Отключение раннего запуска антивредоносного драйвера

Обновлено: 08.07.2024

Для защиты от руткитов, активирующихся на этапе ранней загрузки, в Windows 10 и 8.1 предусмотрен специальный механизм, именуемый Early Launch Anti-malware или сокращенно ELAM. За его работу отвечает особый драйвер, загружающийся в память первым и проверяющий все остальные драйвера на предмет угроз. Инструмент, безусловно, полезный, тем не менее, у вас могут быть причины для его отключения.

Необходимость в отключении ELAM может возникнуть в случае частого ложного срабатывания защиты, особенно если блокируемый драйвер необходим для нормальной работы системы или устройств. В ином примере пользователь может столкнуться с вредоносным драйвером, блокирующим загрузку системы преднамеренно, в таком случае отключение ELAM понадобится для входа в систему и удаления драйвера из работающей Windows.

Способов отключения Early Launch Anti-malware имеется два. Первый отключает механизм временно, до первой перезагрузки, второй деактивирует его на постоянной основе.

Для временного отключения ELAM вам понадобится выполнить следующие действия. Зажав кнопку Shift, выполните перезагрузку компьютера. В окне действий выберите Поиск и устранение неисправностей → Дополнительные параметры → Параметры загрузки и нажмите там кнопку «Перезагрузить.

Вам может быть интересно: Как изменить цвет панель задач




3

После того как компьютер перезагрузится, вы увидите список параметров загрузки. Вам нужен восьмой по счету – отключение раннего запуска антивредоносной защиты. Нажмите клавишу F8, и настройка будет применена, а компьютер перезагружен с отключенной защитой ELAM.


Описанный выше способ отключает раннюю защиту только на один раз, при следующей загрузке она вновь будет запущена. Чтобы отключить сканирование загружаемых драйверов на постоянной основе, необходимо сделать следующее. В работающей системе откройте от имени администратора командную строку и выполните в ней такую команду:


6

Готово. Изменения вступят в силу сразу после перезагрузки компьютера. Точно так же легко функция сканирования при загрузке включается, нужно только ключ yes в команде заменить на on. Вот так:

Не запускается windows 10? Методы восстановления работы

Не запускается windows 10? Методы восстановления работы

Когда в самый не подходящий момент не запускается windows 10, возникает буря эмоций и точно не положительных. Кажется что все пропало… Но, не все так критично, как может показаться на первый взгляд. И в данном видеоуроке мы ответим на вопрос: - Почему может не запускаться Windows 10? И рассмотрим различные методы восстановления работоспособности операционных систем Windows.

Конечно же причин подобного поведения может быть множество, от аппаратных до программных. Но чаще всего это связанно с некорректным завершением работы операционной системы.

Про восстановление работы не загружающейся Windows 7 я уже записывал подробное видео. Но, так как в Windows 10 все было основательно переработано, и я бы не сказал, что в лучшую сторону, то настало время записать еще одно видео на данную тему.

И тут может быть 3 ситуации:

1) Выдается ошибка – тут все индивидуально, в зависимости от ошибки. Слава богу, что в интернете полно информации как можно решить подобную проблему.

ne zapuskaetsya windows 10 metody vosstanovleniya raboty 2

2) Система пытается автоматически восстановить работоспособность и если это не получается, то предлагает воспользоваться дополнительными параметрами для восстановления работоспособности системы

ne zapuskaetsya windows 10 metody vosstanovleniya raboty 3

3) Ничего не выдается, просто вечная перезагрузка или рабочий стол не загружается (появляется черный экран и указатель мыши)

ne zapuskaetsya windows 10 metody vosstanovleniya raboty 4

И в рамках данного видео мы рассмотрим ситуации, когда системе не удалось автоматически восстановить работоспособность и когда инструмент восстановления просто не запускается.

Автоматическое восстановление не удалось восстановить компьютер

В данной ситуации мы переходим в «Дополнительные параметры» и тут есть следующий выбор:

  • Продолжить – продолжить попытку загрузки операционной системы Windows 10. Но, этот метод скорее всего потерпит неудачу, иначе у нас система загрузилась бы без проблем.
  • Выключить компьютер, ну тут все понятно
  • Поиск и устранение неисправностей, на этом пункте остановимся подробнее

Вернуть компьютер в исходное состояние (вы сможете сохранить или удалить свои личные данные и затем переустановить Windows). Это самый крайний вариант решения проблемы, так как все настройки операционной системы Windows 10 будут сброшены до заводских.

