核心 DMA 保護:防止 Thunderbolt 裝置未經授權存取記憶體

Yang Ning HK 40 信譽點數
2026-07-02T03:44:03.8133333+00:00

我們的資訊安全團隊擔心實體安全攻擊,例如有人偷走處於睡眠狀態的手提電腦,然後將惡意的 Thunderbolt 裝置插入連接埠,以擷取記憶體中的加密金鑰。Windows 11 的 Kernel DMA Protection(核心 DMA 保護) 是如何運作,以阻止外部周邊裝置進行未經授權的直接記憶體存取(Direct Memory Access,DMA)?

商務用 Windows | Windows 365 企業版
0 則留言 沒有留言

由問題作者接受的回答

VPHAN 38,605 信譽點數 獨立顧問
2026-07-02T04:22:07.6333333+00:00

杨宁HK

Windows 11 中的核心 DMA 保护(Kernel DMA Protection)通过利用底板的输入输出内存管理单元(IOMMU)来强制执行 DMA 重新对映(DMA Remapping),从而封锁实体路过式攻击(drive-by attacks)。 操作系统不会向 Thunderbolt 或 USB4 等外部周边设备授予对系统实体 RAM 的直接且无限制的存取权限,而是将每个连接的装置限制在一个隔离的虚拟化内存沙盒中。 如果攻击者在手提电脑锁定或处于睡眠状态时插入恶意设备以窃取 BitLocker 密钥,硬件 IOMMU 会自动封锁该未授权的交易,因为该设备缺乏查看其指定范围之外所需的转译页(translation pages)。 企业系统管理员可以使用 msinfo32.exe 在本机验证此状态,或者通过「群组原则」和登录文件路径 HKLM\Software\Policies\Microsoft\Windows\Kernel DMA Protection 严格强制执行,配置一项完全封锁所有不兼容外部周边设备的策略,直到获授权的用户解锁操作工作阶段为止。

希望呢个解答帮到你。 如果对你有帮助,请点击「接受答案」。 如果有任何疑问,欢迎随时留言。

维凡

此回答有幫助嗎?

有 1 人認為此回答有所幫助。
0 則留言 沒有留言

0 個其他答案

排序依據: 最實用

您的回答

答案可由問題作者標示為「已接受」,而由仲裁者標示為「推薦」,這可協助使用者知道答案解決了作者的問題。