与 Windows Server 兼容的硬件基于虚拟化的代码完整性保护

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016

Windows Server 2016 引入了新的基于虚拟化的代码保护，以帮助保护物理计算机和虚拟机免受修改系统代码的攻击。 为了实现这一高保护级别，Microsoft 与计算机硬件制造商（原始设备制造商或 OEM）协同工作，以防止恶意写入系统执行代码。 此保护可应用于任何系统，并用作为受防护的虚拟机 (VM) 实现 Hyper-V 主机运行状况的构建基块之一。

与任何基于硬件的保护一样，某些系统可能由于将内存页错误标记为可执行文件或实际尝试在运行时修改代码等问题而不合规，这可能会导致包括数据丢失或蓝屏错误（也称为停止错误）在内的意外失败。

为了兼容并完全支持新的安全功能，OEM 需要实现 UEFI 2.6 中定义的内存地址表，该表于 2016 年 1 月发布。 采用新的 UEFI 标准需要一段时间，同时，为了防止客户遇到问题，我们希望提供有关我们测试此功能集所用的系统和配置的信息，以及我们知道不兼容的系统的信息。

不兼容的系统

已知以下配置与基于虚拟化的代码完整性保护不兼容，不能用作受防护的 VM 的主机：

• 运行 PERC H330 RAID 控制器的 Dell PowerEdge 服务器 有关详细信息，请参阅 Dell 支持中的 H330 – 在 Win 2016 OS 上启用“主机保护者 Hyper-V 支持”或“Device Guard”会导致 OS 启动失败一文。

兼容的系统

这些是我们和合作伙伴一直在我们的环境中测试的系统。 请确保验证系统在环境中按预期工作：

• 虚拟机 – 可以从 Windows Server 2016 开始，在 Hyper-V 主机上运行的虚拟机上启用基于虚拟化的代码完整性保护。