Защита от DMA атак: Kernel DMA Protection, BIOS и Thunderbolt

Что такое DMA атаки и почему о них вспоминают при закупке ПК

DMA (Direct Memory Access) - режим, когда устройство может читать и писать данные прямо в оперативную память, минуя процессор. В обычной работе это ускоряет диски, сетевые карты, видеокарты, док-станции и другую периферию. Проблема появляется тогда, когда прямой доступ к памяти можно получить без достаточных ограничений со стороны железа и прошивки.

DMA атака - это не «взлом Windows» в привычном смысле. Злоумышленник не подбирает пароль и не атакует сервисы по сети. Он подключает устройство, которое выглядит как легальная периферия (часто через Thunderbolt или другие PCIe-подобные интерфейсы), и пытается прочитать память до того, как ОС успеет выставить запреты. Поэтому защита от DMA атак зависит не только от настроек Windows, но и от платформы, BIOS/UEFI и политики портов.

Главный фактор риска - физический доступ. Это «быстрые» атаки: иногда достаточно нескольких минут рядом с чужим компьютером, чтобы попытаться вытащить ключи шифрования, токены сессий или обойти экран блокировки. Чем проще подойти к ПК и подключить устройство, тем выше риск.

Чаще всего риск обсуждают в таких местах и сценариях:

• переговорные с общими док-станциями и мониторами
• серверные и стойки, куда имеют доступ подрядчики и разные группы сотрудников
• сервисные зоны (ремонт, приемка, склад), где ПК остаются без присмотра
• ресепшн и открытые офисы, где легко дотянуться до портов
• мобильные рабочие станции в командировках

На этапе закупки и приемки закрывать этот класс рисков проще и дешевле: выбрать совместимое железо, зафиксировать требования к BIOS/UEFI и портам, а затем проверить, что защита включена на всей партии. Переделывать конфигурацию уже после развертывания на сотнях машин намного сложнее.

Где чаще всего появляется риск: Thunderbolt, PCIe и периферия

DMA атаки обычно упираются не в «вирусы», а в то, что появляется путь к прямому доступу к памяти через быстрый интерфейс. Поэтому разговор почти всегда начинается с портов и слотов, к которым можно подключить устройство и попросить систему читать или писать данные в RAM.

Thunderbolt и «внешний PCIe»

Thunderbolt по сути выносит PCIe наружу. Док-станция, внешний адаптер или eGPU может работать как очень быстрый контроллер, который общается с системой на низком уровне. Если у атакующего есть физический доступ, риск выше там, где устройство подключается «как свое» и получает много прав еще до входа пользователя в систему.

Чаще всего внимание привлекают категории периферии, у которых много функций и которые часто бывают «общими»:

• док-станции и мультиадаптеры
• внешние сетевые адаптеры и устройства захвата
• eGPU и внешние PCIe боксы
• переходники и кабели из общего запаса (непонятного происхождения)
• периферия, которую легко подменить (временная выдача, общий склад)

Важно не путать «обычный USB» и Thunderbolt: разъем может выглядеть похоже, а последствия по безопасности разные. На приемке и в эксплуатации полезно фиксировать, какие именно порты есть у модели и как они настроены.

PCIe внутри корпуса и временный доступ

Классический PCIe риск ниже для обычного офисного рабочего места, потому что нужно открыть корпус. Но он быстро растет там, где рабочие станции бывают вне контроля: перевозка, хранение на складе, ремонт, работа подрядчиков, демонстрации на мероприятиях.

Типовой сценарий: партию ПК привезли, коробки сутки стоят в коридоре, затем часть машин уезжает к подрядчику на установку ПО. Даже без «взлома» учетных записей иногда достаточно нескольких минут с доступом к портам и устройству, чтобы попытаться обойти ограничения на уровне памяти.

Когда риск реально низкий

Риск обычно низкий, если одновременно выполняются три условия: ПК постоянно в закрытых помещениях, доступ к рабочим местам контролируется, а док-станции и адаптеры учитываются как отдельные активы. В такой среде задача не в том, чтобы «запретить все», а в том, чтобы закрепить понятные правила: какие устройства можно подключать, где хранятся переходники, кто отвечает за ремонт и приемку после сервиса.

