Windows 10/8 enthält eine neue Sicherheitsfunktion namens Secure Boot , die die Windows -Boot-Konfiguration und -Komponenten schützt und einen ELAM - Treiber ( Early Launch Anti-Malware ) lädt. ^{(Early Launch Anti-malware)}Dieser Treiber startet vor anderen Boot-Start-Treibern und ermöglicht die Auswertung dieser Treiber und hilft dem Windows-Kernel bei der Entscheidung, ob sie initialisiert werden sollen. Da ELAM^(ELAM) zuerst vom Kernel gestartet wird, wird sichergestellt, dass es vor jeder anderen Software von Drittanbietern gestartet wird. Es ist daher in der Lage, Malware im Startvorgang selbst zu erkennen und zu verhindern, dass sie geladen oder initialisiert wird.

Frühzeitiger Anti-Malware-^{(Launch Anti-Malware)} Schutz

Windows Defender nutzt Early-Launch Anti-Malware , und Sie sehen daher, dass es nicht mehr nach Abschluss des Startvorgangs geladen wird, sondern früh während des Startvorgangs.

Auch Antivirus-Software von Drittanbietern kann die Vorteile der ELAM -Technologie nutzen. Dazu müssen sie dieselbe Early Launch Anti-Malware ( ELAM )-Funktion in ihre Software integrieren. Um Anbietern von Sicherheitssoftware den Einstieg zu erleichtern, hat Microsoft ein Whitepaper veröffentlicht  , das Informationen zur Entwicklung von Early Launch Anti-Malware ( ELAM )-Treibern für Windows enthält^(Windows)Betriebssysteme. Es enthält Richtlinien für Anti-Malware-Entwickler, um Anti-Malware-Treiber zu entwickeln, die vor anderen Boot-Start-Treibern initialisiert werden, und um sicherzustellen, dass diese nachfolgenden Treiber keine Malware enthalten. Mehrere Antivirus-Unternehmen, die ihre aktualisierten Lösungen für Windows veröffentlicht haben, integrieren diese Technologie bereits.

Der Early Launch Antimalware -Starttreiber hat die Treiber wie folgt klassifiziert:

1. Gut^(Good) : Der Treiber wurde signiert und nicht manipuliert.
2. Schlecht^(Bad) : Der Treiber wurde als Malware identifiziert. Es wird empfohlen, dass Sie nicht zulassen, dass bekanntermaßen fehlerhafte Treiber initialisiert werden.
3. Schlecht, aber zum Booten erforderlich^{(Bad, but required for boot)} : Der Treiber wurde als Malware identifiziert, aber der Computer kann nicht erfolgreich booten, ohne diesen Treiber zu laden.
4. Unbekannt^(Unknown) : Dieser Treiber wurde von Ihrer Malware-Erkennungsanwendung nicht bestätigt und wurde nicht vom Early Launch Antimalware -Starttreiber klassifiziert.

Standardmäßig lädt Windows 10 die Treiber, die als Good , Unknown und Bad but Boot Critical klassifiziert wurden ; dh 1, 3 und 4 oben. Schlechte^(Bad) Treiber werden nicht geladen.

Konfigurieren Sie die Boot-Start-Treiberinitialisierungsrichtlinie^{(Boot-Start Driver Initialization Policy)} mit dem Gruppenrichtlinien-Editor^{(Group Policy Editor)}

Obwohl diese Einstellung am besten auf dem Standardwert belassen wird, können Sie diese Einstellung bei Bedarf über Ihren Gruppenrichtlinien-Editor^{(Group Policy Editor)} ändern . Öffnen Sie dazu das WinX - Menü > Run > gpedit.msc > Drücken Sie die Eingabetaste^{(Hit Enter)} . Navigieren Sie^(Navigate) zur folgenden Richtlinieneinstellung:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

Doppelklicken Sie im rechten Bereich auf  Boot-Start Driver Initialization Policy , um sie zu konfigurieren.

Sie sehen die Standardkonfiguration Not Configured . Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden die Boot-Start-Treiber, die als Gut, Unbekannt^(Unknown) oder Schlecht^(Bad) , aber Boot-Kritisch^{(Boot Critical)} eingestuft wurden, initialisiert, und die Initialisierung von Treibern, die als Schlecht^(Bad) eingestuft werden, wird übersprungen.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie auswählen, welche Starttreiber beim nächsten Start des Computers initialisiert werden sollen .^(Enable)

Wenn Sie Windows 10/8 verwenden , sollten Sie überprüfen, ob Ihre Anti-Malware-Software einen Early Launch Antimalware -Starttreiber enthält. Wenn dies nicht der Fall ist, werden alle Boot-Start-Treiber initialisiert, und Sie können diese neue ELAM -Technologie nicht nutzen.

