Kernel-DMA-SchutzKernel DMA Protection

BetrifftApplies to

  • Windows 10Windows10

In Windows 10, Version 1803, führte Microsoft eine neue Funktion mit dem Namen Kernel DMA Protection ein, um PCs vor Drive-through-DMA-Angriffen mit PCI-HotPlug-Geräten zu schützen, die an extern zugängliche PCIe-Ports angeschlossen sind (beispielsweise Thunderbolt™ 3-Ports und CFexpress).In Windows 10 version 1803, Microsoft introduced a new feature called Kernel DMA Protection to protect PCs against drive-by Direct Memory Access (DMA) attacks using PCI hot plug devices connected to externally accessible PCIe ports (e.g., Thunderbolt™ 3 ports and CFexpress). In Windows 10, Version 1903, hat Microsoft die Unterstützung des Kernel-DMA-Schutzes erweitert, um interne PCIe-Ports (z.b. M. 2-Steckplätze) abzudecken.In Windows 10 version 1903, Microsoft expanded the Kernel DMA Protection support to cover internal PCIe ports (e.g., M.2 slots)

Drive-by-DMA-Angriffe können zur Offenlegung vertraulicher Informationen führen, die sich auf einem PC befinden, oder sogar zur Injektion von Schadsoftware, die Angreifern die Umgehung des sperrbildschirms oder die Remotesteuerung von PCs ermöglicht.Drive-by DMA attacks can lead to disclosure of sensitive information residing on a PC, or even injection of malware that allows attackers to bypass the lock screen or control PCs remotely.

Dieses Feature schützt nicht vor DMA-Attacken über 1394/Firewire, PCMCIA, CardBus, ExpressCard usw.This feature does not protect against DMA attacks via 1394/FireWire, PCMCIA, CardBus, ExpressCard, and so on.

Für Thunderbolt-DMA-Schutz bei älteren Windows-Versionen und-Plattformen, die keinen Kernel-DMA-Schutz unterstützen, lesen Sie bitte die Intel Thunderbolt™ 3-Sicherheitsdokumentation.For Thunderbolt DMA protection on earlier Windows versions and platforms that lack support for Kernel DMA Protection, please refer to Intel Thunderbolt™ 3 Security documentation.

HintergrundBackground

PCI-Geräte sind DMA-fähig, sodass Sie in der Lage sind, den Systemspeicher zu lesen und zu schreiben, ohne den Systemprozessor in diese Vorgänge einbinden zu müssen.PCI devices are DMA-capable, which allows them to read and write to system memory at will, without having to engage the system processor in these operations. Die DMA-Funktion macht PCI-Geräte zu den leistungsstärksten Geräten, die heute verfügbar sind.The DMA capability is what makes PCI devices the highest performing devices available today. Diese Geräte sind historisch nur innerhalb des PC-Chassis vorhanden, entweder als Karte verbunden oder auf der Hauptplatine verlötet.These devices have historically existed only inside the PC chassis, either connected as a card or soldered on the motherboard. Der Zugriff auf diese Geräte erforderte, dass der Benutzer die Stromversorgung des Systems ausschalten und das Chassis auseinander bauen musste.Access to these devices required the user to turn off power to the system and disassemble the chassis.

Heute ist dies nicht mehr der Fall mit Hot-Plug-PCIe-Ports (z. b. Thunderbolt™ und CFexpress).Today, this is no longer the case with hot plug PCIe ports (e.g., Thunderbolt™ and CFexpress).

Hot-Plug-PCIe-Ports wie Thunderbolt™-Technologie bieten modernen PCs eine Erweiterbarkeit, die zuvor für PCs nicht verfügbar war.Hot plug PCIe ports such as Thunderbolt™ technology have provided modern PCs with extensibility that was not available before for PCs. Es ermöglicht Benutzern, neue Klassen von externen Peripheriegeräten, wie Grafikkarten oder anderen PCI-Geräten, an Ihre PCs mit einem Hot-Plug-Erlebnis zu koppeln, das mit USB identisch ist.It allows users to attach new classes of external peripherals, such as graphics cards or other PCI devices, to their PCs with a hot plug experience identical to USB. Wenn PCI-HotPlug-Anschlüsse extern und leicht zugänglich sind, sind PCs anfällig für DMA-Attacken.Having PCI hot plug ports externally and easily accessible makes PCs susceptible to drive-by DMA attacks.

Drive-by-DMA-Angriffe sind Angriffe, die auftreten, während der Besitzer des Systems nicht anwesend ist und normalerweise weniger als 10 Minuten benötigt, mit einfachen bis mittelschweren angreifenden Tools (erschwingliche, standardmäßige Hardware und Software), die keine Demontage des PCs erfordern.Drive-by DMA attacks are attacks that occur while the owner of the system is not present and usually take less than 10 minutes, with simple to moderate attacking tools (affordable, off-the-shelf hardware and software) that do not require the disassembly of the PC. Ein einfaches Beispiel wäre ein PC-Besitzer, der den PC verlässt, um eine kurze Kaffeepause zu machen, und innerhalb des Breaks und des Angreifers in ein USB-ähnliches Gerät einsteigen und mit allen Geheimnissen auf dem Computer verschwindet oder eine Malware injiziert, die es Ihnen ermöglicht, die volle Kontrolle über den PC Remote zu haben.A simple example would be a PC owner leaves the PC for a quick coffee break, and within the break, and attacker steps in, plugs in a USB-like device and walks away with all the secrets on the machine, or injects a malware that allows them to have full control over the PC remotely.

So schützt Windows vor DMA Drive-by-AngriffenHow Windows protects against DMA drive-by attacks

Windows nutzt die System-Input/Output-Speicherverwaltungseinheit (IOMMU), um externe Peripheriegeräte vom starten und Durchführen von DMA zu blockieren, es sei denn, die Treiber für diese Peripheriegeräte unterstützen die speicherisolierung (wie DMA-Neuzuordnung).Windows leverages the system Input/Output Memory Management Unit (IOMMU) to block external peripherals from starting and performing DMA unless the drivers for these peripherals support memory isolation (such as DMA-remapping). Peripheriegeräte mit kompatiblen DMA-Treibern werden automatisch aufgelistet, gestartet und können DMA für die zugeordneten Speicherbereiche ausführen.Peripherals with DMA Remapping compatible drivers will be automatically enumerated, started and allowed to perform DMA to their assigned memory regions.

Standardmäßig werden Peripheriegeräte mit inkompatiblen DMA-Treibern vom starten und Durchführen von DMA blockiert, bis ein autorisierter Benutzer sich beim System anmeldet oder den Bildschirm entriegelt.By default, peripherals with DMA Remapping incompatible drivers will be blocked from starting and performing DMA until an authorized user signs into the system or unlocks the screen. IT-Administratoren können mithilfe der DmaGuard MDM-Richtliniendas Standardverhalten ändern, das auf Geräte angewendet wird, bei denen inkompatible Treiber DMA erneut zugeordnet werden.IT administrators can modify the default behavior applied to devices with DMA Remapping incompatible drivers using the DmaGuard MDM policies.

BenutzerfreundlichkeitUser experience

Benutzeroberfläche des Kernel-DMA-Schutzes

Standardmäßig werden Peripheriegeräte mit kompatiblen DMA-Gerätetreibern automatisch aufgelistet und gestartet.By default, peripherals with DMA remapping compatible device drivers will be automatically enumerated and started. Peripheriegeräte mit inkompatiblen DMA-Treibern werden nicht gestartet, wenn das Peripheriegerät angeschlossen wurde, bevor sich ein autorisierter Benutzer anmeldet, oder während der Bildschirm gesperrt ist.Peripherals with DMA Remapping incompatible drivers will be blocked from starting if the peripheral was plugged in before an authorized user logs in, or while the screen is locked. Nachdem das System entriegelt wurde, wird der periphere Treiber vom Betriebssystem gestartet, und das Peripheriegerät funktioniert weiterhin normal, bis das System neu gestartet wird oder das Peripheriegerät nicht angeschlossen ist.Once the system is unlocked, the peripheral driver will be started by the OS, and the peripheral will continue to function normally until the system is rebooted, or the peripheral is unplugged. Das Peripheriegerät funktioniert weiterhin normal, wenn der Benutzer den Bildschirm sperrt oder sich vom System abmeldet.The peripheral will continue to function normally if the user locks the screen or logs out of the system.

System KompatibilitätSystem compatibility

Der Kernel-DMA-Schutz erfordert neue UEFI-Firmware-Unterstützung.Kernel DMA Protection requires new UEFI firmware support. Diese Unterstützung wird nur auf neu eingeführten, auf Intel basierenden Systemen erwartet, die mit Windows 10, Version 1803 (nicht alle Systeme) ausgeliefert werden.This support is anticipated only on newly-introduced, Intel-based systems shipping with Windows 10 version 1803 (not all systems). Die Virtualisierungs-basierte Sicherheit (VBS) ist nicht erforderlich.Virtualization-based Security (VBS) is not required.