Kernel DMA Protection: что это и какие есть ограничения

Kernel DMA Protection в Windows - механизм, который с помощью IOMMU (VT-d у Intel или AMD-Vi у AMD) ограничивает прямой доступ устройств к памяти через DMA. Идея простая: даже если кто-то подключит «вредное» устройство по Thunderbolt или другому интерфейсу, похожему на PCIe, оно не должно получить доступ к памяти до того, как система его распознает и применит ограничения.

Это полезный слой защиты там, где возможен физический доступ к рабочей станции: переговорные, стойки на площадке подрядчика, ноутбуки в командировках. Но он не заменяет остальные меры.

Kernel DMA Protection работает только при выполнении условий на стороне платформы. Обычно нужны: поддерживаемый процессор и чипсет, включенная IOMMU, загрузка в режиме UEFI (без Legacy/CSM), а также корректные настройки контроллера Thunderbolt (если он есть). Если хотя бы одно звено отключено или настроено «для совместимости», Windows может показать частичную защиту или вовсе ее отсутствие.

Еще один важный момент: защита ядра начинает действовать после старта Windows. Сценарии до загрузки ОС (pre-boot) могут оставаться уязвимыми, если прошивка разрешает DMA устройствам работать раньше, чем включится изоляция. Кроме того, внутренние PCIe устройства, которые уже присутствуют при включении, часто считаются доверенными, а основной фокус защиты - на горячем подключении (например, Thunderbolt).

Признаки отсутствия поддержки или частичной защиты обычно такие:

• В системе Kernel DMA Protection отмечена как Off/Not supported.
• IOMMU/VT-d/AMD-Vi отключены или скрыты настройками UEFI.
• Используется Legacy/CSM загрузка.
• Thunderbolt настроен на режим без проверки устройств.
• На одинаковых моделях ПК статус отличается из-за разных версий BIOS/UEFI или шаблонов настроек.

Kernel DMA Protection полезна, но только как часть связки «прошивка + железо + политика портов». При приемке партии ПК стоит проверять именно эту связку, а не только строку в Windows.

Настройки BIOS/UEFI, которые реально влияют на DMA защиту

Если у злоумышленника есть физический доступ к ПК, часть защиты решается не в Windows, а еще на уровне BIOS/UEFI. Для DMA защиты важны параметры, которые управляют изоляцией устройств PCIe/Thunderbolt и тем, что разрешено подключать до загрузки ОС.

1) IOMMU: VT-d / AMD-Vi

База для DMA защиты - включенная IOMMU. На Intel это обычно VT-d, на AMD - AMD-Vi (иногда просто IOMMU). В BIOS это может называться по-разному: «Intel VT for Directed I/O», «IOMMU Controller», «PCIe Device Isolation».

Проверьте два момента: включена ли сама IOMMU и не отключена ли она косвенно (например, из-за режима совместимости или особенностей профиля настроек).

2) UEFI и Secure Boot

UEFI и Secure Boot важны для цепочки доверия. Если систему легко загрузить с внешнего носителя или подменить ранние компоненты загрузки, часть ограничений по устройствам теряет смысл.

Практическое правило: включайте UEFI, отключайте Legacy/CSM и оставляйте Secure Boot включенным, если нет специфичных причин сделать иначе.

3) Thunderbolt: Security Level и запрет pre-boot

Thunderbolt удобен, но это частый путь, через который пытаются атаковать память. В BIOS/UEFI обычно есть параметр Security Level (SL0-SL4) и отдельные переключатели для работы устройств до загрузки ОС.

С точки зрения риска лучше:

• выбирать режим, где требуется авторизация устройства (User Authorization) или выше
• запрещать Thunderbolt/PCIe устройства до загрузки ОС (pre-boot), если нет необходимости
• отключать «Thunderbolt Boot Support», если он не нужен

4) Политика по портам: включено, ограничено или выключено

Если рабочие места находятся в публичных зонах (ресепшн, переговорные, учебные классы), иногда разумнее отключить Thunderbolt полностью или оставить только зарядку/DisplayPort без PCIe-туннелирования (если платформа это поддерживает).

Пример: при приемке рабочих станций для офиса с частыми визитерами можно заранее зафиксировать профиль BIOS: включены VT-d/AMD-Vi, включены UEFI и Secure Boot, Thunderbolt работает только с авторизацией и без pre-boot. Такой профиль удобно повторять на всех ПК, чтобы настройки были одинаковыми и проверяемыми.

