有 Bitlocker DMA 保护,还有内核 DMA 保护。后者更好,并且在功能强大的硬件上默认启用,前者仅建议在硬件不支持内核 DMA 保护时使用。
我想知道组策略中的 DMA 保护是什么?
我知道它不是 Bitlocker DMA 保护,因为它位于组策略的其他位置。所以我需要确认,最好是参考一些官方文档,表明这确实是内核 DMA 保护,而不是第三种类型的 DMA 保护。
我使用 Windows 11 22H2
内核 DMA 保护需要新的 UEFI 固件支持。预计只有新推出的、基于 Intel 的系统(搭载 Windows 10 版本 1803)才会提供此支持(并非所有系统)。不需要基于虚拟化的安全性 (VBS)。
要查看系统是否支持内核 DMA 保护,请检查系统信息桌面应用程序 (MSINFO32)。Windows 10 版本 1803 之前发布的系统不支持内核 DMA 保护,但它们可以利用 BitLocker 对策中所述的其他 DMA 攻击缓解措施。
它说不需要 VBS 的部分让我认为这不是内核 DMA 保护。因为正如您在屏幕截图中看到的,为了使用任何选项,我们必须首先启用 VBS。