เทคโนโลยีการป้องกันมัลแวร์ (ELAM) ที่เปิดใช้ก่อนเปิดตัวใน Windows 10

Windows 10/8 มีคุณลักษณะด้านความปลอดภัยใหม่ที่เรียกว่าSecure Bootซึ่งปกป้องการ กำหนดค่าและส่วนประกอบการบูต Windowsและโหลด ไดรเวอร์ Early Launch Anti-malware ( ELAM ) ไดรเวอร์นี้เริ่มต้นก่อนไดรเวอร์บูต-สตาร์ทอื่นๆ และเปิดใช้งานการประเมินไดรเวอร์เหล่านั้น และช่วยให้เคอร์เนลของ Windows(Windows kernel)ตัดสินใจว่าควรเริ่มต้นหรือไม่ ด้วยการเปิดตัวครั้งแรกโดยเคอร์เนลELAMจึงมั่นใจได้ว่าจะเปิดตัวก่อนซอฟต์แวร์อื่น ๆ ของ บริษัท อื่น ดังนั้นจึงสามารถตรวจจับมัลแวร์ในกระบวนการบู๊ตได้เองและป้องกันไม่ให้โหลดหรือเริ่มต้น

การ ป้องกันมัลแวร์(Launch Anti-Malware)ก่อน เปิดตัว

Windows Defenderใช้ประโยชน์จาก Early-Launch Anti-Malwareและคุณเห็นว่าจะไม่โหลดอีกต่อไปหลังจากกระบวนการเริ่มต้นเสร็จสมบูรณ์ แต่จะเริ่มต้นในช่วงเริ่มต้นของกระบวนการบูต

ซอฟต์แวร์ป้องกันไวรัสของบริษัทอื่นก็สามารถใช้ประโยชน์จากเทคโนโลยีELAM ได้เช่นกัน (ELAM)ในการดำเนินการดังกล่าว พวกเขาจะต้องผสานรวมความสามารถEarly Launch Anti-Malware ( ELAM ) ที่เหมือนกันในซอฟต์แวร์ของตน เพื่อช่วยผู้จำหน่ายซอฟต์แวร์รักษาความปลอดภัยในการเริ่มต้นMicrosoftได้เผยแพร่เอกสาร(whitepaper) ทางเทคนิคที่ให้ข้อมูลเกี่ยวกับการพัฒนา ไดรเวอร์ Early Launch Anti-Malware ( ELAM ) สำหรับ (ELAM)Windowsระบบปฏิบัติการ. จะให้แนวทางสำหรับนักพัฒนาซอฟต์แวร์ป้องกันมัลแวร์ในการพัฒนาโปรแกรมควบคุมป้องกันมัลแวร์ที่เตรียมใช้งานก่อนโปรแกรมควบคุมการเริ่มระบบอื่น ๆ และตรวจสอบให้แน่ใจว่าโปรแกรมควบคุมที่ตามมาเหล่านั้นไม่มีมัลแวร์ บริษัทแอนติไวรัสหลายแห่งที่เปิดตัวโซลูชันที่อัปเดตสำหรับWindowsได้รวมเอาเทคโนโลยีนี้ไว้แล้ว

โปรแกรมควบคุมการเริ่มระบบ Early Launch Antimalwareได้จัดประเภทไดรเวอร์ดังต่อไปนี้:

  1. ดี(Good) : คนขับได้รับการลงนามและไม่ได้ถูกดัดแปลง
  2. แย่(Bad) : ไดรเวอร์ถูกระบุว่าเป็นมัลแวร์ ขอแนะนำว่าอย่าอนุญาตให้มีการเริ่มต้นไดรเวอร์ที่ไม่ดีที่รู้จัก
  3. ไม่ดี แต่จำเป็นสำหรับการบู๊ต(Bad, but required for boot) : ไดร์เวอร์ถูกระบุว่าเป็นมัลแวร์ แต่คอมพิวเตอร์ไม่สามารถบู๊ตได้สำเร็จโดยไม่โหลดไดร์เวอร์นี้
  4. Unknown : โปรแกรมควบคุมนี้ไม่ได้รับการรับรองโดยโปรแกรมตรวจจับมัลแวร์ของคุณ และไม่ได้รับการจัดประเภทโดยโปรแกรมควบคุมการเริ่มระบบ Early Launch Antimalware

