管理提早啟動防惡意軟體 (ELAM) 偵測

提早啟動防惡意軟體 (ELAM) 會在電腦啟動時,以及第三方驅動程式初始化之前,為您網路中的電腦提供防護。可以當作驅動程式或 Rootkit 載入的惡意軟體,可能會在作業系統完全載入且
Symantec Endpoint Protection
啟動前攻擊系統。Rootkit 有時候可能會躲避病毒和間諜軟體掃描。提早啟動防惡意軟體會在系統啟動時偵測這些 Rootkit 和惡意驅動程式。
僅 Microsoft Windows 8 或更新版本和 Windows Server 2012 或更新版本支援 ELAM。
Symantec Endpoint Protection
提供的 ELAM 驅動程式可搭配 Windows ELAM 驅動程式使用,以提供防護。您必須啟用 Windows ELAM 驅動程式,Symantec ELAM 驅動程式才會有作用。
您可以使用 Windows 群組原則編輯器檢視及修改 Windows ELAM 設定。如需詳細資訊,請參閱 Windows 說明文件。
管理 ELAM 偵測
工作
說明
檢視用戶端電腦的 ELAM 狀態
您可以在「電腦狀態」日誌中檢視
Symantec Endpoint Protection
ELAM 是否已啟用。
檢視 ELAM 偵測
您可以在「風險日誌」中檢視提早啟動防惡意軟體偵測。
Symantec Endpoint Protection
ELAM 架構為報告偵測到 Windows 未知的惡意驅動程式或惡意的重要驅動程式時,
Symantec Endpoint Protection
會將偵測結果記錄為「
只記錄
」。依預設,Windows ELAM 允許載入未知的驅動程式。
啟用或停用 ELAM
您可能需要停用
Symantec Endpoint Protection
ELAM,以協助改善電腦效能。
如果您得到誤報,請調整 ELAM 偵測設定
Symantec Endpoint Protection
ELAM 設定提供的選項可將惡意驅動程式或惡意的重要驅動程式視為不明。惡意的重要驅動程式就是被識別為惡意軟體但卻是啟動電腦所必需的驅動程式。如果得到可攔截重要驅動程式的誤報偵測,您可以選取覆寫選項。如果您攔截重要驅動程式,則可能會使用戶端電腦無法啟動。
ELAM 不支援個別驅動程式的特定例外。覆寫選項可全域套用到 ELAM 偵測。
Symantec Endpoint Protection
無法矯正的 ELAM 偵測執行 Power Eraser
在某些情況下,ELAM 偵測需要 Power Eraser。在這類情況下,日誌中會顯示一則訊息,建議您執行 Power Eraser。您可以從主控台執行 Power Eraser。Power Eraser 也是賽門鐵克說明工具的一部分。您應在 Rootkit 模式下執行 Power Eraser。