Ограничения Thunderbolt и физический доступ: как принять решение

Thunderbolt и любые внешние PCIe устройства дают удобство, но безопасность часто упирается не в настройки Windows, а в доступ к порту. Если кто-то может на минуту остаться один у рабочего места (переговорные, ресепшн, открытые офисы, учебные классы, выездные ноутбуки), риск DMA атаки заметно растет.

Самый простой вопрос: «Может ли кто-то подключить свое устройство к порту без надзора?» Если да, ограничения обычно оправданы даже при включенной Kernel DMA Protection.

Что ограничивать и как

Обычно выбирают один из трех уровней, от мягкого к жесткому:

• разрешать только авторизованные устройства
• запретить работу Thunderbolt/PCIe устройств до входа в ОС
• полностью отключить порт (BIOS/UEFI или физически), если он не нужен по роли

Практичный подход - разделить парк по профилям. Офисным пользователям чаще достаточно «только авторизованные» и запрета до входа в ОС. Для инженерных рабочих мест, где док-станции и быстрые внешние устройства - часть процесса, отключение порта может сорвать работу. Там лучше идти через учет разрешенной периферии и контроль настроек.

Физические меры, которые реально работают

Даже хорошие настройки мало помогают, если порт доступен всем. Минимальный набор мер:

• заглушки или блокираторы портов на рабочих местах с высоким риском
• пломбы на корпусах и крышках, если важно исключить установку внутренних PCIe карт
• учет док-станций, кабелей и адаптеров (где стоит, кто выдал, серийный номер)
• правило: не оставлять включенный ПК без присмотра в публичных зонах

Пример: в организации с гостевыми зонами оставили Thunderbolt активным на стойках регистрации из-за док-станций. Решение было простым: док-станции закрепили за конкретными местами, разрешили только их, а остальные порты закрыли заглушками. Для инженерных столов оставили Thunderbolt, но ввели учет и запрет до входа в ОС.

Как проверить на одном ПК: быстрые способы в Windows

Самый быстрый способ понять, работает ли защита от DMA атак на конкретной рабочей станции, - посмотреть статус Kernel DMA Protection в Windows. Проверку лучше делать от имени администратора и на системе, где уже установлены драйверы.

Откройте «Безопасность Windows» и пройдите путь: «Безопасность устройства» -> «Изоляция ядра» (или «Сведения об изоляции ядра»). На совместимых платформах там отображается строка про Kernel DMA Protection и ее состояние.

Второй вариант - «Сведения о системе». Нажмите Win+R, введите msinfo32 и откройте «Сводка системы». Для проверки важны поля, которые часто идут рядом:

• Kernel DMA Protection (включено/выключено/не поддерживается)
• Virtualization-based security (VBS) и состояние «Запущено/Не запущено»
• Device Guard (если указан) и поддерживаемые функции

Если интерфейс дает мало подсказок, можно посмотреть настройку через PowerShell (запуск от администратора):

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\KernelDmaProtection" | Select-Object Enabled

Как читать типовые статусы:

• «Включено» или Enabled = 1 - защита активна, риск DMA через внешние шины снижен.
• «Не поддерживается» или ключа/параметра нет - чаще причина в платформе, BIOS/UEFI или типе подключения.
• «Выключено» или Enabled = 0 - функция доступна, но отключена (часто из-за IOMMU/VT-d, режима загрузки или политик).

Если видите «выключено», не спешите считать ПК небезопасным: сначала проверьте BIOS/UEFI и обновления прошивки, затем повторите проверку.

Проверка на партии ПК: простой план инвентаризации и отчетности

Массовая проверка DMA защиты обычно ломается из-за разнобоя: разные версии BIOS/UEFI, разные профили настроек, разные образы ОС. Поэтому сначала зафиксируйте базовую конфигурацию, и только потом собирайте факты.

План проверки, который работает на практике

Начните с эталона: выберите 1-2 контрольных ПК из партии, вручную проверьте версию BIOS/UEFI и ключевые параметры (например, включенную IOMMU/VT-d), затем примените те же настройки ко всей партии через штатные средства производителя или ваши процедуры приемки.

Дальше собирайте статус удаленно привычным способом (доменный запуск, MDM скрипты, средства управления). Удобно выгружать результат в единый CSV, чтобы его можно было приложить к акту приемки.

Пример PowerShell скрипта, который вытаскивает имя ПК, серийный номер BIOS, версию BIOS и строку про Kernel DMA Protection из отчета msinfo32:

$msi = "$env:TEMP\msinfo.txt"
Start-Process msinfo32.exe -ArgumentList "/report `"$msi`"" -Wait
$bios = Get-CimInstance Win32_BIOS
$line = (Select-String -Path $msi -Pattern "Kernel DMA Protection|Защита ядра DMA" -ErrorAction SilentlyContinue | Select-Object -First 1).Line
$status = if ($line) { ($line -split ":",2)[1].Trim() } else { "Unknown" }
[pscustomobject]@{
  ComputerName = $env:COMPUTERNAME
  BiosSerial   = $bios.SerialNumber
  BiosVersion  = $bios.SMBIOSBIOSVersion
  DmaStatus    = $status
}

Единый отчет и порог приемки

В отчете держите минимум: имя ПК, серийный номер, версию BIOS/UEFI, статус DMA (On/Off/Unknown) и дату проверки. Порог приемки лучше определить заранее: «проходит» только то, где DMA защита включена и версия BIOS совпадает с утвержденной. Все, что Off или Unknown, отправляйте на донастройку (BIOS, драйверы, обновления ОС), а не в эксплуатацию.

Такой подход особенно важен для зон с физическим доступом (учебные классы, стойки в общих помещениях, выездные рабочие места), где подмена периферии или подключение к портам происходит в реальности.

Частые ошибки, из-за которых защита не работает

Проблема чаще всего не в том, что «нет нужной функции», а в том, что не выполнено одно из условий. В итоге в документах пишут про защиту от DMA атак, а на практике устройство все равно может получить доступ к памяти через внешнюю шину.

Самая частая ловушка - включили VT-d/IOMMU, но оставили Legacy/CSM. Для Kernel DMA Protection в Windows обычно нужен UEFI запуск. Если система загружается в Legacy, защита может не активироваться, даже если в BIOS кажется, что «все включено».

Еще один риск - разрешенный Thunderbolt до входа в ОС (pre-boot). Это удобно в отдельных сценариях, но опасно там, где возможен физический доступ: до старта Windows политика безопасности еще не применена.

После обновления BIOS/UEFI настройки нередко сбрасываются на значения по умолчанию. Это «тихая» проблема: пилот прошел успешно, затем приехала новая партия с другой версией BIOS, и часть параметров вернулась в Auto или отключилась.

Наконец, партии редко полностью однородны. Смешанные ревизии плат, разные контроллеры Thunderbolt, разные образы Windows и наборы драйверов дают разный результат по DMA защите, даже если модель в документах одна.

Что стоит проверить в первую очередь:

• режим загрузки UEFI включен, Legacy/CSM отключен
• VT-d/IOMMU включены явно, а не оставлены в Auto
• Thunderbolt/PCIe hot-plug до загрузки ОС запрещен, если он не нужен
• после обновления BIOS выполнена повторная проверка параметров
• тестирование делалось не на одной док-станции, а хотя бы на 2-3 типах устройств

Пример: при приемке рабочих станций для офиса с общей зоной доступа проверили только одну док-станцию, и все выглядело нормально. Позже другой адаптер Thunderbolt работал в pre-boot, и защита фактически обходилась. Такие случаи ловятся только если заранее определить «опасные» сценарии и тестировать именно их.

Короткий чек-лист перед приемкой и вводом в эксплуатацию

Перед тем как подписывать приемку и отдавать рабочие станции пользователям, проверьте несколько вещей, которые чаще всего ломают защиту от DMA атак. Лучше делать это на входном контроле, пока ПК не разъехались по кабинетам.

Быстрый чек-лист на каждом типе модели

• Устройство загружается в режиме UEFI (не Legacy/CSM), Secure Boot включен.
• В BIOS/UEFI включен IOMMU: Intel VT-d или AMD-Vi.
• В Windows статус Kernel DMA Protection отображается как «Включено».
• Политика Thunderbolt/PCIe соответствует роли рабочего места: где есть физический риск, ограничены новые устройства и запрещен pre-boot.
• Зафиксированы версии BIOS/UEFI и дата прошивки (для повторяемости и дальнейших обновлений).

Если это ПК для открытых зон (ресепшн, учебные классы, общие переговорные), не полагайтесь только на настройки Windows. Там, где к системному блоку можно подойти и подключить устройство, решает сочетание: UEFI + Secure Boot + IOMMU + правильная политика внешних портов.