Early Launch Anti-Malware (ELAM) protection technology in Windows 10

Windows 10/8 includes a new security feature called Seсυre Βoot, which protects the Windows boot configuration and components, and loads an Early Launch Anti-malware (ELAM) driver. This driver starts before other boot-start drivers and enables the evaluation of those drivers and helps the Windows kernel decide whether they should be initialized. By being launched first by the kernel, ELAM is ensured that it is launched before any other third-party software. It is, therefore, able to detect malware in the boot process itself and prevent it from loading or initializing.

Early Launch Anti-Malware protection

Windows Defender takes advantage of Early-Launch Anti-Malware, and you, therefore, see that it no longer loads after the start-up process is complete, but early on during the boot process.

Third-party antivirus software too, is able to take advantage of the ELAM technology. To do so, they will have to integrate the same Early Launch Anti-Malware (ELAM) capability in their software. To help security software vendors get started, Microsoft has released a whitepaper that provides information about developing Early Launch Anti-Malware (ELAM) drivers for Windows operating systems. It provides guidelines for anti-malware developers to develop anti-malware drivers that are initialized before other boot-start drivers, and ensure that those subsequent drivers do not contain malware. Several antivirus companies, who have released their updated solutions for Windows already incorporate this technology.

The Early Launch Antimalware boot-start driver has classified the drivers as follows:

1. Good: The driver has been signed and has not been tampered with.
2. Bad: The driver has been identified as malware. It is recommended that you do not allow known bad drivers to be initialized.
3. Bad, but required for boot: The driver has been identified as malware, but the computer cannot successfully boot without loading this driver.
4. Unknown: This driver has not been attested to by your malware detection application and has not been classified by the Early Launch Antimalware boot-start driver.

By default, Windows 10 loads those drivers which have been classified as Good, Unknown, and Bad but Boot Critical; ie 1, 3 and 4 above. Bad drivers are not loaded.

Configure Boot-Start Driver Initialization Policy using Group Policy Editor

While this setting is best left at its default value, if you wish, you can change this setting via your Group Policy Editor. To do so, open the WinX menu > Run > gpedit.msc > Hit Enter. Navigate to the following policy setting:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

In the right pane, double-click on  Boot-Start Driver Initialization Policy to configure it.

You will see the default configuration of Not Configured. If you disable or do not configure this policy setting, the boot-start drivers determined to be Good, Unknown or Bad but Boot Critical are initialized, and the initialization of drivers determined to be Bad is skipped.

If you Enable this policy setting, you will be able to choose which boot-start drivers to initialize the next time the computer is started.

If you are using Windows 10/8, you want to check if your anti-malware software includes an Early Launch Antimalware boot-start driver. If it doesn’t, all boot-start drivers will be initialized, and you will not be able to take advantage of this new ELAM technology.

Related posts

• Aktivieren Sie Enhanced Anti-Spoofing in der Windows 10 Hello Face-Authentifizierung

• So formatieren Sie einen Windows 10-Computer

• In Windows 10 v 21H1 entfernte Funktionen

• So aktivieren oder deaktivieren Sie das automatische Lernen in Windows 10

• Aktivieren, deaktivieren Sie die Datenerfassung für die Zuverlässigkeitsüberwachung in Windows 10

• Windows 10-Barrierefreiheitsfunktionen für Menschen mit Behinderungen

• Starten Sie Dateien einfach mit myLauncher für Windows 10-Computer

• Grundlegende Software und Funktionen für einen neuen Windows 10-PC

• Verhindern Sie, dass Windows 10 auf die nächste Version aktualisiert oder Feature Update installiert wird

• So öffnen Sie das Windows-Mobilitätscenter in Windows 10

• Aktivieren oder deaktivieren Sie die Caret-Browsing-Unterstützung in Windows 10

• 15 neue Windows 10-Funktionen, die Sie verwenden müssen

• So verwenden Sie den Ressourcenmonitor in Windows 10

• So aktivieren oder deaktivieren Sie die empfohlene Fehlerbehebung in Windows 10

• So reduzieren Sie Taskleisten-Updates für News & Interests in Windows 10

• Sehen Sie digitales Fernsehen und hören Sie Radio unter Windows 10 mit ProgDVB

• Die 5 besten neuen Funktionen im Update 1809 von Windows 10

• So aktivieren oder deaktivieren Sie die Anwendungsisolationsfunktion in Windows 10

• Aktivieren oder deaktivieren Sie Open News and Interests on Hover in Windows 10

• So zeigen Sie den DPI-Awareness-Modus von Apps im Windows 10 Task-Manager an