原則 CSP - DmaGuard
DeviceEnumerationPolicy
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/DmaGuard/DeviceEnumerationPolicy
外部支援 DMA 的裝置列舉原則與 DMA 重新對應不相容。 只有在系統啟用並支援 Kernel DMA Protection 時,此原則才會生效。 請注意,此原則不適用於 1394、PCMCIA 或 ExpressCard 裝置。
此原則旨在針對支援 DMA 的外部裝置提供更多安全性。 它可讓您進一步控制與 DMA 重新對應、裝置記憶體隔離和沙箱處理不相容的外部 DMA 裝置列舉。
裝置記憶體沙箱可讓 OS 使用裝置的 I/O 記憶體管理單元 (IOMMU) 來封鎖周邊不允許的 I/O 或記憶體存取。 換句話說,OS 會將特定記憶體範圍指派給周邊。 如果周邊嘗試讀取/寫入指派範圍以外的記憶體,OS 會封鎖它。
此原則需要系統重新啟動才能生效。
只有在系統韌體支援並啟用 Kernel DMA Protection 時,此原則才會生效。 核心 DMA 保護是無法透過原則或終端使用者控制的平臺功能。 在製造時,系統必須支援它。 若要檢查系統是否支援 Kernel DMA Protection,請檢查 [MSINFO32.exe 摘要] 頁面中的 [核心 DMA 保護] 字段。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 封鎖所有 (限制最嚴格的) 。 |
| 1 (預設) | 只有在登入/螢幕解除鎖定之後。 |
| 2 | 允許所有 (最不嚴格的) 。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DmaGuardEnumerationPolicy |
| 易記名稱 | 外部裝置的列舉原則與 Kernel DMA Protection 不相容 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 核心 DMA 保護 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\Kernel DMA Protection |
| ADMX 檔案名稱 | DmaGuard.admx |