早期起動マルウェア対策 (ELAM) と Microsoft Defender ウイルス対策
適用対象:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender for Endpoint Plan 1
- 個人のMicrosoft Defender
プラットフォーム:
- Windows 11、Windows 10、Windows 8.1、Windows 8
- Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
起動サイクルの早い段階で起動するマルウェアの検出は、Windows 8する前の課題でした。 2012 年 8 月、Microsoft Defender ウイルス対策 (MDAV) for Windows 8 以降、Windows Server 2012後に、早期起動マルウェア対策 (ELAM) ドライバーと呼ばれる新機能が組み込まれました。 ELAM は、他の起動開始ドライバーの前に起動する Wdboot.sys ドライバーを使用して、初期ブートの脅威 (ルートキットや検出から隠れる可能性がある悪意のあるドライバーなど) に対処します。 ELAM は、他のドライバーの評価を可能にし、Windows カーネルがそれらのドライバーを初期化する必要があるかどうかを判断するのに役立ちます。
ELAM 検出は、他の Microsoft Defender ウイルス対策脅威 (イベント ID 1006 など) と同じ場所に記録されます。
MDAV ELAM ドライバーには、毎月の "プラットフォーム更新プログラム" が付属しています。
ELAM はここで変更できます。
コンピューターの構成>管理用テンプレート>システム>早期起動マルウェア対策
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (文字列) C:\Windows\ELAMBKUP\WdBoot.sys (値)
C:\ProgramData\Microsoft\Windows Defender\Platform<マルウェア対策プラットフォーム バージョン>\MpCmdRun.exe -RevertPlatform。
次に例を示します。
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform