Как называется программа, которая постоянно находится в памяти и служит для управления внешним устройством

Обновлено: 21.11.2024

Cisco ® Identity Services Engine (ISE) — это универсальное решение для оптимизации управления политиками безопасности и снижения эксплуатационных расходов. С помощью ISE вы можете видеть, как пользователи и устройства контролируют доступ через проводные, беспроводные и VPN-подключения к корпоративной сети.

Cisco ISE позволяет обеспечить высокозащищенный доступ к сети для пользователей и устройств. Это поможет вам получить представление о том, что происходит в вашей сети, например, кто подключен, какие приложения установлены и работают и многое другое. Он также обменивается жизненно важными контекстуальными данными, такими как идентификаторы пользователей и устройств, угрозы и уязвимости, с интегрированными решениями технологических партнеров Cisco, чтобы вы могли быстрее выявлять, локализовать и устранять угрозы.

Cisco ISE предлагает целостный подход к безопасности доступа к сети. Вы получаете множество преимуществ при развертывании ISE, в том числе:

Высокозащищенный деловой и контекстный доступ в соответствии с политиками вашей компании. ISE работает с сетевыми устройствами для создания всеобъемлющей контекстной идентификации с такими атрибутами, как пользователь, время, местоположение, угроза, уязвимость и тип доступа. Это удостоверение можно использовать для реализации высокозащищенной политики доступа, которая соответствует бизнес-роли удостоверения. ИТ-администраторы могут точно контролировать, кто, что, когда, где и как конечные точки разрешены в сети. ISE использует несколько механизмов для применения политик, включая программно-определяемую сегментацию Cisco TrustSec®.

Упрощенная видимость сети благодаря простому, гибкому и удобному интерфейсу. ISE хранит подробную историю атрибутов всех конечных точек, которые подключаются к сети, а также пользователей (включая такие типы, как гости, сотрудники и подрядчики) в сети, вплоть до сведений о приложениях конечных точек и состояния брандмауэра.

Обширное применение политик, определяющее простые и гибкие правила доступа, соответствующие постоянно меняющимся бизнес-требованиям. Все контролируется из центрального места, которое распределяет меры по всей сети и инфраструктуре безопасности. ИТ-администраторы могут централизованно определить политику, которая отличает гостей от зарегистрированных пользователей и устройств. Независимо от их местоположения пользователям и конечным точкам разрешен доступ на основе роли и политики. Теги группы безопасности Cisco TrustSec (SGT) позволяют организациям основывать управление доступом на бизнес-правилах, а не на IP-адресах или сетевой иерархии. Эти SGT предоставляют пользователям и конечным точкам доступ в соответствии с политикой наименьших привилегий, которая постоянно поддерживается при перемещении ресурсов между доменами. Управление правилами коммутатора, маршрутизатора и брандмауэра становится проще и помогает сократить объем ИТ-операций на 80 % и увеличить время внедрения изменений на 98 %.

Надежный гостевой интерфейс, обеспечивающий несколько уровней доступа к вашей сети. Вы можете предоставить гостевой доступ через точку доступа типа кофейни, зарегистрированный доступ с самообслуживанием или спонсируемый доступ. ISE предоставляет вам возможность настраивать различные гостевые порталы с помощью встроенного или облачного редактора портала, который предоставляет динамические визуальные инструменты. Вы можете просматривать предварительный просмотр экрана портала в режиме реального времени и то, как гость будет подключаться к сети.

Самостоятельное подключение устройств для корпоративных политик «Принеси собственное устройство» (BYOD) или гостевых политик. Пользователи могут управлять устройствами в соответствии с бизнес-политиками, определенными ИТ-администраторами. ИТ-персонал будет иметь автоматизированную подготовку, профилирование и настройку устройств, необходимые для соблюдения политик безопасности. В то же время сотрудники могут подключать свои устройства к сети без помощи ИТ-специалистов.

Интеграция Cisco DNA Center

Cisco DNA Center — это базовый контроллер и аналитическая платформа, лежащие в основе сети Cisco Intent. Cisco DNA Center упрощает управление сетью и позволяет быстро и легко настроить различные службы ISE, такие как Guest и BYOD, по всей сети. сеть. Аналитика и контроль используют информацию о сети для оптимизации производительности сети. Cisco DNA Center интегрируется с ISE 2.3 или более поздней версии с помощью pxGrid для развертывания безопасного группового доступа и сегментации сети в соответствии с потребностями бизнеса. С помощью Cisco DNA Center и ISE политика может применяться к пользователям и приложениям, а не к сетевым устройствам. Групповая политика обеспечивает программно-определяемую сегментацию для управления доступом к сети, применения политик безопасности и соответствия требованиям.

