Csoportházirend-szerkesztővel^{(Group Policy Editor)}

Bár ezt a beállítást a legjobb az alapértelmezett értékén hagyni, ha kívánja, módosíthatja ezt a beállítást a Csoportházirend-szerkesztőben^{(Group Policy Editor)} . Ehhez nyissa meg a WinX menü > Run > gpedit.msc > Enter^{(Hit Enter)} billentyűt . Lépjen^(Navigate) a következő házirend-beállításhoz:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

A jobb oldali ablaktáblában kattintson duplán a  Boot-Start Driver Initialization Policy elemre a beállításához.

Látni fogja a Nincs konfigurálva^{(Not Configured)} alapértelmezett konfigurációt . Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a rendszer inicializálja a jó, ismeretlen^(Unknown) vagy rossz^(Bad) , de rendszerindítási kritikus^{(Boot Critical)} állapotú rendszerindítási illesztőprogramokat, és kihagyja a rossznak^(Bad) ítélt illesztőprogramok inicializálását .

Ha engedélyezi^(Enable) ezt a házirend-beállítást, akkor kiválaszthatja, hogy a számítógép következő indításakor mely rendszerindítási illesztőprogramokat kívánja inicializálni.

Ha Windows 10/8 használ , szeretné ellenőrizni, hogy a kártevőirtó szoftvere tartalmaz-e korai indítású antimalware rendszerindítási illesztőprogramot. ^{(Antimalware)}Ha nem, akkor az összes rendszerindítási illesztőprogram inicializálódik, és Ön nem fogja tudni kihasználni ezt az új ELAM technológiát.

Early Launch Anti-Malware (ELAM) protection technology in Windows 10

Windоws 10/8 includes a new security feature called Secure Boot, which protects the Windows boot configuration and components, and loads an Early Launch Anti-malware (ELAM) driver. This driver starts before other boot-start drivers and enables the evaluation of those drivers and helps the Windows kernel decide whether they should be initialized. By being launched first by the kernel, ELAM is ensured that it is launched before any other third-party software. It is, therefore, able to detect malware in the boot process itself and prevent it from loading or initializing.

Early Launch Anti-Malware protection

Windows Defender takes advantage of Early-Launch Anti-Malware, and you, therefore, see that it no longer loads after the start-up process is complete, but early on during the boot process.

Third-party antivirus software too, is able to take advantage of the ELAM technology. To do so, they will have to integrate the same Early Launch Anti-Malware (ELAM) capability in their software. To help security software vendors get started, Microsoft has released a whitepaper that provides information about developing Early Launch Anti-Malware (ELAM) drivers for Windows operating systems. It provides guidelines for anti-malware developers to develop anti-malware drivers that are initialized before other boot-start drivers, and ensure that those subsequent drivers do not contain malware. Several antivirus companies, who have released their updated solutions for Windows already incorporate this technology.

The Early Launch Antimalware boot-start driver has classified the drivers as follows:

1. Good: The driver has been signed and has not been tampered with.
2. Bad: The driver has been identified as malware. It is recommended that you do not allow known bad drivers to be initialized.
3. Bad, but required for boot: The driver has been identified as malware, but the computer cannot successfully boot without loading this driver.
4. Unknown: This driver has not been attested to by your malware detection application and has not been classified by the Early Launch Antimalware boot-start driver.

By default, Windows 10 loads those drivers which have been classified as Good, Unknown, and Bad but Boot Critical; ie 1, 3 and 4 above. Bad drivers are not loaded.

Configure Boot-Start Driver Initialization Policy using Group Policy Editor

While this setting is best left at its default value, if you wish, you can change this setting via your Group Policy Editor. To do so, open the WinX menu > Run > gpedit.msc > Hit Enter. Navigate to the following policy setting:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

In the right pane, double-click on  Boot-Start Driver Initialization Policy to configure it.

You will see the default configuration of Not Configured. If you disable or do not configure this policy setting, the boot-start drivers determined to be Good, Unknown or Bad but Boot Critical are initialized, and the initialization of drivers determined to be Bad is skipped.

If you Enable this policy setting, you will be able to choose which boot-start drivers to initialize the next time the computer is started.

If you are using Windows 10/8, you want to check if your anti-malware software includes an Early Launch Antimalware boot-start driver. If it doesn’t, all boot-start drivers will be initialized, and you will not be able to take advantage of this new ELAM technology.

Related posts

• Engedélyezze a továbbfejlesztett hamisítás-ellenőrzést a Windows 10 Hello Face Authentication rendszerben

• Windows 10 számítógép formázása

• A Windows 10 v 21H1 rendszerből eltávolított szolgáltatások

• Az automatikus tanulás engedélyezése vagy letiltása a Windows 10 rendszerben

• Engedélyezze, tiltsa le az adatgyűjtést a megbízhatósági figyeléshez a Windows 10 rendszerben

• Nézzen digitális TV-t és hallgasson rádiót Windows 10 rendszeren a ProgDVB segítségével

• 15 új Windows 10 szolgáltatás, amelyet el kell kezdenie használni

• A Windows 10 leállítása a következő verzióra való frissítéstől vagy a Feature Update telepítésétől

• Hatékony engedélyek eszköz a fájlokhoz és mappákhoz a Windows 10 rendszerben

• Tiltsa le a telemetriát és az adatgyűjtést a Windows 10 rendszerben a Feladatütemező segítségével

• Hogyan lehet engedélyezni vagy letiltani vagy letiltani az alkalmazás elkülönítési funkciót a Windows 10 rendszerben

• Mi az engedélyezési csomag a Windows 10 rendszerben?

• A szolgáltatásfrissítések biztonsági intézkedéseinek letiltása a Windows 10 rendszeren

• Kapcsolja be vagy ki a Caret böngészés támogatását a Windows 10 rendszerben

• Az Erőforrás-figyelő használata Windows 10 rendszerben

• Fájlok egyszerű elindítása a Windows 10 rendszerű számítógépekhez készült myLauncher segítségével

• Windows 10 kisegítő lehetőségek fogyatékkal élőknek

• Új funkciók informatikai szakemberek számára a Windows 10 v 20H2 2020. októberi frissítésében

• Hogyan lehet letiltani a cserélhető tárolóosztályokat és a hozzáférést a Windows 10 rendszerben

• Eszköztárak elrejtése a Tálca helyi menüjében a Windows 10 rendszerben