閱讀英文版本

分享方式:

Surface 裝置上的直接記憶體存取 (DMA) 保護

  • 文章
  • 適用於:
    Windows 10, Windows 11

直接記憶體存取 (DMA) 保護是一項安全性功能,旨在保護 Surface 裝置免於透過卸除式 SSD 和外部存放裝置未經授權的存取。 藉由封鎖來自周邊的未經授權記憶體存取,DMA 保護有助於防止 冷開機攻擊數據外洩和其他安全性風險。

DMA 保護的運作方式

DMA 保護可確保只有受信任和授權的裝置可以存取系統記憶體。 它對於惡意周邊嘗試直接存取敏感數據的攻擊特別有效。

在 Surface 裝置上,DMA 保護:

  • 防止透過Bolt、USB 或PCIe連線的外部裝置進行未經授權的 DMA 存取
  • 如果在卸除式 SSD 中偵測到竄改,則觸發關機和記憶體抹除
  • 與其他安全性措施一起運作,例如 BitLocker、安全開機Windows Defender 系統防護,以提供完整的保護。

支援的 Surface 裝置

預設會在較新的 Surface 商務版 裝置上啟用 DMA 保護,包括:

  • Surface Laptop 第 7 版,Snapdragon 處理器
  • Surface Laptop 第 7 版,Intel 處理器
  • Surface Laptop 6
  • Surface Laptop 5
  • Surface Laptop 4
  • Surface Laptop 3
  • Surface Laptop SE
  • Surface Laptop Studio 2
  • Surface Laptop Studio
  • Surface Laptop Go 3
  • Surface Pro 第 11 版,Snapdragon 處理器
  • Surface Pro 第 11 版,Intel 處理器
  • Surface Pro 10
  • Surface Pro 10 搭配 5G
  • Surface Pro 9
  • Surface Pro 9 搭配 5G
  • Surface Pro 8
  • Surface Pro 7+
  • Surface Pro 7
  • Surface Pro X
  • Surface Go 4
  • Surface Go 3

如何檢查 DMA 保護是否已啟用

若要確認 Surface 裝置上是否已啟用 Kernel DMA 保護

方法 1:使用系統資訊 (msinfo32)

  1. 取 [開始],輸入 msinfo32.exe,然後按 Enter
  2. 在 [ 系統資訊] 視窗中,向下捲動以尋找 核心 DMA 保護
  3. 如果值為 [已啟用],則您的裝置上會使用 DMA 保護。

顯示已啟用 DMA 保護的系統資訊。

方法 2:使用 PowerShell

對於管理多個裝置的IT系統管理員,PowerShell 可以提供快速驗證:

PowerShell 
Get-ComputerInfo | Select-Object -Property DeviceGuard*

此命令會顯示有關安全策略的詳細數據,包括 DMA 保護。