Testvoraussetzungen für Antischadsoftware-Frühstart
Dieser Abschnitt beschreibt die Aufgaben, die Sie erledigen müssen, bevor Sie Ihren ELAM-Controller (Early Launch Anti-Malware, Antischadsoftware-Frühstart) mit dem Windows Hardware Lab Kit (Windows HLK) testen:
Das ELAM-Softwarefeature stellt einen von Microsoft unterstützten Mechanismus für Antischadsoftware bereit, der vor allen anderen Drittanbieterkomponenten ansetzt. Das System initialisiert zuerst Antischadsoftwaretreiber und ermöglicht es diesen Treibern, die Initialisierung von Starttreibern zu steuern, sodass das System keine unbekannten Starttreiber initialisiert. Sobald der Startvorgang die Starttreiber initialisiert hat und der Zugriff auf beständigen Speicher effizient verfügbar ist, kann die Blockierung von Schadsoftware durch vorhandene Antischadsoftware übernommen werden.
Weitere Informationen finden Sie unter Firmware und Startumgebung.
Hardwareanforderungen
Die folgende Hardware ist für Tests erforderlich:
- Zwei Testcomputer. Diese Testcomputer müssen die Voraussetzungen für Windows HLK erfüllen und in demselben Computerpool enthalten sein. Weitere Informationen finden Sie unter Voraussetzungen für Windows HLK.
Hinweis
Um Ihr Produkt für die Verwendung auf Servern zu zertifizieren, muss der Testcomputer vier Prozessoren und mindestens 1 GB RAM unterstützen. Diese Systemfunktionen sind erforderlich, um die Funktionen Neuausgleich, D3-Status und mehrere Prozessorgruppen des Geräts und des Treibers zu testen. Sie brauchen keinen Computer, der tatsächlich mehr als 64 Prozessoren hat, um Ihr Gerät zu testen. Darüber hinaus muss Server Core auf den Serversystemen, die zum Testen von Geräten oder Treibern verwendet werden, vor dem Testen installiert sein. Weitere Informationen finden Sie unter Windows Server-Installationsoptionen.
Wenn Sie zum Testen Ihres Produkts einen Pool von Testcomputern verwenden, muss mindestens ein Computer im Pool über vier Prozessoren und mindestens 1 GB RAM verfügen. Außerdem muss dieser Computer das Produkt enthalten, das Sie testen möchten. Solange der Treiber auf allen Computern im Pool identisch ist, erstellt das System einen Zeitplan, der für alle Testcomputer ausgeführt werden soll.
Bei Tests, die keinen Treiber enthalten, der getestet werden soll, z. B. Festplattentests, beschränkt der Windows HLK-Zeitplaner die Tests, die die Rebalance des Geräts und die Funktionen Rebalance, D3 State und Multiple Processor Groups überprüfen, die auf dem Standardtestcomputer ausgeführt werden sollen. Sie müssen diesen Computer manuell so konfigurieren, dass er über mehrere Prozessorgruppen verfügt. Der Standardcomputer ist der erste Testcomputer in der Liste. Das Testpersonal muss sicherstellen, dass der erste Testcomputer auf der Liste die Mindesthardwareanforderungen erfüllt.
Hinweis
Mit Ausnahme von Paravirtualisierungstreibern (wie im Dokument zu WHCP-Richtlinien und -Prozesse definiert) können Sie keine Form der Virtualisierung verwenden, wenn Sie physische Geräte und die zugehörigen Treiber für die Serverzertifizierung oder -signatur testen. Nicht alle Virtualisierungsprodukte unterstützen die zugrunde liegende Funktionalität, die erforderlich ist, um jene Tests, die sich auf mehrere Prozessorgruppen, Geräteleistungsverwaltung, Geräte-PCI-Funktionalität beziehen, sowie andere Tests zu bestehen.
Hinweis
Einstellung für mehrere Prozessorgruppen Sie müssen den Wert für die Prozessorgruppengröße für Hardware Lab Kit-Tests von Windows Server 2008 R2- und späteren Gerätetreibern für die Zertifizierung festlegen. Dies erfolgt durch Ausführen von bcdedit in einem Eingabeaufforderungsfenster mit erhöhten Rechten unter Verwendung der Option /set.
Die Befehle zum Hinzufügen der Gruppeneinstellungen und zum Neustart lauten wie folgt:
bcdedit.exe /set groupsize 2
bcdedit.exe /set groupaware on
shutdown.exe -r -t 0 -f
Die Befehle zum Entfernen der Gruppeneinstellungen und zum Neustart lauten wie folgt:
bcdedit.exe /deletevalue groupsize
bcdedit.exe /deletevalue groupaware
shutdown.exe -r -t 0 -f
Hinweis
Codeintegritätseinstellung
Die Virtualization Based Security-Funktion (VBS) von Windows Server 2016 muss zuerst mit dem Server-Manager aktiviert werden.
Sobald dies geschehen ist, muss der folgende Registrierungsschlüssel erstellt und festgelegt werden:
HKLM\System\CurrentControlSet\Control\DeviceGuard
HypervisorEnforcedCodeIntegrity:REG_DWORD
0 or 1 (disabled, enabled)
Softwareanforderungen
Die folgende Software ist für Tests erforderlich:
Der Treiber, den Sie testen.
Warnung
Stellen Sie sicher, dass Sie das Produkt auf dem Testcomputer installieren, bevor Sie den Windows HLK-Client installieren.
Die neuesten Windows HLK-Filter oder -Updates.
Konfiguration des Testcomputers
Wenn Sie nicht signierte Kernelmodustreiber testen, wählen Sie eine der folgenden Optionen aus:
Fügen Sie einen Kerneldebugger an. In diesem Fall überprüft oder erzwingt das System keine Treibersignaturen. Daher kann jeder Treiber geladen werden, selbst wenn er kein verifiziertes Zertifikat aufweist oder nicht signiert ist.
Erstellen Sie ein selbstsigniertes Zertifikat mithilfe der Datei „makecert.exe“. Das Zertifikat muss die EKUs 1.3.6.1.5.5.7.3.3 (Codesignieren) und 1.3.6.1.4.1.311.61.4.1 (Frühstart) enthalten. Deaktivieren Sie anschließend den sicheren Start (sofern aktiviert), oder aktivieren Sie das Debuggen des sicheren Starts, und versetzen Sie Ihren Computer in den Testmodus, indem Sie den Befehl bcdedit /set testsigning on verwenden. Der Testmodus bedeutet, dass das System die Signatur und die EKUs überprüft, aber nicht die Zertifikatkette verifiziert.
Vergewissern Sie sich, dass sich der Testcomputer in einem betriebsbereiten Zustand befindet, bevor Sie mit den Tests beginnen. Wenn für einen Test vor der Ausführung Parameter festgelegt werden müssen, wird für diesen Test ein Dialogfeld angezeigt. Lesen Sie den Artikel zum jeweiligen Test, um weitere Informationen zu erhalten.
Einige Windows HLK-Tests erfordern einen Benutzereingriff. Bei der Ausführung von Tests für eine Übermittlung empfiehlt es sich, die automatisierten Tests getrennt von den manuellen Tests in einem Block auszuführen. Dadurch wird verhindert, dass ein manueller Test den Abschluss eines automatisierten Tests unterbricht.