目录:
Windows 10/8包含一项称为安全启动的新安全功能,可保护Windows启动配置和组件,并加载 早期启动防恶意软件 ( ELAM)驱动程序。此驱动程序在其他启动启动驱动程序之前启动,并启用对这些驱动程序的评估,并帮助Windows内核决定是否应初始化它们。通过首先由内核启动,ELAM可以确保它在任何其他第三方软件之前启动。因此,它能够检测引导进程本身中的恶意软件,并阻止其加载或初始化。
早期启动防恶意软件防护
Windows Defender 利用早期启动防恶意软件,并且因此,您在启动过程完成后,不会再加载它,而是在启动过程中尽早加载。第三方防病毒软件也能够利用ELAM技术。为此,他们必须在其软件中集成相同的早期启动防恶意软件(ELAM)功能。为帮助安全软件供应商开始使用,微软发布了一份白皮书,该白皮书提供了有关为Windows操作系统开发早期启动防恶意软件(ELAM)驱动程序的信息。它为反恶意软件开发人员提供了开发反恶意软件驱动程序的指导原则,这些驱动程序在其他引导启动驱动程序之前被初始化,并确保这些后续驱动程序不包含恶意软件。已发布其更新的Windows解决方案的几家防病毒公司已将这项技术结合在一起
早期启动反恶意软件启动启动驱动程序已将驱动程序分类如下:
好
- :驱动程序已签名且已未被篡改。错误
- :驱动程序已被识别为恶意软件。建议您不要允许已知的错误驱动程序被初始化。错误,但是需要启动
- :驱动程序已被识别为恶意软件,但计算机无法在未加载此驱动程序的情况下成功启动未知
- :此驱动程序未被恶意软件检测应用程序证实,并且尚未被早期启动反恶意软件启动启动驱动程序分类。默认情况下,Windows 8会加载那些已被分类为良好,未知和坏但启动关键;即上面的1,3和4。
使用组策略编辑器配置启动 - 启动驱动程序初始化策略
虽然此设置最好保留其默认值,但如果您愿意,您可以通过
组策略更改此设置编辑器 。为此,打开WinX菜单>运行> gpedit.msc>按Enter键。导航至以下策略设置:计算机配置>管理模板>系统>早期启动反恶意软件
在右窗格中,双击
启动 - 启动驱动程序初始化策略 进行配置。 您将看到
未配置 的默认配置。如果您禁用或不配置此策略设置,则确定为启动启动驱动程序为“良好”,“未知”或“坏”,但启动严重,并跳过确定为错误的驱动程序的初始化。 如果
启用 此策略设置,您将能够选择在下次启动计算机时初始化哪些启动启动驱动程序。 如果您使用的是Windows 8/10,则需要检查您的反恶意软件软件包含Early Launch Antimalware启动启动驱动程序。如果没有,所有的启动启动驱动程序都将被初始化,您将无法利用这种新的ELAM技术。