策略 CSP - DmaGuard
DeviceEnumerationPolicy
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/DmaGuard/DeviceEnumerationPolicy
支持外部 DMA 的设备与 DMA 重新映射不兼容的枚举策略。 仅当系统启用和支持内核 DMA 保护时,此策略才会生效。 请注意,此策略不适用于 1394、PCMCIA 或 ExpressCard 设备。
此策略旨在针对支持外部 DMA 的设备提供更高的安全性。 它允许对与 DMA 重新映射、设备内存隔离和沙盒不兼容的外部 DMA 设备枚举进行更多控制。
设备内存沙盒允许操作系统使用设备的 I/O 内存管理单元 (IOMMU) 来阻止外围设备未启用的 I/O 或内存访问。 换句话说,OS 将特定的内存范围分配给外围设备。 如果外围设备尝试读取/写入超出分配范围的内存,OS 会阻止它。
此策略需要重新启动系统才能生效。
仅当系统固件支持并启用内核 DMA 保护时,此策略才会生效。 内核 DMA 保护是一项平台功能,无法通过策略或最终用户进行控制。 在制造时,系统必须支持它。 若要检查系统是否支持内核 DMA 保护,检查 MSINFO32.exe 的“摘要”页中的“内核 DMA 保护”字段。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 阻止所有 (最严格的) 。 |
| 1 (默认) | 仅在登录/屏幕解锁后。 |
| 2 | 允许所有 (限制最少) 。 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | DmaGuardEnumerationPolicy |
| 友好名称 | 外部设备的枚举策略与内核 DMA 保护不兼容 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 内核 DMA 保护 |
| 注册表项名称 | Software\Policies\Microsoft\Windows\Kernel DMA Protection |
| ADMX 文件名 | DmaGuard.admx |