Kernel-DMA-Schutz

Gilt für

  • Windows 10
  • Windows 11

In Windows 10 Version 1803 hat Microsoft ein neues Feature namens Kernel-DMA-Schutz eingeführt, um PCs vor Drive-by-Direct Memory Access (DMA)-Angriffen mit PCI-Hot-Plug-Geräten zu schützen, die mit extern zugänglichen PCIe-Ports verbunden sind (z. B. Thunderbolt™ 3 Ports und CFexpress). In Windows 10 Version 1903 hat Microsoft die Kernel-DMA-Schutzunterstützung erweitert, um interne PCIe-Ports (z. B. M.2-Slots) abzudecken.

Drive-by-DMA-Angriffe können zur Offenlegung vertraulicher Informationen führen, die sich auf einem PC befinden, oder sogar zur Einschleusung von Schadsoftware, die es Angreifern ermöglicht, den Sperrbildschirm zu umgehen oder PCs remote zu steuern.

Dieses Feature schützt nicht vor DMA-Angriffen über 1394/FireWire, PCMCIA, CardBus, ExpressCard usw.

Hintergrund

PCI-Geräte sind DMA-fähig, sodass sie den Systemspeicher jederzeit lesen und in den Systemspeicher schreiben können, ohne dass der Systemprozessor an diesen Vorgängen beteiligt werden muss. Die DMA-Funktion macht PCI-Geräte zu den leistungsstärksten Geräten, die heute verfügbar sind. Diese Geräte waren bisher nur innerhalb des PC-Gehäuses vorhanden, entweder als Karte verbunden oder auf der Hauptplatine gelöt. Der Zugriff auf diese Geräte erforderte, dass der Benutzer die Stromversorgung des Systems deaktivieren und das Chassis zerlegen musste.

Heute ist dies nicht mehr der Fall bei PCIe-Anschlüssen mit Hot-Plug (z. B. Thunderbolt™ und CFexpress).

Hot-Plug-PCIe-Ports wie Thunderbolt™technologie haben moderne PCs mit Erweiterbarkeit bereitgestellt, die zuvor für PCs nicht verfügbar war. Damit können Benutzer neue Klassen externer Peripheriegeräte wie Grafikkarten oder andere PCI-Geräte an ihre PCs anfügen, deren Hot-Plug-Erfahrung identisch mit USB ist. Pci-Hot-Plug-Ports extern und leicht zugänglich machen PCs anfällig für Drive-by-DMA-Angriffe.

Drive-by-DMA-Angriffe sind Angriffe, die auftreten, während der Besitzer des Systems nicht vorhanden ist und in der Regel weniger als 10 Minuten in Anspruch nehmen, mit einfachen bis moderaten Angriffstools (kostengünstige, standardmäßige Hardware und Software), die keine Zerlegung des PCs erfordern. Ein einfaches Beispiel wäre, dass ein PC-Besitzer den PC für eine kurze Pause verlässt, und innerhalb der Pause tritt ein Angreifer ein, netzt ein USB-ähnliches Gerät ein und geht mit allen Geheimnissen auf dem Computer fort oder fügt eine Schadsoftware ein, die es ihnen ermöglicht, die vollständige Kontrolle über den PC remote zu haben.

Wie Windows vor DMA-Drive-by-Angriffen schützt

Windows verwendet die IOMMU (Input/Output Memory Management Unit) des Systems, um zu verhindern, dass externe Peripheriegeräte DMA starten und ausführen, es sei denn, die Treiber für diese Peripheriegeräte unterstützen die Speicherisolation (z. B. DMA-Remapping). Peripheriegeräte mit kompatiblen DMA Remapping-Treibern werden automatisch aufgelistet, gestartet und dürfen DMA in ihren zugewiesenen Speicherbereichen ausführen.

Standardmäßig werden Peripheriegeräte mit inkompatiblen DMA-Remapping-Treibern am Starten und Ausführen von DMA gehindert, bis sich ein autorisierter Benutzer beim System anmeldet oder den Bildschirm entsperrt. IT-Administratoren können das Standardverhalten ändern, das auf Geräte mit inkompatiblen DMA-Treibern angewendet wird, indem sie die DmaGuard-MDM-Richtlinien verwenden.

Benutzerfreundlichkeit

Kernel-DMA-Schutz– Benutzeroberfläche.

Standardmäßig werden Peripheriegeräte mit DMA-kompatiblen Gerätetreibern automatisch aufgezählt und gestartet. Peripheriegeräte mit inkompatiblen DMA-Treibern werden am Starten gehindert, wenn das Peripheriegerät vor der Anmeldung eines autorisierten Benutzers eingesteckt wurde oder der Bildschirm gesperrt ist. Nachdem das System entsperrt wurde, wird der Peripherietreiber vom Betriebssystem gestartet, und das Peripheriegerät funktioniert weiterhin normal, bis das System neu gestartet wird oder das Peripheriegerät nicht angeschlossen wird. Das Peripheriegerät funktioniert weiterhin normal, wenn der Benutzer den Bildschirm sperrt oder sich vom System abmeldet.

Systemkompatibilität

Kernel DMA Protection erfordert neue UEFI-Firmwareunterstützung. Diese Unterstützung wird nur für neu eingeführte Intel-basierte Systeme erwartet, die mit Windows 10 Version 1803 (nicht alle Systeme) ausgeliefert werden. Virtualisierungsbasierte Sicherheit (VBS) ist nicht erforderlich.

Um festzustellen, ob ein System Kernel-DMA-Schutz unterstützt, überprüfen Sie die Systeminformationen Desktop-App (MSINFO32). Systeme, die vor Windows 10 Version 1803 veröffentlicht wurden, unterstützen keinen Kernel-DMA-Schutz, können aber andere DMA-Angriffsminderungen nutzen, wie in BitLocker-Gegenmaßnahmenbeschrieben.

Hinweis

Kernel-DMA-Schutz ist nicht kompatibel mit anderen BitLocker-DMA-Angriffen. Es wird empfohlen, die Gegenmaßnahmen für BitLocker DMA-Angriffe zu deaktivieren, wenn das System Den Kernel-DMA-Schutz unterstützt. Kernel-DMA-Schutz bietet eine höhere Sicherheitsleiste für das System über die BitLocker DMA-Angriffs-Gegenmaßnahmen, während die Benutzerfreundlichkeit externer Peripheriegeräte erhalten bleibt.

So überprüfen Sie, ob Der Kernel-DMA-Schutz aktiviert ist

Auf Systemen mit Windows 10 Version 1803, die Kernel-DMA-Schutz unterstützen, wird dieses Sicherheitsfeature automatisch vom Betriebssystem aktiviert, ohne dass eine Benutzer- oder IT-Administratorkonfiguration erforderlich ist.

Verwenden der Windows-Sicherheit-App

Ab Windows 10 Version 1809 können Sie die Windows-Sicherheit-App verwenden, um zu überprüfen, ob Kernel DMA Protection aktiviert ist. Klicken **** Sie auf > "Start Einstellungen > Update & Security > Windows-Sicherheit > Open Windows-Sicherheit > Device SecurityCore isolation > detailsmemory > access protection".

Kernel-DMA-Schutz in Windows-Sicherheit

Verwenden von Systeminformationen

  1. Starten Sie MSINFO32.exe in einer Eingabeaufforderung oder in der Windows Suchleiste.

  2. Überprüfen Sie den Wert des Kernel-DMA-Schutzes.

    Kernel-DMA-Schutz in Systeminformationen.

  3. Wenn der aktuelle Status des Kernel-DMA-Schutzes "AUS" und "Hyper-V - Virtualisierungsaktiviert in der Firmware" "NEIN" ist:

    • Neustart in BIOS-Einstellungen
    • Aktivieren Sie die Intel Virtualization-Technologie.
    • Aktivieren Sie die Intel Virtualization Technology für E/A (VT-d). In Windows 10 Version 1803 wird nur Intel VT-d unterstützt. Andere Plattformen können DMA-Angriffsminderungen verwenden, die in BitLocker-Gegenmaßnahmenbeschrieben sind.
    • Starten Sie das System in Windows neu.

    Hinweis

    Hyper-V: In der Firmware aktivierte Virtualisierung ist nicht verfügbar, wenn ein Hypervisor erkannt wurde. Features, die für Hyper-V erforderlich sind, werden nicht angezeigt. wird angezeigt. Dies bedeutet, dass Hyper-V – Virtualisierungsaktiviert in der Firmware auf "Ja" und das Hyper-V-Windows-Feature aktiviert ist. Das Aktivieren der Hyper-V-Virtualisierung in der Firmware (IOMMU) ist erforderlich, um den Kernel-DMA-Schutzzu aktivieren, auch wenn die Firmware das Flag "ACPI Kernel DMA Protection Indicators" aufweist, das in Kernel-DMA-Schutz (Memory Access Protection) für OEMsbeschrieben ist.

  4. Wenn der Status des Kernel-DMA-Schutzes deaktiviert bleibt, unterstützt das System dieses Feature nicht.

    Für Systeme, die den Kernel-DMA-Schutz nicht unterstützen, lesen Sie die BitLocker-Gegenmaßnahmen oder "Thunderbolt™ 3" und das Betriebssystem "Sicherheit unter Microsoft Windows® 10" für andere Möglichkeiten des DMA-Schutzes.

Häufig gestellte Fragen

Unterstützen marktinterne Systeme Kernel-DMA-Schutz für Thunderbolt™ 3?

In-market systems, released with Windows 10 version 1709 or earlier, will not support Kernel DMA Protection for Thunderbolt™ 3 after upgrade to Windows 10 version 1803, as this feature requires the BIOS/platform firmware changes and guarantees that cannot be backported to previously released devices. Weitere Informationen zum DMA-Schutz finden Sie in den BitLocker-Gegenmaßnahmen oder in "Thunderbolt™ 3" und "Sicherheit unter Microsoft Windows® 10".

Verhindert Der Kernel-DMA-Schutz Drive-by-DMA-Angriffe während des Starts?

Nein, Kernel-DMA-Schutz schützt nur vor Drive-by-DMA-Angriffen, nachdem das Betriebssystem geladen wurde. Es liegt in der Verantwortung der Systemfirmware/des BIOS, sich während des Starts vor Angriffen über die Thunderbolt™ 3-Ports zu schützen.

Wie kann ich überprüfen, ob ein bestimmter Treiber DMA-Remapping unterstützt?

DMA-Remapping wird für bestimmte Gerätetreiber unterstützt und nicht von allen Geräten und Treibern auf einer Plattform universell unterstützt. Um zu überprüfen, ob ein bestimmter Treiber für DMA-remapping aktiviert ist, überprüfen Sie die Werte, die der DMA Remapping Policy-Eigenschaft entsprechen, auf der Registerkarte "Details" eines Geräts im Geräte-Manager*. Der Wert 0 oder 1 bedeutet, dass der Gerätetreiber DMA-remapping nicht unterstützt. Ein Wert von zwei bedeutet, dass der Gerätetreiber DMA-Remapping unterstützt. Wenn die Eigenschaft nicht verfügbar ist, wird die Richtlinie nicht vom Gerätetreiber festgelegt (DMA-Remapping wird vom Gerätetreiber nicht unterstützt). Überprüfen Sie die Treiberinstanz für das Gerät, das Sie testen. Einige Treiber können je nach Standort des Geräts unterschiedliche Werte haben (intern oder extern).

Kernel-DMA-Schutz– Benutzeroberfläche.

*Für Windows 10 Versionen 1803 und 1809 verwendet das Eigenschaftenfeld im Geräte-Manager eine GUID, wie in der folgenden Abbildung hervorgehoben.

Kernel-DMA-Schutz– Benutzeroberfläche.

Wenn die Treiber für PCI- oder Thunderbolt™3-Peripheriegeräte DMA-Remapping nicht unterstützen?

Wenn die Peripheriegeräte über Klassentreiber verfügen, die von Windows bereitgestellt werden, verwenden Sie diese Treiber auf Ihren Systemen. Wenn von Windows für Ihre Peripheriegeräte keine Klassentreiber bereitgestellt werden, wenden Sie sich an den Anbieter des Peripheriegeräts/Treibers, um den Treiber zur Unterstützung der DMA-Neuzuordnungzu aktualisieren.

Der Kernel-DMA-Schutz meines Systems ist deaktiviert. Kann die DMA-Neuzuordnung für ein bestimmtes Gerät aktiviert werden?

Ja. DMA-Neuzuordnungen für ein bestimmtes Gerät können unabhängig vom Kernel-DMA-Schutz aktiviert werden. Wenn sich der Treiber beispielsweise anmeldet und VT-d (Virtualisierungstechnologie für gerichtete E/A) aktiviert ist, wird die DMA-Neuzuordnung für den Gerätetreiber aktiviert, auch wenn Kernel-DMA-Schutz deaktiviert ist.

Kernel-DMA-Schutz ist eine Richtlinie, die es Geräten ermöglicht oder blockiert, DMA basierend auf ihrem Neuzuordnungsstatus und ihren Funktionen auszuführen.

Unterstützen Microsoft-Treiber DMA-Remapping?

In Windows 10 1803 und darüber hinaus unterstützen die Microsoft-Posteingangstreiber für USB XHCI (3.x)-Controller, Storage AHCI/SATA-Controller und Storage NVMe-Controller DMA Remapping.

Müssen Treiber für Nicht-PCI-Geräte mit DMA-Remapping kompatibel sein?

Nein. Geräte für Nicht-PCI-Peripheriegeräte, z. B. USB-Geräte, führen keine DMA aus. Daher muss der Treiber nicht mit DMA Remapping kompatibel sein.

Wie kann ein Unternehmen die Enumerationsrichtlinie für externe Geräte aktivieren?

Die Enumerationsrichtlinie für externe Geräte steuert, ob externe Peripheriegeräte aufgelistet werden sollen, die nicht mit DMA-remapping kompatibel sind. Peripheriegeräte, die mit DMA-remapping kompatibel sind, werden immer aufgezählt. Peripheriegeräte, die nicht zulässig sind, können blockiert, zugelassen oder zugelassen werden, nachdem sich der Benutzer angemeldet hat (Standard).

Die Richtlinie kann über Folgendes aktiviert werden:

  • Gruppenrichtlinie: Administrative Vorlagen\System\Kernel-DMA-Schutz\Enumerationsrichtlinie für externe Geräte, die mit Kernel-DMA-Schutz nicht kompatibel sind
  • Verwaltung mobiler Geräte (Mobile Device Management, MDM): DmaGuard-Richtlinien

Verwandte Themen