Tecnologia di protezione Early Launch Anti-Malware (ELAM) in Windows 10

Windows 10/8 include una nuova funzionalità di sicurezza denominata Secure Boot , che protegge la configurazione di avvio di Windows e i componenti e carica un driver Early Launch Anti-malware ( ELAM ). Questo driver viene avviato prima di altri driver di avvio e consente la valutazione di tali driver e aiuta il kernel di Windows(Windows kernel) a decidere se devono essere inizializzati. Essendo lanciato per primo dal kernel, ELAM si assicura che venga avviato prima di qualsiasi altro software di terze parti. È quindi in grado di rilevare il malware nel processo di avvio stesso e impedirne il caricamento o l'inizializzazione.

Avvio anticipato Protezione anti-malware(Launch Anti-Malware)

Windows Defender si avvale di Early-Launch Anti-Malware e, pertanto, vedrai che non viene più caricato al termine del processo di avvio, ma all'inizio del processo di avvio.

Anche il software antivirus di terze parti è in grado di sfruttare la tecnologia ELAM . Per farlo, dovranno integrare la stessa funzionalità Early Launch Anti-Malware ( ELAM ) nel loro software. Per aiutare i fornitori di software di sicurezza a iniziare, Microsoft ha rilasciato un whitepaper  che fornisce informazioni sullo sviluppo di driver Early Launch Anti-Malware ( ELAM ) per Windowssistemi operativi. Fornisce linee guida per gli sviluppatori anti-malware per sviluppare driver anti-malware che vengono inizializzati prima di altri driver di avvio e garantire che i driver successivi non contengano malware. Diverse società di antivirus, che hanno rilasciato le loro soluzioni aggiornate per Windows , incorporano già questa tecnologia.

Il driver di avvio di Early Launch Antimalware ha classificato i driver come segue:

  1. Buono(Good) : Il conducente è stato firmato e non è stato manomesso.
  2. Cattivo(Bad) : il driver è stato identificato come malware. Si consiglia di non consentire l'inizializzazione di driver noti non validi.
  3. Non valido , ma necessario per l'avvio(Bad, but required for boot) : il driver è stato identificato come malware, ma il computer non può avviarsi correttamente senza caricare questo driver.
  4. Sconosciuto(Unknown) : questo driver non è stato attestato dall'applicazione di rilevamento del malware e non è stato classificato dal driver di avvio dell'antimalware di avvio(Launch Antimalware) anticipato .

Per impostazione predefinita, Windows 10 carica quei driver che sono stati classificati come Buoni(Good) , Sconosciuti(Unknown) e Non validi(Bad) ma Boot Critical ; cioè 1, 3 e 4 sopra. I driver difettosi(Bad) non vengono caricati.

Configurare i criteri di inizializzazione del driver Boot-Start(Boot-Start Driver Initialization Policy) utilizzando l'Editor criteri di gruppo(Group Policy Editor)

Anche se è meglio lasciare questa impostazione al valore predefinito, se lo desideri, puoi modificare questa impostazione tramite l' Editor criteri di gruppo(Group Policy Editor) . Per farlo, apri il menu WinX > Run > gpedit.msc > Premi Invio(Hit Enter) . Passare(Navigate) alla seguente impostazione dei criteri:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

Early Launch Anti-Malware protection

Nel riquadro di destra, fare doppio clic su  Boot-Start Driver Initialization Policy per configurarlo.

Vedrai la configurazione predefinita di Non configurato(Not Configured) . Se si disabilita o non si configura questa impostazione dei criteri, i driver di avvio determinati come Buoni, Sconosciuti(Unknown) o Non validi(Bad) ma critici per l'avvio(Boot Critical) vengono inizializzati e l'inizializzazione dei driver determinati come non validi(Bad) viene ignorata.

Se abiliti(Enable) questa impostazione dei criteri, sarai in grado di scegliere quali driver di avvio avviare inizializzare al successivo avvio del computer.

If you are using Windows 10/8, you want to check if your anti-malware software includes an Early Launch Antimalware boot-start driver. If it doesn’t, all boot-start drivers will be initialized, and you will not be able to take advantage of this new ELAM technology.



About the author

Sono uno sviluppatore di software freeware e sostenitore di Windows Vista/7. Ho scritto diverse centinaia di articoli su vari argomenti relativi al sistema operativo, inclusi suggerimenti e trucchi, guide di riparazione e best practice. Offro anche servizi di consulenza in ufficio attraverso la mia azienda, Help Desk Services. Ho una profonda conoscenza del funzionamento di Office 365, delle sue funzionalità e di come utilizzarle nel modo più efficace.



Related posts