管理提前启动反恶意软件 (ELAM) 检测

提前启动反恶意软件 (ELAM) 会在计算机启动时,以及第三方驱动程序初始化之前,为您网络中的计算机提供防护。可以当作驱动程序或 Rootkit 加载的恶意软件可能会在操作系统完全加载且
Symantec Endpoint Protection
启动前攻击系统。Rootkit 有时候可能会躲避病毒和间谍软件扫描。提早启动防恶意软件会在启动时检测这些 Rootkit 和恶意驱动程序。
ELAM 仅在 Microsoft Windows 8 或更高版本以及 Windows Server 2012 或更高版本上受支持。
Symantec Endpoint Protection
提供的 ELAM 驱动程序可与 Windows ELAM 驱动程序配合使用,以提供防护。您必须启用 Windows ELAM 驱动程序,Symantec ELAM 驱动程序才会有作用。
您可以使用 Windows 组策略编辑器查看及修改 Windows ELAM 设置。有关更多信息,请参见 Windows 文档。
管理 ELAM 检测
任务
说明
查看客户端计算机的 ELAM 状态
您可以在“计算机状态”日志中查看
Symantec Endpoint Protection
ELAM 是否已启用。
查看 ELAM 检测
您可以在“风险”日志中查看提早启动防恶意软件检测。
Symantec Endpoint Protection
ELAM 配置为报告检测到 Windows 未知的错误或严重错误驱动程序时,
Symantec Endpoint Protection
会将检测结果记录为“
仅记录
”。默认情况下,Windows ELAM 允许加载未知的驱动程序。
启用或禁用 ELAM
您可能需要禁用
Symantec Endpoint Protection
ELAM,以帮助改善计算机性能。
如果您收到误报,请调整 ELAM 检测的设置
Symantec Endpoint Protection
ELAM 设置提供的选项可将恶意驱动程序和恶意的重要驱动程序视为未知。恶意的重要驱动程序就是被标识为恶意软件但却是启动计算机所必需的驱动程序。如果收到禁止重要驱动程序的误报检测,您可能希望选择覆盖选项。如果您禁止重要驱动程序,您可能会使客户端计算机无法启动。
ELAM 不支持个别驱动程序的特定例外。覆盖选项可全局应用到 ELAM 检测。
Symantec Endpoint Protection
无法补救的 ELAM 检测运行 Power Eraser
在某些情况下,ELAM 检测需要 Power Eraser。在这类情况下,日志中会显示一则消息,建议您运行 Power Eraser。您可以从控制台运行 Power Eraser。Power Eraser 也是 Symantec Help 工具的一部分。您应在 Rootkit 模式下运行 Power Eraser。