La tecnología de protección Early Launch Anti-Malware (ELAM) en Windows

Windows 10/8 incluye una nueva característica de seguridad llamada Secure Boot, que protege la configuración y los componentes de arranque de Windows, y carga un Early Launch Anti-malware (ELAM) driver. Este controlador se inicia antes que otros controladores de inicio de arranque y permite la evaluación de esos controladores y ayuda al kernel de Windows a decidir si se deben inicializar. Al ser lanzado primero por el kernel, ELAM se asegura de que se lance antes que cualquier otro software de terceros. Por lo tanto, es capaz de detectar malware en el proceso de arranque e impedir que se cargue o inicialice.

Protección Early-Anti-Malware

Windows Defender aprovecha Early-Launch Anti-Malware, y usted, por lo tanto, verá que ya no se carga después de que se complete el proceso de inicio, pero al principio durante el proceso de arranque.

El software antivirus de terceros también puede aprovechar la tecnología ELAM. Para hacerlo, deberán integrar la misma capacidad Early Launch Anti-Malware (ELAM) en su software. Para ayudar a los vendedores de software de seguridad a comenzar, Microsoft lanzó un documento técnico que brinda información sobre el desarrollo de los controladores Early Launch Anti-Malware (ELAM) para sistemas operativos Windows. Proporciona pautas para que los desarrolladores antimalware desarrollen controladores antimalware que se inicialicen antes que otros controladores de arranque y arranque, y se asegure de que esos controladores posteriores no contengan malware. Varias compañías antivirus que han lanzado sus soluciones actualizadas para Windows ya incorporan esta tecnología.

El controlador de arranque y arranque Antimalware de Early Launch ha clasificado los controladores de la siguiente manera:

1. Bueno : el controlador ha sido firmado y tiene no se ha manipulado.
2. Malo : el controlador ha sido identificado como malware. Se recomienda que no permita la inicialización de los controladores defectuosos conocidos.
3. Incorrecto, pero necesario para el arranque : el controlador ha sido identificado como malware, pero la computadora no puede arrancar correctamente sin cargar este controlador.
4. Desconocido : este controlador no ha sido comprobado por su aplicación de detección de malware y no ha sido clasificado por el controlador de arranque y arranque Antimalware de Early Launch.

De forma predeterminada, Windows 8 carga aquellos controladores clasificados como Bueno, Desconocido y Malo pero Boot Critical; es decir, 1, 3 y 4 arriba. Los controladores defectuosos no están cargados.

Configurar la política de inicialización del controlador de inicio y arranque utilizando el Editor de directivas de grupo

Si bien esta configuración es mejor dejarla en su valor predeterminado, si lo desea, puede cambiar esta configuración mediante su Política de grupo Editor . Para hacerlo, abra el menú de WinX> Ejecutar> gpedit.msc> Presione Enter. Vaya a la siguiente configuración de directiva:

Configuración del equipo> Plantillas administrativas> Sistema> Antimalware de inicio anticipado

En el panel derecho, haga doble clic en Política de inicialización del controlador de arranque inicial para configurarlo.

Verá la configuración predeterminada de No configurada. Si deshabilita o no configura esta configuración de directiva, se inicializan los controladores de arranque y arranque determinados como Bueno, Desconocido o Malo pero Boot Critical y se omite la inicialización de los controladores que se determinaron como Malos.

Si Habilite esta configuración de directiva, podrá elegir qué controladores de arranque y arranque inicializar la próxima vez que se inicie la computadora.

Si está usando Windows 8/10, quiere verificar si su antimalware El software incluye un controlador de arranque y arranque Antimalware de Early Launch. Si no lo hace, se inicializarán todos los controladores de arranque y no podrá aprovechar esta nueva tecnología ELAM.