Windows Defender Credential Guard: AnforderungenWindows Defender Credential Guard: Requirements

Gilt für:Applies to

  • Windows 10Windows10
  • Windows Server2016Windows Server2016

Damit der Schutz durch Windows Defender-Anmeldeinformationen geschützt wird, müssen die von Ihnen geschützten Computer bestimmte grundlegende Hardware-, Firmware-und Softwareanforderungen erfüllen, die wir als Hardware-und Softwareanforderungenbezeichnen.For Windows Defender Credential Guard to provide protection, the computers you are protecting must meet certain baseline hardware, firmware, and software requirements which we will refer to as Hardware and software requirements. Darüber hinaus blockiert Windows Defender Credential Guard spezifische Authentifizierungsfunktionen, sodass Anwendungen, die blockierte Funktionen erfordern, unterbrochen werden.Additionally, Windows Defender Credential Guard blocks specific authentication capabilities, so applications that require such capabilities will break. Wir bezeichnen dies als Anwendungsanforderungen.We will refer to this as Application requirements. Computer können auch darüber hinausgehende Hardware- und Firmwarequalifikationen erfüllen und mit zusätzlichen Schutzmechanismen ausgestattet werden.Beyond that, computers can meet additional hardware and firmware qualifications, and receive additional protections. Diese Computer sind noch stärker vor bestimmten Bedrohungen geschützt.Those computers will be more hardened against certain threats. Ausführliche Informationen zum grundlegenden Schutz und zum Schutz für erhöhte Sicherheit, der mit den in 2015, 2016 und 2017 verfügbaren Hardware- und Firmwareoptionen verknüpft ist, finden Sie in den Tabellen unter Sicherheitsüberlegungen.For detailed information on baseline protections, plus protections for improved security that are associated with hardware and firmware options available in 2015, 2016, and 2017, refer to the tables in Security Considerations.

Hardware- und SoftwareanforderungenHardware and software requirements

Zum Bereitstellen von grundlegendem Schutz gegen Versuche auf Betriebssystemebene, Domänenanmeldeinformationen für die Anmeldeinformationsverwaltung sowie von NTLM und Kerberos abgeleitete Anmeldeinformationen zu lesen, verwendet Windows Defender Credential Guard Folgendes:To provide basic protections against OS level attempts to read Credential Manager domain credentials, NTLM and Kerberos derived credentials, Windows Defender Credential Guard uses:

  • Unterstützung für virtualisierungsbasierte Sicherheit (erforderlich)Support for Virtualization-based security (required)
  • Sicherer Start (erforderlich)Secure boot (required)
  • TPM 1,2 oder 2,0 (bevorzugt – bietet Bindung an Hardware), entweder diskret oder FirmwareTPM 1.2 or 2.0 (preferred - provides binding to hardware), either discrete or firmware
  • UEFI-Sperre (bevorzugt – verhindert Deaktivierungen durch Angreifer mit einer einfachen Änderung des Registrierungsschlüssels)UEFI lock (preferred - prevents attacker from disabling with a simple registry key change)

Die virtualisierungsbasierte Sicherheit erfordert Folgendes:The Virtualization-based security requires:

  • 64-Bit-CPU64-bit CPU
  • CPU-Virtualisierungserweiterungen sowie erweiterte SeitentabellenCPU virtualization extensions plus extended page tables
  • Windows-Hypervisor (für die Installation ist keine Hyper-V-Windows-Funktion erforderlich)Windows hypervisor (does not require Hyper-V Windows Feature to be installed)

Windows Defender Credential Guard-Bereitstellung auf virtuellen ComputernWindows Defender Credential Guard deployment in virtual machines

Credential Guard kann geheime Schlüssel auf einem virtuellen Hyper-V-Computer genau wie auf einem physischen Computer schützen.Credential Guard can protect secrets in a Hyper-V virtual machine, just as it would on a physical machine. Wenn Sie Credential Guard auf einem virtuellen Computer bereitstellen, werden geheime Schlüssel vor Angriffen innerhalb des virtuellen Computers geschützt.When Credential Guard is deployed on a VM, secrets are protected from attacks inside the VM. Credential Guard bietet jedoch keinen zusätzlichen Schutz vor Systemangriffen von einem Host mit privilegiertem Zugriff.Credential Guard does not provide additional protection from privileged system attacks originating from the host.

