Perlindungan DMA Kernel (Perlindungan Akses Memori) untuk OEM

  • Artikel

Perlindungan DMA Kernel, (juga dikenal sebagai Perlindungan Akses Memori, adalah fitur pc Windows 10 Secured-core yang didukung pada platform Intel dan AMD yang dimulai dengan Windows 10, versi 1803 dan Windows 10, versi 1809.

Dengan fitur ini, OS dan firmware sistem melindungi sistem dari serangan Direct Memory Access (DMA) berbahaya dan tidak diinginkan untuk semua perangkat berkemampuan DMA:

  • Selama proses boot.
  • Terhadap DMA berbahaya oleh perangkat yang terhubung ke port berkemampuan DMA eksternal internal/ yang mudah diakses, seperti slot PCIe M.2 dan Thunderbolt™3, selama runtime OS.
Persyaratan platform Detail
CPU 64-bit Perlindungan DMA Kernel hanya didukung pada prosesor IA 64-bit dengan ekstensi virtualisasi, termasuk Intel VT-X dan AMD-v.
IOMMU (Intel VT-D, AMD-Vi) Semua perangkat I/O yang mampu DMA harus berada di belakang IOMMU yang diaktifkan (secara default). IOMMU digunakan memblokir/membuka blokir perangkat berdasarkan Kebijakan Enumerasi Perangkat DMAGuard, dan melakukan remapping DMA untuk perangkat dengan driver yang kompatibel.
Dukungan PCI Express Native Control Mengaktifkan PCI Express Native Control menggunakan metode _OSC ACPI diperlukan untuk dukungan Perlindungan DMA Kernel.
Perlindungan DMA pra-boot
  • Firmware sistem harus melindungi dari serangan DMA pra-boot dengan menerapkan isolasi DMA dari semua buffer IO perangkat berkemampuan DMA pra-ExitBootServices().
  • Firmware sistem harus menonaktifkan bit Bus Master Enable (BME) untuk semua port root PCI, yang tidak memiliki perangkat anak yang diperlukan untuk melakukan DMA antara ExitBootServices() dan driver perangkat yang dimulai oleh OS.
  • Di ExitBootServices(), IOMMU harus dipulihkan oleh firmware sistem untuk menyalakan status AKTIF.
  • Tidak ada perangkat yang dapat melakukan DMA di luar wilayah RMRR (Intel) atau blok IVMD (AMD) setelah ExitBootServices() hingga driver OS masing-masing perangkat dimuat dan dimulai oleh PnP.
    • Melakukan DMA di luar wilayah RMRR atau blok IVMD setelah ExitBootServices() dan sebelum driver perangkat dimulai oleh OS akan mengakibatkan kesalahan IOMMU dan berpotensi pemeriksaan bug sistem (0xE6).
Indikator Perlindungan DMA Kernel ACPI
Modul Platform Tepercaya (TPM) 2.0 TPM, baik diskrit atau firmware, sudah cukup. Untuk informasi selengkapnya, lihat Modul Platform Tepercaya (TPM) 2.0.
  • Pada setiap boot tempat IOMMU (VT-D atau AMD-Vi) atau Perlindungan DMA Kernel dinonaktifkan, akan dinonaktifkan, atau dikonfigurasi ke status keamanan yang lebih rendah, platform HARUS memperluas peristiwa EV_EFI_ACTION ke PCR[7] sebelum mengaktifkan DMA.
  • String peristiwa HARUS "Perlindungan DMA Dinonaktifkan". Firmware platform HARUS mencatat pengukuran ini di log peristiwa menggunakan string "Perlindungan DMA Dinonaktifkan" untuk Data Peristiwa.

Memverifikasi status Perlindungan DMA Kernel pada sistem Windows 10

Status Perlindungan DMA Kernel dapat diverifikasi pada sistem tertentu menggunakan salah satu metode berikut

  1. Menggunakan aplikasi Informasi Sistem:

    • Luncurkan MSINFO32.exe.
    • Periksa bidang "Perlindungan DMA Kernel" di halaman "Ringkasan Sistem".

  2. Menggunakan aplikasi Keamanan Windows:

    • Luncurkan aplikasi Keamanan Windows dari menu Mulai Windows.

    • Klik ikon "Keamanan Perangkat".

    • Klik "Detail isolasi inti".

    • "Perlindungan Akses Memori" akan dicantumkan sebagai Fitur Keamanan yang tersedia, jika diaktifkan.

      • Jika "Perlindungan Akses Memori" tidak tercantum, maka fitur tidak diaktifkan pada sistem.

Gambaran umum Perlindungan DMA Kernel

Mengaktifkan Remapping DMA untuk driver perangkat

Kebijakan DMAGuard