Para gerenciar detecções do início antecipado do antimalware (ELAM, Early launch anti-malware)

O início antecipado do antimalware (ELAM) fornece proteção para os computadores em sua rede quando eles iniciam e antes que drivers de terceiros inicializem. Softwares maliciosos podem ser carregados como um driver ou rootkits podem atacar antes que o sistema operacional seja totalmente carregado e o
Symantec Endpoint Protection
inicie. Algumas vezes, rootkits podem se ocultar das verificações de vírus e spyware. O início antecipado do antimalware detecta estes rootkits e drivers inválidos na inicialização.
O ELAM é suportado somente no Microsoft Windows 8 ou superior, e no Windows Server 2012 ou superior.
O
Symantec Endpoint Protection
fornece um driver ELAM que funciona com o driver Windows ELAM para fornecer proteção. O driver Windows ELAM deve estar ativado para que o driver Symantec ELAM tenha efeito.
Você usa o editor de políticas de grupo do Windows para exibir e modificar as configurações do Windows ELAM. Consulte sua documentação do Windows para obter mais informações.
Como gerenciar detecções do ELAM
Tarefa
Descrição
Exibir o status do ELAM em seus computadores-cliente
Você pode verificar se o ELAM do
Symantec Endpoint Protection
está ativado no log de status do computador.Consulte:
Exibir detecções do ELAM
Você pode exibir detecções do início antecipado do antimalware no log de Risco.
Quando o ELAM do
Symantec Endpoint Protection
ELAM estiver configurado para relatar detecções de drivers inválidos ou de drivers críticos inválidos como desconhecidos ao Windows, o
Symantec Endpoint Protection
registrará em log as detecções como
Somente registrar em log
. Por padrão, o Windows ELAM permite que drivers desconhecidos sejam carregados.
Ativar ou desativar o ELAM
Ajustar as configurações da detecção do ELAM se você obtiver falsos positivos
As configurações do ELAM do
Symantec Endpoint Protection
fornecem uma opção para tratar drivers inválidos e drivers inválidos críticos como desconhecidos. Os drivers inválidos críticos são drivers identificados como malware, mas necessários para a inicialização do computador. Convém selecionar a opção de sobreposição se você obtiver detecções de falso positivo que bloqueiam um driver importante. Se você bloquear um driver importante, poderá impedir que os computadores-cliente sejam iniciados.
O ELAM não suporta uma exceção específica para um driver individual. A opção de sobreposição é aplicada globalmente às detecções do ELAM.
Para obter mais informações, consulte:
Executar o Power Eraser nas detecções do ELAM que o
Symantec Endpoint Protection
não pode corrigir
Em alguns casos, uma detecção do ELAM exige o Power Eraser. Nesses casos, uma mensagem aparecerá no log sugerindo que você execute o Power Eraser. Você pode executar o Power Eraser no console. O Power Eraser também faz parte da ferramenta Symantec Help. Você deve executar o Power Eraser no modo rootkit. Consulte: