Windows 10/8 sisältää uuden suojausominaisuuden nimeltä Secure Boot , joka suojaa Windowsin^(Windows) käynnistyskokoonpanoa ja komponentteja ja lataa Early Launch Anti-malware ( ELAM ) -ohjaimen. Tämä ohjain käynnistyy ennen muita käynnistysohjaimia ja mahdollistaa näiden ohjainten arvioinnin ja auttaa Windowsin ydintä^{(Windows kernel)} päättämään, pitäisikö ne alustaa. Ytimen käynnistämä ELAM varmistaa sen, että se käynnistetään ennen muita kolmannen osapuolen ohjelmistoja. Siksi se pystyy havaitsemaan haittaohjelmat itse käynnistysprosessissa ja estämään niitä latautumasta tai alustamasta.

Early Launch Anti-Malware suojaus

Windows Defender hyödyntää Early-Launch Anti-Malware -ohjelmaa , joten näet, että se ei enää lataudu käynnistysprosessin päätyttyä, vaan varhain käynnistysprosessin aikana.

Myös kolmannen osapuolen virustorjuntaohjelmisto pystyy hyödyntämään ELAM - tekniikkaa. Tätä varten heidän on integroitava ohjelmistoonsa sama Early Launch Anti-Malware ( ELAM ) -ominaisuus. Auttaakseen tietoturvaohjelmistojen toimittajia pääsemään alkuun Microsoft on julkaissut tiedotteen^(whitepaper)  , joka sisältää tietoa Early Launch Anti-Malware ( ELAM ) -ohjainten kehittämisestä Windowsille .^(Windows)käyttöjärjestelmät. Se antaa ohjeita haittaohjelmien torjuntakehittäjille kehittää haittaohjelmien torjuntaohjaimia, jotka alustetaan ennen muita käynnistysohjaimia, ja varmistaa, että nämä myöhemmät ohjaimet eivät sisällä haittaohjelmia. Useat virustorjuntayritykset, jotka ovat julkaisseet päivitetyt Windows -ratkaisunsa, käyttävät jo tätä tekniikkaa.

Early Launch Antimalware -käynnistysohjain on luokitellut ohjaimet seuraavasti:

1. Hyvä^(Good) : Kuljettaja on allekirjoitettu, eikä sitä ole peukaloitu.
2. Huono^(Bad) : Ohjain on tunnistettu haittaohjelmaksi. On suositeltavaa, että et salli tunnettujen huonojen ohjainten alustusta.
3. Huono, mutta vaaditaan käynnistykselle^{(Bad, but required for boot)} : Ohjain on tunnistettu haittaohjelmaksi, mutta tietokone ei voi käynnistyä onnistuneesti lataamatta tätä ohjainta.
4. Tuntematon : Haittaohjelmien tunnistussovelluksesi ei ole vahvistanut tätä ohjainta, eikä Early ^(Unknown)Launch Antimalware -käynnistysohjain ole luokitellut sitä .

Oletuksena Windows 10 lataa ne ohjaimet, jotka on luokiteltu hyviksi^(Good) , tuntemattomiksi^(Unknown) ja huonoiksi^(Bad) , mutta käynnistyskriittisiksi^{(Boot Critical)} . eli 1, 3 ja 4 edellä. Huonoja^(Bad) ohjaimia ei ladata.

Määritä Boot-Start ohjaimen^{(Boot-Start Driver Initialization Policy)} alustuskäytäntö ryhmäkäytäntöeditorilla^{(Group Policy Editor)}

Vaikka tämä asetus on parasta jättää oletusarvoonsa, voit halutessasi muuttaa tätä asetusta ryhmäkäytäntöeditorin^{(Group Policy Editor)} kautta . Voit tehdä tämän avaamalla WinX - valikko > Run > gpedit.msc > Paina Enter^{(Hit Enter)} . Siirry^(Navigate) seuraavaan käytäntöasetukseen:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

Kaksoisnapsauta oikeanpuoleisessa ruudussa  Boot-Start Driver Initialization Policy määrittääksesi sen.

Näet oletusasetuksen Ei määritetty^{(Not Configured)} . Jos poistat tämän käytäntöasetuksen käytöstä tai et määritä sitä, hyviksi, tuntemattomiksi^(Unknown) tai huonoiksi^(Bad) määritetyt, mutta käynnistyskriittisiksi^{(Boot Critical)} määritetyt käynnistysajurit alustetaan ja huonoiksi määritettyjen ohjaimien alustus ohitetaan^(Bad) .

Jos otat tämän käytäntöasetuksen käyttöön^(Enable) , voit valita, mitkä käynnistysohjaimet alustetaan seuraavan kerran, kun tietokone käynnistetään.

Jos käytät Windows 10/8 , haluat tarkistaa, sisältääkö haittaohjelmien torjuntaohjelmistosi Early Launch Antimalware -käynnistysohjaimen. Jos näin ei ole, kaikki käynnistysajurit alustetaan, etkä voi hyödyntää tätä uutta ELAM - tekniikkaa.

