Управление обнаружениями при раннем запуске защиты от вредоносных программ (ELAM)

Ранний запуск защиты от вредоносных программ (ELAM) обеспечивает защиту компьютеров в сети при их запуске и до инициализации сторонних драйверов. Вредоносные программы могут загружаться в качестве драйвера, а руткиты могут совершать атаки раньше, чем полностью загрузится операционная система и запустится
Symantec Endpoint Protection
. Руткиты иногда могут скрывать себя от средств сканирования на вирусы и программы-шпионы. Ранний запуск защиты от вредоносных программ позволяет при запуске обнаруживать руткиты и неблагонадежные драйверы.
ELAM поддерживается только в Microsoft Windows 8 и более поздних версий, а также в Windows Server 2012 и более поздних версий.
Symantec Endpoint Protection
предоставляет драйвер ELAM, который обеспечивает защиту вместе с драйвером Windows ELAM. Чтобы драйвер Symantec ELAM выполнял свою задачу, должен быть включен драйвер Windows ELAM.
Для просмотра и изменения параметров Windows ELAM используется редактор групповой политики Windows. Дополнительные сведения приведены в документации Windows.
Управление обнаружениями ELAM
Задача
Описание
Просмотр состояния ELAM на клиентских компьютерах
Узнать, включена ли функция ELAM в
Symantec Endpoint Protection
, можно в журнале состояния компьютеров.
Просмотр обнаружений ELAM
Просмотреть обнаружения при раннем запуске защиты от вредоносных программ можно в журнале угроз.
Когда
Symantec Endpoint Protection
ELAM настроен так, чтобы сообщать Windows об обнаружениях как о неблагонадежных драйверах или неблагонадежных критических драйверах,
Symantec Endpoint Protection
регистрирует обнаружения в журнале, как в режиме
Заносить в журнал
. По умолчанию Windows ELAM разрешает загрузку неизвестных драйверов.
Включение и выключение ELAM
Для повышения быстродействия компьютера может потребоваться выключить функцию ELAM в
Symantec Endpoint Protection
.
Настройка параметров обнаружения ELAM при возникновении ложных срабатываний
В параметрах функции ELAM в
Symantec Endpoint Protection
есть вариант идентификации неблагонадежных и неблагонадежных критических драйверов как неизвестных. Неблагонадежные критические драйверы — это драйверы, идентифицируемые как вредоносные программы, но необходимые для запуска компьютера. Может понадобиться выбрать вариант переопределения, если возникнут обнаружения с ложным срабатыванием, блокирующие какой-нибудь важный драйвер. Блокировка важного драйвера может препятствовать запуску клиентских компьютеров.
ELAM не поддерживает особые исключения для отдельных драйверов. Вариант переопределения применяется глобально ко всем обнаружениям ELAM.
Применение Power Eraser к обнаружениям ELAM, которые
Symantec Endpoint Protection
не может исправить
Иногда обнаружение ELAM требует запуска Power Eraser. В этих случаях в журнале появляется сообщение, предлагающее запустить Power Eraser. Запустить Power Eraser можно из консоли. Power Eraser также является частью средства Symantec Help. Следует запускать Power Eraser в режиме поиска руткитов.