Windows 10/8 شامل یک ویژگی امنیتی جدید به نام Secure Boot است که از پیکربندی و اجزای بوت ویندوز^(Windows) محافظت می‌کند و یک درایور ضد بدافزار راه‌اندازی اولیه^{(Early Launch Anti-malware)} ( ELAM ) را بارگیری می‌کند. این درایور قبل از سایر درایورهای شروع راه‌اندازی شروع می‌شود و ارزیابی آن درایورها را فعال می‌کند و به هسته ویندوز^{(Windows kernel)} کمک می‌کند تا تصمیم بگیرد که آیا آنها باید مقداردهی اولیه شوند یا خیر. با راه اندازی اول توسط هسته، ELAM اطمینان حاصل می کند که قبل از هر نرم افزار شخص ثالث دیگری راه اندازی شده است. بنابراین، می‌تواند بدافزار را در فرآیند بوت شناسایی کند و از بارگیری یا مقداردهی اولیه آن جلوگیری کند.

حفاظت ضد بدافزار راه اندازی^{(Launch Anti-Malware)} اولیه

Windows Defender از مزایای ضد بدافزار^{(Anti-Malware)} Early-Launch استفاده می کند، بنابراین، می بینید که پس از اتمام فرآیند راه اندازی، دیگر بارگیری نمی شود، بلکه در اوایل فرآیند بوت بارگیری می شود.

نرم افزار آنتی ویروس شخص ثالث نیز قادر به استفاده از فناوری ELAM است. برای انجام این کار، آنها باید همان قابلیت Early Launch Anti-Malware ( ELAM ) را در نرم افزار خود ادغام کنند. مایکروسافت^(Microsoft) برای کمک به فروشندگان نرم افزارهای امنیتی برای شروع کار، کاغذ سفیدی^(whitepaper) منتشر کرده است  که اطلاعاتی درباره توسعه درایورهای ضد بدافزار^{(Anti-Malware)} راه اندازی اولیه ( ELAM ) برای ویندوز ارائه می دهد.^(Windows)سیستم های عامل. این دستورالعمل برای توسعه دهندگان ضد بدافزار ارائه می دهد تا درایورهای ضد بدافزار را که قبل از سایر درایورهای راه اندازی راه اندازی اولیه هستند، ایجاد کنند و اطمینان حاصل کند که درایورهای بعدی حاوی بدافزار نیستند. چندین شرکت آنتی ویروس که راه حل های به روز شده خود را برای ویندوز^(Windows) منتشر کرده اند در حال حاضر از این فناوری استفاده می کنند.

درایور راه‌اندازی اولیه ضد بدافزار^{(Launch Antimalware)} راه‌اندازی راه‌اندازی درایورها را به صورت زیر طبقه‌بندی کرده است:

1. خوب^(Good) : راننده امضا شده است و دستکاری نشده است.
2. بد^(Bad) : درایور به عنوان بدافزار شناسایی شده است. توصیه می شود که اجازه ندهید درایورهای بد شناخته شده مقداردهی اولیه شوند.
3. بد، اما برای بوت شدن لازم است^{(Bad, but required for boot)} : درایور به عنوان بدافزار شناسایی شده است، اما کامپیوتر بدون بارگیری این درایور نمی تواند با موفقیت بوت شود.
4. ناشناخته^(Unknown) : این درایور توسط برنامه شناسایی بدافزار شما تأیید نشده است و توسط درایور راه اندازی اولیه ضد بدافزار Early Launch^{(Launch Antimalware)} دسته بندی نشده است.

به‌طور پیش‌فرض، ویندوز 10 درایورهایی را بارگیری می‌کند که به‌عنوان خوب^(Good) ، ناشناخته^(Unknown) ، و بد^(Bad) طبقه‌بندی شده‌اند اما Boot Critical هستند. یعنی 1، 3 و 4 بالا. درایورهای بد بارگذاری نمی شوند.^(Bad)

با استفاده از ویرایشگر خط مشی گروه، خط مشی ^{(Group Policy Editor)}راه اندازی درایور راه اندازی را^{(Boot-Start Driver Initialization Policy)} پیکربندی کنید

در حالی که این تنظیم بهتر است در مقدار پیش فرض خود باقی بماند، در صورت تمایل، می توانید این تنظیم را از طریق ویرایشگر خط مشی گروه^{(Group Policy Editor)} خود تغییر دهید . برای انجام این کار، منوی WinX > Run > gpedit.msc > Enter^{(Hit Enter)} را باز کنید . به تنظیمات خط مشی زیر بروید :^(Navigate)

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

در قسمت سمت راست، روی  Boot-Start Driver Initialization Policy دوبار کلیک کنید تا آن را پیکربندی کنید.

پیکربندی پیش فرض Not Configured را خواهید دید . اگر این تنظیم خط‌مشی را غیرفعال کنید یا پیکربندی نکنید، درایورهای شروع راه‌اندازی که به‌عنوان خوب، ناشناخته^(Unknown) یا بد^(Bad) تعیین می‌شوند اما Boot Critical اولیه هستند، مقداردهی اولیه می‌شوند و از مقداردهی اولیه درایورهایی که به عنوان Bad تعیین شده‌اند صرفنظر می‌شود.

