Matériel compatible avec la protection de l’intégrité du code basée sur la virtualisation Windows Server
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Windows Server 2016 introduit une nouvelle protection de code basée sur la virtualisation pour protéger les machines physiques et virtuelles contre les attaques qui modifient le code système. Pour atteindre ce niveau de protection élevé, Microsoft travaille en tandem avec les fabricants de matériel informatique (fabricants d’équipement d’origine ou OEM) pour empêcher les écritures malveillantes dans le code d’exécution du système. Cette protection peut être appliquée à n’importe quel système et est utilisée comme l’un des blocs de construction pour l’implémentation de l’intégrité de l’hôte Hyper-V pour les machines virtuelles protégées.
Comme avec toute protection basée sur le matériel, certains systèmes peuvent ne pas être conformes en raison de problèmes comme le marquage incorrect des pages mémoire en tant qu’exécutables ou la tentative de modifier le code au moment de l’exécution, ce qui peut entraîner des défaillances inattendues, notamment une perte de données ou une erreur d’écran bleu (également appelée erreur d’arrêt).
Pour être compatibles et prendre entièrement en charge la nouvelle fonctionnalité de sécurité, les OEM doivent implémenter la table d’adresses mémoire définie dans UEFI 2.6, qui a été publiée en janvier 2016. L’adoption de la nouvelle norme UEFI prend du temps. En attendant, pour éviter que les clients rencontrent des problèmes, nous tenons à fournir des informations sur les systèmes et les configurations avec lesquels nous avons testé cet ensemble de fonctionnalités, ainsi que sur les systèmes que nous savons non compatibles.
Systèmes non compatibles
Les configurations suivantes sont connues pour ne pas être compatibles avec la protection de l’intégrité du code basée sur la virtualisation et ne peuvent pas être utilisées comme hôte pour les machines virtuelles dotées d’une protection maximale :
- Serveurs Dell PowerEdge exécutant des contrôleurs RAID PERC H330 Pour plus d’informations, consultez l’article suivant du Support Dell H330 – Enabling "Host Guardian Hyper-V Support" or "Device Guard" on Win 2016 OS causes OS boot failure.
Systèmes compatibles
Voici les systèmes que nous et nos partenaires avons testés dans notre environnement. Vérifiez que le système fonctionne comme prévu dans votre environnement :
- Machines virtuelles : vous pouvez activer la protection de l’intégrité du code basée sur la virtualisation sur les machines virtuelles qui s’exécutent sur un hôte Hyper-V à partir de Windows Server 2016.