Prerequisiti di test antimalware all'avvio anticipato
Questa sezione descrive le attività che è necessario completare prima di testare il driver Anti-Malware (ELAM) di avvio anticipato usando Windows Hardware Lab Kit (Windows HLK):
La funzionalità software ELAM fornisce un meccanismo supportato da Microsoft per l'avvio del software antimalware prima di tutti gli altri componenti di terze parti. Il sistema inizializza prima i driver antimalware e consente a questi driver di controllare l'inizializzazione dei driver di avvio, in modo che il sistema non inizializzi i driver di avvio sconosciuti. Dopo che il processo di avvio ha inizializzato i driver di avvio e l'accesso all'archiviazione permanente è disponibile in modo efficiente, il software antimalware esistente potrebbe continuare a bloccare l'esecuzione del malware.
Per altre informazioni, vedere Firmware e Ambiente di avvio.
Requisiti hardware
Per i test è necessario l'hardware seguente:
- Due computer di test. Questi computer di test devono soddisfare i prerequisiti di Windows HLK e devono essere inclusi nello stesso pool di computer. Per altre informazioni, vedere Prerequisiti di Windows HLK.
Nota
Per certificare il prodotto da usare nei server, il computer di test deve supportare quattro processori e almeno 1 GB di RAM. Queste funzionalità di sistema sono necessarie per testare la funzionalità Ribilanciamento, Stato D3 e Gruppo di processori multipli del dispositivo e del driver. Non è necessario un computer con più di 64 processori per testare il dispositivo. Inoltre, i sistemi server usati per i test di dispositivo o driver devono avere Server Core installato prima del test. Per altre informazioni, vedere Opzioni di installazione di Windows Server.
Se si usa un pool di computer di test per testare il prodotto, almeno un computer nel pool deve contenere quattro processori e almeno 1 GB di RAM. Inoltre, tale computer deve contenere il prodotto che si desidera testare. Purché il driver sia lo stesso in tutti i computer del pool, il sistema crea una pianificazione da eseguire su tutti i computer di test.
Per i test che non includono un driver da testare, ad esempio i test dell'unità disco rigido, l'utilità di pianificazione di Windows HLK vincola i test che convalidano il ribilanciamento del dispositivo e del driver, la funzionalità D3 State e Multiple Processor Groups per l'esecuzione nel computer di test predefinito. È necessario configurare manualmente questo computer per avere più gruppi di processori. Il computer predefinito è il primo computer di test nell'elenco. Il personale di test deve assicurarsi che il primo computer di test nell'elenco soddisfi i requisiti hardware minimi.
Nota
Ad eccezione dei driver di para-virtualizzazione (come definito dal documento Criteri e processi WHCP ), non è possibile usare alcuna forma di virtualizzazione quando si testano i dispositivi fisici e i driver associati per la certificazione o la firma del server. Tutti i prodotti di virtualizzazione non supportano la funzionalità sottostante necessaria per superare i test correlati a più gruppi di processori, risparmio energia dei dispositivi, funzionalità PCI del dispositivo e altri test.
Nota
Impostazione più gruppi di processori È necessario impostare il valore per le dimensioni del gruppo di processori per i test di Hardware Lab Kit di Windows Server 2008 R2 e versioni successive per la certificazione. A tale scopo, eseguire bcdedit in una finestra del prompt dei comandi con privilegi elevati usando l'opzione /set.
I comandi per l'aggiunta delle impostazioni di gruppo e il riavvio sono i seguenti:
bcdedit.exe /set groupsize 2
bcdedit.exe /set groupaware on
shutdown.exe -r -t 0 -f
I comandi per rimuovere le impostazioni del gruppo e il riavvio sono i seguenti:
bcdedit.exe /deletevalue groupsize
bcdedit.exe /deletevalue groupaware
shutdown.exe -r -t 0 -f
Nota
Impostazione dell'integrità del codice
La funzionalità sicurezza basata sulla virtualizzazione (VBS) di Windows Server 2016 deve essere abilitata usando prima di tutto Server Manager.
Una volta che si è verificato, è necessario creare e impostare la chiave del Registro di sistema seguente:
HKLM\System\CurrentControlSet\Control\DeviceGuard
HypervisorEnforcedCodeIntegrity:REG_DWORD
0 or 1 (disabled, enabled)
Requisiti software
Per il test è necessario il software seguente:
Driver di cui si esegue il test.
Avviso
Assicurarsi di installare il prodotto nel computer di test prima di installare il client Windows HLK.
I filtri o gli aggiornamenti più recenti di Windows HLK.
Configurazione del computer di test
Se si testano driver in modalità kernel non firmati, scegliere una delle opzioni seguenti:
Collegare un debugger del kernel. In questo caso, il sistema non verifica né applica le firme del driver. Pertanto, qualsiasi driver può caricare anche se il driver non dispone di un certificato verificato o se il driver non è firmato.
Creare un certificato autofirmato usando il file makecert.exe. Il certificato deve contenere la versione 1.3.6.1.5.5.7.3.3 (progettazione condivisa) e 1.3.6.1.4.1.311.61.4.1 (early-launch) EKU. Successivamente, disabilitare l'avvio protetto (se abilitato) o abilitare il debug di avvio protetto e impostare il computer in modalità di test usando il comando bcdedit /set testsigning on . La modalità test indica che il sistema convalida la firma e verifica le EKU, ma il sistema non verifica la catena di certificati.
Assicurarsi che il computer di test sia nello stato pronto prima di iniziare il test. Se un test richiede che i parametri vengano impostati prima dell'esecuzione, verrà visualizzata una finestra di dialogo per tale test. Per altre informazioni, vedere l'argomento di test specifico.
Alcuni test di Windows HLK richiedono l'intervento dell'utente. Quando si eseguono test per un invio, è consigliabile eseguire i test automatizzati in un blocco separatamente dai test manuali. Ciò impedisce a un test manuale di interrompere il completamento di un test automatizzato.