Anforderungen für die Ausführung von Windows Defender Credential Guard auf virtuellen Hyper-V-ComputernRequirements for running Windows Defender Credential Guard in Hyper-V virtual machines

  • Der Hyper-V-Host muss über eine IOMMU verfügen und mindestens Windows Server 2016 oder Windows 10, Version 1607, ausführen.The Hyper-V host must have an IOMMU, and run at least Windows Server 2016 or Windows 10 version 1607.
  • Beim virtuellen Hyper-V-Computer muss es sich um einen Computer der Generation2 mit aktiviertem virtuellen TPM handeln, auf dem mindestens Windows Server 2016 oder Windows10 ausgeführt wird.The Hyper-V virtual machine must be Generation 2, have an enabled virtual TPM, and be running at least Windows Server 2016 or Windows 10.

Informationen zu anderen Hostplattformen finden Sie unter Aktivieren von Windows Server 2016-und Hyper-V-Virtualisierungs-basierten Sicherheitsfeatures auf anderen Plattformen.For information about other host platforms, see Enabling Windows Server 2016 and Hyper-V virtualization based security features on other platforms.

Informationen zu den Hardware-und Softwareanforderungen für Windows Defender Remote Credential Guard finden Sie unter Windows Defender Remote Credential Guard-Anforderungen.For information about Windows Defender Remote Credential Guard hardware and software requirements, see Windows Defender Remote Credential Guard requirements.

Anforderungen an AnwendungenApplication requirements

Wenn Windows Defender Credential Guard aktiviert ist, werden bestimmte Authentifizierungsfunktionen blockiert, sodass Anwendungen, die blockierte Funktionen erfordern, unterbrochen werden.When Windows Defender Credential Guard is enabled, specific authentication capabilities are blocked, so applications that require such capabilities will break. Anwendungen sollten vor der Bereitstellung getestet werden, um die Kompatibilität mit der reduzierten Funktionalität zu gewährleisten.Applications should be tested prior to deployment to ensure compatibility with the reduced functionality.

Warnung

Das Aktivieren von Windows Defender Credential Guard auf Domänencontrollern wird nicht unterstützt.Enabling Windows Defender Credential Guard on domain controllers is not supported.
Der Domänencontroller hostet Authentifizierungsdienste, die in isolierte Prozesse integriert werden, wenn Windows Defender Credential Guard aktiviert ist. Dadurch kommt es zu Abstürzen.The domain controller hosts authentication services which integrate with processes isolated when Windows Defender Credential Guard is enabled, causing crashes.

Hinweis

Windows Defender Credential Guard bietet keinen Schutz für die Active Directory-Datenbank oder die Sicherheitskontenverwaltung (Security Accounts Manager, SAM).Windows Defender Credential Guard does not provide protections for the Active Directory database or the Security Accounts Manager (SAM). Die bei Aktivierung von Windows Defender Credential Guard durch Kerberos und NTLM geschützten Anmeldeinformationen sind auch in der Active Directory-Datenbank (auf Domänencontrollern) und in der SAM (für lokale Konten) enthalten.The credentials protected by Kerberos and NTLM when Windows Defender Credential Guard is enabled are also in the Active Directory database (on domain controllers) and the SAM (for local accounts).