ตามค่าเริ่มต้น Windows 10 จะโหลดไดรเวอร์เหล่านั้นซึ่งจัดอยู่ในประเภทGood ,(Good) Unknown และ(Unknown) Bad but(Bad) Boot Critical (Boot Critical)เช่น 1, 3 และ 4 ข้างต้น ไม่(Bad)ได้โหลดไดรเวอร์ที่ไม่ดี

กำหนดค่านโยบายการเริ่มต้นไดรเวอร์ Boot-Start(Boot-Start Driver Initialization Policy)โดยใช้Group Policy Editor

แม้ว่าการตั้งค่านี้จะดีที่สุดที่ค่าเริ่มต้น แต่หากต้องการ คุณสามารถเปลี่ยนการตั้งค่านี้ผ่านGroup Policy Editorของคุณ โดยเปิดเมนูWinX > Run > gpedit.msc > Hit Enter ไป(Navigate)ที่การตั้งค่านโยบายต่อไปนี้:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

การป้องกันมัลแวร์ก่อนเปิดตัว

ในบานหน้าต่างด้านขวา ให้ดับเบิลคลิกที่  Boot-Start Driver Initialization Policyเพื่อกำหนดค่า

คุณจะเห็นการกำหนดค่าเริ่มต้นของNot Configured (Not Configured)หากคุณปิดใช้งานหรือไม่ได้กำหนดการตั้งค่านโยบายนี้ โปรแกรมควบคุมการเริ่มระบบจะเริ่มการทำงานที่ระบุว่าดีไม่รู้จัก(Unknown)หรือแย่(Bad)แต่สำคัญต่อการบู๊ต(Boot Critical) และ ข้ามการกำหนดค่าเริ่มต้นของไดรเวอร์ที่ระบุว่าแย่(Bad)

หากคุณเปิดใช้งาน(Enable)การตั้งค่านโยบายนี้ คุณจะสามารถเลือกได้ว่าจะให้ไดรเวอร์การบูตเครื่องใดเพื่อเตรียมใช้งานในครั้งต่อไปที่คอมพิวเตอร์เริ่มทำงาน

หากคุณกำลังใช้Windows 10/8คุณต้องการตรวจสอบว่าซอฟต์แวร์ป้องกันมัลแวร์ของคุณมีโปรแกรมควบคุมการเริ่มระบบ ก่อนเปิดตัว Antimalware หรือไม่ (Antimalware)หากไม่เป็นเช่นนั้น ไดรเวอร์สำหรับบูต-สตาร์ททั้งหมดจะถูกเตรียมใช้งาน และคุณจะไม่สามารถใช้ประโยชน์จากเทคโนโลยีELAM ใหม่นี้ได้(ELAM)



ณิชารีย์ พิทักษ์ไทย

About the author

ฉันเป็นนักพัฒนาซอฟต์แวร์ฟรีแวร์และเป็นผู้ให้การสนับสนุน Windows Vista/7 ฉันได้เขียนบทความหลายร้อยบทความเกี่ยวกับหัวข้อต่างๆ ที่เกี่ยวข้องกับระบบปฏิบัติการ รวมถึงคำแนะนำและเคล็ดลับ คู่มือการซ่อม และแนวทางปฏิบัติที่ดีที่สุด ฉันยังเสนอบริการให้คำปรึกษาเกี่ยวกับสำนักงานผ่านทางบริษัท Help Desk Services ของฉัน ฉันมีความเข้าใจอย่างลึกซึ้งเกี่ยวกับวิธีการทำงานของ Office 365 ฟีเจอร์ และวิธีใช้งานอย่างมีประสิทธิภาพสูงสุด


Related posts