ポリシー CSP - DmaGuard
DeviceEnumerationPolicy
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/Policy/Config/DmaGuard/DeviceEnumerationPolicy
DMA 再マッピングと互換性のない外部 DMA 対応デバイスの列挙ポリシー。 このポリシーは、カーネル DMA 保護が有効で、システムでサポートされている場合にのみ有効になります。 このポリシーは、1394、PCMCIA、または ExpressCard デバイスには適用されません。
このポリシーは、外部 DMA 対応デバイスに対してより多くのセキュリティを提供することを目的としています。 これにより、 DMA 再マッピング、デバイス メモリの分離、サンドボックス化と互換性のない外部 DMA 対応デバイスの列挙をより詳細に制御できます。
デバイス メモリ サンドボックスを使用すると、OS はデバイスの I/O メモリ管理ユニット (IOMMU) を使用して、周辺機器による未適用の I/O またはメモリ アクセスをブロックできます。 つまり、OS は周辺機器に特定のメモリ範囲を割り当てます。 周辺機器が割り当てられた範囲外のメモリへの読み取り/書き込みを試みると、OS によってブロックされます。
このポリシーを有効にするには、システムの再起動が必要です。
このポリシーは、カーネル DMA 保護がサポートされ、システム ファームウェアによって有効になっている場合にのみ有効になります。 カーネル DMA 保護は、ポリシーまたはエンド ユーザーによって制御できないプラットフォーム機能です。 これは、製造時にシステムによってサポートされている必要があります。 システムがカーネル DMA 保護をサポートしているかどうかをチェックするには、MSINFO32.exe の [概要] ページの [カーネル DMA 保護] フィールドをチェックします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | すべてブロック (最も制限が厳しい)。 |
| 1 (既定値) | ログイン/画面ロック解除後のみ。 |
| 2 | すべて許可 (最小制限)。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DmaGuardEnumerationPolicy |
| フレンドリ名 | カーネル DMA 保護と互換性のない外部デバイスの列挙ポリシー |
| 場所 | [コンピューターの構成] |
| パス | システム > カーネル DMA 保護 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\Kernel DMA Protection |
| ADMX ファイル名 | DmaGuard.admx |