Prérequis pour le test du logiciel anti-programme malveillant à lancement anticipé
Cette section décrit les tâches que vous devez effectuer avant de tester votre pilote ELAM (Early Launch Anti-Malware) à l’aide du Kit Windows Hardware Lab (Windows HLK) :
La fonctionnalité logicielle ELAM fournit un mécanisme pris en charge par Microsoft pour que les logiciels anti-programme malveillant démarrent avant tous les autres composants tiers. Le système initialise d’abord les pilotes anti-programme malveillant et leur permet de contrôler l’initialisation des pilotes de démarrage, afin que le système n’initialise pas les pilotes de démarrage inconnus. Une fois que le processus de démarrage a initialisé les pilotes de démarrage et que l’accès au stockage persistant est disponible efficacement, le logiciel anti-programme malveillant existant peut continuer à empêcher l’exécution des programmes malveillants.
Pour plus d’informations, consultez Microprogramme et environnement de démarrage.
Configuration matérielle requise
Le matériel suivant est requis pour les tests :
- Deux ordinateurs de test. Ces ordinateurs de test doivent répondre aux conditions préalables de Windows HLK et doivent être inclus dans le même pool d’ordinateurs. Pour plus d’informations, consultez Configuration requise pour Windows HLK.
Notes
Pour certifier votre produit pour une utilisation sur des serveurs, l’ordinateur de test doit prendre en charge quatre processeurs et un minimum de 1 Go de RAM. Ces fonctionnalités système sont nécessaires pour tester les fonctionnalités de rééquilibrage, d’état D3 et de groupe de processeurs multiples du périphérique et du pilote. Vous n’avez pas besoin d’un ordinateur doté de plus de 64 processeurs pour tester votre appareil. En outre, server Core doit être installé avant le test sur les systèmes serveur utilisés pour les tests de périphérique ou de pilote. Pour plus d’informations, consultez Options d’installation de Windows Server.
Si vous utilisez un pool d’ordinateurs de test pour tester votre produit, au moins un ordinateur du pool doit contenir quatre processeurs et un minimum de 1 Go de RAM. En outre, cet ordinateur doit contenir le produit que vous souhaitez tester. Tant que le pilote est le même sur tous les ordinateurs du pool, le système crée une planification pour s’exécuter sur tous les ordinateurs de test.
Pour les tests qui n’incluent pas de pilote à tester, tels que les tests de lecteur de disque dur, le planificateur Windows HLK limite les tests qui valident les fonctionnalités de rééquilibrage du périphérique et du pilote, d’état D3 et de groupes de processeurs multiples à exécuter sur l’ordinateur de test par défaut. Vous devez configurer manuellement cet ordinateur pour qu’il dispose de plusieurs groupes de processeurs. L’ordinateur par défaut est le premier ordinateur de test de la liste. Le personnel de test doit s’assurer que le premier ordinateur de test de la liste répond à la configuration matérielle minimale requise.
Notes
À l’exception des pilotes de para virtualisation (tels que définis dans le document Stratégies et processus WHCP ), vous ne pouvez utiliser aucune forme de virtualisation lorsque vous testez des appareils physiques et leurs pilotes associés pour la certification ou la signature du serveur. Tous les produits de virtualisation ne prennent pas en charge les fonctionnalités sous-jacentes requises pour réussir les tests liés à plusieurs groupes de processeurs, à la gestion de l’alimentation des appareils, aux fonctionnalités PCI des appareils et à d’autres tests.
Notes
Paramètre de groupes de processeurs multiples Vous devez définir la valeur de la taille du groupe de processeurs pour les tests du Kit lab matériel des pilotes de périphérique Windows Server 2008 R2 et ultérieur pour la certification. Pour ce faire, exécutez bcdedit dans une fenêtre d’invite de commandes avec élévation de privilèges, à l’aide de l’option /set.
Les commandes permettant d’ajouter les paramètres de groupe et de redémarrer sont les suivantes :
bcdedit.exe /set groupsize 2
bcdedit.exe /set groupaware on
shutdown.exe -r -t 0 -f
Les commandes permettant de supprimer les paramètres de groupe et de redémarrer sont les suivantes :
bcdedit.exe /deletevalue groupsize
bcdedit.exe /deletevalue groupaware
shutdown.exe -r -t 0 -f
Notes
Paramètre d’intégrité du code
La fonctionnalité de sécurité basée sur la virtualisation (VBS) de Windows Server 2016 doit d’abord être activée à l’aide de Gestionnaire de serveur.
Une fois que cela s’est produit, la clé de Registre suivante doit être créée et définie :
HKLM\System\CurrentControlSet\Control\DeviceGuard
HypervisorEnforcedCodeIntegrity:REG_DWORD
0 or 1 (disabled, enabled)
Configuration logicielle requise
Les logiciels suivants sont requis pour les tests :
Pilote que vous testez.
Avertissement
Veillez à installer le produit sur l’ordinateur de test avant d’installer le client Windows HLK.
Les derniers filtres ou mises à jour Windows HLK.
Configuration de l’ordinateur de test
Si vous testez des pilotes en mode noyau non signés, choisissez l’une des options suivantes :
Attachez un débogueur de noyau. Dans ce cas, le système ne vérifie ni n’applique les signatures de pilote. Par conséquent, n’importe quel pilote peut se charger même si le pilote n’a pas de certificat vérifié ou s’il n’est pas signé.
Créez un certificat auto-signé à l’aide du fichier makecert.exe. Le certificat doit contenir les 1.3.6.1.5.5.7.3.3 (codesigning) et 1.3.6.1.4.1.311.61.4.1 (lancement anticipé). Ensuite, désactivez le démarrage sécurisé (s’il est activé) ou activez le débogage de démarrage sécurisé, puis placez votre ordinateur en mode test à l’aide de la commande bcdedit /set testsigning on . Le mode test signifie que le système valide la signature et vérifie les EKUs, mais le système ne vérifie pas la chaîne de certificats.
Assurez-vous que l’ordinateur de test est dans l’état prêt avant de commencer votre test. Si un test nécessite la définition de paramètres avant son exécution, une boîte de dialogue s’affiche pour ce test. Pour plus d’informations, consultez la rubrique de test spécifique.
Certains tests Windows HLK nécessitent l’intervention de l’utilisateur. Lors de l’exécution de tests pour une soumission, il est recommandé d’exécuter les tests automatisés dans un bloc séparément des tests manuels. Cela empêche un test manuel d’interrompre l’exécution d’un test automatisé.