OEM 向けのカーネル DMA 保護 (メモリ アクセス保護)

Kernel DMA Protection (メモリ アクセス保護とも呼ばれます) は、Windows 10 のセキュリティで保護されたコア PC の機能であり、Windows 10 Version 1803、および Windows 10 Version 1809 以降の Intel および AMD のプラットフォームでサポートされています。

この機能を使用すると、OS とシステム ファームウェアによって、次のようなすべての DMA 可能デバイスに対する悪意のある、意図しないダイレクトメモリアクセス (DMA) 攻撃からシステムが保護されます。

• ブートプロセス中の保護。
• M.2 PCIeスロットやThunderbolt™3など、OSランタイム中に簡単にアクセスできる内部/外部DMA対応ポートに接続されたデバイスによる悪意のあるDMAに対して。

プラットフォーム要件	詳細
64 ビット CPU	カーネル DMA 保護は、Intel VT-X および AMD-v を含む、仮想化拡張機能を搭載した64ビット IA プロセッサでのみサポートされています。
IOMMU (Intel VT-D、AMD-Vi)	DMA が可能なすべての I/O デバイスは、(既定で) 有効になっている IOMMU の背後にある必要があります。 IOMMU は、DmaGuard/DeviceEnumerationPolicy に基づいてデバイスのブロックとブロック解除を行うために使用され、互換性のあるドライバーを持つデバイスに対して DMA の再マッピングを実行します。
PCI Express ネイティブ コントロールのサポート	カーネル DMA 保護をサポートするには、_OSC ACPI メソッドを使用して、PCI Express ネイティブ コントロールのサポートを有効にする必要があります。
プリブート DMA 保護	システム ファームウェアが、すべての DMA 可能デバイスの IO バッファーの ExitBootServices() より前に、DMA 分離を実装することで、プリブート DMA 攻撃から保護する必要があります。 システムファームウェアが、ExitBootServices () と、OS によって開始されるデバイス ドライバーとの間で DMA を実行するために必要な子デバイスを持たないすべての PCI ルート ポートの Bus Master Enable (BME) ビットを無効にする必要があります。 ExitBootServices () の時点で、IOMMU がシステム ファームウェアによって電源オンの状態に復元される必要があります。 デバイスは、デバイスのそれぞれのOSドライバーが読み込まれ、PnPによって開始されるまで、ExitBootServices()の後にRMRR領域 (Intel) またはIVMDブロック (AMD) の外部でDMAを実行することはできません。 ExitBootServices の後、OS によるデバイスドライバーの起動前に、RMRR リージョンまたは IVMD ブロックの外部で DMA を実行すると、IOMMU 障害が発生し、システム バグチェック (0XE6) が発生する可能性があります。
ACPI カーネル DMA 保護インジケーター	次のようにシステム ファーム ウェアが ACPI テーブルに適切なフラグを設定して、OS でカーネル DMA 保護をオプトインして有効にする必要があります。 Intel プラットフォームの場合、システム ファームウェアは、DMAR テーブルフラグ フィールドに "DMA_CTRL_PLATFORM_OPT_IN_FLAG" を設定する必要があります (Intel Virtualization Technology for Direct I/O の仕様書、改訂 2.5 セクション 8.1)。 AMDプラットフォームの場合、システムファームウェアはIVRS IVinfoフィールドに「DMA再マップサポート」ビットを設定する必要があります(AMD IOMMU仕様Rev 3.05、セクション5.2.1)。 システム ファームウェアが、OS 実行時の DMA 保護を必要とする PCI ポートに適切な ACPI _DSD フラグをタグ付けする必要があります。 外部に公開されている PCIe ルート ポートの特定 ユーザーがアクセスでき、DMA による保護を必要とする内部 PCIe ポートの特定 Intel プラットフォームでは、DMAR テーブルに ACPI 名前空間のデバイス記述子 (ANDD) 構造を含めることはできません。
トラステッド プラットフォーム モジュール (TPM) 2.0	TPM (ディスクリートまたはファームウェア) で十分です。 詳細については、トラステッド プラットフォーム モジュール (TPM) 2.0 に関するページを参照してください。 IOMMU (VT-D または AMD-Vi) またはカーネル DMA 保護が無効になっているか、これから無効にされるか、より低いセキュリティ状態に構成されるすべてのブートで、プラットフォームは、DMA を有効にする前に、EV_EFI_ACTION イベントを PCR [7] に拡張する必要があります。 イベント文字列は「DMA保護無効」である必要があります。 プラットフォームファームウェアは、イベントデータに「DMA保護無効」という文字列を使用して、この測定値をイベントログに記録する必要があります。

Windows 10 システムのカーネル DMA 保護の状態をする

次のいずれかの方法を使用して、特定のシステムのカーネル DMA 保護の状態を確認できます

1. システム情報アプリケーションを使用:

   • MSINFO32.exe を起動します。
   • [システムの概要] ページの [カーネル DMA 保護] フィールドを確認します。

2. Windows セキュリティ アプリケーションを使用:

   • Windows スタートメニューから Windows セキュリティ アプリケーションを起動します。

   • [デバイスセキュリティ] アイコンをクリックします。

   • [コア分離の詳細] をクリックします。

   • 有効になっている場合は、 [メモリアクセス保護] が利用可能なセキュリティ機能として表示されます。

     • [メモリアクセス保護] が表示されない場合は、その機能がシステムで有効になっていません。

関連トピック

カーネル DMA 保護の概要

デバイス ドライバーのための DMA 再マッピングを有効にする

DMAGuard ポリシー