開機初期啟動的反惡意程式碼測試必要條件
本節說明在使用 Windows 硬體實驗室套件 (Windows HLK) 測試早期啟動反惡意程式碼 (ELAM) 驅動程式之前必須完成的工作:
ELAM 軟體功能提供 Microsoft 支援的機制,讓反惡意程式碼軟體在所有其他協力廠商元件之前啟動。 系統會先初始化反惡意程式碼驅動程式,並允許這些驅動程式控制開機驅動程式的初始化,讓系統不會初始化未知的開機驅動程式。 開機程式初始化開機驅動程式並有效率地存取永續性儲存體之後,現有的反惡意程式碼軟體可能會繼續封鎖惡意程式碼執行。
如需詳細資訊,請參閱 韌體和開機環境。
硬體需求
測試需要下列硬體:
- 兩部測試電腦。 這些測試電腦必須符合 Windows HLK 必要條件,而且必須包含在相同的電腦集區中。 如需詳細資訊,請參閱 Windows HLK 必要條件。
注意
若要認證您的產品在伺服器上使用,測試電腦必須支援四個處理器和至少 1 GB 的 RAM。 需要這些系統功能,才能測試裝置和驅動程式的重新平衡、D3 狀態和多個處理器群組功能。 您不需要實際擁有 64 個以上的處理器的電腦來測試您的裝置。 此外,用於裝置或驅動程式測試的伺服器系統 () 必須先安裝 Server Core,才能進行測試。 如需詳細資訊,請參閱 Windows Server 安裝選項。
如果您使用測試電腦集區來測試產品,集區中至少有一部電腦必須包含四個處理器,且至少 1 GB 的 RAM。 此外,該電腦必須包含您想要測試的產品。 只要驅動程式在集區中的所有電腦上都相同,系統就會建立排程,針對所有測試電腦執行。
對於不包含要測試之驅動程式的測試,例如硬碟測試,Windows HLK 排程器會限制驗證裝置和驅動程式的 Rebalance、D3 狀態和多個處理器群組功能的測試,以在預設測試電腦上執行。 您必須手動設定這部電腦以擁有多個處理器群組。 預設電腦是清單中的第一部測試電腦。 測試人員必須確定清單中的第一部測試電腦符合最低硬體需求。
注意
除了) WHCP 原則和處理常式 檔所定義的 para-virtualization 驅動程式 (以外,當您測試實體裝置及其相關聯的驅動程式以進行伺服器認證或簽章時,可能無法使用任何形式的虛擬化。 所有虛擬化產品都不支援傳遞與多個處理器群組、裝置電源管理、裝置 PCI 功能及其他測試相關的測試所需的基礎功能。
注意
多個處理器群組設定 您必須為 Windows Server 2008 R2 和更新版本的設備磁碟機測試硬體實驗室套件測試的處理器群組大小設定值,以進行認證。 這是使用 /set 選項,在提升許可權的命令提示字元視窗中執行 bcdedit 來完成。
新增群組設定和重新開機的命令如下所示:
bcdedit.exe /set groupsize 2
bcdedit.exe /set groupaware on
shutdown.exe -r -t 0 -f
移除群組設定和重新開機的命令如下所示:
bcdedit.exe /deletevalue groupsize
bcdedit.exe /deletevalue groupaware
shutdown.exe -r -t 0 -f
注意
程式碼完整性設定
必須先使用 伺服器管理員 啟用虛擬式安全性功能 (VBS) Windows Server 2016。
發生之後,必須建立並設定下列登錄機碼:
HKLM\System\CurrentControlSet\Control\DeviceGuard
HypervisorEnforcedCodeIntegrity:REG_DWORD
0 or 1 (disabled, enabled)
軟體需求
測試需要下列軟體:
您正在測試的驅動程式。
警告
安裝 Windows HLK 用戶端之前,請務必在測試電腦上安裝產品。
最新的 Windows HLK 篩選或更新。
測試電腦設定
如果您要測試未簽署的核心模式驅動程式,請選擇下列其中一個選項:
附加核心偵錯工具。 在此情況下,系統不會驗證或強制執行驅動程式簽章。 因此,即使驅動程式沒有已驗證的憑證或驅動程式未簽署,任何驅動程式都可以載入。
使用 makecert.exe 檔案建立自我簽署憑證。 憑證必須包含 1.3.6.1.5.5.7.3.3 (程式碼,) 和 1.3.6.1.4.1.311.61.61.4.1 (早期啟動) ETU。 之後,如果啟用) 或啟用安全開機偵錯,請停用安全開機 (,並使用 bcdedit /set testigning on 命令將您的電腦置於測試模式中。 測試模式表示系統會驗證簽章並驗證 EKU,但系統不會驗證憑證鏈結。
開始測試之前,請確定測試電腦處於就緒狀態。 如果測試需要在執行之前設定參數,則會顯示該測試的對話方塊。 如需詳細資訊,請檢閱特定的測試主題。
某些 Windows HLK 測試需要使用者介入。 執行提交的測試時,最佳做法是將自動化測試與手動測試分開在區塊中執行。 這可防止手動測試中斷自動化測試的完成。