Anwendungen werden unterbrochen, wenn sie Folgendes benötigen:Applications will break if they require:

  • Kerberos-DES-VerschlüsselungsunterstützungKerberos DES encryption support
  • Uneingeschränkte Kerberos-DelegierungKerberos unconstrained delegation
  • Extrahieren des Kerberos-TGTExtracting the Kerberos TGT
  • NTLMv1NTLMv1

Anwendungen fordern Anmeldeinformationen an und setzen diese Risiken aus, wenn sie Folgendes benötigen:Applications will prompt and expose credentials to risk if they require:

  • DigestauthentifizierungDigest authentication
  • Delegierung von AnmeldeinformationenCredential delegation
  • MS-CHAPv2MS-CHAPv2

Anwendungen können zu Leistungsproblemen führen, wenn sie versuchen, den isolierten Windows Defender Credential Guard-Prozess zu verknüpfen.Applications may cause performance issues when they attempt to hook the isolated Windows Defender Credential Guard process.

Dienste oder Protokolle, die auf Kerberos basieren, z.B. Dateifreigaben, Remotedesktop oder BranchCache, funktionieren weiterhin und sind von Windows Defender Credential Guard nicht betroffen.Services or protocols that rely on Kerberos, such as file shares, remote desktop, or BranchCache, continue to work and are not affected by Windows Defender Credential Guard.

SicherheitsaspekteSecurity considerations

Alle Computer, die die Hardware-, Firmware- und Softwareanforderungen für grundlegenden Schutz erfüllen, können Windows Defender Credential Guard nutzen.All computers that meet baseline protections for hardware, firmware, and software can use Windows Defender Credential Guard. Computer mit zusätzlichen Qualifikationen können erweiterten Schutz bieten, um die Angriffsfläche weiter zu verringern.Computers that meet additional qualifications can provide additional protections to further reduce the attack surface. In den folgenden Tabellen werden grundlegende Schutzmaßnahmen und Schutzmaßnahmen für erhöhte Sicherheit für Hardware- und Firmwareoptionen beschrieben, die 2015, 2016 und 2017 verfügbar sind.The following tables describe baseline protections, plus protections for improved security that are associated with hardware and firmware options available in 2015, 2016, and 2017.

Hinweis

Ab Windows10, Version 1607, muss Trusted Platform Module (TPM 2.0) auf neu ausgelieferten Computern standardmäßig aktiviert sein.Beginning with Windows 10, version 1607, Trusted Platform Module (TPM 2.0) must be enabled by default on new shipping computers.

Als OEM finden Sie Informationen zu den Anforderungen unter PC-OEM-Anforderungen für Windows Defender Device Guard und Windows Defender Credential Guard.If you are an OEM, see PC OEM requirements for Windows Defender Device Guard and Windows Defender Credential Guard.