Автоматическая проверка устройств на соответствие для определения состояния устройств и вариантов исправления с помощью Cisco AnyConnect ® Unified Agent. Агент AnyConnect ® также предоставляет расширенные услуги VPN для проверки настольных компьютеров и ноутбуков.ISE также интегрируется с ведущими поставщиками решений для управления мобильными устройствами/корпоративной мобильностью (MDM/EMM). Интеграция MDM помогает гарантировать, что мобильное устройство защищено и соответствует политике, прежде чем ему будет предоставлен доступ к сети.

Возможность обмениваться сведениями о пользователях и устройствах по сети. Технология Cisco pxGrid (Platform Exchange Grid) — это надежная платформа, которую можно использовать для обмена глубокими контекстуальными данными о подключенных пользователях и устройствах с решениями Cisco и Cisco Security Technical Alliance. Сеть ISE и партнеры по безопасности используют эти данные для улучшения собственных возможностей доступа к сети и ускорения их способности выявлять, смягчать и быстро сдерживать угрозы.

Центральное управление сетевыми устройствами с помощью TACACS+. Cisco ISE позволяет управлять сетевыми устройствами с помощью протокола безопасности TACACS+ для контроля и аудита конфигурации сетевых устройств. ISE обеспечивает детальный контроль над тем, кто может получить доступ к какому сетевому устройству и изменить соответствующие сетевые настройки.

Cisco ISE расширяет возможности организаций, как показано в таблице 1.

Таблица 1. Возможности и преимущества

Централизованное управление

● Помогает администраторам централизованно настраивать и управлять службами профилирования, положения, гостевой системы, аутентификации и авторизации в единой графической веб-консоли.

Разнообразная контекстуальная идентичность и бизнес-политика

● Предоставляет основанную на правилах и атрибутах модель политик для гибких политик управления доступом, подходящих для бизнеса.

● Включает такие атрибуты, как идентификатор пользователя и конечной точки, проверка состояния, протоколы аутентификации, идентификатор устройства и другие внешние атрибуты. Эти атрибуты можно создавать динамически и сохранять для последующего использования.

● Интегрируется с несколькими внешними репозиториями удостоверений, такими как Microsoft Active Directory, протокол облегченного доступа к каталогам (LDAP), RADIUS, одноразовый пароль RSA (OTP), центры сертификации для аутентификации и авторизации, Open Database Connectivity (ODBC) и Поставщики SAML.

Контроль доступа

● Предоставляет ряд параметров контроля доступа, включая загружаемые списки контроля доступа (dACL), назначения виртуальной локальной сети (VLAN), перенаправления URL-адресов, именованные ACL и ACL группы безопасности (SGACL) с технологией Cisco TrustSec.

Безопасный доступ к сети без запросов с помощью Easy Connect

● Обеспечивает возможность быстрого развертывания высокозащищенного доступа к сети за счет аутентификации и авторизации на основе информации для входа на разных уровнях приложений, что позволяет пользователям получать доступ, не требуя присутствия запрашивающего устройства 802.1X на конечной точке.

Cisco TrustSec/групповая политика

● Программно-определяемая сегментация на основе групповой политики Cisco/TrustSec обеспечивает более простую сегментацию за счет использования тегов групп безопасности (SGT). Это открытая технология в IETF, доступная в рамках OpenDaylight и поддерживаемая на платформах сторонних производителей и Cisco.

● ISE — это контроллер сегментации, который упрощает управление коммутаторами, маршрутизаторами, беспроводными сетями и правилами брандмауэра.

● Информация о группе распространяет SGT по сетевым устройствам по пути передачи данных (внутренняя маркировка) или через протокол обмена тегами группы безопасности (SXP) информацию о привязке IP к SGT, когда устройства не имеют возможности помечать пакеты с помощью SGT.< /p>

Управление гостевым жизненным циклом

● За считанные минуты создает корпоративный клиентский опыт с рекламой и рекламными акциями. Встроена поддержка точек доступа, спонсирования, самообслуживания и множества других рабочих процессов доступа.

● Предоставляет администрации визуальные потоки в реальном времени, которые воплощают в жизнь эффекты дизайна потока гостей.

● Отслеживает доступ по сети для обеспечения безопасности, соответствия требованиям и полного гостевого аудита. Ограничения по времени, истечение срока действия учетной записи и проверка по SMS предлагают дополнительные средства защиты.

