정책 CSP - DmaGuard
DeviceEnumerationPolicy
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, 버전 1809 [10.0.17763] 이상 |
./Device/Vendor/MSFT/Policy/Config/DmaGuard/DeviceEnumerationPolicy
DMA 다시 매핑과 호환되지 않는 외부 DMA 지원 디바이스에 대한 열거형 정책입니다. 이 정책은 커널 DMA 보호를 사용하도록 설정하고 시스템에서 지원하는 경우에만 적용됩니다. 이 정책은 1394, PCMCIA 또는 ExpressCard 디바이스에는 적용되지 않습니다.
이 정책은 외부 DMA 지원 디바이스에 대해 더 많은 보안을 제공하기 위한 것입니다. 이를 통해 DMA 다시 매핑, 디바이스 메모리 격리 및 샌드박싱과 호환되지 않는 외부 DMA 지원 디바이스의 열거를 보다 쉽게 제어할 수 있습니다.
디바이스 메모리 샌드박싱을 사용하면 OS가 디바이스의 IOMMU(I/O 메모리 관리 단위)를 사용하여 허용되지 않는 I/O 또는 주변 장치에 의한 메모리 액세스를 차단할 수 있습니다. 즉, OS는 주변 장치에 특정 메모리 범위를 할당합니다. 주변 장치가 할당된 범위를 벗어난 메모리에 대한 읽기/쓰기를 시도하는 경우 OS는 이를 차단합니다.
이 정책을 적용하려면 시스템 다시 부팅이 필요합니다.
이 정책은 시스템 펌웨어에서 커널 DMA 보호가 지원되고 사용하도록 설정된 경우에만 적용됩니다. 커널 DMA 보호는 정책 또는 최종 사용자를 통해 제어할 수 없는 플랫폼 기능입니다. 제조 시 시스템에서 지원해야 합니다. 시스템에서 커널 DMA 보호를 지원하는지 검사 MSINFO32.exe 요약 페이지에서 커널 DMA 보호 필드를 검사.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 모두 차단(가장 제한적). |
| 1(기본값) | 로그인/화면 잠금 해제 후에만 가능합니다. |
| 2 | 모두 허용(최소 제한). |
그룹 정책 매핑:
| 이름 | 값 |
|---|---|
| 이름 | DmaGuardEnumerationPolicy |
| 이름 | 커널 DMA 보호와 호환되지 않는 외부 디바이스에 대한 열거형 정책 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > 커널 DMA 보호 |
| 레지스트리 키 이름 | Software\Policies\Microsoft\Windows\Kernel DMA Protection |
| ADMX 파일 이름 | DmaGuard.admx |