Что собрать в отчет по партии

Чтобы закупка, ИБ и ИТ говорили на одном языке, достаточно простого шаблона:

• модель/серийный номер, подразделение и назначение (офис, стойка, общий доступ)
• версия BIOS/UEFI и ключевые флаги (UEFI, Secure Boot, VT-d/AMD-Vi)
• статус Kernel DMA Protection в Windows
• статус и режим Thunderbolt (разрешен/ограничен/отключен)
• дата проверки и ответственный

Пример из практики: приемка рабочих станций в организации с физическим риском

Организация обновляла парк рабочих станций для отдела, где регулярно бывают посетители, клининг и подрядчики. Сотрудники не имели прав администратора, но у посторонних иногда появлялся минутный физический доступ к столам, док-станциям и портам на передней панели. Поэтому в требованиях к приемке отдельно вынесли защиту от DMA атак, а не только антивирус и шифрование диска.

Перед вводом в эксплуатацию команда ИБ сделала три шага.

Во-первых, в BIOS/UEFI отключили загрузку с внешних устройств и запретили изменение настроек паролем, чтобы нельзя было обойти политику через pre-boot.

Во-вторых, ограничили Thunderbolt и другие высокоскоростные порты: запретили подключение новых устройств без авторизации и отключили режимы, которые позволяют периферии работать до входа в систему.

В-третьих, добавили физические меры: пломбы на корпуса и заглушки на наиболее критичные порты у рабочих мест в зоне приема.

Проверку организовали в два этапа: сначала выборочно проверили 5-10% машин, чтобы быстро поймать системные ошибки в образе и настройках, затем провели массовую инвентаризацию по всем ПК.

В отчете приемки фиксировали:

• включены ли VT-d/IOMMU в BIOS/UEFI
• включена ли Kernel DMA Protection в Windows (где поддерживается)
• задана ли политика по Thunderbolt и запрет внешней загрузки
• список отклонений и причины (модель, версия BIOS)

Если часть рабочих станций не поддержала нужный уровень защиты, их не списывали сразу. Их разделили по ролям: менее критичные места (без приема посетителей) и задачи без доступа к чувствительным данным. В качестве компенсации добавили организационные меры: закрытые док-станции, хранение в шкафах после смены, усиленный контроль портов и строгий учет подключаемых устройств.

Следующие шаги: как закрепить защиту в стандартах и закупке

Если защита от DMA атак важна для вашей модели рисков, ее стоит оформить как стандарт, а не как разовую настройку. Тогда при замене ПК, ремонте или обновлении BIOS не придется каждый раз начинать с нуля.

1) Зафиксируйте базовую конфигурацию

Сделайте короткие профили настроек BIOS/UEFI и портов для разных групп пользователей. Для бухгалтерии и кадров логично жестче ограничить внешние порты и разрешить только док-станции из списка. Для инженеров можно оставить больше периферии, но с обязательной проверкой статуса DMA защиты.

Минимум, который стоит закрепить документально:

• какие параметры VT-d/IOMMU и связанные опции должны быть включены
• какая политика по Thunderbolt (разрешен, только с авторизацией, или отключен)
• что делать с PCIe слотами (пломбы, заглушки, запрет на самостоятельную установку карт)
• требование: Kernel DMA Protection должен быть доступен и включен там, где это поддерживается

2) Встройте проверку в приемку и аудиты

Добавьте пункт проверки DMA статуса в чек-лист приемки и в регулярный аудит (например, раз в квартал или после крупных обновлений). Важно проверять не только Windows, но и то, что настройки BIOS не сброшены.

Чтобы это не превращалось в ручную работу, заранее определите, как вы храните доказательства: выгрузка статуса, имя ПК, серийный номер, дата, исполнитель.

3) Управляйте обновлениями BIOS

Обновления BIOS повышают безопасность, но иногда сбрасывают настройки. Нужен простой план: кто обновляет, как проверяется сохранность параметров и что делать при замене платы.

4) Закрепите требования в закупке

В техзадании и договоре лучше прописывать измеримые требования, а не общие формулировки:

• поддержка Kernel DMA Protection и заданной политики Thunderbolt
• единый профиль BIOS/UEFI на всю партию
• проверка статусов на партии по списку серийных номеров

Если закупка идет через производителя или интегратора, заранее согласуйте требования к платформе, прошивке и типовым профилям BIOS/UEFI. Например, GSE.kz как локальный производитель и системный интегратор в Казахстане может быть удобной точкой ответственности за единообразие аппаратной платформы, а также за дальнейшую поддержку и обслуживание парка.