Protección contra DMA de kernel (protección de acceso a memoria) para oem

Protección contra DMA de kernel (también conocida como Protección de acceso a memoria) es una característica de un equipo de núcleo protegido Windows 10 compatible con las plataformas Intel y AMD a partir de Windows 10, versión 1803 y Windows 10, versión 1809.

Con esta característica, el sistema operativo y el firmware del sistema protegen el sistema contra ataques malintencionados e imprevistos de acceso directo a memoria (DMA) para todos los dispositivos compatibles con DMA:

• Durante el proceso de arranque.
• Contra DMA malintencionado por dispositivos conectados a puertosexternos externos compatibles con DMA internos/ fácilmente, como ranuras PCIe M.2 y Thunderbolt™3, durante el tiempo de ejecución del sistema operativo.

Requisito de la plataforma	Detalles
CPU de 64 bits	Kernel DMA Protection solo se admite en procesadores IA de 64 bits con extensiones de virtualización, incluido Intel VT-X y AMD-v.
IOMMU (Intel VT-D, AMD-Vi)	Todos los dispositivos de E/S capaces de DMA deben estar detrás de un IOMMU habilitado (de forma predeterminada). La IOMMU se usa para bloquear o desbloquear dispositivos basados en la directiva de enumeración de dispositivos DMAGuard y realizar la reasignación de DMA para dispositivos con controladores compatibles.
Compatibilidad con el control nativo de PCI Express	Se requiere habilitar el control nativo PCI Express mediante _OSC método ACPI para la compatibilidad con la protección DMA de Kernel.
Protección contra DMA de arranque previo	El firmware del sistema debe protegerse frente a ataques DMA de arranque previo mediante la implementación del aislamiento DMA de todos los búferes de E/S compatibles con DMA anteriores a ExitBootServices(). El firmware del sistema debe deshabilitar el bit De habilitación maestra de bus (BME) para todos los puertos raíz PCI, que no tienen dispositivos secundarios necesarios para realizar DMA entre ExitBootServices() y el controlador de dispositivo iniciado por el sistema operativo. En ExitBootServices(), el firmware del sistema debe restaurar el IOMMU para encender el estado. Ningún dispositivo puede realizar DMA fuera de las regiones RMRR (Intel) o bloques IVMD (AMD) después de ExitBootServices() hasta que PnP cargue e inicie los controladores de sistema operativo respectivos de los dispositivos. La realización de DMA fuera de las regiones RMRR o los bloques IVMD después de ExitBootServices() y antes de que el controlador del dispositivo comience por el sistema operativo dará como resultado un error de IOMMU y, posiblemente, una comprobación de errores del sistema (0xE6).
Indicadores de protección de DMA del kernel ACPI	El firmware del sistema debe establecer las marcas adecuadas en las tablas ACPI para participar y habilitar la protección contra DMA del kernel en el sistema operativo: En el caso de las plataformas Intel, el firmware del sistema debe establecer "DMA_CTRL_PLATFORM_OPT_IN_FLAG" en el campo Marcas de tabla DMAR (Tecnología de virtualización Intel para especificación directa de E/S, Rev 2.5 Sección 8.1). En el caso de las plataformas AMD, el firmware del sistema debe establecer el bit "Compatibilidad con el mapa de DMA" en el campo IVRS IVinfo (AMD IOMMU Specification Rev 3.05, Section 5.2.1). El firmware del sistema debe etiquetar los puertos PCI que requieren protección DMA en tiempo de ejecución del sistema operativo con las marcas de _DSD ACPI adecuadas: Identificar puertos raíz PCIe expuestos externamente. Identificar puertos PCIe internos accesibles para los usuarios y requerir protección DMA. En el caso de las plataformas Intel, las tablas DMAR no deben incluir estructuras de descriptores de dispositivo de espacio de nombres ACPI (ANDD).
Módulo de plataforma segura (TPM) 2.0	Los TPM, ya sea discretos o firmware, serán suficientes. Para más información, consulte Módulo de plataforma segura (TPM) 2.0. En cada arranque en el que se deshabilite la protección DE DMA de IOMMU (VT-D o AMD-Vi) o DMA de kernel, se deshabilitará o se configurará en un estado de seguridad inferior, la plataforma DEBE extender un evento de EV_EFI_ACTION en PCR[7] antes de habilitar DMA. La cadena de evento DEBE ser "DMA Protection Disabled". El firmware de la plataforma DEBE registrar esta medida en el registro de eventos mediante la cadena "DMA Protection Disabled" para los datos del evento.

Comprobación del estado de protección contra DMA del kernel en un sistema Windows 10

El estado de protección contra DMA del kernel se puede comprobar en un sistema determinado mediante cualquiera de los métodos siguientes:

1. Uso de la aplicación de información del sistema:

   • Inicie MSINFO32.exe.
   • Active el campo "Protección contra DMA de kernel" en la página "Resumen del sistema".

2. Uso de Seguridad de Windows aplicación:

   • Inicie Seguridad de Windows aplicación desde el menú Inicio de Windows.

   • Haga clic en el icono "Seguridad del dispositivo".

   • Haga clic en "Detalles básicos del aislamiento".

   • "Protección de acceso a memoria" aparecerá como una característica de seguridad disponible, si está habilitada.

     • Si no aparece "Protección de acceso a memoria", la característica no está habilitada en el sistema.

Temas relacionados

Introducción a la protección contra DMA de kernel

Habilitación de la reasignación de DMA para controladores de dispositivos

Directiva DMAGuard