Early Launch Anti-Malware (ELAM) protection technology in Windows 10

Windows 10/8 includes a new security feature called Secure Boot, which protects the Wіndows boot configuration and components, and loads an Early Launch Anti-malware (ELAM) driver. This driver starts before other boot-start drivers and enables the evaluation of those drivers and helps the Windows kernel decide whether they should be initialized. By being launched first by the kernel, ELAM is ensured that it is launched before any other third-party software. It is, therefore, able to detect malware in the boot process itself and prevent it from loading or initializing.

Early Launch Anti-Malware protection

Windows Defender takes advantage of Early-Launch Anti-Malware, and you, therefore, see that it no longer loads after the start-up process is complete, but early on during the boot process.

Third-party antivirus software too, is able to take advantage of the ELAM technology. To do so, they will have to integrate the same Early Launch Anti-Malware (ELAM) capability in their software. To help security software vendors get started, Microsoft has released a whitepaper that provides information about developing Early Launch Anti-Malware (ELAM) drivers for Windows operating systems. It provides guidelines for anti-malware developers to develop anti-malware drivers that are initialized before other boot-start drivers, and ensure that those subsequent drivers do not contain malware. Several antivirus companies, who have released their updated solutions for Windows already incorporate this technology.

The Early Launch Antimalware boot-start driver has classified the drivers as follows:

1. Good: The driver has been signed and has not been tampered with.
2. Bad: The driver has been identified as malware. It is recommended that you do not allow known bad drivers to be initialized.
3. Bad, but required for boot: The driver has been identified as malware, but the computer cannot successfully boot without loading this driver.
4. Unknown: This driver has not been attested to by your malware detection application and has not been classified by the Early Launch Antimalware boot-start driver.

By default, Windows 10 loads those drivers which have been classified as Good, Unknown, and Bad but Boot Critical; ie 1, 3 and 4 above. Bad drivers are not loaded.

Configure Boot-Start Driver Initialization Policy using Group Policy Editor

While this setting is best left at its default value, if you wish, you can change this setting via your Group Policy Editor. To do so, open the WinX menu > Run > gpedit.msc > Hit Enter. Navigate to the following policy setting:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

In the right pane, double-click on  Boot-Start Driver Initialization Policy to configure it.

You will see the default configuration of Not Configured. If you disable or do not configure this policy setting, the boot-start drivers determined to be Good, Unknown or Bad but Boot Critical are initialized, and the initialization of drivers determined to be Bad is skipped.

If you Enable this policy setting, you will be able to choose which boot-start drivers to initialize the next time the computer is started.

If you are using Windows 10/8, you want to check if your anti-malware software includes an Early Launch Antimalware boot-start driver. If it doesn’t, all boot-start drivers will be initialized, and you will not be able to take advantage of this new ELAM technology.

Related posts

• Ota käyttöön tehostettu huijauksen esto Windows 10 Hello Face Authenticationissa

• Kuinka alustaa Windows 10 -tietokone

• Windows 10 v 21H1:ssä poistetut ominaisuudet

• Automaattisen oppimisen ottaminen käyttöön tai poistaminen käytöstä Windows 10:ssä

• Ota käyttöön, poista käytöstä tiedonkeruu luotettavuuden valvonnassa Windows 10:ssä

• Mikä on käyttöönottopaketti Windows 10:ssä

• Valokuvien katseleminen diaesityksenä Windows 10:ssä

• Piilota työkalurivit -vaihtoehto tehtäväpalkin kontekstivalikossa Windows 10:ssä

• Analysoi odotusketju: Tunnista ripustettu tai jumiutunut prosessi Windows 10:ssä

• Ominaisuudet poistettu Windows 10 v20H2:n lokakuun 2020 päivityksestä

• Tulostimen ominaisuudet Ominaisuudet-osio puuttuu Windows 10:stä

• Kuinka tarkastella sovellusten DPI-tietoisuustilaa Windows 10 Task Managerissa

• Perheominaisuuksien käyttöaika Toimintaraportti ei toimi Windows 10:ssä

• Uutisten ja kiinnostuksen kohteiden tehtäväpalkin päivitysten vähentäminen Windows 10:ssä

• Ota Caret-selaustuki käyttöön tai poista se käytöstä Windows 10:ssä

• Ota käyttöön tai poista käytöstä Open News and Interests on Hover Windows 10:ssä

• Irrotettavan tallennustilan luokat ja käyttöoikeudet poistaminen käytöstä Windows 10:ssä

• Ota Uutiset ja kiinnostuksen kohteet käyttöön tai poista ne käytöstä tehtäväpalkissa Windows 10:ssä

• Laita Edge-selain lukemaan ääneen e-kirjan, PDF:n tai Web-sivun Windows 10:ssä

• Kuinka poistaa ominaisuuspäivitysten suojaukset käytöstä Windows 10:ssä