Kompatible Hardware mit virtualisierungsbasiertem Schutz der Codeintegrität für Windows Server
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
In Windows Server 2016 wurde ein neuer virtualisierungsbasierter Codeschutz eingeführt, um physische und virtuelle Computer vor Angriffen zu schützen, die Systemcode ändern. Um dieses hohe Schutzniveau zu erreichen, arbeitet Microsoft mit den Herstellern von Computerhardware (Original Equipment Manufacturers, OEMs) zusammen, um böswillige Schreibvorgänge im Ausführungscode des Systems zu verhindern. Dieser Schutz kann auf jedes System angewendet werden und dient als einer der Bausteine für die Implementierung der Hyper-V-Hostintegrität für abgeschirmte virtuelle Computer (VMs).
Wie bei jedem hardwarebasierten Schutz kann es vorkommen, dass einige Systeme aufgrund von Problemen wie der falschen Markierung von Speicherseiten als ausführbare Dateien oder durch den Versuch, den Code während der Laufzeit zu ändern, nicht konform sind, was zu unerwarteten Fehlern wie Datenverlust oder einem Bluescreen-Fehler (auch Stoppfehler genannt) führen kann.
Um die Kompatibilität und vollständige Unterstützung des neuen Sicherheitsfeatures zu gewährleisten, müssen OEMs die in UEFI 2.6 definierte Arbeitsspeicheradressen-Tabelle implementieren, die im Januar 2016 veröffentlicht wurde. Die Einführung des neuen UEFI-Standards braucht Zeit. Um in der Zwischenzeit zu verhindern, dass Kunden auf Probleme stoßen, möchten wir Informationen über Systeme und Konfigurationen bereitstellen, mit denen wir dieses Feature getestet haben, sowie über Systeme, von denen wir wissen, dass sie nicht kompatibel sind.
Nicht kompatible Systeme
Die folgenden Konfigurationen sind bekanntermaßen nicht mit virtualisierungsbasiertem Schutz der Codeintegrität kompatibel und können nicht als Host für abgeschirmte VMs verwendet werden:
- Dell PowerEdge-Server, auf denen PERC H330 RAID-Controller ausgeführt werden. Weitere Informationen finden Sie im folgenden Artikel von Dell Support H330 – Enabling „Host Guardian Hyper-V Support“ or „Device Guard“ on Win 2016 OS causes OS boot failure (H330 – Die Aktivierung von „Host Guardian Hyper-V Support“ oder „Device Guard“ unter dem Windows 2016-Betriebssystem führt zu Betriebssystem-Startfehlern).
Kompatible Systeme
Dies sind die Systeme, die wir und unsere Partner in unserer Umgebung getestet haben. Stellen Sie sicher, dass das System in Ihrer Umgebung wie erwartet funktioniert:
- Virtuelle Computer – Sie können virtualisierungsbasierten Schutz der Codeintegrität auf virtuellen Computern aktivieren, die auf einem Hyper-V-Host ab Windows Server 2016 ausgeführt werden.