適用范圍

• Windows 10

• Windows 11

在 Windows 10 版本 1803 中，Microsoft 推出了一項(xiàng)名為“內(nèi)核 DMA 保護(hù)”的新功能，用于保護(hù)電腦免受使用連接到外部可訪問的 PCIe 端口 (例如 Thunderbolt? 3 端口和 CFexpress) 的 PCI 熱插設(shè)備的驅(qū)動(dòng)器直接內(nèi)存訪問 (DMA) 攻擊。 在 Windows 10 版本 1903 中，Microsoft 擴(kuò)展了對內(nèi)核 DMA 保護(hù)支持，以涵蓋內(nèi)部 PCIe 端口 (例如 M.2 槽)

路過式 DMA 攻擊可能會(huì)導(dǎo)致泄露駐留在電腦上的敏感信息，甚至?xí)⑷霅阂廛浖?，從而允許攻擊者繞過鎖屏界面或遠(yuǎn)程控制電腦。

此功能無法通過 1394/FireWire、PCMCIA、CardBus、ExpressCard 等來防范 DMA 攻擊。

一、Background

PCI設(shè)備具有DMA功能，這使得它們可以隨意地讀寫系統(tǒng)內(nèi)存，而無需讓系統(tǒng)處理器參與這些操作。 DMA 功能使 PCI 設(shè)備成為目前可用的最高性能設(shè)備。 這些設(shè)備過去僅存在于電腦機(jī)箱內(nèi)，可以作為卡連接或焊接在主板上。 訪問這些設(shè)備需要用戶關(guān)閉系統(tǒng)電源并拆解機(jī)箱。

如今，熱插 PCIe 端口 (例如 Thunderbolt? 和 CFexpress) 不再如此。

熱插 PCIe 端口（如 Thunderbolt? 技術(shù)）為新式電腦提供了以前不適用于電腦的擴(kuò)展性。 它允許用戶將外部外設(shè)的新類 (如顯卡或其他 PCI 設(shè)備) 附加到具有與 USB 相同的熱插體驗(yàn)的電腦上。 將 PCI 熱插端口置于外部并易于訪問會(huì)使電腦容易受到路過式 DMA 攻擊。

路過式 DMA 攻擊是在系統(tǒng)所有者不在場的情況下發(fā)生的攻擊，通常需要不到 10 分鐘，攻擊工具從簡單到中等 (價(jià)格低廉，現(xiàn)成的硬件和軟件)，而無需要拆卸電腦。 一個(gè)簡單的示例是電腦所有者離開電腦去喝咖啡，而在休息的時(shí)候，攻擊者走進(jìn)來，插入類似 USB 的設(shè)備，然后帶走了機(jī)器上的所有機(jī)密，或者注入惡意軟件，使他們能夠遠(yuǎn)程完全控制電腦。

二、Windows 如何防范 DMA 路過式攻擊

Windows 利用系統(tǒng)輸入/輸出內(nèi)存管理單元 (IOMMU) 阻止外部外圍設(shè)備啟動(dòng)和執(zhí)行 DMA，除非這些外圍設(shè)備的驅(qū)動(dòng)程序支持內(nèi)存隔離 (如 DMA 重新映射)。 具有?DMA 重新映射兼容驅(qū)動(dòng)程序?的外圍設(shè)備將自動(dòng)枚舉、啟動(dòng)并允許對分配的內(nèi)存區(qū)域執(zhí)行 DMA。

默認(rèn)情況下，將阻止啟動(dòng)和執(zhí)行具有 DMA 重映射不兼容驅(qū)動(dòng)程序的外設(shè) DMA，直到授權(quán)用戶登錄系統(tǒng)或解鎖屏幕。 IT 管理員可以使用?DmaGuard MDM 策略?修改應(yīng)用于具有 DMA 重新映射不兼容驅(qū)動(dòng)程序的設(shè)備默認(rèn)行為。

三、用戶體驗(yàn)

默認(rèn)情況下，將自動(dòng)枚舉并啟動(dòng)具有 DMA 重新映射兼容設(shè)備驅(qū)動(dòng)程序的外圍設(shè)備。 如果在授權(quán)用戶登錄之前或屏幕鎖定時(shí)插入了外圍設(shè)備，則將阻止啟用具有 DMA 重新映射不兼容驅(qū)動(dòng)程序的外圍設(shè)備。 解鎖系統(tǒng)后，外圍驅(qū)動(dòng)程序?qū)⒂?OS 啟動(dòng)，并且外圍設(shè)備將繼續(xù)正常運(yùn)行，直到系統(tǒng)重新啟動(dòng)或外圍設(shè)備拔出。 如果用戶鎖定屏幕或注銷系統(tǒng)，則外圍設(shè)備將繼續(xù)正常工作。

四、系統(tǒng)兼容性

內(nèi)核 DMA 保護(hù)需要新的 UEFI 固件支持。 預(yù)計(jì)該支持僅適用于新推出的、與 Windows 10 版本 1803 一起轉(zhuǎn)運(yùn)的、基于 Intel 的系統(tǒng) (并非所有系統(tǒng))。 無需基于虛擬化的安全性 (VBS)。

若要查看系統(tǒng)是否支持內(nèi)核 DMA 保護(hù)，請檢查系統(tǒng)信息桌面應(yīng)用 (MSINFO32)。 Windows 10 版本 1803 之前發(fā)布的系統(tǒng)不支持內(nèi)核 DMA 保護(hù)，但它們可以利用其他 DMA 攻擊緩解措施，如?BitLocker 對策?中所述。

?備注

內(nèi)核 DMA 保護(hù)與其他 BitLocker DMA 攻擊對策不兼容。 如果系統(tǒng)支持內(nèi)核 DMA 保護(hù)，建議禁用 BitLocker DMA 攻擊對策。 內(nèi)核 DMA 保護(hù)為系統(tǒng)提供比 BitLocker DMA 攻擊對策更高的安全標(biāo)準(zhǔn)，同時(shí)保持外部外圍設(shè)備的可用性。

?備注

使用 WDDM 3.0 驅(qū)動(dòng)程序模型在 Windows 11 中添加了對圖形設(shè)備的 DMA 重新映射支持;Windows 10不支持此功能。

五、如何檢查內(nèi)核 DMA 保護(hù)是否已啟用

運(yùn)行支持內(nèi)核 DMA 保護(hù)的 Windows 10 版本 1803 的系統(tǒng)確實(shí)由 OS 自動(dòng)啟用這一安全功能，而無需用戶或 IT 管理員配置。

1. 使用 Windows 安全中心應(yīng)用

從 Windows 10 版本 1809 開始，可以使用 Windows 安全應(yīng)用來檢查是否啟用了內(nèi)核 DMA 保護(hù)。 單擊“開始>設(shè)置更新>&安全性>Windows 安全中心>打開Windows 安全中心>設(shè)備安全>核心隔離詳細(xì)信息>內(nèi)存訪問保護(hù)”。

2. 使用系統(tǒng)信息

1. 在命令提示符或 Windows 搜索欄中啟動(dòng) MSINFO32.exe。

2. 檢查?內(nèi)核 DMA 保護(hù)?的值。

1. 如果?內(nèi)核 DMA 保護(hù)?的當(dāng)前狀態(tài)為關(guān)閉，并且 Hyper-V - 在固件中啟用的虛擬化?為否:

   ?備注

   如果啟用?Hyper-V?Windows 功能，則將隱藏所有與 Hyper-V 相關(guān)的功能，并且已檢測到虛擬機(jī)監(jiān)控程序。將不會(huì)顯示 Hyper-V 所需的功能實(shí)體將顯示在列表底部。 這意味著將?Hyper-V - 在固件中啟用虛擬化設(shè)置為“是”。

   ?備注

   即使固件在?適用于 OEM 的內(nèi)核 DMA 保護(hù) (內(nèi)存訪問保護(hù)) 中所述?具有“ACPI 內(nèi)核 DMA 保護(hù)指示器”的標(biāo)志，在固件 (IOMMU) 中啟用 Hyper-V 虛擬化也需要啟用?內(nèi)核 DMA 保護(hù)。

• 重新啟動(dòng)到 BIOS 設(shè)置

• 啟用 Intel 虛擬化技術(shù)。

• 啟用適用于 I/O (VT-d) 的 Intel 虛擬化技術(shù)。 在 Windows 10 版本 1803 中，僅支持 Intel VT-d。 其他平臺可以使用?BitLocker 對策?中所述的 DMA 攻擊緩解措施。

• 重新啟動(dòng)系統(tǒng)進(jìn)入 Windows。

2. 如果?內(nèi)核 DMA 保護(hù)?的狀態(tài)保持為“關(guān)閉”，則系統(tǒng)不支持此功能。

   對于不支持內(nèi)核 DMA 保護(hù)的系統(tǒng)，請參閱?BitLocker 對策?或?Microsoft Windows? 10 操作系統(tǒng)上的 Thunderbolt?3 安全性?的其他 DMA 保護(hù)手段。