Surface 设备上的直接内存访问 (DMA) 保护

直接内存访问 (DMA) 保护是一项安全功能,旨在保护 Surface 设备免受通过可移动 SSD 和外部存储设备进行未经授权的访问。 通过阻止来自外围设备的未经授权的内存访问,DMA 保护有助于防止 冷启动攻击数据外泄和其他安全风险。

DMA 保护的工作原理

DMA 保护可确保只有受信任的授权设备可以访问系统内存。 它特别适用于恶意外围设备试图直接访问敏感数据的攻击。

在 Surface 设备上,DMA 保护:

  • 防止从通过 Thunderbolt、USB 或 PCIe 连接的外部设备进行未经授权的 DMA 访问
  • 如果在可移动 SSD 中检测到篡改,则触发关闭和内存擦除
  • 与其他安全措施(如 BitLocker、安全启动Windows Defender System Guard)结合使用,以提供全面的保护。

支持的 Surface 设备

默认情况下,在较新的Surface 商用版设备上启用 DMA 保护,包括:

  • Surface Laptop 7th Edition,Snapdragon 处理器
  • Surface Laptop 7th Edition, Intel 处理器
  • Surface Laptop 6
  • Surface Laptop 5
  • Surface Laptop 4
  • Surface Laptop 3
  • Surface Laptop SE
  • Surface Laptop Studio 2
  • Surface Laptop Studio
  • Surface Laptop Go 3
  • Surface Pro第 11 版,Snapdragon 处理器
  • Surface Pro第 11 版,Intel 处理器
  • Surface Pro 10
  • Surface Pro 10 与 5G
  • Surface Pro 9
  • 5G Surface Pro 9
  • Surface Pro 8
  • Surface Pro 7+
  • Surface Pro 7
  • Surface Pro X
  • Surface Go 4
  • Surface Go 3

如何检查是否启用了 DMA 保护

若要验证 Surface 设备上是否启用了 内核 DMA 保护 ,请执行以下作:

方法 1:使用系统信息 (msinfo32)

  1. 选择“ 开始”,键入 msinfo32.exe,然后按 Enter
  2. “系统信息” 窗口中,向下滚动以查找 内核 DMA 保护
  3. 如果值为 Enabled,则 DMA 保护在设备上处于活动状态。

显示已启用 DMA 保护的系统信息。

方法 2:使用 PowerShell

对于管理多个设备的 IT 管理员,PowerShell 可以提供快速验证:

Get-ComputerInfo | Select-Object -Property DeviceGuard*

此命令显示有关安全策略的详细信息,包括 DMA 保护。