Упрощенная регистрация устройств

● Автоматизирует предоставление запрашивающих и регистрацию сертификатов для стандартных ПК и мобильных вычислительных платформ. Обеспечивает более безопасный доступ, сокращает количество обращений в ИТ-службу поддержки и повышает удобство работы пользователей.

● Позволяет конечным пользователям добавлять свои устройства и управлять ими с помощью порталов самообслуживания и поддерживает SAML 2.0 для веб-порталов.

Встроенные службы AAA

● Поддерживает широкий спектр протоколов аутентификации, в том числе PAP, MS-CHAP, Extensible Authentication Protocol (EAP)-MD5, Protected EAP (PEAP), EAP-Flexible

Аутентификация с помощью безопасного туннелирования (FAST), EAP-Transport Layer Security (TLS) и EAP-Tunneled Transport Layer Security (TTLS). Примечание. Cisco ISE — единственный сервер RADIUS, поддерживающий связывание учетных данных компьютера и пользователя в цепочке EAP.

Контроль доступа и аудит администрирования устройства

● Предоставляет доступ к конфигурации устройства по принципу необходимости знать и действовать, сохраняя контрольные журналы для каждого изменения в сети.

Внутренний центр сертификации

● Предоставляет единую консоль для управления конечными точками и сертификатами. Статус сертификата проверяется с помощью основанного на стандартах протокола статуса онлайн-сертификата (OCSP). Отзыв сертификата происходит автоматически.

● Поддерживает автономные развертывания, продукты, интегрированные в pxGrid, и подчиненные (то есть те, в которых центр сертификации интегрирован с существующей корпоративной инфраструктурой открытых ключей или PKI).

● Упрощает ручное создание групповых или отдельных сертификатов и пар ключей для подключения устройств к сети с высокой степенью безопасности.

Профилирование устройств

● Наполняется предопределенными шаблонами устройств для многих типов конечных точек, таких как IP-телефоны, принтеры, IP-камеры, смартфоны и планшеты. с дополнительными шаблонами устройств, доступными для специализированных устройств, таких как медицина, производство и автоматизация зданий.

● Создает настраиваемые шаблоны устройств для автоматического обнаружения, классификации и связывания определяемых администрацией идентификаторов при подключении конечных точек к сети.

Служба фидов профилей устройств

● Обеспечивает автоматические обновления проверенных профилей устройств Cisco для различных устройств с поддержкой IP от разных поставщиков. Упрощает задачу поддержания в актуальном состоянии библиотеки новейших устройств с поддержкой IP.

● Предоставляет партнерам и клиентам возможность обмениваться персонализированной информацией о профилях для проверки и дальнейшего распространения компанией Cisco.

Служба состояния конечной точки

● Применяет соответствующие политики соответствия для конечных точек с помощью постоянного клиентского агента, временного агента или запроса к внешнему MDM/EMM.

● Предоставляет возможность создавать мощные политики, которые включают, помимо прочего, проверку наличия последних исправлений ОС, антивирусных и антишпионских пакетов с текущими переменными файла определения (версия, дата и т. д.), антивредоносных пакетов, параметров реестра. (ключ, значение и т. д.), управление исправлениями, шифрование диска, мобильная блокировка с помощью PIN-кода, статус root или взломан, наличие приложений и носители, подключенные через USB.

● Поддерживает автоматическое исправление клиентов ПК, а также периодические переоценки вместе с ведущими корпоративными системами управления исправлениями, чтобы убедиться, что конечная точка не нарушает политики компании.

◦ Windows 10, 8.1, 8 и 7

◦ Mac OS X 10.8 и выше

Обширная поддержка нескольких лесов Active Directory

● Обеспечивает комплексную проверку подлинности и авторизацию в доменах Microsoft Active Directory с несколькими лесами.

Мониторинг и устранение неполадок

● Предоставляет надежные исторические отчеты и отчеты в режиме реального времени для всех служб. Регистрирует все действия и предлагает метрики панели управления в режиме реального времени для всех пользователей и конечных точек, подключенных к сети.

Сертификаты

● Соответствует требованиям Федерального стандарта обработки информации (FIPS) 140-2, общим критериям и списку утвержденных продуктов для унифицированных возможностей.

Примечание. Сертификаты могут быть недоступны для всех выпусков или могут находиться на разных стадиях утверждения. Текущие сертификаты и выпуски можно найти на сайте Global Government Certifications.

Инструмент готовности к обновлению (URT)

Поддержка IPv6

● ISE можно управлять через сеть управления IPv6. Сюда входят: подключение к интерфейсу управления ISE (веб или интерфейс командной строки), подключение к Active Directory, отправка сообщений системного журнала, отправка ловушек SNMP, REST API через IPv6, разрешение DNS и синхронизация времени NTP.