Wenn Sie feststellen möchten, ob ein System den Kernel DMA-Schutz unterstützt, überprüfen Sie die Systeminformationen-Desktop-App (Msinfo32).To see if a system supports Kernel DMA Protection, check the System Information desktop app (MSINFO32). Systeme, die vor Windows 10 Version 1803 freigegeben werden, unterstützen keinen Kernel-DMA-Schutz, können aber andere DMA-Angriffs milderungen nutzen, wie in BitLocker-gegen Maßnahmenbeschrieben.Systems released prior to Windows 10 version 1803 do not support Kernel DMA Protection, but they can leverage other DMA attack mitigations as described in BitLocker countermeasures.

Hinweis

Der Kernel-DMA-Schutz ist mit anderen BitLocker-DMA-Angriffen Gegenmaßnahmen nicht kompatibel.Kernel DMA Protection is not compatible with other BitLocker DMA attacks countermeasures. Es wird empfohlen, die BitLocker-DMA-Angriffe Gegenmaßnahmen zu deaktivieren, wenn das System den Kernel-DMA-Schutz unterstützt.It is recommended to disable the BitLocker DMA attacks countermeasures if the system supports Kernel DMA Protection. Der Kernel-DMA-Schutz bietet eine höhere Sicherheitsleiste für das System als die BitLocker-DMA-Angriffe Gegenmaßnahmen und unter Beibehaltung der Benutzerfreundlichkeit externer Peripheriegeräte.Kernel DMA Protection provides higher security bar for the system over the BitLocker DMA attack countermeasures, while maintaining usability of external peripherals.

Überprüfen, ob der Kernel-DMA-Schutz aktiviert istHow to check if Kernel DMA Protection is enabled

Auf Systemen mit Windows 10, Version 1803, die den Kernel-DMA-Schutz unterstützen, ist dieses Sicherheitsfeature automatisch vom Betriebssystem aktiviert, ohne dass eine Benutzer-oder IT-Administratorkonfiguration erforderlich ist.Systems running Windows 10 version 1803 that do support Kernel DMA Protection do have this security feature enabled automatically by the OS with no user or IT admin configuration required.

Verwenden des SicherheitscentersUsing Security Center

Ab Windows 10, Version 1809, können Sie mithilfe des Sicherheitscenters überprüfen, ob der Kernel-DMA-Schutz aktiviert ist.Beginning with Windows 10 version 1809, you can use Security Center to check if Kernel DMA Protection is enabled. Klicken Sie auf Start > Einstellungen > Aktualisieren & Sicherheit > Windows Security > Open WindowsSecurity > Device Security > Core Isolierung Details > Speicherzugriffs Schutz.Click Start > Settings > Update & Security > Windows Security > Open Windows Security > Device security > Core isolation details > Memory access protection.

Kernel-DMA-Schutz im Security Center

Verwenden von System InformationenUsing System information

  1. Starten Sie MSINFO32.exe an einer Eingabeaufforderung oder in der Windows-Suchleiste.Launch MSINFO32.exe in a command prompt, or in the Windows search bar.
  2. Überprüfen Sie den Wert des Kernel-DMA-Schutzes.Check the value of Kernel DMA Protection. Kernel-DMA-Schutz in System Informationen
  3. Wenn der aktuelle Zustand des Kernel-DMA-Schutzes deaktiviert ist und die Virtualisierungstechnologie in der Firmware nicht lautet:If the current state of Kernel DMA Protection is OFF and Virtualization Technology in Firmware is NO:
    • Neustart in BIOS-EinstellungenReboot into BIOS settings
    • Aktivieren Sie die Intel Virtualization Technology.Turn on Intel Virtualization Technology.
    • Aktivieren Sie die Intel Virtualization Technology für I/O (VT-d).Turn on Intel Virtualization Technology for I/O (VT-d). In Windows 10, Version 1803, wird nur Intel VT-d unterstützt.In Windows 10 version 1803, only Intel VT-d is supported. Andere Plattformen können DMA-Angriffs Begrenzungen verwenden, die unter BitLocker-gegen Maßnahmenbeschrieben werden.Other platforms can use DMA attack mitigations described in BitLocker countermeasures.
    • Starten Sie das System in Windows 10 neu.Reboot system into Windows 10.
  4. Wenn der Status des Kernel-DMA-Schutzes deaktiviert bleibt, wird dieses Feature vom System nicht unterstützt.If the state of Kernel DMA Protection remains Off, then the system does not support this feature.

Bei Systemen, die den Kernel-DMA-Schutz nicht unterstützen, lesen Sie die BitLocker-gegen Maßnahmen oder Thunderbolt™ 3 und Sicherheit auf dem Betriebssystem Microsoft Windows® 10 für andere Mittel des DMA-Schutzes.For systems that do not support Kernel DMA Protection, please refer to the BitLocker countermeasures or Thunderbolt™ 3 and Security on Microsoft Windows® 10 Operating system for other means of DMA protection.