Grundlegender SchutzBaseline protections

Grundlegender SchutzBaseline Protections BeschreibungDescription SicherheitsvorteileSecurity benefits
Hardware: 64-Bit-CPUHardware: 64-bit CPU Damit Windows-Hypervisor VBS bereitstellen kann, ist ein 64-Bit-Computer erforderlich.A 64-bit computer is required for the Windows hypervisor to provide VBS.
Hardware: CPU-VirtualisierungserweiterungenHardware: CPU virtualization extensions,
plus EPT (Extended Page Tables)plus extended page tables
Anforderungen: Diese Hardwarefeatures sind für VBS erforderlich:Requirements: These hardware features are required for VBS:
Eine der folgenden Virtualisierungserweiterungen:One of the following virtualization extensions:
• VT-x (Intel) oder• VT-x (Intel) or
• AMD-V• AMD-V
und:And:
• EPT (Extended Page Tables), auch als Second LevelAddress Translation (SLAT) bezeichnet.• Extended page tables, also called Second Level Address Translation (SLAT).
VBS isoliert den sicheren Kernel vom normalen Betriebssystem.VBS provides isolation of secure kernel from normal operating system. Aufgrund dieser Isolierung ist es nicht möglich, Sicherheitslücken und Zero-Day-Angriffe im normalen Betriebssystem zu missbrauchen.Vulnerabilities and Day 0s in normal operating system cannot be exploited because of this isolation.
Hardware: Trusted Platform Module (TPM)Hardware: Trusted Platform Module (TPM) Anforderung: TPM 1.2 oder TPM 2.0, entweder diskret oder firmwarebasiert.Requirement: TPM 1.2 or TPM 2.0, either discrete or firmware.
TPM-EmpfehlungenTPM recommendations
Ein TPM bietet Schutz für VBS-Verschlüsselungsschlüssel, die in der Firmware gespeichert sind.A TPM provides protection for VBS encryption keys that are stored in the firmware. Dadurch ist ein System vor Angriffen durch einen physisch anwesenden Benutzer mit BIOS-Zugriff geschützt.This helps protect against attacks involving a physically present user with BIOS access.
Firmware: UEFI-Firmwareversion 2.3.1.c oder höher mit „Sicherer Start“ gemäß UEFIFirmware: UEFI firmware version 2.3.1.c or higher with UEFI Secure Boot Anforderungen: Siehe folgende Anforderung des Windows-Hardwarekompatibilitätsprogramms: System.Fundamentals.Firmware.UEFISecureBootRequirements: See the following Windows Hardware Compatibility Program requirement: System.Fundamentals.Firmware.UEFISecureBoot „Sicherer Start“ gemäß UEFI stellt sicher, dass das Gerät nur autorisierten Code startet.UEFI Secure Boot helps ensure that the device boots only authorized code. Dadurch kann verhindert werden, dass Bootkits und Rootkits installiert werden und zwischen Neustarts erhalten bleiben.This can prevent boot kits and root kits from installing and persisting across reboots.
Firmware: Prozess für ein sicheres FirmwareupdateFirmware: Secure firmware update process Anforderungen: UEFI-Firmware muss das sichere Firmwareupdate unterstützen, das unter der folgenden Anforderung des Windows-Hardwarekompatibilitätsprogramms angegeben ist: System.Fundamentals.Firmware.UEFISecureBoot.Requirements: UEFI firmware must support secure firmware update found under the following Windows Hardware Compatibility Program requirement: System.Fundamentals.Firmware.UEFISecureBoot. UEFI-Firmware kann wie Software Sicherheitsrisiken aufweisen. Falls vorhanden, müssen sie mithilfe von Firmwareupdates gepatcht werden.UEFI firmware just like software can have security vulnerabilities that, when found, need to be patched through firmware updates. Die Patches verhindern die Installation von Rootkits.Patching helps prevent root kits from getting installed.
Software: Qualifiziertes Windows-BetriebssystemSoftware: Qualified Windows operating system Anforderung: Windows 10 Enterprise, Windows 10 Education, Windows Server 2016 oder Windows 10 EnterpriseRequirement: Windows 10 Enterprise, Windows 10 Education, Windows Server 2016, or Windows 10 IoT Enterprise

Wichtig:Important:
Als Domänencontroller unterstützt Windows Server 2016 Windows Defender Credential Guard nicht.Windows Server 2016 running as a domain controller does not support Windows Defender Credential Guard. Mit dieser Konfiguration wird nur Windows Defender Device Guard unterstützt.Only Windows Defender Device Guard is supported in this configuration.

Unterstützung von VBS und von Verwaltungsfeatures, welche die Konfiguration von Windows Defender Credential Guard vereinfachen.Support for VBS and for management features that simplify configuration of Windows Defender Credential Guard.

Wichtig

Die folgenden Tabellen enthalten zusätzliche Qualifikationen für erhöhte Sicherheit.The following tables list additional qualifications for improved security. Allerdings wird dringend empfohlen, die Anforderungen für erhöhte Sicherheit einzuhalten, um den Sicherheitsgrad, den Windows Defender Credential Guard gewährleisten kann, deutlich zu erhöhen.We strongly recommend meeting the additional qualifications to significantly strengthen the level of security that Windows Defender Credential Guard can provide.