Cisco pxGrid – это высокомасштабируемая информационно-справочная служба для нескольких инструментов безопасности, которые автоматически взаимодействуют друг с другом в режиме реального времени. В Cisco ISE 2.4 мы представляем pxGrid 2.0, который предоставляет новый клиент WebSockets и устраняет зависимости от базовых операционных систем и языков. Доступно более 50 интеграций от Cisco и сторонних поставщиков, в частности Cisco Industrial Network Director (IND), которая использует pxGrid для предоставления информации о конечных точках OT в ISE. Кроме того, pxGrid используется для обмена информацией IP-SGT о конечных точках, что позволяет продуктам безопасности применять контроль доступа группы безопасности с помощью SGT.

Cisco Rapid Threat Containment упрощает и автоматизирует действия по смягчению последствий и расследованию угроз в сети в ответ на события безопасности. Он объединяет решения Cisco ISE и партнеров по технологиям безопасности Cisco в широком спектре технологических областей. С помощью Threat-Centric Network Access Control (TC-NAC) он может изменять доступ пользователей на основе уязвимости CVSS и оценок угроз STIX. С помощью Cisco pxGrid Adaptive Network Control (ANC) вы можете сбросить статус сетевого доступа конечной точки, чтобы поместить порт в карантин, вывести из карантина, вернуть или закрыть порт.

ISE доступен как физическое или виртуальное устройство. Как физические, так и виртуальные развертывания могут использоваться для создания кластеров ISE, которые могут обеспечить масштабируемость, избыточность и отказоустойчивость критически важных корпоративных сетей.

Виртуальные устройства ISE поддерживаются в VMware ESXi 5.x и 6.x, KVM в Red Hat 7.x и Microsoft Hyper-V в Microsoft Windows Server 2012R2 и более поздних версиях.

Подробнее о физическом устройстве ISE см. в техническом описании Cisco Secure Network Server.

Как видно на рис. 1, доступны четыре основные лицензии ISE. С помощью этой гибкой модели вы можете выбрать количество и комбинацию лицензий, чтобы получить желаемый набор функций.

Пакеты лицензий Cisco ISE

Руководство по заказу Cisco ISE поможет вам понять различные модели и типы лицензирования, чтобы наилучшим образом использовать развертывание ISE. Чтобы разместить заказ, посетите домашнюю страницу размещения заказов Cisco. Чтобы загрузить программное обеспечение ISE, посетите Центр программного обеспечения Cisco.

Cisco предлагает широкий спектр сервисных программ. Эти инновационные программы реализуются за счет сочетания людей, процессов, инструментов и партнеров, что приводит к высокому уровню удовлетворенности клиентов. Услуги Cisco помогают защитить инвестиции в сетевые ресурсы, оптимизировать сетевые операции и подготовить сеть к новым приложениям, расширяющим интеллектуальные возможности сети и расширяющим возможности вашего бизнеса. Дополнительные сведения об услугах Cisco см. в разделах Службы технической поддержки Cisco или Службы безопасности Cisco.

Информацию о гарантии можно найти здесь.

Гибкие платежные решения, которые помогут вам достичь ваших целей

Cisco Capital упрощает получение нужных технологий для достижения ваших целей, обеспечивает трансформацию бизнеса и помогает вам оставаться конкурентоспособными. Мы можем помочь вам снизить общую стоимость владения, сохранить капитал и ускорить рост. В более чем 100 странах наши гибкие платежные решения помогут вам приобрести оборудование, программное обеспечение, услуги и дополнительное оборудование сторонних производителей с помощью простых и предсказуемых платежей. Узнать больше.

В связи с тем, что озабоченность по поводу климата растет с каждым днем, технологические лидеры играют решающую роль в реализации инициатив в области устойчивого развития. Вот совет.

ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .

Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .

Продавец средств аутентификации Okta стал последним технологическим гигантом, который стал жертвой плодовитой команды Lapsus$ благодаря ключевым деталям .

Корпоративный бизнес финского поставщика систем безопасности начинается сам по себе как новый бренд под названием WithSecure, в то время как F-Secure будет .

Предупреждение президента Джо Байдена о потенциальных атаках России на важнейшую инфраструктуру США является последним призывом к действию для .

Сетевые архитектуры 4G и 5G имеют некоторые существенные различия. Посмотрите, чем отличаются две технологии и что нового .

При распространении удаленной работы, облачных приложений и подключения к Интернету предприятия отказываются от глобальной сети, чтобы сэкономить деньги.

DevOps, NetOps и NetSecOps. о боже! У этих ИТ-концепций есть свои отличия, но, в конце концов, они — одна семья. .

Nvidia представляет новую архитектуру GPU, суперкомпьютеры и чипы, которые вместе помогут разработчикам в создании аппаратного обеспечения.

Intel оптимистично настроена, что ее дорожная карта процессоров может вернуть компанию на первое место, но компания сталкивается со сложной перспективой .

Безопасность в центре обработки данных требует от организаций выявления и устранения различных факторов риска, от электрических систем до .

Хранилище данных Apache Pinot OLAP с открытым исходным кодом стало проще в развертывании, управлении и эксплуатации в облаке благодаря улучшенному .

Snowflake продолжает расширять предложения своей отраслевой вертикальной платформы, помогая пользователям из разных сегментов рынка собирать деньги.

Платформа RKVST поддерживает несколько типов приложений для работы с данными на блокчейне, включая безопасный обмен данными SBOM для обеспечения кибербезопасности.

В Windows 10 версии 1803 Microsoft представила новую функцию под названием Защита DMA ядра для защиты ПК от атак прямого доступа к памяти (DMA) с использованием устройств PCI с возможностью горячей замены, подключенных к доступным извне портам PCIe (например, Thunderbolt™ 3). порты и CFexpress). В Windows 10 версии 1903 Microsoft расширила поддержку Kernel DMA Protection, чтобы охватить внутренние порты PCIe (например, слоты M.2)

Атаки Drive-by DMA могут привести к раскрытию конфиденциальной информации, хранящейся на ПК, или даже к внедрению вредоносного ПО, позволяющего злоумышленникам обходить экран блокировки или удаленно управлять ПК.

Эта функция не защищает от атак DMA через 1394/FireWire, PCMCIA, CardBus, ExpressCard и т. д.

Фон

Устройства PCI поддерживают DMA, что позволяет им считывать и записывать в системную память по желанию, не задействуя системный процессор в этих операциях. Возможность прямого доступа к памяти — это то, что делает устройства PCI самыми высокопроизводительными устройствами, доступными сегодня. Эти устройства исторически существовали только внутри корпуса ПК, либо подключались в виде платы, либо припаивались к материнской плате.Для доступа к этим устройствам пользователь должен был отключить питание системы и разобрать корпус.

Сегодня это уже не относится к портам PCIe с возможностью горячей замены (например, Thunderbolt™ и CFexpress).

Порты PCIe с возможностью горячей замены, такие как технология Thunderbolt™, предоставили современным ПК возможности расширения, недоступные ранее для ПК. Он позволяет пользователям подключать новые классы внешних периферийных устройств, таких как видеокарты или другие устройства PCI, к своим ПК с возможностью горячей замены, аналогичной USB. Наличие внешних и легкодоступных портов PCI с возможностью горячей замены делает ПК уязвимыми для атак прямого доступа к памяти.

Атаки Drive-by DMA — это атаки, которые происходят в отсутствие владельца системы и обычно длятся менее 10 минут с использованием простых или умеренных средств атаки (доступное, готовое аппаратное и программное обеспечение), которые не требуют разборки ПК. Простым примером может служить случай, когда владелец ПК отходит от компьютера, чтобы сделать небольшой перерыв на кофе, и во время перерыва злоумышленник вмешивается, подключает USB-устройство и уходит со всеми секретами компьютера или внедряет вредоносное ПО, которое позволяет им иметь полный контроль над ПК удаленно.

Как Windows защищает от атак DMA

Windows использует системный модуль управления памятью ввода-вывода (IOMMU), чтобы блокировать запуск и выполнение DMA внешними периферийными устройствами, если только драйверы этих периферийных устройств не поддерживают изоляцию памяти (например, переназначение DMA). Периферийные устройства с драйверами, совместимыми с DMA Remapping, будут автоматически перечислены, запущены и разрешены для выполнения DMA в назначенных им областях памяти.

По умолчанию периферийные устройства с несовместимыми драйверами DMA Remapping будут заблокированы от запуска и выполнения DMA до тех пор, пока авторизованный пользователь не войдет в систему или не разблокирует экран. ИТ-администраторы могут изменить поведение по умолчанию, применяемое к устройствам с несовместимыми драйверами DMA Remapping, с помощью политик DmaGuard MDM.

