Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Die Erkennung von Schadsoftware, die früh im Startzyklus beginnt, war eine Herausforderung, bevor Windows 8. Im August 2012 Microsoft Defender Antivirus (MDAV) für Windows 8 oder höher und Windows Server 2012 und später ein neues Feature namens Early Launch Antimalware (ELAM)-Treiber integriert. ELAM bekämpft Frühstartbedrohungen (z. B. Rootkits oder böswillige Treiber, die sich vor der Erkennung verbergen können), indem ein Wdboot.sys Treiber verwendet wird, der vor anderen Starttreibern gestartet wird. ELAM ermöglicht die Auswertung anderer Treiber und hilft dem Windows-Kernel bei der Entscheidung, ob diese Treiber initialisiert werden sollen.
Wo werden die ELAM-Erkennungen protokolliert?
Die ELAM-Erkennung wird am gleichen Ort wie die anderen Microsoft Defender Antivirus-Bedrohungen protokolliert, z. B. Ereignis-ID 1006.
Gewusst wie den MDAV ELAM-Treiber auf dem neuesten Stand halten?
Um diesen Microsoft Applied Skills-Leistungsnachweis zu erwerben, müssen Lernende die Fähigkeit demonstrieren, Microsoft Defender XDR zum Erkennen von und Reagieren auf Cyberbedrohungen zu verwenden. Kandidaten für diesen Leistungsnachweis sollten mit dem Untersuchen und Sammeln von Nachweisen über Angriffe auf Endpunkte vertraut sein. Sie sollten auch Erfahrung mit der Verwendung von Microsoft Defender for Endpoint und KQL (Kusto-Abfragesprache) haben.