Comprendre la technologie de protection ELAM (Early Launch Anti-Malware) dans Windows

Windows 10/8 inclut une nouvelle fonctionnalité de sécurité appelée Secure Boot, qui protège la configuration de démarrage Windows et ses composants, et charge un Lancement anticipé Anti-malware (ELAM) pilote. Ce pilote démarre avant les autres pilotes de démarrage, active l'évaluation de ces pilotes et aide le noyau Windows à décider s'ils doivent être initialisés. En étant lancé d'abord par le noyau, ELAM s'assure qu'il est lancé avant tout autre logiciel tiers. Par conséquent, il est capable de détecter les logiciels malveillants dans le processus de démarrage lui-même et de les empêcher de se charger ou de s’initialiser..

Protection anti-programme malveillant au lancement anticipé

Windows Defender tire parti de Anti-Malware de Early-Launch et vous constatez donc qu'il ne se charge plus une fois le processus de démarrage terminé, mais au début du processus de démarrage.

Les logiciels antivirus tiers peuvent également tirer parti de la technologie ELAM. Pour ce faire, ils devront intégrer la même fonctionnalité ELAM (Early Launch Anti-Malware) à leurs logiciels. Pour aider les éditeurs de logiciels de sécurité à démarrer, Microsoft a publié un livre blanc fournissant des informations sur le développement de pilotes ELAM (Early Launch Anti-Malware) pour les systèmes d'exploitation Windows. Il fournit aux développeurs de programmes anti-programmes malveillants des instructions pour développer des pilotes anti-programmes malveillants initialisés avant les autres pilotes de démarrage et garantir que ces derniers ne contiennent pas de programmes malveillants. Plusieurs éditeurs de logiciels antivirus, qui ont publié leurs solutions mises à jour pour Windows, incorporent déjà cette technologie..

Le pilote de démarrage au démarrage Antimalware a classé les pilotes comme suit:

1. Bien: Le pilote a été signé et n'a pas été falsifié.
2. Mal: Le pilote a été identifié comme un malware. Il est recommandé de ne pas autoriser l'initialisation de mauvais pilotes connus..
3. Mauvais, mais requis pour le démarrage: Le pilote a été identifié en tant que programme malveillant, mais l'ordinateur ne peut pas démarrer correctement sans charger ce pilote.
4. Inconnu: Ce pilote n'a pas été attesté par votre application de détection de logiciels malveillants et n'a pas été classé par le pilote d'amorçage de démarrage anticipé Antimalware.

Par défaut, Windows 8 charge les pilotes classés comme bons, inconnus et incorrects, mais critiques au démarrage. soit 1, 3 et 4 ci-dessus. Les mauvais pilotes ne sont pas chargés.

Configurer la stratégie d'initialisation du pilote de démarrage au démarrage à l'aide de l'éditeur de stratégie de groupe

Il est préférable de laisser ce paramètre à sa valeur par défaut. Si vous le souhaitez, vous pouvez le modifier via votre Éditeur de stratégie de groupe. Pour ce faire, ouvrez le menu WinX> Exécuter> gpedit.msc> Appuyez sur Entrée. Accédez au paramètre de stratégie suivant:

Configuration de l'ordinateur> Modèles d'administration> Système> Logiciel anti-programme malveillant au lancement anticipé

Dans le volet de droite, double-cliquez sur Stratégie d'initialisation du pilote au démarrage pour le configurer.

Vous verrez la configuration par défaut de Pas configuré. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les pilotes de démarrage définis comme bons, inconnus ou incorrects, mais critiques au démarrage sont initialisés et l'initialisation des pilotes identifiés comme étant incorrects est ignorée..

Si vous Activer Ce paramètre de stratégie vous permet de choisir les pilotes de démarrage à initialiser au prochain démarrage de l’ordinateur..