Verwalten von Early Launch Anti-Malware-(ELAM-)Erkennungen

Early Launch Anti-Malware (ELAM) bietet Schutz beim Hochfahren der Computer in Ihrem Netzwerk, bevor Treiber anderer Hersteller initialisiert werden. Bösartige Software kann geladen werden, da ein Treiber oder Rootkit angreifen kann, bevor das Betriebssystem vollständig hochgefahren ist und
Symantec Endpoint Protection
ausgeführt wird. Rootkits können sich vor Viren- und Spyware-Scans verbergen. Early Launch Anti-Malware erkennt diese Rootkits und bösartigen Treiber beim Systemstart.
ELAM wird nur auf Microsoft Windows 8 oder höher und Windows Server 2012 oder höher unterstützt.
Symantec Endpoint Protection
stellt einen ELAM-Treiber zur Verfügung, der zusammen mit dem ELAM-Treiber von Windows Schutz bietet. Der ELAM-Treiber von Windows muss aktiviert sein, damit der ELAM-Treiber von Symantec funktionieren kann.
Verwenden Sie zum Anzeigen und Bearbeiten der ELAM-Einstellungen von Windows den Windows-Gruppenrichtlinien-Editor. Weitere Informationen finden Sie in der Windows-Dokumentation.
ELAM-Erkennungen verwalten
Aufgabe
Beschreibung
Anzeigen des Status von ELAM auf Ihren Clientcomputern
Sie können sehen, ob
Symantec Endpoint Protection
-ELAM im Computer-Statusprotokoll aktiviert ist.
Anzeigen von ELAM-Erkennungen
Early Launch Anti-Malware-Erkennungen werden im Risikoprotokoll angezeigt.
Wenn die ELAM-Funktion von
Symantec Endpoint Protection
so konfiguriert ist, dass Windows die Erkennungen bösartiger oder kritischer Treiber als "Unbekannt" behandelt, protokolliert
Symantec Endpoint Protection
die Erkennungen als "
Nur protokollieren
". Standardmäßig lässt Windows das Laden unbekannter Treiber zu.
Aktivieren oder Deaktivieren von ELAM
Sie können
Symantec Endpoint Protection
-ELAM deaktivieren, um die Computerleistung zu verbessern.
Passen Sie die ELAM-Erkennungseinstellungen an, wenn Sie Falscherkennungen erhalten.
Die
Symantec Endpoint Protection
-ELAM-Einstellungen enthalten eine Option, die bösartige und kritische Treiber als unbekannt behandelt. Kritische Treiber sind Treiber, die als Malware identifiziert werden aber für den Systemstart erforderlich sind. Sie sollten die Option "Übergehen" auswählen, wenn Sie Falschmeldungen erhalten, die einen wichtigen Treiber blockieren. Wenn Sie einen wichtigen Treiber blockieren, kann der Clientcomputer eventuell nicht hochgefahren werden.
ELAM unterstützt keine bestimmte Ausnahme für einen einzelnen Treiber. Die Aufhebungsoption trifft global auf ELAM-Erkennungen zu.
Führen Sie Power Eraser auf ELAM-Erkennungen aus, die
Symantec Endpoint Protection
nicht reparieren kann.
In einigen Fällen erkennt ELAM Power Eraser. In diesen Fällen wird eine Meldung im Protokoll angezeigt, in der Sie zum Ausführen von Power Eraser aufgefordert werden. Sie können Power Eraser über die Konsole ausführen. Power Eraser ist auch Teil des Symantec Help-Tools. Sie sollten Power Eraser in Rootkit-Modus ausführen.