Kernel DMA Protection for Thunderbolt™ 3

Applies to

• Windows 10

在Windows 10 1803(RS4)版本中，为了保护电脑在通过使用连接到Thunderbolt™3端口的PCI热插拔设备时避免受到DMA Attacks ，Microsoft引入了一个称为Kernal DMA Protection的新feature;DMA attacks 可能导致保存在PC上的敏感信息泄露，
甚至会注入恶意软件，使攻击者能够绕过锁定屏幕或者去远程控制PC。

这个feature不能通过1394/FireWire、PCMCIA、CardBus、ExpressCard等免受DMA攻击。

Background

PCI设备是支持dma的，这允许它们随意读写系统内存，而不需要让系统处理器参与这些操作。DMA功能使PCI设备成为当今可用的性能最高的设备。这些设备历史上只存在于PC机箱内部，要么作为卡连接，要么焊接在主板上。访问这些设备需要用户关闭系统电源并拆卸底盘。今天,有了Thunderbolt™3端口再也不需要那么麻烦了。

Thunderbolt™3技术为现代个人电脑提供了前所未有的可扩展性。它允许用户使用与USB相同的热插拔体验，将新的外设类(如显卡或其他PCI设备)附加到他们的pc上。外部具有PCI热插拔端口且易于访问，使pc容易受到驱动DMA攻击。

DMA attacks是在系统所有者不在场的情况下发生的攻击，通常需要不到10分钟的时间，使用简单到适中的攻击工具(价格适中、现成的硬件和软件)，不需要拆卸PC。一个简单的例子是一个电脑主人离开电脑快速喝杯咖啡休息,在休息期间,攻击者介入，插入usb类设备，带走机器上的所有秘密，或者注入恶意软件,使他们可以在远程完全控制PC。

How Windows protects against DMA drive-by attacks

Windows利用系统输入/输出内存管理单元(IOMMU)来阻止外设启动和执行DMA，除非这些外设的驱动程序支持内存隔离(例如DMA-remapping)。具有兼容驱动程序的外围设备将自动枚举、启动并允许对其分配的内存区域执行DMA。默认情况下，具有不兼容驱动程序的外围设备将被阻止启动和执行DMA，直到授权用户登录系统或解锁屏幕。

User experience

如果外设在授权用户登录之前插入，或者在屏幕被锁定时插入，则与dma映射不兼容的外设将从启动时被阻塞。一旦系统解锁，外设驱动程序将由操作系统启动，外设将继续正常工作，直到系统重启或外设被拔下。如果用户锁定屏幕或注销系统，外围设备将继续正常工作。

System compatibility

Kernal DMA Protection需要新的UEFI固件支持。这种支持只适用于新引入的、基于intel的系统，并附带Windows 10 version 1803(不是所有系统)，不需要基于虚拟化的安全性(VBS)。

要查看系统是否支持内核DMA保护，请检查系统信息桌面应用程序(MSINFO32)。在Windows 10版本1803之前发布的系统不支持内核DMA保护，但是它们可以利用BitLocker对策中描述的其他DMA攻击缓解措施。

请注意：Kernal DMA Protection与其他BitLocker DMA攻击对策不兼容。如果系统支持内核DMA保护，建议禁用BitLocker DMA攻击对策。内核DMA保护在保证外部外设可用性的同时，为系统提供了比BitLocker DMA攻击对策更高的安全屏障。

Tips: How to check if Kernel DMA Protection is enabled?or more questions please refer such web.
Kernal DMA Protection