Comentários

CSP de política – DmaGuard

  • Artigo
  • 2 minutos para ler

Políticas do DmaGuard

DmaGuard/DeviceEnumerationPolicy

DmaGuard/DeviceEnumerationPolicy

Edição Windows 10 Windows 11
Home Não Não
Pro Sim Sim
Windows SE Não Sim
Negócios Sim Sim
Enterprise Sim Sim
Educação Sim Sim

Escopo:

  • Dispositivo

Essa política destina-se a fornecer mais segurança em dispositivos externos compatíveis com AMD. Ele permite mais controle sobre a enumeração de dispositivos externos compatíveis com AMD que são incompatíveis com remapeamento de DMA, isolamento de memória do dispositivo e área restrita.

A área restrita de memória do dispositivo permite que o sistema operacional use a IOMMU (Unidade de Gerenciamento de Memória de E/S) de um dispositivo para bloquear a E/S não permitida ou o acesso à memória pelo periférico. Em outras palavras, o sistema operacional atribui um determinado intervalo de memória ao periférico. Se o periférico tentar ler/gravar na memória fora do intervalo atribuído, o sistema operacional o bloqueará.

Essa política só entra em vigor quando a Proteção contra DMA do Kernel é compatível e habilitada pelo firmware do sistema. A Proteção contra DMA do Kernel é um recurso de plataforma que não pode ser controlado por meio de política ou pelo usuário final. Ele deve ter suporte do sistema no momento da fabricação. Para verificar se o sistema dá suporte à Proteção contra DMA do Kernel, verifique o campo Proteção contra DMA do Kernel na página Resumo do MSINFO32.exe.

Observação

Essa política não se aplica a dispositivos 1394/Firewire, PCMCIA, CardBus ou ExpressCard.

A seguir estão os valores com suporte:

0 – Bloquear todos (mais restritivos): dispositivos com drivers compatíveis com remapeamento de DMA terão permissão para enumerar a qualquer momento. Os dispositivos com drivers incompatíveis de remapeamento de AMD nunca terão permissão para iniciar e executar o AMD a qualquer momento.

1 - Somente após o logon/desbloqueio na tela (Padrão): dispositivos com drivers compatíveis com remapeamento de DMA terão permissão para enumerar a qualquer momento. Os dispositivos com drivers incompatíveis de remapeamento de AMD só serão enumerados depois que o usuário desbloquear a tela.

2 - Permitir todos (menos restritivo): todos os dispositivos PCIe compatíveis com DMA externos serão enumerados a qualquer momento

Informações do ADMX:

  • Nome amigável da GP: política de enumeração para dispositivos externos incompatíveis com a Proteção contra DMA do Kernel
  • Nome da Política de Grupo: DmaGuardEnumerationPolicy
  • Caminho da Política de Grupo: Proteção contra DMA do sistema/kernel
  • Nome do arquivo ADMX da GP: dmaguard.admx

Tópicos relacionados

Provedor de serviços de configuração de política