Informazioni sulla tecnologia di protezione Anti-Malware (ELAM) di Avvio rapido in Windows

Windows 10/8 include una nuova funzionalità di sicurezza chiamata Secure Boot, che protegge la configurazione e i componenti di avvio di Windows e carica un Avvio anticipato Anti-malware (ELAM) driver. Questo driver si avvia prima di altri driver di avvio e abilita la valutazione di quei driver e aiuta il kernel di Windows a decidere se devono essere inizializzati. Essendo lanciato prima dal kernel, ELAM è garantito che sia lanciato prima di qualsiasi altro software di terze parti. È, quindi, in grado di rilevare malware nel processo di avvio stesso e impedirne il caricamento o l'inizializzazione.

Protezione antimalware di avvio anticipato

Windows Defender approfitta di Early-Launch Anti-Malware e, quindi, vedi che non carica più dopo che il processo di avvio è completo, ma all'inizio durante il processo di avvio.

Anche il software antivirus di terze parti è in grado di sfruttare la tecnologia ELAM. Per fare ciò, dovranno integrare la stessa funzionalità Early Launch Anti-Malware (ELAM) nel loro software. Per aiutare i produttori di software di sicurezza a iniziare, Microsoft ha rilasciato un white paper che fornisce informazioni sullo sviluppo dei driver ELAM (Early Launch Anti-Malware) per i sistemi operativi Windows. Fornisce linee guida per gli sviluppatori anti-malware per sviluppare driver anti-malware che sono inizializzati prima di altri driver di avvio e assicurano che quei driver successivi non contengano malware. Diverse società di antivirus, che hanno rilasciato le loro soluzioni aggiornate per Windows, incorporano già questa tecnologia.

Il driver Start-Avvio Antimalware di avvio anticipato ha classificato i driver come segue:

1. Buono: Il driver è stato firmato e non è stato manomesso.
2. Male: Il driver è stato identificato come malware. Si consiglia di non consentire l'inizializzazione di driver errati noti.
3. Cattivo, ma richiesto per l'avvio: Il driver è stato identificato come malware, ma il computer non può essere avviato correttamente senza caricare questo driver.
4. Sconosciuto: Questo driver non è stato attestato dalla tua applicazione di rilevamento malware e non è stato classificato dal driver avvio avvio Antimalware in anticipo.

Per impostazione predefinita, Windows 8 carica quei driver che sono stati classificati come Buono, Sconosciuto e Bad ma Boot Critical; cioè 1, 3 e 4 sopra. I driver non validi non vengono caricati.

Configura il criterio di inizializzazione del driver all'avvio utilizzando l'Editor criteri di gruppo

Mentre questa impostazione è lasciata al suo valore predefinito, se lo desideri, puoi cambiare questa impostazione con la tua Editor Criteri di gruppo. Per fare ciò, aprire il menu WinX> Esegui> gpedit.msc> Invio invio. Passare alla seguente impostazione di criterio:

Configurazione computer> Modelli amministrativi> Sistema> Avvio anticipato Antimalware

Nel riquadro destro, fare doppio clic su Politica di inizializzazione del driver di avvio per configurarlo.

Vedrai la configurazione di default di Non configurato. Se si disabilita o non si configura questa impostazione di criterio, i driver di avvio all'avvio sono determinati come Good, Unknown o Bad ma Boot Critical vengono inizializzati e l'inizializzazione dei driver determinata come Bad viene saltata.

Se tu Abilitare questa impostazione di criterio, sarete in grado di scegliere quali driver di avvio all'avvio inizializzare al successivo avvio del computer.