Пользовательский опыт

По умолчанию периферийные устройства с драйверами, совместимыми с переназначением DMA, будут автоматически перечислены и запущены. Запуск периферийных устройств с несовместимыми драйверами DMA Remapping будет заблокирован, если периферийное устройство было подключено до входа в систему авторизованного пользователя или при заблокированном экране. Как только система будет разблокирована, ОС запустит драйвер периферийного устройства, и периферийное устройство будет продолжать нормально работать до тех пор, пока система не будет перезагружена или периферийное устройство не будет отключено от сети. Периферийное устройство продолжит нормальную работу, если пользователь заблокирует экран или выйдет из системы.

Совместимость системы

Для защиты DMA ядра требуется поддержка нового встроенного ПО UEFI. Эта поддержка ожидается только в новых системах на базе Intel, поставляемых с Windows 10 версии 1803 (не во всех системах). Безопасность на основе виртуализации (VBS) не требуется.

Чтобы узнать, поддерживает ли система защиту ядра DMA, проверьте настольное приложение "Сведения о системе" (MSINFO32). Системы, выпущенные до Windows 10 версии 1803, не поддерживают защиту DMA ядра, но могут использовать другие средства защиты от атак DMA, как описано в мерах противодействия BitLocker.

Защита DMA ядра несовместима с другими мерами противодействия атакам DMA BitLocker. Рекомендуется отключить меры противодействия атакам BitLocker DMA, если система поддерживает защиту Kernel DMA. Kernel DMA Protection обеспечивает более высокий уровень безопасности системы по сравнению с мерами противодействия атакам BitLocker DMA, сохраняя при этом удобство использования внешних периферийных устройств.

Как проверить, включена ли защита ядра DMA

В системах под управлением Windows 10 версии 1803, которые поддерживают защиту DMA ядра, эта функция безопасности автоматически включается операционной системой без необходимости настройки пользователя или ИТ-администратора.

Использование приложения для обеспечения безопасности Windows

Начиная с Windows 10 версии 1809, вы можете использовать приложение "Безопасность Windows", чтобы проверить, включена ли защита DMA ядра. Нажмите «Пуск» > «Параметры» > «Обновление и безопасность» > «Безопасность Windows» > «Открыть безопасность Windows» > «Безопасность устройства» > «Сведения об изоляции ядра» > «Защита доступа к памяти».

Использование системной информации

Запустите MSINFO32.exe в командной строке или на панели поиска Windows.

Проверьте значение защиты DMA ядра.

Если текущее состояние защиты DMA ядра отключено, а Hyper-V — виртуализация включена в прошивке — НЕТ:

  • Перезагрузитесь в настройки BIOS
  • Включите технологию виртуализации Intel.
  • Включите технологию виртуализации Intel для ввода-вывода (VT-d). В Windows 10 версии 1803 поддерживается только Intel VT-d. На других платформах можно использовать средства защиты от атак DMA, описанные в разделе «Меры противодействия BitLocker».
  • Перезагрузите систему в Windows.

Hyper-V — виртуализация, включенная в прошивке, недоступна, если обнаружен гипервизор. Функции, необходимые для Hyper-V, отображаться не будут. отображается. Это означает, что для Hyper-V — Virtualization Enabled in Firmware установлено значение «Да», а функция Windows Hyper-V включена. Включение виртуализации Hyper-V в микропрограмме (IOMMU) требуется для включения защиты DMA ядра, даже если микропрограмма имеет флаг «Индикаторы защиты DMA ядра ACPI», описанный в разделе Защита DMA ядра (защита доступа к памяти) для OEM-производителей.

Если состояние Kernel DMA Protection остается выключенным, система не поддерживает эту функцию.

Для систем, не поддерживающих защиту DMA ядра, ознакомьтесь с контрмерами BitLocker или Thunderbolt™ 3 и безопасностью в операционной системе Microsoft Windows® 10, чтобы узнать о других средствах защиты DMA.

Часто задаваемые вопросы

Поддерживают ли имеющиеся на рынке системы защиту Kernel DMA для Thunderbolt™ 3?

Существующие на рынке системы, выпущенные с Windows 10 версии 1709 или более ранней, не будут поддерживать защиту DMA ядра для Thunderbolt™ 3 после обновления до Windows 10 версии 1803, так как эта функция требует внесения изменений в микропрограмму BIOS/платформы и гарантирует, что это невозможно. переносится на ранее выпущенные устройства. Для этих систем см. информацию о мерах противодействия BitLocker или Thunderbolt™ 3 и безопасности в операционной системе Microsoft Windows® 10, чтобы узнать о других средствах защиты DMA.

Предотвращает ли Kernel DMA Protection атаки DMA во время загрузки?