Zusätzliche Sicherheitsqualifikationen 2015 (ab Windows10, Version 1507, und Windows Server2016, Technical Preview 4)2015 Additional security qualifications starting with Windows 10, version 1507, and Windows Server 2016 Technical Preview 4

Schutzmaßnahmen für erhöhte SicherheitProtections for Improved Security BeschreibungDescription
Hardware: IOMMU (Input/Output Memory Management Unit, Speicherverwaltungseinheit für die Ein-/Ausgabe)Hardware: IOMMU (input/output memory management unit) Anforderung: VT-D oder AMD Vi IOMMU Sicherheitsvorteile: Eine IOMMU kann die Systemresilienz gegenüber Angriffen auf den Arbeitsspeicher verbessern.Requirement: VT-D or AMD Vi IOMMU Security benefits: An IOMMU can enhance system resiliency against memory attacks. Weitere Informationen finden Sie unter Tabellen mit ACPI-Beschreibungen.For more information, see ACPI description tables.
Firmware: Schützen der Startkonfiguration und -verwaltungFirmware: Securing Boot Configuration and Management Anforderungen:Requirements:
• BIOS-Kennwort oder sicherere Authentifizierung muss unterstützt werden.• BIOS password or stronger authentication must be supported.
• In der BIOS-Konfiguration muss die BIOS-Authentifizierung festgelegt sein.• In the BIOS configuration, BIOS authentication must be set.
• Die geschützte BIOS-Option zum Konfigurieren einer Liste zulässiger Startgeräte (z.B. „Nur von interner Festplatte starten“) und der Reihenfolge von Startgeräten, durch die die vom Betriebssystem vorgenommene BOOTORDER-Änderung überschrieben wird, müssen unterstützt werden.• There must be support for protected BIOS option to configure list of permitted boot devices (for example, “Boot only from internal hard drive”) and boot device order, overriding BOOTORDER modification made by operating system.
• In der BIOS-Konfiguration müssen sicherheitsbezogene BIOS-Optionen und Startoptionen (Liste zulässiger Startgeräte, Startreihenfolge) geschützt werden, um den Start anderer Betriebssysteme und Änderungen an den BIOS-Einstellungen zu verhindern.• In the BIOS configuration, BIOS options related to security and boot options (list of permitted boot devices, boot order) must be secured to prevent other operating systems from starting and to prevent changes to the BIOS settings.
Firmware: Sichere Implementierung von MOR, Version 2Firmware: Secure MOR, revision 2 implementation Anforderung: Sichere Implementierung von MOR, Version 2Requirement: Secure MOR, revision 2 implementation

Zusätzliche Sicherheitsqualifikationen 2016 (ab Windows10, Version 1607, und Windows Server2016)2016 Additional security qualifications starting with Windows 10, version 1607, and Windows Server 2016

Wichtig

Die folgenden Tabellen enthalten zusätzliche Qualifikationen für erhöhte Sicherheit.The following tables list additional qualifications for improved security. Systeme, die diese zusätzlichen Qualifikationen erfüllen, bieten einen stärkeren Schutz.Systems that meet these additional qualifications can provide more protections.