اگر این تنظیم خط‌مشی را فعال^(Enable) کنید، می‌توانید انتخاب کنید که دفعه بعد که رایانه راه‌اندازی می‌شود کدام درایورهای راه‌اندازی اولیه را تنظیم کنید.

اگر از Windows 10/8 استفاده می‌کنید ، می‌خواهید بررسی کنید که آیا نرم‌افزار ضد بدافزار شما دارای درایور راه‌اندازی اولیه ضد بدافزار است یا خیر^{(Antimalware)} . در غیر این صورت، همه درایورهای راه‌اندازی اولیه اولیه می‌شوند و شما نمی‌توانید از مزایای این فناوری جدید ELAM استفاده کنید.

Early Launch Anti-Malware (ELAM) protection technology in Windows 10

Windows 10/8 includes a new security feature cаllеd Securе Boot, which protects the Windows boot configurаtion and components, and loads an Early Launch Anti-malware (ELAM) driver. This driver starts before other boot-start drivers and enables the evaluation of those drivers and helps the Windows kernel decide whether they should be initialized. By being launched first by the kernel, ELAM is ensured that it is launched before any other third-party software. It is, therefore, able to detect malware in the boot process itself and prevent it from loading or initializing.

Early Launch Anti-Malware protection

Windows Defender takes advantage of Early-Launch Anti-Malware, and you, therefore, see that it no longer loads after the start-up process is complete, but early on during the boot process.

Third-party antivirus software too, is able to take advantage of the ELAM technology. To do so, they will have to integrate the same Early Launch Anti-Malware (ELAM) capability in their software. To help security software vendors get started, Microsoft has released a whitepaper that provides information about developing Early Launch Anti-Malware (ELAM) drivers for Windows operating systems. It provides guidelines for anti-malware developers to develop anti-malware drivers that are initialized before other boot-start drivers, and ensure that those subsequent drivers do not contain malware. Several antivirus companies, who have released their updated solutions for Windows already incorporate this technology.

The Early Launch Antimalware boot-start driver has classified the drivers as follows:

1. Good: The driver has been signed and has not been tampered with.
2. Bad: The driver has been identified as malware. It is recommended that you do not allow known bad drivers to be initialized.
3. Bad, but required for boot: The driver has been identified as malware, but the computer cannot successfully boot without loading this driver.
4. Unknown: This driver has not been attested to by your malware detection application and has not been classified by the Early Launch Antimalware boot-start driver.

By default, Windows 10 loads those drivers which have been classified as Good, Unknown, and Bad but Boot Critical; ie 1, 3 and 4 above. Bad drivers are not loaded.

Configure Boot-Start Driver Initialization Policy using Group Policy Editor

While this setting is best left at its default value, if you wish, you can change this setting via your Group Policy Editor. To do so, open the WinX menu > Run > gpedit.msc > Hit Enter. Navigate to the following policy setting:

Computer Configuration > Administrative Templates >  System > Early Launch Antimalware

In the right pane, double-click on  Boot-Start Driver Initialization Policy to configure it.

You will see the default configuration of Not Configured. If you disable or do not configure this policy setting, the boot-start drivers determined to be Good, Unknown or Bad but Boot Critical are initialized, and the initialization of drivers determined to be Bad is skipped.

If you Enable this policy setting, you will be able to choose which boot-start drivers to initialize the next time the computer is started.

If you are using Windows 10/8, you want to check if your anti-malware software includes an Early Launch Antimalware boot-start driver. If it doesn’t, all boot-start drivers will be initialized, and you will not be able to take advantage of this new ELAM technology.

Related posts

• فعال کردن Enhanced Anti-Spoofing در Windows 10 Hello Face Authentication

• چگونه به فرمت یک کامپیوتر Windows 10

• ویژگی های حذف شده در Windows 10 v 21H1

• چگونه برای فعال کردن یا Disable Automatic Learning در Windows 10

• فعال کردن Disable Data Collection برای Reliability Monitor در Windows 10

• روشن یا Off Caret Browsing Support در Windows 10

• Permissions Tool موثر برای Files and Folders در Windows 10

• 15 ویژگی جدید ویندوز 10 که باید از آنها استفاده کنید

• چگونه Windows Mobility Centre را در Windows 10 باز کنید

• Download Media Feature Pack برای Windows 10 N version

• غیر فعال کردن Telemetry & Data Collection در Windows 10 با استفاده از Task Scheduler

• چگونه Windows Mobility Centre را در Windows 10 غیرفعال کنیم

• چگونه به روشن یا خاموش کردن عیب یابی توصیه در Windows 10

• ویژگی های حذف شده در Windows 10 V20H2 October 2020 Update

• چگونه به استفاده از Network Sniffer Tool PktMon.exe در Windows 10

• خواص چاپگر Features section در Windows 10 گم شده است

• ویژگی های حذف شده یا از بین رفته در Windows 10 V2004

• Watch تلویزیون دیجیتال و گوش دادن به Radio در Windows 10 با ProgDVB

• Stop Windows 10 از ارتقا به نسخه بعدی یا نصب Update ویژگی

• نحوه نصب NumPy با استفاده از PIP در Windows 10