Windows 11 中的核心 DMA 保护(Kernel DMA Protection)通过利用底板的输入输出内存管理单元(IOMMU)来强制执行 DMA 重新对映(DMA Remapping),从而封锁实体路过式攻击(drive-by attacks)。 操作系统不会向 Thunderbolt 或 USB4 等外部周边设备授予对系统实体 RAM 的直接且无限制的存取权限,而是将每个连接的装置限制在一个隔离的虚拟化内存沙盒中。 如果攻击者在手提电脑锁定或处于睡眠状态时插入恶意设备以窃取 BitLocker 密钥,硬件 IOMMU 会自动封锁该未授权的交易,因为该设备缺乏查看其指定范围之外所需的转译页(translation pages)。 企业系统管理员可以使用 msinfo32.exe 在本机验证此状态,或者通过「群组原则」和登录文件路径 HKLM\Software\Policies\Microsoft\Windows\Kernel DMA Protection 严格强制执行,配置一项完全封锁所有不兼容外部周边设备的策略,直到获授权的用户解锁操作工作阶段为止。
希望呢个解答帮到你。 如果对你有帮助,请点击「接受答案」。 如果有任何疑问,欢迎随时留言。
维凡