Häufig gestellte FragenFrequently asked questions

Unterstützen in-Market-Systeme den Kernel-DMA-Schutz für Thunderbolt™ 3?Do in-market systems support Kernel DMA Protection for Thunderbolt™ 3?

In-Market-Systeme, die mit Windows 10, Version 1709 oder früher veröffentlicht wurden, unterstützen den Kernel-DMA-Schutz für Thunderbolt™ 3 nach dem Upgrade auf Windows 10, Version 1803, nicht, da für dieses Feature die Firmware-Änderungen von BIOS/Plattform und Garantien erforderlich sind, die nicht auf zuvor freigegebene Geräte portiert werden können.In-market systems, released with Windows 10 version 1709 or earlier, will not support Kernel DMA Protection for Thunderbolt™ 3 after upgrading to Windows 10 version 1803, as this feature requires the BIOS/platform firmware changes and guarantees that cannot be backported to previously released devices. Informationen zu diesen Systemen finden Sie unter BitLocker-gegen Maßnahmen oder Thunderbolt™ 3 und Sicherheit auf dem Betriebssystem Microsoft Windows® 10 für andere DMA-Schutzmethoden.For these systems, please refer to the BitLocker countermeasures or Thunderbolt™ 3 and Security on Microsoft Windows® 10 Operating system for other means of DMA protection.

Verhindert der Kernel-DMA-Schutz Drive-by-DMA-Angriffe beim Booten?Does Kernel DMA Protection prevent drive-by DMA attacks during Boot?

Nein, der Kernel-DMA-Schutz schützt nur gegen Drive-by-DMA-Angriffe, nachdem das Betriebssystem geladen wurde.No, Kernel DMA Protection only protects against drive-by DMA attacks after the OS is loaded. Das System-Firmware/-BIOS ist für den Schutz vor Angriffen über die Thunderbolt-™ 3-Ports während des Starts verantwortlich.It is the responsibility of the system firmware/BIOS to protect against attacks via the Thunderbolt™ 3 ports during boot.

Wie kann ich überprüfen, ob ein bestimmter Treiber die DMA-Neuzuordnung unterstützt?How can I check if a certain driver supports DMA-remapping?

Die DMA-Neuzuordnung wird für bestimmte Gerätetreiber unterstützt und wird von allen Geräten und Treibern auf einer Plattform nicht universell unterstützt.DMA-remapping is supported for specific device drivers, and is not universally supported by all devices and drivers on a platform. Um zu überprüfen, ob ein bestimmter Treiber für die DMA-Neuzuordnung vorgesehen ist, überprüfen Sie die Werte, die der Eigenschaft DMA-neuzuordnungs Richtlinie entsprechen, auf der Registerkarte Details eines Geräts im Geräte-Manager *.To check if a specific driver is opted into DMA-remapping, check the values corresponding to the DMA Remapping Policy property in the Details tab of a device in Device Manager*. Der Wert 0 oder 1 bedeutet, dass der Gerätetreiber keine DMA-Neuzuordnung unterstützt.A value of 0 or 1 means that the device driver does not support DMA-remapping. Der Wert 2 bedeutet, dass der Gerätetreiber die DMA-Neuzuordnung unterstützt.A value of 2 means that the device driver supports DMA-remapping. Wenn die Eigenschaft nicht verfügbar ist, wird die Richtlinie nicht vom Gerätetreiber gesetzt (d. h., der Gerätetreiber unterstützt keine DMA-Neuzuordnung).If the property is not available, then the policy is not set by the device driver (i.e. the device driver does not support DMA-remapping). Bitte überprüfen Sie die Treiberinstanz auf das Gerät, das Sie testen.Please check the driver instance for the device you are testing. Einige Treiber können je nach Standort des Geräts (intern vs. extern) unterschiedliche Werte aufweisen.Some drivers may have varying values depending on the location of the device (internal vs. external).

Benutzeroberfläche des Kernel-DMA-Schutzes

* Bei Windows 10-Versionen 1803 und 1809 verwendet das Eigenschaftenfeld im Geräte-Manager eine GUID, wie in der folgenden Abbildung hervorgehoben.*For Windows 10 versions 1803 and 1809, the property field in Device Manager uses a GUID, as highlighted in the following image.

Benutzeroberfläche des Kernel-DMA-Schutzes

Was muss ich tun, wenn die Treiber für meine PCI-oder Thunderbolt-™ 3-Peripheriegeräte keine DMA-Neuzuordnung unterstützen?What should I do if the drivers for my PCI or Thunderbolt™ 3 peripherals do not support DMA-remapping?

Wenn die Peripheriegeräte über Klassentreiber verfügen, die von Windows 10 bereitgestellt werden, verwenden Sie diese Treiber auf Ihren Systemen.If the peripherals do have class drivers provided by Windows 10, please use these drivers on your systems. Wenn für Ihre Peripheriegeräte keine Kurs Treiber von Windows bereitgestellt werden, wenden Sie sich bitte an den Hersteller des peripheren Herstellers/Treibers, um den Treiber zu aktualisieren, um die DMA-Neuzuordnungzu unterstützen.If there are no class drivers provided by Windows for your peripherals, please contact your peripheral vendor/driver vendor to update the driver to support DMA Remapping.

Der Kernel-DMA-Schutz meines Systems ist deaktiviert.My system's Kernel DMA Protection is off. Kann die DMA-Neuzuordnung für ein bestimmtes Gerät aktiviert werden?Can DMA-remapping for a specific device be turned on?

Ja.Yes. Die DMA-Neuzuordnung für ein bestimmtes Gerät kann unabhängig vom Kernel-DMA-Schutz aktiviert werden.DMA remapping for a specific device can be turned on independent from Kernel DMA Protection. Wenn sich der Treiber beispielsweise entscheidet und VT-d (Virtualisierungstechnologie für directed I/O) aktiviert ist, wird die DMA-Neuzuordnung für den Gerätetreiber aktiviert, auch wenn der Kernel-DMA-Schutz deaktiviert ist.For example, if the driver opts in and VT-d (Virtualization Technology for Directed I/O) is turned on, then DMA remapping will be enabled for the devices driver even if Kernel DMA Protection is turned off.

Der Kernel-DMA-Schutz ist eine Richtlinie, die Geräte für die DMA-Ausführung basierend auf dem Status und den Funktionen der Neuzuordnung ermöglicht oder blockiert.Kernel DMA Protection is a policy that allows or blocks devices to perform DMA, based on their remapping state and capabilities.

Unterstützen Microsoft-Treiber die DMA-Neuzuordnung?Do Microsoft drivers support DMA-remapping?

In Windows 10 1803 und darüber hinaus unterstützen die Microsoft-Posteingangs Treiber für USB XHCI (3. x)-Controller, Speicher-AHCI/SATA-Controller und Speicher-NVMe-Controller die DMA-Neuzuordnung.In Windows 10 1803 and beyond, the Microsoft inbox drivers for USB XHCI (3.x) Controllers, Storage AHCI/SATA Controllers and Storage NVMe Controllers support DMA Remapping.

Müssen Treiber für nicht-PCI-Geräte mit DMA-Remapping kompatibel sein?Do drivers for non-PCI devices need to be compatible with DMA-remapping?

Nein.No. Geräte für nicht-PCI-Peripheriegeräte wie USB-Geräte führen keinen DMA durch, daher ist es nicht erforderlich, dass der Treiber mit der DMA-Neuzuordnung kompatibel ist.Devices for non-PCI peripherals, such as USB devices, do not perform DMA, thus no need for the driver to be compatible with DMA Remapping.

Wie kann ein Unternehmen die Richtlinie für externe Geräte Aufzählungen aktivieren?How can an enterprise enable the External device enumeration policy?

Die Richtlinie für externe Geräte Enumeration steuert, ob externe Peripheriegeräte aufgelistet werden, die mit der DMA-Neuzuordnung nicht kompatibel sind.The External device enumeration policy controls whether to enumerate external peripherals that are not compatible with DMA-remapping. Peripheriegeräte, die mit der DMA-Neuzuordnung kompatibel sind, werden immer aufgelistet.Peripherals that are compatible with DMA-remapping are always enumerated. Peripheriegeräte, die nicht blockiert, zugelassen oder zugelassen werden können, wenn sich der Benutzer anmeldet (Standard).Peripherals that don't can be blocked, allowed, or allowed only after the user signs in (default).

Die Richtlinie kann mit folgenden Funktionen aktiviert werden:The policy can be enabled by using:

  • Gruppenrichtlinien: Richtlinien für administrative Templates\System\Kernel-DMA-Protection\Enumeration für externe Geräte, die mit dem Kernel-DMA-Schutz nicht kompatibel sindGroup Policy: Administrative Templates\System\Kernel DMA Protection\Enumeration policy for external devices incompatible with Kernel DMA Protection
  • Mobile Device Management (MDM): DmaGuard-RichtlinienMobile Device Management (MDM): DmaGuard policies

Verwandte ThemenRelated topics