阅读:1005回复:0
Windows 10 v1803 引入内核 DMA加密
https://docs.microsoft.com/en-us/windows/security/information-protection/kernel-dma-protection-for-thunderbolt
对于雷电3接口,它的带宽大,可以支持外接pcei设备,但是潜在的问题是这些设备可以直接DMA, 导致外接设备可以以DMA方式访问内存,从而有信息安全风险。 微软为此引入了内核 DMA的加密,保证数据安全可用。详情参见 上面的链接。 PCI设备是支持dma的,允许它们随意读写系统内存,而不必让系统处理器参与这些操作。DMA功能使PCI设备成为当今性能最高的设备。这些设备历史上只存在于PC机箱内部,要么作为卡连接,要么焊接在主板上。访问这些设备需要用户关闭系统电源并拆卸机箱。今天,Thunderbolt?不再是这种情况。 Thunderbolt?技术为现代pc提供了前所未有的可扩展性。它允许用户通过与USB相同的热插拔体验将新的外部外设类(如显卡或其他PCI设备)附加到他们的pc上。外部有一种总线标准热插拔端口而且容易存取使pc易受驱动的DMA攻击。 驱动直接存储器存取攻击是当系统的主人不在场的时候发生的攻击,通常用不到10分钟,用简单的到适度的攻击工具(负担得起的,现成的硬件和软件),不需要PC的拆卸。一个简单的例子是一个电脑主人离开电脑快速喝杯咖啡休息,在休息的这段时间,攻击步骤,USB-like设备插头,拿走了机器上的秘密,或者注入恶意软件,使他们完全控制远程PC。 保护方法: Windows利用系统输入/输出内存管理单元(IOMMU)来阻止外部外设启动和执行DMA,除非这些外设的驱动程序支持内存隔离(例如DMA-remapping)。具有兼容驱动程序的外围设备将被自动枚举、启动并允许对其分配的内存区域执行DMA。默认情况下,具有不兼容驱动程序的外围设备将从启动和执行DMA开始被阻塞,直到授权用户登录系统或解锁屏幕。 |
|