Schutzmaßnahmen für erhöhte SicherheitProtections for Improved Security BeschreibungDescription SicherheitsvorteileSecurity Benefits
Firmware: Hardware-Vertrauensanker, sicherer PlattformstartFirmware: Hardware Rooted Trust Platform Secure Boot Anforderungen:Requirements:
Startintegrität (sicherer Plattformstart) muss unterstützt werden.Boot Integrity (Platform Secure Boot) must be supported. Siehe die Anforderungen des Windows-Hardware-Kompatibilitätsprogramms unter System.Fundamentals.Firmware.CS. UEFISecureBoot.ConnectedStandbySee the Windows Hardware Compatibility Program requirements under System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby
• HSTI (Hardware Security Test Interface) muss implementiert sein.• The Hardware Security Test Interface (HSTI) must be implemented. Siehe Spezifikation zur Prüfbarkeit von Hardwaresicherheit.See Hardware Security Testability Specification.
Startintegrität (sicherer Plattformstart) nach dem Einschalten bietet Schutzmaßnahmen vor physisch anwesenden Angreifern und eine tiefengestaffelte Verteidigung gegen Schadsoftware.Boot Integrity (Platform Secure Boot) from Power-On provides protections against physically present attackers, and defense-in-depth against malware.
• HSTI bietet eine zusätzliche Absicherung für ordnungsgemäß geschützte Chip- und Plattformkomponenten.• HSTI provides additional security assurance for correctly secured silicon and platform.
Firmware: Firmwareupdate über Windows UpdateFirmware: Firmware Update through Windows Update Anforderungen: Die Firmware muss Feldupdates durch Windows Update und UEFI-Kapselungsupdates unterstützen.Requirements: Firmware must support field updates through Windows Update and UEFI encapsulation update. Stellt sicher, dass Firmwareupdates schnell, sicher und zuverlässig sind.Helps ensure that firmware updates are fast, secure, and reliable.
Firmware: Schützen der Startkonfiguration und -verwaltungFirmware: Securing Boot Configuration and Management Anforderungen:Requirements:
• Erforderliche BIOS-Funktionen: OEMs können während der Fertigung in der Datenbank für „Sicherer Start“ ISV-, OEM- oder Unternehmenszertifikate hinzufügen.• Required BIOS capabilities: Ability of OEM to add ISV, OEM, or Enterprise Certificate in Secure Boot DB at manufacturing time.
• Erforderliche Konfigurationen: Die Microsoft-UEFI-Zertifizierungsstelle muss aus der Datenbank für „Sicherer Start“ entfernt werden.• Required configurations: Microsoft UEFI CA must be removed from Secure Boot DB. UEFI-Module von Drittanbietern können unterstützt werden, allerdings sollten von ISVs bereitgestellte Zertifikate oder OEM-Zertifikate für die spezifische UEFI-Software genutzt werden.Support for 3rd-party UEFI modules is permitted but should leverage ISV-provided certificates or OEM certificate for the specific UEFI software.
• Unternehmen können die Ausführung proprietärer EFI-Treiber/-Anwendungen zulassen.• Enterprises can choose to allow proprietary EFI drivers/applications to run.
• Durch das Entfernen der Microsoft-UEFI-Zertifizierungsstelle aus der Datenbank für „Sicherer Start“ erhalten Unternehmen die vollständige Kontrolle über Software, die vor dem Betriebssystemstart ausgeführt wird.• Removing Microsoft UEFI CA from Secure Boot DB provides full control to enterprises over software that runs before the operating system boots.

Zusätzliche Sicherheitsqualifikationen 2017 (ab Windows10, Version1703)2017 Additional security qualifications starting with Windows 10, version 1703

Die folgende Tabelle enthält die Qualifikationen für Windows10, Version 1703, die zusätzlich zu allen vorherigen Qualifikationen gelten.The following table lists qualifications for Windows 10, version 1703, which are in addition to all preceding qualifications.

