Поделиться через


Поставщик служб CSP политики — DmaGuard

DeviceEnumerationPolicy

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/DmaGuard/DeviceEnumerationPolicy

Политика перечисления для внешних устройств с поддержкой DMA, несовместимых с повторной компоновкой DMA. Эта политика вступает в силу только в том случае, если система включает и поддерживает защиту DMA ядра. Обратите внимание, что эта политика не применяется к устройствам 1394, PCMCIA или ExpressCard.

Эта политика предназначена для обеспечения большей безопасности для внешних устройств с поддержкой DMA. Это обеспечивает больший контроль над перечислением внешних устройств с поддержкой DMA, которые несовместимы с повторной компоновкой DMA, изоляцией памяти устройства и песочницей.

Песочница памяти устройства позволяет ОС использовать единицу управления памятью ввода-вывода (IOMMU) устройства для блокировки не разрешенного ввода-вывода или доступа к памяти периферийным устройством. Другими словами, ОС назначает периферийным устройствам определенный диапазон памяти. Если периферийное устройство пытается считывать и записывать данные в память за пределами назначенного диапазона, ОС блокирует его.

Для применения этой политики требуется перезагрузка системы.

Эта политика вступает в силу только в том случае, если встроенное ПО поддерживает и включает защиту DMA ядра. Защита DMA ядра — это функция платформы, которая не может управляться с помощью политики или конечного пользователя. Она должна поддерживаться системой во время производства. Чтобы проверка, поддерживает ли система защиту DMA ядра, проверка поле Защита DMA ядра на странице Сводка MSINFO32.exe.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Блокировать все (самый строгий).
1 (по умолчанию) Только после входа или разблокировки экрана.
2 Разрешить все (наименьшие ограничения).

Сопоставление групповой политики:

Имя Значение
Имя DmaGuardEnumerationPolicy
Понятное имя Политика перечисления для внешних устройств, несовместимых с защитой DMA ядра
Location Конфигурация компьютера
Путь Защита DMA для системного > ядра
Имя раздела реестра Software\Policies\Microsoft\Windows\Kernel DMA Protection
Имя файла ADMX DmaGuard.admx

Поставщик служб конфигурации политики