策略 CSP - DmaGuard

DeviceEnumerationPolicy

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DmaGuard/DeviceEnumerationPolicy

支持外部 DMA 的设备与 DMA 重新映射不兼容的枚举策略。 仅当系统启用和支持内核 DMA 保护时,此策略才会生效。 请注意,此策略不适用于 1394、PCMCIA 或 ExpressCard 设备。

此策略旨在针对支持外部 DMA 的设备提供更高的安全性。 它允许对与 DMA 重新映射、设备内存隔离和沙盒不兼容的外部 DMA 设备枚举进行更多控制。

设备内存沙盒允许操作系统使用设备的 I/O 内存管理单元 (IOMMU) 来阻止外围设备未启用的 I/O 或内存访问。 换句话说,OS 将特定的内存范围分配给外围设备。 如果外围设备尝试读取/写入超出分配范围的内存,OS 会阻止它。

此策略需要重新启动系统才能生效。

仅当系统固件支持并启用内核 DMA 保护时,此策略才会生效。 内核 DMA 保护是一项平台功能,无法通过策略或最终用户进行控制。 在制造时,系统必须支持它。 若要检查系统是否支持内核 DMA 保护,检查 MSINFO32.exe 的“摘要”页中的“内核 DMA 保护”字段。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 阻止所有 (最严格的) 。
1 (默认) 仅在登录/屏幕解锁后。
2 允许所有 (限制最少) 。

组策略映射:

名称
名称 DmaGuardEnumerationPolicy
友好名称 外部设备的枚举策略与内核 DMA 保护不兼容
位置 “计算机配置”
路径 系统 > 内核 DMA 保护
注册表项名称 Software\Policies\Microsoft\Windows\Kernel DMA Protection
ADMX 文件名 DmaGuard.admx

策略配置服务提供程序