Schutzmaßnahmen für erhöhte SicherheitProtections for Improved Security BeschreibungDescription SicherheitsvorteileSecurity Benefits
Firmware: VBS-Aktivierung von NX-Schutz für UEFI-LaufzeitdiensteFirmware: VBS enablement of NX protection for UEFI runtime services Anforderungen:Requirements:
• VBS aktiviert NX-Schutz (No-Execute) für Bereiche mit UEFI-Laufzeitdienstcode und -Datenspeicher.• VBS will enable No-Execute (NX) protection on UEFI runtime service code and data memory regions. UEFI-Laufzeitdienstcode muss Maßnahmen für den schreibgeschützten Seitenschutz unterstützen, und UEFI-Laufzeitdienstdaten dürfen nicht ausführbar sein.UEFI runtime service code must support read-only page protections, and UEFI runtime service data must not be executable.
• Der UEFI-Laufzeitdienst muss folgende Anforderungen erfüllen:• UEFI runtime service must meet these requirements:
    – Implementieren von UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE.    - Implement UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE. Alle UEFI-Laufzeitdienstspeicher (Code und Daten) müssen in dieser Tabelle beschrieben werden.All UEFI runtime service memory (code and data) must be described by this table.
    – PE-Abschnitte müssen im Speicher seitenausgerichtet sein (nicht erforderlich für nicht flüchtigen Speicher).    - PE sections need to be page-aligned in memory (not required for in non-volatile storage).
    – Die Tabelle mit Speicherattributen muss Code und Daten ordnungsgemäß als RO/NX für die Konfiguration durch das Betriebssystem markieren:    - The Memory Attributes Table needs to correctly mark code and data as RO/NX for configuration by the OS:
        – Alle Einträge müssen das Attribut EFI_MEMORY_RO und/oder das Attribut EFI_MEMORY_XP enthalten.        - All entries must include attributes EFI_MEMORY_RO, EFI_MEMORY_XP, or both
        – Es dürfen keine Einträge mit einem der oben genannten Attribute verbleiben, die angeben, dass der Speicher sowohl ausführbar als auch beschreibbar ist.        - No entries may be left with neither of the above attributes, indicating memory that is both executable and writable. Speicher muss entweder lesbar und ausführbar oder beschreibbar und nicht ausführbar sein.Memory must be either readable and executable or writeable and non-executable.

Hinweise:Notes:
• Dies gilt nur für UEFI-Laufzeitdienstspeicher und nicht für UEFI-Startdienstspeicher.• This only applies to UEFI runtime service memory, and not UEFI boot service memory.
• Dieser Schutz wird von VBS für Betriebssystem-Seitentabellen angewendet.• This protection is applied by VBS on OS page tables.


Beachten Sie außerdem Folgendes:Please also note the following:
• Verwenden Sie keine Abschnitte, die sowohl beschreibbar als auch ausführbar sind.• Do not use sections that are both writeable and executable
• Versuchen Sie nicht, ausführbaren Systemspeicher direkt zu ändern.• Do not attempt to directly modify executable system memory
• Verwenden Sie keinen dynamischen Code.• Do not use dynamic code
• Sofern Sicherheitslücken in der UEFI-Laufzeit vorhanden sind, wird verhindert, dass sie VBS gefährden (z.B. in Funktionen wie UpdateCapsule und SetVariable).• Vulnerabilities in UEFI runtime, if any, will be blocked from compromising VBS (such as in functions like UpdateCapsule and SetVariable)
• Verringert die VBS-Angriffsfläche für Systemfirmware.• Reduces the attack surface to VBS from system firmware.
Firmware: Firmwareunterstützung für SMM-SchutzFirmware: Firmware support for SMM protection Anforderungen: In der WSMT (Windows SMM Security Mitigations Table)-Spezifikation wird eine ACPI (Advanced Configuration and Power Interface)-Tabelle ausführlich beschrieben. Sie wurde zur Verwendung mit Windows-Betriebssystemen erstellt, die Windows-Features für virtualisierungsbasierte Sicherheit (VBS) unterstützen.Requirements: The Windows SMM Security Mitigations Table (WSMT) specification contains details of an Advanced Configuration and Power Interface (ACPI) table that was created for use with Windows operating systems that support Windows virtualization-based security (VBS) features. • Schützt ggf. vor potenziellen Sicherheitsrisiken im UEFI-Laufzeitdienst, und die Gefährdung von VBS (z.B. in Funktionen wie UpdateCapsule und SetVariable) wird verhindert.• Protects against potential vulnerabilities in UEFI runtime services, if any, will be blocked from compromising VBS (such as in functions like UpdateCapsule and SetVariable)
• Verringert die VBS-Angriffsfläche für Systemfirmware.• Reduces the attack surface to VBS from system firmware.
• Verhindert zusätzliche Sicherheitsangriffe auf SMM.• Blocks additional security attacks against SMM.