Windows 10/8 включает в себя новую функцию безопасности, называемую Безопасная загрузка, которая защищает конфигурацию и компоненты загрузки Windows и загружает драйвер Раннего запуска для защиты от вредоносного ПО (ELAM). Этот драйвер запускается раньше других драйверов при запуске и позволяет оценить эти драйверы и помогает ядру Windows решить, следует ли их инициализировать. ELAM запускается сначала ядром, поэтому он запускается раньше, чем любое другое стороннее программное обеспечение. Следовательно, он способен обнаруживать вредоносное ПО в самом процессе загрузки и предотвращать его загрузку или инициализацию.
Ранний запуск защиты от вредоносных программ
Защитник Windows использует преимущества антивирусного ПО для раннего запуска, и вы, следовательно, видите, что оно больше не загружается после завершения процесса запуска, но уже в начале процесса загрузки.
Сторонние антивирусные программы также могут использовать преимущества технологии ELAM. Для этого им нужно будет интегрировать в свое программное обеспечение те же возможности для раннего запуска (ELAM). Чтобы помочь поставщикам программного обеспечения для обеспечения безопасности начать работу, корпорация Майкрософт выпустила информационный документ, в котором содержится информация о разработке драйверов для защиты от вредоносных программ раннего запуска (ELAM) для операционных систем Windows. В нем содержатся рекомендации для разработчиков средств защиты от вредоносных программ по разработке драйверов для защиты от вредоносных программ, которые инициализируются раньше других драйверов при запуске, и что эти последующие драйверы не содержат вредоносных программ. Несколько антивирусных компаний, которые выпустили свои обновленные решения для Windows, уже используют эту технологию.
Драйвер запуска раннего запуска защиты от вредоносных программ классифицировал драйверы следующим образом:
- Хорошо . Драйвер подписан и не был изменен.
- Плохо . Драйвер был определен как вредоносное ПО. Рекомендуется не разрешать инициализацию известных проблемных драйверов.
- Плохо, но необходимо для загрузки . Драйвер был определен как вредоносное ПО, но компьютер не может успешно загрузиться без загрузки этого драйвера.
- Неизвестный . Этот драйвер не был проверен приложением для обнаружения вредоносных программ и не был классифицирован драйвером для запуска при запуске Anti-Malware для раннего запуска.
По умолчанию Windows 8 загружает те драйверы, которые были классифицированы как Хорошие, Неизвестные и Плохие, но Критические загрузки; т.е. 1, 3 и 4 выше. Плохие драйверы не загружаются.
Настройка политики инициализации драйвера при загрузке с помощью редактора групповой политики
Хотя этот параметр лучше оставить со значением по умолчанию, при желании вы можете изменить этот параметр с помощью Редактора групповой политики . Для этого откройте меню WinX> Выполнить> gpedit.msc> Нажмите Enter. Перейдите к следующему параметру политики:
Конфигурация компьютера> Административные шаблоны> Система> Ранний запуск защиты от вредоносных программ
На правой панели дважды щелкните Политика инициализации драйвера при загрузке , чтобы настроить его.
Вы увидите конфигурацию по умолчанию Не настроен . Если этот параметр политики отключен или не настроен, драйверы при запуске, определенные как «Хорошие», «Неизвестные» или «Плохие», но «Критические при загрузке»), будут инициализированы, а инициализация драйверов, определенных как «Плохие», будет пропущена.
Если вы включите этот параметр политики, вы сможете выбрать, какие драйверы начальной загрузки инициализировать при следующем запуске компьютера.
Если вы используете Windows 8/10, вы хотите проверить, содержит ли ваше программное обеспечение для защиты от вредоносных программ драйвер начальной загрузки Anti-Malware для раннего запуска. Если этого не произойдет, все драйверы запуска будут инициализированы, и вы не сможете воспользоваться этой новой технологией ELAM.