Нет, Kernel DMA Protection защищает от атак Drive-by DMA только после загрузки ОС. Микропрограмма/BIOS системы отвечает за защиту от атак через порты Thunderbolt™ 3 во время загрузки.

Как проверить, поддерживает ли определенный драйвер переназначение DMA?

Переназначение DMA поддерживается для определенных драйверов устройств и не поддерживается всеми устройствами и драйверами на платформе. Чтобы проверить, выбран ли конкретный драйвер для переназначения DMA, проверьте значения, соответствующие свойству политики переназначения DMA на вкладке «Сведения» устройства в диспетчере устройств*. Значение 0 или 1 означает, что драйвер устройства не поддерживает переназначение DMA. Значение два означает, что драйвер устройства поддерживает переназначение DMA. Если свойство недоступно, значит, политика не задана драйвером устройства (то есть драйвер устройства не поддерживает переназначение DMA). Проверьте экземпляр драйвера для тестируемого устройства. Некоторые драйверы могут иметь разные значения в зависимости от расположения устройства (внутреннее или внешнее).

*В Windows 10 версий 1803 и 1809 в поле свойств в диспетчере устройств используется идентификатор GUID, как показано на следующем изображении.

Когда драйверы для периферийных устройств PCI или Thunderbolt™ 3 не поддерживают переназначение DMA?

Если для периферийных устройств установлены драйверы класса, предоставляемые Windows, используйте эти драйверы в своих системах. Если Windows не предоставляет драйверы классов для ваших периферийных устройств, обратитесь к поставщику периферийных устройств/поставщику драйверов, чтобы обновить драйвер для поддержки переназначения DMA.

Защита ядра DMA в моей системе отключена. Можно ли включить переназначение DMA для определенного устройства?

Да. Переназначение DMA для конкретного устройства можно включить независимо от защиты DMA ядра. Например, если драйвер соглашается и включена VT-d (технология виртуализации для направленного ввода-вывода), то переназначение DMA будет включено для драйвера устройств, даже если защита ядра DMA отключена.

Защита ядра от прямого доступа к памяти — это политика, которая разрешает или запрещает устройствам выполнять прямой доступ к памяти в зависимости от их состояния и возможностей переназначения.

Поддерживают ли драйверы Microsoft переназначение DMA?

В Windows 10 1803 и более поздних версиях входящие драйверы Microsoft для контроллеров USB XHCI (3.x), контроллеров Storage AHCI/SATA и контроллеров Storage NVMe поддерживают переназначение DMA.

Должны ли драйверы для устройств без PCI быть совместимыми с переназначением DMA?

Нет. Устройства для периферийных устройств, отличных от PCI, таких как USB-устройства, не выполняют DMA, поэтому драйвер не должен быть совместим с переназначением DMA.

Как предприятие может включить политику перечисления внешних устройств?

Политика перечисления внешних устройств определяет, следует ли перечислять внешние периферийные устройства, несовместимые с переназначением DMA. Периферийные устройства, совместимые с переназначением DMA, всегда перечисляются. Периферийные устройства, которые не поддерживаются, могут быть заблокированы, разрешены или разрешены только после входа пользователя в систему (по умолчанию).

Подпрограммы обслуживания прерываний (ISR) предназначены для обработки асинхронных событий (событий переднего плана).

Связанные термины:

Скачать в формате PDF

Об этой странице

Многозадачность и планирование

Колин Уоллс, проект встроенной ОСРВ, 2021 г.

Сохранение контекста

ISR всегда должен сохранять «контекст», чтобы прерванный код не влиял на вычисления ISR. В системе, реализованной без RTOS, это просто вопрос сохранения любых регистров, используемых ISR — обычно в стеке — и их восстановление перед возвратом. В некоторых процессорах предусмотрен выделенный стек ISR, другие просто используют тот же стек, что и код приложения.

При использовании RTOS подход может быть точно таким же. Точно так же стек, используемый ISR, может быть «заимствован» из текущей задачи или это может быть другой стек, предназначенный для прерываний. Некоторые ядра реализуют эту возможность, даже если сам ЦП не поддерживает стек прерываний. Ситуация становится более сложной, если ISR делает вызов API, который влияет на планировщик. Это может привести к возврату прерывания к другой задаче, отличной от той, которая выполнялась в момент возникновения прерывания.

Прерывания в Nucleus SE

Колин Уоллс, проект встроенной ОСРВ, 2021 г.

