直接内存访问 (DMA) 保护是一项安全功能,旨在保护 Surface 设备免受通过可移动 SSD 和外部存储设备进行未经授权的访问。 通过阻止来自外围设备的未经授权的内存访问,DMA 保护有助于防止 冷启动攻击、 数据外泄和其他安全风险。
DMA 保护的工作原理
DMA 保护可确保只有受信任的授权设备可以访问系统内存。 它特别适用于恶意外围设备试图直接访问敏感数据的攻击。
在 Surface 设备上,DMA 保护:
- 防止从通过 Thunderbolt、USB 或 PCIe 连接的外部设备进行未经授权的 DMA 访问。
- 如果在可移动 SSD 中检测到篡改,则触发关闭和内存擦除。
- 与其他安全措施(如 BitLocker、安全启动和 Windows Defender System Guard)结合使用,以提供全面的保护。
支持的 Surface 设备
默认情况下,在较新的Surface 商用版设备上启用 DMA 保护,包括:
- Surface Laptop 7th Edition,Snapdragon 处理器
- Surface Laptop 7th Edition, Intel 处理器
- Surface Laptop 6
- Surface Laptop 5
- Surface Laptop 4
- Surface Laptop 3
- Surface Laptop SE
- Surface Laptop Studio 2
- Surface Laptop Studio
- Surface Laptop Go 3
- Surface Pro第 11 版,Snapdragon 处理器
- Surface Pro第 11 版,Intel 处理器
- Surface Pro 10
- Surface Pro 10 与 5G
- Surface Pro 9
- 5G Surface Pro 9
- Surface Pro 8
- Surface Pro 7+
- Surface Pro 7
- Surface Pro X
- Surface Go 4
- Surface Go 3
如何检查是否启用了 DMA 保护
若要验证 Surface 设备上是否启用了 内核 DMA 保护 ,请执行以下作:
方法 1:使用系统信息 (msinfo32)
- 选择“ 开始”,键入
msinfo32.exe
,然后按 Enter。 - 在 “系统信息” 窗口中,向下滚动以查找 内核 DMA 保护。
- 如果值为 Enabled,则 DMA 保护在设备上处于活动状态。
方法 2:使用 PowerShell
对于管理多个设备的 IT 管理员,PowerShell 可以提供快速验证:
Get-ComputerInfo | Select-Object -Property DeviceGuard*
此命令显示有关安全策略的详细信息,包括 DMA 保护。