Richtlinien-CSP – DmaGuard
DeviceEnumerationPolicy
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/Policy/Config/DmaGuard/DeviceEnumerationPolicy
Enumerationsrichtlinie für externe DMA-fähige Geräte, die mit der DMA-Neuzuordnung nicht kompatibel sind. Diese Richtlinie wird nur wirksam, wenn der Kernel-DMA-Schutz aktiviert und vom System unterstützt wird. Beachten Sie, dass diese Richtlinie nicht für 1394-, PCMCIA- oder ExpressCard-Geräte gilt.
Diese Richtlinie soll für mehr Sicherheit gegenüber externen DMA-fähigen Geräten sorgen. Sie ermöglicht mehr Kontrolle über die Enumeration externer DMA-fähiger Geräte, die nicht mit DMA-Remapping, Gerätespeicherisolation und Sandboxing kompatibel sind.
Die Sandboxing des Gerätespeichers ermöglicht es dem Betriebssystem, die I/O-Speicherverwaltungseinheit (IOMMU) eines Geräts zu verwenden, um nicht zulässige E/A- oder Speicherzugriffe durch das Peripheriegerät zu blockieren. Anders ausgedrückt: Das Betriebssystem weist dem Peripheriegerät einen bestimmten Speicherbereich zu. Wenn das Peripheriegerät versucht, außerhalb des zugewiesenen Bereichs In den Arbeitsspeicher zu lesen/zu schreiben, blockiert das Betriebssystem dies.
Diese Richtlinie erfordert, dass ein Systemneustart wirksam wird.
Diese Richtlinie wird nur wirksam, wenn der Kernel-DMA-Schutz von der Systemfirmware unterstützt und aktiviert wird. Kernel-DMA-Schutz ist ein Plattformfeature, das nicht über Richtlinien oder Endbenutzer gesteuert werden kann. Es muss zum Zeitpunkt der Herstellung vom System unterstützt werden. Um zu überprüfen, ob das System Kernel-DMA-Schutz unterstützt, überprüfen Sie das Feld Kernel-DMA-Schutz auf der Seite Zusammenfassung von MSINFO32.exe.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Alle blockieren (restriktiv). |
| 1 (Standard) | Nur nach dem Anmelden/Entsperren des Bildschirms. |
| 2 | Alle zulassen (am wenigsten restriktiv). |
Gruppenrichtlinienzuordnung:
| Name | Wert |
|---|---|
| Name | DmaGuardEnumerationPolicy |
| Anzeigename | Enumerationsrichtlinie für externe Geräte, die nicht mit Kernel-DMA-Schutz kompatibel sind |
| Pfad | Computerkonfiguration |
| Pfad | Systemkernkern-DMA-Schutz > |
| Registrierungsschlüsselname | Software\Policies\Microsoft\Windows\Kernel DMA Protection |
| ADMX-Dateiname | DmaGuard.admx |