Низкий и высокий уровни ISR

Низкий уровень ISR

Подпрограмма обслуживания прерываний низкого уровня (LISR) выполняется как обычная ISR, которая включает использование текущего стека. Nucleus RTOS сохраняет контекст перед вызовом LISR и восстанавливает контекст после возврата LISR. Следовательно, LISR могут быть написаны на C и могут вызывать другие подпрограммы C. Однако для LISR доступно лишь несколько сервисов Nucleus RTOS. Если для обработки прерывания требуются дополнительные службы Nucleus RTOS, необходимо активировать процедуру обработки прерывания высокого уровня (HISR). Nucleus RTOS поддерживает вложение нескольких LISR.

ISR высокого уровня

HISR создаются и удаляются динамически. Каждый HISR имеет собственное пространство стека и собственный блок управления. Память для каждого предоставляется приложением. Конечно, HISR должен быть создан до того, как он будет активирован LISR.

Поскольку HISR имеет собственный стек и блок управления, его можно временно заблокировать, если он попытается получить доступ к структуре данных Nucleus RTOS, к которой уже осуществляется доступ.

Для HISR доступно три уровня приоритета. Если HISR с более высоким приоритетом активируется во время обработки HISR с более низким приоритетом, HISR с более низким приоритетом вытесняется почти так же, как вытесняется задача. HISR с одинаковым приоритетом выполняются в том порядке, в котором они были первоначально активированы. Все активированные HISR обрабатываются перед возобновлением обычного планирования задач.

Операционные системы реального времени

16.4.5 Подпрограммы обслуживания прерываний

Процедура обслуживания прерываний (ISR) — это программная процедура, запускаемая оборудованием в ответ на прерывание. ISR проверяет прерывание и определяет, как его обрабатывать, выполняет обработку, а затем возвращает значение логического прерывания. Если дальнейшая обработка не требуется, ISR уведомляет ядро ​​с возвращаемым значением. ISR должен выполняться очень быстро, чтобы не замедлить работу устройства и работу всех ISR с более низким приоритетом.

Хотя ISR может перемещать данные из регистра ЦП или аппаратного порта в буфер памяти, обычно он полагается на выделенный поток прерывания (или задачу), называемый потоком обслуживания прерываний (IST), для выполнения большей части операций. требуемая обработка. Если требуется дополнительная обработка, ISR возвращает ядру значение логического прерывания. Затем он сопоставляет номер физического прерывания со значением логического прерывания. Например, клавиатура может быть связана с аппаратным прерыванием 4 на одном устройстве и аппаратным прерыванием 15 на другом устройстве. ISR преобразует аппаратно-зависимое значение в стандартное значение, соответствующее конкретному устройству.

Когда ISR уведомляет ядро ​​о конкретном значении логического прерывания, ядро ​​проверяет внутреннюю таблицу, чтобы сопоставить значение логического прерывания с дескриптором события. Затем ядро ​​активирует IST, сигнализируя о событии. Событие — это стандартный объект синхронизации, который служит будильником для пробуждения потока, когда происходит что-то интересное.

Поток обслуживания прерывания — это поток, который выполняет большую часть обработки прерывания. Операционная система пробуждает IST, когда у него есть прерывание для обработки, в противном случае он остается бездействующим. Чтобы операционная система разбудила IST, IST должен связать объект события с идентификатором прерывания.После обработки прерывания IST должен ожидать следующего сигнала прерывания. Этот вызов обычно находится внутри цикла.

При возникновении аппаратного прерывания ядро ​​сигнализирует об этом событии от имени ISR, а затем IST выполняет необходимые операции ввода-вывода в устройстве для сбора данных и их обработки. Когда обработка прерывания завершена, IST информирует ядро ​​о необходимости повторного включения аппаратного прерывания.

Уведомление о прерывании — это сигнал от IST, уведомляющий операционную систему о необходимости обработки события. Для устройств, которые подключаются к платформе через промежуточное оборудование, драйвер устройства для этого оборудования должен передать уведомление о прерывании драйверу устройства верхнего уровня. Как правило, драйвер устройства промежуточного оборудования имеет некоторые возможности, позволяющие другому драйверу устройства зарегистрировать функцию обратного вызова, которую драйвер промежуточного устройства вызывает при возникновении прерывания.

Например, PC-карты подключаются к аппаратным платформам через слот для PC-карт, который является промежуточным элементом оборудования со своим собственным драйвером устройства. Когда устройство PC-карты посылает прерывание, аппаратное обеспечение слота PC-карты сигнализирует о физическом прерывании на системной шине. Драйвер устройства для слота PC-карты имеет ISR и IST, которые обрабатывают физическое прерывание. Они используют функцию для передачи прерывания драйверу устройства PC Card. Устройства с похожими способами подключения ведут себя одинаково.

Читайте также: