Защита DMA ядра для Thunderbolt™ 3

Область применения

  • Windows 10

В Windows 10 версии 1803 Корпорация Майкрософт ввела новую функцию, именуемую защитой DMA ядра, для защиты ПК от атак с использованием прямого доступа к памяти (DMA) с помощью устройств горячего соединения PCI, подключенных к Сундерболт™ 3 портами. Атаки через DMA могут привести к раскрытию конфиденциальной информации, находящейся на компьютере, или даже к вредоносному атаке, позволяющему злоумышленникам удаленно обходить экран блокировки или управлять компьютером.

Эта функция не защищает от атак через DMA с помощью 1394/FireWire, PCMCIA, CardBus, ExpressCard и т. д.

Для защиты Сундерболт DMA в более ранних версиях Windows и других платформах, в которых отсутствует поддержка защиты DMA ядра, ознакомьтесь с документацией по безопасности Intel сундерболт™ 3.

Фон

Устройства PCI поддерживают интерфейс DMA, что позволяет им читать и записывать данные в системную память, не требуя от этого использования системного процессора в этих операциях. Возможность прямого доступа к памяти – это то, что делает устройства PCI самыми производительными, доступными сегодня. Данные устройства в прошлом существовали только внутри корпуса ПК, подключены как карта или плата, установленная на материнской плате. Для доступа к этим устройствам необходимо, чтобы пользователь отключил электроэнергию системы и размонтировать корпус. Сегодня это не относится к Сундерболт™.

Технология сундерболт™ предоставила современные ПК с расширениями, которые были недоступны для ПК. Это позволяет пользователям подключать к своим ПК новые классы внешних периферийных устройств, таких как графические карты и другие устройства с интерфейсом PCI, с помощью горячего самосоединения, идентичного USB. Наличие внешних и легко доступных для использования портов горячей подсоединения PCI делает ПК уязвимыми для атак с помощью DMA.

Атака по протоколу DMA — это атаки, возникающие в том случае, если владелец системы отсутствует и обычно занимает менее 10 минут, с помощью простых и средних средств для атак (недорогой и программного обеспечения), которые не требуют дизассемблированного кода для ПК. В качестве простого примера можно привести, что владелец ПК выходит за пределы быстрой эпидемии кофе, а также в процессе перерыва и злоумышленника, подключаясь к устройствам, таким как USB-как, так и с помощью всех секретов на компьютере, а также внедрить вредоносную программу, которая позволит им получить полный контроль над компьютером REM. Отели.

Как Windows защищается от атак с использованием устройства DMA

Windows использует блок управления системной памятью ввода-вывода (ИОММУ), чтобы заблокировать внешние периферийные устройства от запуска и выполнения DMA, пока эти драйверы не поддерживают изоляцию памяти (например, перераспределение DMA). Периферийные устройства с совместимыми драйверами будут автоматически перечислены, запущены и разрешены для выполнения DMA в отведенные для них области памяти. По умолчанию периферийные устройства с несовместимыми драйверами будут заблокированы для запуска и выполнения режима DMA, пока Уполномоченный пользователь не войдет в систему или не заблокирует экран.

Взаимодействие с пользователем

Взаимодействие с пользователем с защитой DMA ядра

Если периферийное устройство несовместимо с перераспределением DMA, оно будет заблокировано, если он был подключен к сети, прежде чем пользователь войдет в систему или блокирует экран. После того как система разблокирована, драйвер периферийного устройства будет запущен операционной системой, и периферийные устройства будут работать нормально до тех пор, пока система не будет перезагружена, а периферийное устройство не будет подключено. После того как пользователь заблокирует экран или выходит из системы, периферийные устройства продолжат работать нормально.

Совместимость системы

Защита режима DMA требует новой поддержки встроенного по UEFI. Эта поддержка предустановлена только для новых почтовых систем на базе процессора Intel с Windows 10 версии 1803 (не во всех системах). Безопасность на основе виртуализации (VBS) не требуется.

Чтобы узнать, поддерживает ли система защиту с помощью DMA ядра, проверьте классическое приложение "системные данные" (MSINFO32). Системы, выпущенные до Windows 10 версии 1803, не поддерживают защиту с помощью DMA, но могут использовать другие способы предотвращения атак DMA, описанные в противоотношении угроз BitLocker.

Примечание

Защита с помощью DMA ядра несовместима с другими контрмерами атак из системы DMA. Рекомендуется отключить защиту от атак DMA, если система поддерживает режим DMA для ядра. Защита с помощью DMA ядра обеспечивает контрмеры более высокой безопасности для системы по сравнению с защитой от атак DMA, обеспечивая удобство использования внешних периферийных устройств.

Как проверить, включена ли защита DMA ядра

Системы под управлением Windows 10 версии 1803, поддерживающие защиту DMA, обладают автоматическим включением этой функции безопасности операционной системой, не требующей настройки пользователя или администратора.

Использование центра обеспечения безопасности

Начиная с версии 1809, Вндовс, вы можете использовать центр безопасности, чтобы проверить, включена ли защита DMA ядра. Нажмите кнопку " Пуск > **** > " обновление & безопасность > Windows безопасность > открытые > > сведения об изоляции ядра безопасности дляустройствбезопасности Windows** Защита доступа **к памяти. >

Защита DMA ядра в центре безопасности

Использование сведений о системе

  1. Запустите файл MSINFO32. exe в командной строке или на панели поиска Windows.
  2. Проверьте значение защиты DMA ядра. Защита от DMA ядра в сведениях о системе
  3. Если текущее состояние защиты DMA ядра выключено, а в микропрограмме отсутствует технология виртуализации , выполните указанные ниже действия.
    • Перезагрузка в параметры BIOS
    • Включите технологию виртуализации Intel.
    • Включите технологию виртуализации Intel для ввода-вывода (VT-d). В Windows 10 версии 1803 поддерживается только Intel VT-d. Другие платформы могут использовать возможности предотвращения атак через DMA, описанные в контрмерах BitLocker.
    • Перезагрузите систему в Windows 10.
  4. Если состояние защиты DMA ядра не отображается, система не поддерживает эту функцию.

Для систем, не поддерживающих защиту DMA, ознакомьтесь с разделами контрмеры BitLocker или сундерболт™ 3 и безопасность в операционной системе Microsoft Windows® 10 для других средств защиты DMA.

Вопросы и ответы

Поддерживаются ли на рынке системы защиты DMA для Сундерболт™ 3?

Системы на рынке, выпущенные в Windows 10 версии 1709 или более ранней, не поддерживают защиту с помощью DMA для Сундерболт™ 3 после обновления до Windows 10 версии 1803, так как для этой функции требуется изменение микропрограммы BIOS и платформы относится на ранее выпущенные устройства. В этих системах вы можете обратиться к разделам контрмеры BitLocker или сундерболт™ 3 и безопасность в операционной системе Microsoft Windows® 10 для других средств защиты DMA.

Предотвращает ли защита с помощью DMA-атак с диска при загрузке?

Нет, защита с помощью DMA ядра защищается только от атак с использованием устройства DMA после загрузки ОС. Ответственность за защиту от атак с помощью портов Сундерболт™ 3 при загрузке обеспечивается системным микропрограммм и BIOS.

Как проверить, поддерживает ли определенный драйвер возможность перераспределения DMA?

Повторное сопоставление с помощью DMA поддерживается для конкретных драйверов устройств и не поддерживается универсальными устройствами и драйверами на платформе. Чтобы проверить, не выбран ли определенный драйвер переход в режим DMA, проверьте значения, соответствующие свойству политики перераспределения DMA на вкладке сведения устройства в диспетчере устройств. Значение 0 или 1 означает, что драйвер устройства не поддерживает перераспределение DMA. Значение 2 означает, что драйвер устройства поддерживает перераспределение DMA. Проверьте экземпляр драйвера для тестируемого устройства. Некоторые драйверы могут иметь различные значения в зависимости от расположения устройства (внутренние и внешние).

  • Для Windows 10 версии 1803 и 1809 поле свойства в диспетчере устройств использует GUID, как выделено на приведенном ниже рисунке.

Взаимодействие с пользователем с защитой DMA ядра

Что делать, если драйверы для моих периферийных устройств Сундерболт™ 3 не поддерживают перераспределение DMA?

Если у периферийных устройств есть драйверы класса, предоставляемые Windows 10, пожалуйста, используйте эти драйверы в своих системах. Если у вас нет драйверов классов, предоставляемых Windows для периферийных устройств, обратитесь к поставщику периферийных устройств или производителю драйвера, чтобы обновить драйвер для поддержки этих функций. Сведения о требованиях к совместимости драйверов можно найти в центре партнеров Майкрософт.

Поддерживают ли драйверы Майкрософт перераспределение DMA?

В Windows 10 1803 и более поздних версий драйверы в папке "Входящие" для контроллеров USB XHCI (3. x), контроллеров AHCI/SATA и Storage Controllers поддерживают перераспределение DMA.

Должны ли драйверы устройств, не являющихся устройствами PCI, быть совместимыми с перераспределением DMA?

Нет. Устройства для периферийных устройств, не являющихся устройствами PCI (например, USB-устройств), не выполняют DMA, поэтому драйвер не должен быть совместим с перераспределением DMA.

Как предприятие может включить политику перечисления внешних устройств?

Внешняя политика перечисления устройств определяет, нужно ли перечислять внешние периферийные устройства, которые несовместимы с перераспределением DMA. Периферийные устройства, совместимые с перераспределением DMA, всегда переносятся в список. Периферийные устройства, которые не могут быть заблокированы, разрешены и разрешены только после того, как пользователь войдет (по умолчанию).

Политика может быть включена с помощью следующих параметров:

  • Групповая политика: административная Темплатес\систем\кернел DMA политика Протектион\енумератион для внешних устройств, несовместимая с защитой DMA ядра
  • Управление мобильными устройствами (MDM): политики дмагуард

Еще по теме