Protection DMA du noyau (protection d’accès à la mémoire) pour les oem

Article
06/19/2023

La protection DMA du noyau (également appelée protection d’accès à la mémoire) est une fonctionnalité d’un PC Windows 10 à cœur sécurisé pris en charge sur les plateformes Intel et AMD à partir de Windows 10, version 1803 et Windows 10, version 1809.

Avec cette fonctionnalité, le système d’exploitation et le microprogramme système protègent le système contre les attaques malveillantes et involontaires d’accès direct à la mémoire (DMA) pour tous les appareils compatibles DMA :

Pendant le processus de démarrage.
Contre les DMA malveillants par des appareils connectés à des portsexternes compatibles DMA internes/ facilement accessibles, tels que les emplacements PCIe M.2 et Thunderbolt™3, pendant l’exécution du système d’exploitation.

Configuration requise pour la plateforme	Détails
Processeur 64 bits	La protection DMA du noyau n’est prise en charge que sur les processeurs IA 64 bits avec des extensions de virtualisation, y compris Intel VT-X et AMD-v.
IOMMU (Intel VT-D, AMD-Vi)	Tous les appareils d’E/S capables de DMA doivent se trouver derrière un IOMMU activé (par défaut). L’IOMMU est utilisé pour bloquer/débloquer des appareils en fonction de la stratégie d’énumération d’appareils DMAGuard, et effectuer un remapping DMA pour les appareils avec des pilotes compatibles.
Prise en charge du contrôle natif PCI Express	L’activation de PCI Express Native Control à l’aide de _OSC méthode ACPI est requise pour la prise en charge de la protection DMA du noyau.
Protection DMA prédémarrant	Le microprogramme système doit se protéger contre les attaques DMA avant le démarrage en implémentant l’isolation DMA de tous les tampons d’E/S des appareils compatibles DMA avant ExitBootServices(). Le microprogramme système doit désactiver le bit BME (Bus Master Enable) pour tous les ports racine PCI, qui n’ont pas d’appareils enfants requis pour effectuer la DMA entre ExitBootServices() et le pilote de périphérique démarré par le système d’exploitation. Sur ExitBootServices(), l’IOMMU doit être restauré par le microprogramme système pour activer l’état ON. Aucun appareil ne peut effectuer DMA en dehors des régions RMRR (Intel) ou des blocs IVMD (AMD) après ExitBootServices() tant que les pilotes de système d’exploitation respectifs des appareils ne sont pas chargés et démarrés par PnP. L’exécution de DMA en dehors des régions RMRR ou des blocs IVMD après ExitBootServices() et avant le démarrage du pilote de périphérique par le système d’exploitation entraîne une erreur IOMMU et potentiellement un bogue système case activée (0xE6).
Indicateurs de protection DMA du noyau ACPI	Le microprogramme système doit définir les indicateurs appropriés dans les tables ACPI pour accepter et activer la protection DMA du noyau dans le système d’exploitation : Pour les plateformes Intel, le microprogramme système doit définir « DMA_CTRL_PLATFORM_OPT_IN_FLAG » dans le champ indicateurs de table DMAR (Intel Virtualization Technology for Direct I/O Spec, Rev 2.5 Section 8.1). Pour les plateformes AMD, le microprogramme système doit définir le bit « Prise en charge du remappage DMA » dans le champ IVinfo IVRS (Spécification AMD IOMMU Rev 3.05, Section 5.2.1). Le microprogramme système doit baliser les ports PCI qui nécessitent la protection DMA du runtime du système d’exploitation avec les indicateurs ACPI _DSD appropriés : Identification des ports racines PCIe exposés en externe. Identification des ports PCIe internes accessibles aux utilisateurs et nécessitant une protection DMA. Pour les plateformes Intel, les tables DMAR ne doivent pas inclure les structures DEscripteurs d’appareils d’espace de noms ACPI (ANDD).
Trusted Platform Module (TPM) 2.0	Les TPM, discrets ou microprogrammes, suffiront. Pour plus d’informations, consultez Module de plateforme sécurisée (TPM) 2.0. À chaque démarrage où l’IOMMU (VT-D ou AMD-Vi) ou la protection DMA du noyau sont désactivés, sont désactivés ou configurés dans un état de sécurité inférieur, la plateforme DOIT étendre un événement EV_EFI_ACTION en PCR[7] avant d’activer DMA. La chaîne d’événement doit être « DMA Protection désactivée ». Le microprogramme de plateforme DOIT consigner cette mesure dans le journal des événements à l’aide de la chaîne « Protection DMA désactivée » pour les données d’événement.

Vérification de l’état de la protection DMA du noyau sur un système Windows 10

L’état de la protection DMA du noyau peut être vérifié sur un système donné à l’aide de l’une des méthodes suivantes

Utilisation de l’application Informations système :
- Lancez MSINFO32.exe.
- Cochez le champ « Protection DMA du noyau » dans la page « Résumé du système ».
Utilisation de Sécurité Windows application :
- Lancez Sécurité Windows application à partir du menu Démarrer de Windows.
- Cliquez sur l’icône « Sécurité de l’appareil ».
- Cliquez sur « Détails de l’isolation de base ».
- La « Protection de l’accès à la mémoire » sera répertoriée en tant que fonctionnalité de sécurité disponible, si elle est activée.
  - Si « Protection d’accès à la mémoire » n’est pas répertorié, la fonctionnalité n’est pas activée sur le système.

Vue d’ensemble de la protection DMA du noyau

Activation du remapping DMA pour les pilotes de périphérique

Stratégie DMAGuard

Partager via

Protection DMA du noyau (protection d’accès à la mémoire) pour les oem

Vérification de l’état de la protection DMA du noyau sur un système Windows 10

Ressources supplémentaires

Partager via

Protection DMA du noyau (protection d’accès à la mémoire) pour les oem

Vérification de l’état de la protection DMA du noyau sur un système Windows 10

Rubriques connexes

Ressources supplémentaires