Дополнительные параметры. И здесь давайте будем рассматривать последовательность используемых инструментов в том порядке, в котором лично я бы их использовал, чтобы попытаться восстановить работоспособность системы:

ne zapuskaetsya windows 10 metody vosstanovleniya raboty 5

- Восстановление при загрузке (устранение неполадок, мешающих загрузке Windows) Можно попробовать этот вариант, как правило он особого эффекта не дает. Как раз после безуспешной попытки устранить неполадки, мешающие загрузке Windows и появляются дополнительные параметры восстановления.

- Параметры загрузки (настройка параметров загрузки Windows) – здесь нам предоставляются дополнительные параметры загрузки операционной системы Windows 10. Чтобы воспользоваться ими нужно перезагрузить систему. Давайте перезагрузимся, чтобы посмотреть, как все это выглядит.

Это аналог дополнительных параметров загрузки, когда в ХР или 7 при загрузке нажимаем на F8. Только тут нет самого главного пункта «Последняя удачная конфигурация», собственно, как и самой функции загрузки дополнительных параметров системы через кнопку F8. В 8 и 10 эту функцию отключили, чтобы увеличить скорость загрузки операционной системы. На мой взгляд, это просто глупо, жертвовать такими жизненно важными функциями, ради ускорения времени загрузки ОС.

ne zapuskaetsya windows 10 metody vosstanovleniya raboty 6

Данную функцию можно восстановить вручную, но придется потанцевать с бубном. И на эту тему я планирую сделать отдельное видео. А в этом видео посмотрим, что у нас есть по умолчанию.

- Восстановление системы (Восстановление Windows с помощью точки восстановления) – восстановление из контрольной точки, если конечно у вас настроено создание контрольных точек восстановления системы.

- Восстановление образа системы – лично я на домашнем и рабочем компьютере всегда настраиваю систему архивации, но, как правило это никто не делает, так что, думаю это вам вряд ли поможет. Но, если хотите узнать, как настроить систему архивации, то посмотрите мое видео на эту тему (ссылка в описании)

- Командная строка – если вы нашли причину неисправности и её можно устранить использую командную строку. Допустим, изменить диск, с которого должна загружаться операционная система.

- Вернуться к предыдущей версии – если вы обновляли версию Windows 10, то можно попытаться откатиться до прошлой версии. Но, перед этим желательно все важное сохранить на флешку или переносной жесткий диск.

Диагностическое меню не появляется.

Если дополнительные параметры появились, то относительно понятно, что делать. А если не появились, и система находится в постоянной перезагрузке?

В данной ситуации мы может его вызвать через интерфейс установки Windows 10. Загружаемся с установочного образа Windows 10 (BIOS \ Приоритет загрузки \ Образ \ Перезагрузка \ Далее \ Восстановление системы). А тут уже привычное для нас диагностическое меню, за исключением того, что нет пункта дополнительные параметры, а он нам нужен, пожалуй, больше всего.

ne zapuskaetsya windows 10 metody vosstanovleniya raboty 7

Но, не беда, сейчас мы через командную строку включим отображение дополнительных параметров по нажатии на F8, как это было в ХР и 7.

bcdedit /set bootmenupolicy legacy

ne zapuskaetsya windows 10 metody vosstanovleniya raboty 8

Перезагружаемся \ Извлекаем загрузочное устройство или меняем приоритет загрузки \ F8 \ И вот знакомое уже нам меню, из которого можем пробовать различные варианты восстановления работоспособности системы.

ne zapuskaetsya windows 10 metody vosstanovleniya raboty 9

В описании данного видео, есть временные метки, по которым вы сможете сразу перейти к моменту в видео, который вас больше всего интересует.


Ноутбуки или системные сборки, которые работают на базе процессор Intel и AMD, а также поддерживают технологии виртуализации Intel VT-X или AMD, могут столкнуться с такой проблемой, как блокировка драйверов в Windows 10. Возникает такая проблема из-за дополнительных функций безопасности под названием «Изоляция ядра». Эта технология использует виртуализацию для изоляции критически важных частей ядра от драйверов сторонних разработчиков и прочего программного обеспечения, запущенного на компьютере. Такая изоляция ядра позволяет предотвратить доступ вредоносных программ к защищенным зонам ядра системы и заблокировать попытки обхода контроля безопасности мошенниками.

Помимо самой функции «Изоляция ядра» в Windows 10 внедрена еще одна подфункция «Целостность памяти». Она представляет собой подмножество Изоляции ядра и направлена на защиту памяти от вредоносного кода.

Как происходит блокировка драйверов в Windows 10 и что делать?

Функция Целостности памяти Windows 10 отвечает за надежность кода, работающего в ядре Windows. В своей работе она использует аппаратную виртуализацию и Hyper-V для защиты процессов режима ядра. Если данная функция включена в Windows 10, то при загрузке и установке драйверов стороннего разработчика могут возникнуть проблемы: система заблокирует программное обеспечение.

