與 Windows Server 虛擬化型程式碼完整性保護相容的硬體
Windows Server 2016 已引進新的虛擬化型程式碼保護,以協助保護實體和虛擬機器免受可修改系統程式碼的攻擊。 為了達到此高保護層級,Microsoft 與電腦硬體製造商 (原始設備製造商或 OEM) 合作,以防止惡意寫入系統執行程式碼。 此保護可以套用至任何系統,並用作針對受防護的虛擬機器 (VM) 實作 Hyper-V 主機健康情況的其中一個建置組塊。
與任何硬體型保護一樣,因為將記憶體分頁標示為可執行或實際嘗試在執行階段修改程式碼這類問題,所以某些系統可能不符合規範,而這些問題可能會導致非預期的失敗,包括資料遺失或藍色螢幕錯誤 (也稱為停止錯誤)。
若要相容且完全支援新的安全性功能,OEM 需要實作 UEFI 2.6 中所定義的「記憶體位址表」,而 UEFI 2.6 是在 2016 年 1 月發行。 採用新的 UEFI 標準需要時間;同時,為了防止客戶遇到問題,我們想要提供我們已測試過此功能集之系統和設定的相關資訊,以及我們知道不相容的系統。
不相容的系統
已知下列設定與虛擬化型程式碼完整性保護不相容,而且無法用作受防護 VM 的主機:
- 執行 PERC H330 RAID 控制器的 Dell PowerEdge 伺服器 如需詳細資訊,請參閱 Dell 支援中的下列文章:H330 – 在 Win 2016 OS 上啟用「主機守護者 Hyper-V 支援」或 "Device Guard" 會導致 OS 開機失敗。
相容的系統
這些是我們和合作夥伴已在我們的環境中測試過的系統。 請確定您確認系統在您的環境中如預期般運作:
- 虛擬機器 – 從 Windows Server 2016 開始,您可以在於 Hyper-V 主機上執行的虛擬機器上啟用虛擬化型程式碼完整性保護。