Windows 10 v1803 引入内核 DMA加密

https://docs.microsoft.com/en-us/windows/security/information-protection/kernel-dma-protection-for-thunderbolt



对于雷电3接口，它的带宽大，可以支持外接pcei设备，但是潜在的问题是这些设备可以直接DMA, 导致外接设备可以以DMA方式访问内存，从而有信息安全风险。 微软为此引入了内核 DMA的加密，保证数据安全可用。详情参见 上面的链接。





PCI设备是支持dma的，允许它们随意读写系统内存，而不必让系统处理器参与这些操作。DMA功能使PCI设备成为当今性能最高的设备。这些设备历史上只存在于PC机箱内部，要么作为卡连接，要么焊接在主板上。访问这些设备需要用户关闭系统电源并拆卸机箱。今天，Thunderbolt?不再是这种情况。

Thunderbolt?技术为现代pc提供了前所未有的可扩展性。它允许用户通过与USB相同的热插拔体验将新的外部外设类(如显卡或其他PCI设备)附加到他们的pc上。外部有一种总线标准热插拔端口而且容易存取使pc易受驱动的DMA攻击。

驱动直接存储器存取攻击是当系统的主人不在场的时候发生的攻击，通常用不到10分钟，用简单的到适度的攻击工具(负担得起的，现成的硬件和软件)，不需要PC的拆卸。一个简单的例子是一个电脑主人离开电脑快速喝杯咖啡休息,在休息的这段时间,攻击步骤,USB-like设备插头,拿走了机器上的秘密,或者注入恶意软件,使他们完全控制远程PC。


保护方法：


Windows利用系统输入/输出内存管理单元(IOMMU)来阻止外部外设启动和执行DMA，除非这些外设的驱动程序支持内存隔离(例如DMA-remapping)。具有兼容驱动程序的外围设备将被自动枚举、启动并允许对其分配的内存区域执行DMA。默认情况下，具有不兼容驱动程序的外围设备将从启动和执行DMA开始被阻塞，直到授权用户登录系统或解锁屏幕。