  • Нажимаем «Пуск», «Параметры», выбираем раздел «Обновление и безопасность», «Безопасность Windows». В меню слева выбираем «Безопасность устройства» и в разделе «Изоляция ядра» нужно нажать на ссылке «Сведения об изоляции ядра».
  • Появится новое окно. Нужно перетянуть ползунок в положение «Отключено» в пункте «Целостность памяти».
  • Перезагружаем устройство, чтобы изменения вступили в силу.

Если система продолжает блокировать драйвера, то стоит убедиться в надежности последних, на время установки и загрузки отключить антивирус и Защитник Windows, выполнить инсталляцию с правами Администратора. Если и после этих манипуляций система блокирует ПО, то советуем обратиться в службу поддержки Майкрософт и разработчиков драйверов.


Особенности

Windows 10/8 включает в себя новую функцию безопасности, называемую Безопасная загрузка, которая защищает конфигурацию и компоненты загрузки Windows и загружает драйвер Раннего запуска для защиты от вредоносного ПО (ELAM). Этот драйвер запускается раньше других драйверов при запуске и позволяет оценить эти драйверы и помогает ядру Windows решить, следует ли их инициализировать. ELAM запускается сначала ядром, поэтому он запускается раньше, чем любое другое стороннее программное обеспечение. Следовательно, он способен обнаруживать вредоносное ПО в самом процессе загрузки и предотвращать его загрузку или инициализацию.

Ранний запуск защиты от вредоносных программ

Защитник Windows использует преимущества антивирусного ПО для раннего запуска, и вы, следовательно, видите, что оно больше не загружается после завершения процесса запуска, но уже в начале процесса загрузки.

Сторонние антивирусные программы также могут использовать преимущества технологии ELAM. Для этого им нужно будет интегрировать в свое программное обеспечение те же возможности для раннего запуска (ELAM). Чтобы помочь поставщикам программного обеспечения для обеспечения безопасности начать работу, корпорация Майкрософт выпустила информационный документ, в котором содержится информация о разработке драйверов для защиты от вредоносных программ раннего запуска (ELAM) для операционных систем Windows. В нем содержатся рекомендации для разработчиков средств защиты от вредоносных программ по разработке драйверов для защиты от вредоносных программ, которые инициализируются раньше других драйверов при запуске, и что эти последующие драйверы не содержат вредоносных программ. Несколько антивирусных компаний, которые выпустили свои обновленные решения для Windows, уже используют эту технологию.

Драйвер запуска раннего запуска защиты от вредоносных программ классифицировал драйверы следующим образом:

  1. Хорошо . Драйвер подписан и не был изменен.
  2. Плохо . Драйвер был определен как вредоносное ПО. Рекомендуется не разрешать инициализацию известных проблемных драйверов.
  3. Плохо, но необходимо для загрузки . Драйвер был определен как вредоносное ПО, но компьютер не может успешно загрузиться без загрузки этого драйвера.
  4. Неизвестный . Этот драйвер не был проверен приложением для обнаружения вредоносных программ и не был классифицирован драйвером для запуска при запуске Anti-Malware для раннего запуска.

По умолчанию Windows 8 загружает те драйверы, которые были классифицированы как Хорошие, Неизвестные и Плохие, но Критические загрузки; т.е. 1, 3 и 4 выше. Плохие драйверы не загружаются.

Настройка политики инициализации драйвера при загрузке с помощью редактора групповой политики

Хотя этот параметр лучше оставить со значением по умолчанию, при желании вы можете изменить этот параметр с помощью Редактора групповой политики . Для этого откройте меню WinX> Выполнить> gpedit.msc> Нажмите Enter. Перейдите к следующему параметру политики:

Конфигурация компьютера> Административные шаблоны> Система> Ранний запуск защиты от вредоносных программ


На правой панели дважды щелкните Политика инициализации драйвера при загрузке , чтобы настроить его.


Вы увидите конфигурацию по умолчанию Не настроен . Если этот параметр политики отключен или не настроен, драйверы при запуске, определенные как «Хорошие», «Неизвестные» или «Плохие», но «Критические при загрузке»), будут инициализированы, а инициализация драйверов, определенных как «Плохие», будет пропущена.

Если вы включите этот параметр политики, вы сможете выбрать, какие драйверы начальной загрузки инициализировать при следующем запуске компьютера.

Если вы используете Windows 8/10, вы хотите проверить, содержит ли ваше программное обеспечение для защиты от вредоносных программ драйвер начальной загрузки Anti-Malware для раннего запуска. Если этого не произойдет, все драйверы запуска будут инициализированы, и вы не сможете воспользоваться этой новой технологией ELAM.

Читайте также: