2025 ж. 10 жел.·6 мин

DMA шабуылдарынан қорғау: Kernel DMA Protection, BIOS және Thunderbolt

DMA‑шабуылдардан қорғау: Kernel DMA Protection қашан қажет, BIOS баптаулары мен Thunderbolt/PCIe‑ды шектеу қалай жүргізіледі және ПК партиясында бұл қалай тексеріледі.

DMA шабуылдарынан қорғау: Kernel DMA Protection, BIOS және Thunderbolt

DMA шабуылдары деген не және неге оларды ПК сатып алғанда еске алу керек

DMA (Direct Memory Access) — құрылғы оперативті жадқа тікелей оқып/жазу режимі. Бұл режим диск, желілік карталар, видеокарталар, док‑станциялар және басқа периферияның жұмысын жылдамдатады. Мәселе — егер аппараттық және прошивка деңгейінде жадыға тікелей қатынасты шектейтін жеткілікті механизмдер болмаса, сол тікелей қатынасты қолданып зиянкестер ақпарат алуы мүмкін.

DMA шабуыл — бұл Windows‑ты «хактау» сияқты пароль таңу немесе желілік сервистерге шабуыл емес. Шабуылдаушы заңды периферия секілді көрінетін құрылғыны қосып, операциялық жүйе саясаттарын қолданардан бұрын жадыны оқуын немесе жазуын жүзеге асыруға тырысады. Сондықтан DMA‑дан қорғау тек Windows параметрлеріне ғана емес, платформа, BIOS/UEFI және порт саясатына да байланысты.

Негізгі тәуекел фактор — физикалық қолжетімділік. Бұл "жылдам" шабуылдар: кейде бөтен компьютерге бірнеше минут қана қажет, сонда шифрлау кілттері, сессия токендері немесе экран құлыптауын айналып өту мүмкін болады. Компьютерге оңай жақындау және құрылғы қосу мүмкіндігі неғұрлым жоғары болса, тәуекел соғұрлым артады.

Көбінесе тәуекел мынадай орындарда және сценарийлерде қарастырылады:

  • ортақ док‑станциялар мен мониторлары бар переговоркалар
  • мердігерлер мен әртүрлі қызметкерлердің қолы жететін серверлік шамалар мен шкафтары
  • қызмет көрсету аймақтары (жөндеу, қабылдау, қойма), мұнда ПК қараусыз қалуы мүмкін
  • ресепшн және ашық офис, порттарға оңай жету мүмкін болған жағдайлар
  • командировкалардағы мобильді жұмыс станциялары

Сатып алу және қабылдау сатысында осы тәуекелді жабу оңай әрі арзанырақ: қолдау көрсететін жабдықты таңдау, BIOS/UEFI және порттарға қатысты талаптарды бекіту және партия бойынша қорғаныс қосулы екенін тексеру. Жүздеген машинаны енгізгеннен кейін конфигурацияны қайта реттеу әлдеқайда қиын.

Қай жерлерде тәуекел жиі пайда болады: Thunderbolt, PCIe және периферия

DMA шабуылдары әдетте «вирус» мәселесі емес, жылдам интерфейс арқылы оперативті жадқа тікелей қатынас жолдарының пайда болуы мәселесі. Сондықтан әңгіме көбінесе құрылғы қосуға болатын порттар мен слоттардан басталады — олар жүйеден RAM‑ға оқу/жазу сұрай алады.

Thunderbolt және «сыртқы PCIe»

Thunderbolt негізінде PCIe‑ді сыртқа шығарады. Док‑станция, сыртқы адаптер немесе eGPU өте жылдам контроллер ретінде жүйемен төменгі деңгейде сөйлеседі. Егер шабуылдаушыға физикалық қолжетімділік болса, құрылғы жүйеге «өзінкі» ретінде қосылған жерлерде тәуекел жоғары болады, себебі оларға пайдаланушы жүйеге кірмей тұрып көп құқықтар берілуі мүмкін.

Назар аудару қажет периферия категориялары:

  • док‑станциялар және мультиадаптерлер
  • сыртқы желілік адаптерлар мен захват құрылғылары
  • eGPU және сыртқы PCIe бокстар
  • жалпы қордан алынған адаптерлер мен кабельдар
  • оңай ауыстырылатын периферия (уақытша берілу, ортақ қойма)

«Қарапайым USB» мен Thunderbolt‑ты араластырмаңыз: ұқсас разъемдар болуы мүмкін, бірақ қауіпсіздік тұрғысынан салдары әртүрлі. Қабылдау және эксплуатация кезінде нақты модельдегі порттардың қандай және қалай бапталғанын тіркеген дұрыс.

Корпустың ішіндегі PCIe және уақытша қолжетімділік

Классикалық PCIe тәуекелі әдетте офис жұмыс орны үшін төмен, себебі корпус ашу керек. Бірақ тәуекел өседі там, где жұмыс станциялары бақылаусыз жүреді: тасымалдау, қоймада сақтау, жөндеу, мердігерлердің қатысуы, көрсетілімдер.

Типтік сценарий: партия ПК жеткізілген, қораптар коридорда бір тәулік тұрып, содан кейін кейбір машиналар мердігерге ПО орнатуға кетеді. Тіпті аккаунттарды «ұру» болмаса да, порттарға және құрылғыларға бірнеше минуттық қолжетімділік кейбір шектеулерден өтуге мүмкіндік береді.

Қашан тәуекел шынымен төмен

Тәуекел әдетте төмен, егер мына үш шарт бір уақытта орындалса: ПК‑лар жабық бөлмелерде тұрақты орналасқан, жұмыс орындарына қолжетімділік бақылауда, док‑станциялар мен адаптерлер бөлек активтер ретінде есепке алынған. Мұндай ортада міндетті түрде «бәрін тыйу» емес, қандай құрылғылар қосуға болады, адаптерлер қайда сақталатыны және кім жауапты деген анық ережелер жеткілікті.

Kernel DMA Protection: бұл не және шектеулері қандай

Kernel DMA Protection Windows‑тағы механизм, ол IOMMU (Intel‑да VT‑d немесе AMD‑да AMD‑Vi) арқылы сыртқы құрылғылардың оперативті жадыға тікелей қатынасын шектейді. Ойы қарапайым: егер шабуылдаушы Thunderbolt арқылы «зиянды» құрылғы қосса да, жүйе оны анықтап, шектеулер қолданғанша ол жадыға қол жеткізе алмайды.

Бұл қорғаныс физикалық қолжетімділік болатын орындарда — переговоркалар, мердігердің орналасатын стойкалары, командировкалық ноутбуктарда пайдалы. Бірақ ол басқа шараларды алмастырмайды.

Kernel DMA Protection тек платформа жағындағы шарттар орындалғанда жұмыс істейді. Әдетте қажет нәрселер: қолдаушы процессор мен чипсет, IOMMU қосулы, жүйенің UEFI режимінде жүктелуі (Legacy/CSM жоқ), сондай‑ақ Thunderbolt контроллерінің дұрыс бапталуы. Егер бір байланыс үзілсе немесе «үйлесімділік» үшін параметрлер жеңілдетілген болса, Windows қорғаныстың толық емес екенін көрсетуі мүмкін.

Тағы бір маңызды жағдай: ядро қорғанысы Windows жүктелгеннен кейін ғана іске қосылады. Pre‑boot сценарийлері (жүктелуден бұрын) осал болып қалуы мүмкін, егер прошивка DMA құрылғыларына ОС іске қосылғанға дейін жұмыс істеуге рұқсат етсе. Сонымен қатар, корпус ішіндегі PCIe құрылғылары әдетте қуат алынғаннан бастап сенімді деп қабылданады, ал басты назар ыстық қосылатын құрылғыларда (мысалы, Thunderbolt) болады.

Қолдаудың жоқтығы немесе қорғаныстың жартылай болуын көрсететін белгілер:

  • Жүйеде Kernel DMA Protection Off/Not supported деп көрініс табады.
  • IOMMU/VT-d/AMD‑Vi өшірулі немесе UEFI баптауларымен жасырылған.
  • Legacy/CSM жүктеу қолданылады.
  • Thunderbolt құрылғыларын тексерусіз рұқсат беретін режим орнатылған.
  • Бірдей модельде BIOS/UEFI нұсқалары немесе баптау шаблондары әр түрлі болғандықтан статус өзгереді.

Kernel DMA Protection пайдалы, бірақ ол тек «прошивка + жабдық + порт саясаты» байланысының бөлігі ғана. ПК партиясын қабылдағанда дәл осы байламды тексерген дұрыс, Windows‑тегі бір жолды ғана қарамаңыз.

BIOS/UEFI баптаулары, DMA қорғанасына нақты әсер ететіндері

Егер шабуылдаушыға ПК‑ға физикалық қолжетімділік берілсе, қорғаудың бір бөлігі Windows‑тан гөрі BIOS/UEFI деңгейінде шешіледі. DMA қорғанысына әсер ететін опциялар — PCIe/Thunderbolt құрылғыларын оқшаулау және құрылғыларға ОС‑тан бұрын жұмыс істеуге рұқсат беру не бермеу сияқты параметрлер.

1) IOMMU: VT-d / AMD-Vi

DMA‑қорғаныс негізі — қосылған IOMMU. Intel үшін бұл әдетте VT‑d, AMD үшін — AMD‑Vi (кейде жай IOMMU деп аталады). BIOS‑та ол әртүрлі аталуы мүмкін: «Intel VT for Directed I/O», «IOMMU Controller», «PCIe Device Isolation».

Екі нәрсені тексеріңіз: IOMMU өзі қосылған ба және ол үйлесімділік режимі арқылы жанама түрде өшірілмеген бе (мысалы, профиль “Auto” немесе «Compatibility» себепті).

2) UEFI және Secure Boot

UEFI және Secure Boot сенімділік тізбегі үшін маңызды. Егер жүйені сыртқы құралдардан оңай жүктеп алуға немесе бастапқы компоненттерді алмастыруға мүмкіндік берсе, құрылғыларға қатысты шектеулердің бір бөлігі маңызы жоғалуы мүмкін.

Практикалық ереже: UEFI қосулы болсын, Legacy/CSM өшірулі болсын және Secure Boot қосулы болсын, егер арнайы себеп болмаса.

3) Thunderbolt: Security Level және pre‑boot‑қа тыйым салу

Thunderbolt ыңғайлы, бірақ жадыға шабуылдаудың жиі қолданылатын жолы. BIOS/UEFI‑де әдетте Security Level (SL0‑SL4) параметрі мен құрылғылардың ОС‑тан бұрын жұмысын қадағалайтын қосқыштар болады.

Қауіп тұрғысынан жақсырақ:

  • құрылғы авторизациясын талап ететін режимді (User Authorization немесе одан жоғары) таңдау
  • құрылғылардың ОС жүктелмей тұрып жұмысын шектеу (pre‑boot) — қажет болмаса өшіру
  • Thunderbolt Boot Support қажет болмаса өшіру

4) Порт саясаты: қосулы, шектелген немесе өшірілген

Егер жұмыс орындары қонақтарға ашық болса (ресепшн, переговоркалар, оқу бөлмелері), кейде Thunderbolt‑ты толық өшіру немесе PCIe‑туннелін пайдаланбай тек қуат/дисплей ретінде қалдыру (платформа мүмкіндік берген жағдайда) ақылды шешім болады.

Мысал: кеңседегі жұмыс станцияларын қабылдағанда алдын‑ала BIOS профилін бекіту: VT‑d/AMD‑Vi қосулы, UEFI және Secure Boot қосулы, Thunderbolt тек авторизацияланған құрылғыларға рұқсат етеді және pre‑boot өшірулі. Осындай профильді барлық ПК‑ға қайталап орнату ыңғайлы әрі тексерілетін болады.

Thunderbolt шектеулері және физикалық қолжетімділік: шешімді қалай қабылдау

Өзгерістерді бақылау және қызмет көрсету
BIOS жаңартулары мен қызмет көрсетуден кейін параметрлердің сақталуын реттейтін регламентті келісеміз.
Подключить поддержку

Thunderbolt және кез келген сыртқы PCIe құрылғылары ыңғайлы, бірақ қауіпсіздік көбіне портқа қолжетімділікке байланысты. Егер біреу жұмыс орнында күзетсіз тұрып портқа өз құрылғысын бір минуттық қосып кетуі мүмкін болса, DMA шабуыл тәуекелі едәуір артады.

Ең қарапайым сұрақ: «Басқа адам портқа бақылаусыз өз құрылғысын қосып кете ала ма?» Егер иә болса, тіпті Kernel DMA Protection қосулы болғанында да шектеулер орнату нақты негізделген.

Нені шектеу және қалай

Көбіне үш деңгейдің бірін таңдайды, жұмсақтан қатаңға:

  • тек авторизацияланған құрылғыларға рұқсат беру
  • Thunderbolt/PCIe құрылғыларының ОС‑қа кірмей тұрып жұмысын тыйу (pre‑boot‑ты өшіру)
  • портты (BIOS/UEFI арқылы немесе физикалық түрде) толық өшіру, егер ол міндетті болмаса

Практикалық тәсіл — паркті профильдерге бөлу. Офис қолданушыларына көбінесе "тек авторизацияланған және pre‑boot тыйым салынған" режим жеткілікті. Инженерлік жұмыс орындарына, қай жерде док‑станциялар мен жылдам сыртқы құрылғылар жұмыс процесінің бөлігі болса, портты өшіру жұмысты бұзуы мүмкін. Сол жерде рұқсат етілген периферияны есепке алу және параметрлерді бақылау жақсырақ.

Физикалық шаралар, нақты жұмыс істейтіндер

Тіпті жақсы баптаулар да порт әркімге қолжетімді болса көп көмектеспейді. Міндетті төмендегі шаралар:

  • жоғары тәуекелді жұмыс орындарында порттарға заглушкалар немесе блокираторлар
  • ішкі PCIe карталарын орнатуды болдырмау үшін корпустың пломбалары
  • док‑станциялар, кабельдер және адаптерлерді есепке алу (қайда тұрғаны, кім бергені, сериялық нөмірі)
  • қоғамдық аймақтарда жанды бақылаусыз компьютерді қалдырмау ережесі

Мысал: ұйымда ресепшнде Thunderbolt док‑станцияларын пайдалану керек болды. Шешім — док‑станцияларды нақты орындарға бекіту, оларды актив ретінде тіркеу және қалған порттарды заглушкалармен жауып қою. Инженерлік үстелдер үшін Thunderbolt ашық қалдырылды, бірақ оларда авторизация және pre‑boot‑қа тыйым енгізілді.

Бір ПК‑да қалай тексеруге болады: Windows‑тағы тез әдістер

DMA‑қорғаныс жұмыс істейтінін анықтаудың ең тез әдісі — Windows‑тағы Kernel DMA Protection статусын қарау. Тексеру әкімші құқықтарымен және драйверлер орнатылған жүйеде жақсырақ нәтиже береді.

«Windows Қауіпсіздігі» → «Құрылғы қауіпсіздігі» → «Ядро изоляциясы» (немесе «Ядро изоляциясының мәліметтері») жолымен қарап көріңіз. Қолдаушы платформаларда сол жерде Kernel DMA Protection және оның күйі көрсетіледі.

Тағы бір жол — «Жүйе туралы мәліметтер». Win+R басып, msinfo32 енгізіп, «Жүйе шолуы» бөлімін ашыңыз. Тексеру үшін маңызды өрістер:

  • Kernel DMA Protection (қосылған/өшірулі/қолдау жоқ)
  • Virtualization‑based security (VBS) және оның іске қосылған/өшірілген күйі
  • Device Guard (егер көрсетілсе) және қолдайтын мүмкіндіктер

Егер интерфейс жеткілікті ақпарат бермесе, PowerShell арқылы да тексеруге болады (әкімші ретінде іске қосыңыз):

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\KernelDmaProtection" | Select-Object Enabled

Статустарды былай оқу керек:

  • «Включено» немесе Enabled = 1 — қорғаныс белсенді, сыртқы шиналар арқылы DMA тәуекелі төмендеген.
  • «Не поддерживается» немесе кілт/параметр жоқ — әдетте себеп платформада, BIOS/UEFI немесе қосылу түрінде.
  • «Выключено» немесе Enabled = 0 — функция бар, бірақ өшірілген (көбіне IOMMU/VT‑d, жүктеу режимі немесе саясаттар себепті).

Егер «өшірулі» көрсеңіз, алдындағы тексерулерді жасаңыз: BIOS/UEFI және прошивканы тексеріп, кейін қайтадан тексеріңіз.

Партия бойынша тексеру: инвентаризация және есеп беру үшін қарапайым жоспар

Масштабты тексеру көбіне әртүрлілік (BIOS/UEFI нұсқалары, баптау профильдері, ОС образдары) салдарынан қиын болады. Сондықтан алдымен эталон орнатыңыз, содан кейін фактілерді жинаңыз.

Практикада жұмыс істейтін тексеру жоспары

Эталоннан бастаңыз: партиядан 1–2 бақылау ПК таңдап, BIOS/UEFI нұсқасын және негізгі параметрлерді (мысалы, IOMMU/VT‑d қосулы) қолмен тексеріңіз, кейін сол баптауды партияға өндірушінің құралдарымен немесе қабылдау процедуралары арқылы таратыңыз.

Келесі кезеңде статус жинауды қашықтан стандартты жолдармен орындаңыз (домендік іске қосу, MDM скрипттер, басқару құралдары). Нәтижелерді ортақ CSV‑ке шығарып, қабылдау актісіне қоса сақтау ыңғайлы.

Мысал PowerShell скрипті, ол ПК атауы, BIOS сериялық нөмірі, BIOS нұсқасы және msinfo32 есептен Kernel DMA Protection жолын шығарады:

$msi = "$env:TEMP\msinfo.txt"
Start-Process msinfo32.exe -ArgumentList "/report `"$msi`"" -Wait
$bios = Get-CimInstance Win32_BIOS
$line = (Select-String -Path $msi -Pattern "Kernel DMA Protection|Защита ядра DMA" -ErrorAction SilentlyContinue | Select-Object -First 1).Line
$status = if ($line) { ($line -split ":",2)[1].Trim() } else { "Unknown" }
[pscustomobject]@{
  ComputerName = $env:COMPUTERNAME
  BiosSerial   = $bios.SerialNumber
  BiosVersion  = $bios.SMBIOSBIOSVersion
  DmaStatus    = $status
}

Бірыңғай есеп және қабылдау шегі

Есепте минимум болуы тиіс: ПК атауы, сериялық нөмір, BIOS/UEFI нұсқасы, DMA статусы (On/Off/Unknown) және тексеру күні. Қабылдау шегін алдын‑ала анықтаңыз: «проходит» тек DMA қорғауы қосылған және BIOS нұсқасы мақұлданған жағдайларда ғана. Барлығы Off немесе Unknown шықса, оларды эксплуатацияға жібермей, BIOS, драйверлер және ОС жаңартуларымен қайта баптау қажет.

Бұл тәсіл физикалық қолжетімділік тәуекелі жоғары аймақтар үшін (оқу аудиториялары, жалпы стойкалар, выездтік жұмыс орындары) әсіресе маңызды.

Жиі кездесетін қателіктер, қорғаныс жұмыс істемейтін себептер

Инфрақұрылым мен ИБ бір жоба ретінде
Инфрақұрылым құрып жатсаңыз, серверлер мен жұмыс орындарын тәуекел моделіне сай проектілейміз.
Обсудить проект

Мәселе көбінесе «қажет функция жоқ» емес, бір немесе бірнеше шарттың орындалмағанында. Нәтижесінде құжатта DMA‑дан қорғау көрсетілгенімен, сыртқы шина арқылы құрылғы әлі де жадыға қол жеткізе алады.

Ең жиі тұзақ — VT‑d/IOMMU қосылғанмен, Legacy/CSM қалдырылып қойған жағдай. Kernel DMA Protection үшін Windows‑та әдетте таза UEFI жүктеу қажет. Егер жүйе Legacy режимінде жүктелсе, қорғаныс іске қосылмауы мүмкін, тіпті BIOS‑та барлық нәрсе "қосулы" көрінсе де.

Тағы бір тәуекел — Thunderbolt‑тың pre‑boot күйде рұқсат етілгені. Бұл кейбір сценарийлерде ыңғайлы, бірақ физикалық қолжетімділік бар жерде қауіпті: Windows саясаттары қолданардан бұрын құрылғылар жұмыс істей алады.

BIOS/UEFI жаңартқаннан кейін параметрлер әдетте әдепкіге қайтып қалуы мүмкін — бұл "тыныш" проблема. Пилот сәтті өткенмен, кейінгі партияларда BIOS нұсқасы өзгеріп, кей параметрлер Auto не өшірулі күйге оралып қояды.

Соңғысы — партиялар сирек толық біркелкі болады. Плат ревизиялары, Thunderbolt контроллерлері, Windows образдары мен драйверлердің әртүрлілігі бірдей модельде әр түрлі DMA статусын туғызуы мүмкін.

Бірінші тексерісте назар аудару керек:

  • жүктеу режимі UEFI қосулы және Legacy/CSM өшірулі
  • VT‑d/IOMMU анық қосылған, Auto күйінде қалдырылмаған
  • Thunderbolt/PCIe‑тың ОС‑қа кірмей тұрып жұмыс істеуі қажет болмаса өшірілген
  • BIOS жаңартқаннан кейін параметрлер қайта тексерілген
  • тест тек бір док‑станцияда емес, кемінде 2–3 түрлі құрылғыда жасалған

Мысал: кеңседегі жалпы қолжетімді аймаққа арналған жұмыс станцияларын қабылдағанда тек бір док‑станцияны тексеріп алған, бәрі дұрыс көрінген. Кейін басқа адаптер pre‑boot режимде жұмыс істеп, қорғаныс айтарлықтай айналып өтті. Мұндай жағдайларды алдын‑ала «қауіпті» сценарийлерді анықтап, солар бойынша тестілеу арқылы ғана анықтауға болады.

Қабылдау және эксплуатацияға енгізуге дейінгі қысқа чек‑лист

ПК‑ларды қабылдап, пайдаланушыларға тапсырудан бұрын DMA‑шабуылдардан қорғауды жиі бұзатын бірнеше нәрсені тексеріңіз. Оны кіріс бақылауында, машиналар кеңсеге тарқатылардан бұрын жасаған жөн.

Әр модельге арналған жылдам чек‑лист

  • Құрылғы UEFI режимінде жүктеледі (Legacy/CSM жоқ), Secure Boot қосулы.
  • BIOS/UEFI‑де IOMMU қосулы: Intel VT‑d немесе AMD‑Vi.
  • Windows‑та Kernel DMA Protection «Включено» ретінде көрінеді.
  • Thunderbolt/PCIe саясаты жұмыс орнының рөліне сай: физикалық тәуекел бар жерлерде жаңа құрылғылар шектеліп, pre‑boot тыйым салынған.
  • BIOS/UEFI нұсқалары мен прошивка датасы тіркелген (қайталанатын тексеріс үшін).

Егер ПК ашық аймақтарға арналған болса (ресепшн, оқу бөлмесі, жалпы переговоркалар), тек Windows‑қа сенбеңіз. Мұндай жерлерде шешім: UEFI + Secure Boot + IOMMU + порт саясатының дұрыс үйлесімі.

Партия бойынша есепте не жинау керек

Сатып алу, ИБ және ИТ бір тілде сөйлесуі үшін қарапайым шаблон жеткілікті:

  • модель/сериялық номер, бөлімше және тағайындауы (офис, стойка, жалпы қолжетімді)
  • BIOS/UEFI нұсқасы және негізгі жалауыштар (UEFI, Secure Boot, VT‑d/AMD‑Vi)
  • Windows‑тағы Kernel DMA Protection статусы
  • Thunderbolt күйі және режимі (рұқсат етілген/шектелген/өшірілген)
  • тексеру күні және жауапты тұлға

Қолданылған тәжірибе мысалы: физикалық тәуекелі бар ұйымда жұмыс станцияларын қабылдау

Жергілікті өндіріс арқылы сатып алу
Ұлттық өндірушінің шарттарын және ИБ талаптарын ескере отырып мемлекеттік сатып алу үшін спецификация дайындаймыз.
Запросить спецификацию

Ұйым қонақтар, клининг және мердігерлер жиі болатын бөлімге жұмыс станцияларын жаңартты. Қызметкерлерде әкімші құқықтары болмады, бірақ кейде бөтен адамдар жұмыс орындарына минуттай қол жеткізе алатын. Сондықтан қабылдау талаптарында DMA‑дан қорғаныс бөлек тармақ ретінде көрсетілді — тек антивирустық пен диск шифрлаудан гөрі.

ІБ командасы үш қадам жасады.

Бірінші: BIOS/UEFI‑де сыртқы құрылғылардан жүктеуді өшіріп, параметрлерді өзгертуге пароль қойды, осылайша pre‑boot арқылы саясатты айналып өту мүмкін болмады.

Екінші: Thunderbolt және басқа жоғары жылдамдықты порттарды шектеді: жаңа құрылғылардың қосылуына рұқсат бермей, құрылғылардың ОС‑қа кірмей тұрып жұмысын бұғаттады.

Үшінші: физикалық шаралар енгізді — корпустық пломбалар және аса қауіпті порттарда заглушкалар.

Тексеруді екі кезеңде ұйымдастырды: бастапқыда 5–10% машинаны таңдап тексеріп, образ пен баптаулардағы қателерді жылдам тауып алды, кейін бүкіл партия бойынша инвентаризация өткізді.

Қабылдау есептерінде келесі тармақтар тіркелді:

  • BIOS/UEFI‑де VT‑d/IOMMU қосулы ма
  • Windows‑та Kernel DMA Protection қосылған ба (қолдаса)
  • Thunderbolt саясаты орнатылған ба және сыртқы жүктеу тыйым салынған ба
  • ауытқулар тізімі және себептер (модель, BIOS нұсқасы)

Партияның бір бөлігі қажетті қорғанысты қолдамаса, оларды бірден жоюдың орнына рөлдерге бөліп орналастырды: аз маңызды жерлерге және құпия деректерге қатынасы жоқ тапсырмаларға арналған машиналар. Қосымша шара ретінде док‑станцияларды құлыптап сақтау, сменадан кейін шкафқа қою және порттарды қатаң есепке алу енгізілді.

Келесі қадамдар: қорғанысты стандартқа және сатып алу процесіне бекіту

DMA‑дан қорғау сіздің тәуекел моделіңіз үшін маңызды болса, оны бір реттік баптау емес, стандарт ретінде рәсімдеу керек. Сонда ПК‑ны ауыстыру, жөндеу немесе BIOS жаңартуларында үнемі нольден бастамайсыз.

1) Негізгі конфигурацияны бекітіңіз

Әртүрлі пайдаланушы топтары үшін BIOS/UEFI және порттар профилдерін жасаңыз. Бухгалтерия мен кадрларға қатаң шектеулер, инженерлерге — көбірек периферия, бірақ DMA статусы міндетті түрде тексерілетіндей.

Құжатта кем дегенде болуы тиіс:

  • VT‑d/IOMMU және байланысты опцияларды қосу талаптары
  • Thunderbolt саясаты (рұқсат етілген, тек авторизация, немесе өшірілген)
  • PCIe слоттарымен жұмыс ережелері (пломбалар, заглушкалар, карталарды өз бетімен орнатуға тыйым)
  • қолдасаң Kernel DMA Protection міндетті түрде қосулы болуы тиіс

2) Қабылдау және аудитке тексеруді енгізіңіз

DMA статусын қабылдау чек‑листіне және мерзімді аудиттерге (мысалы, тоқсан сайын немесе үлкен жаңартулардан кейін) енгізіңіз. BIOS параметрлерінің сақталуын бақылауды ұмытпаңыз.

Тексеруді қолмен айналдыру үшін дәл қандай дәлелдерді сақтау керектігін алдын‑ала анықтаңыз: статус экспорттары, ПК атауы, сериялық нөмір, күн мен орындаушы.

3) BIOS жаңартуларын басқару

BIOS жаңартулары қауіпсіздікті арттырады, бірақ параметрлерді бастапқыға қайтарам болуы мүмкін. Жаңарту процесін: кім жаңартады, параметрлердің сақталуын қалай тексереді және платаны алмастырғанда не істеу керек — қарапайым жоспар жасаңыз.

4) Сатып алуға талаптарды бекітіңіз

Техзадание мен келісімшартқа өлшенетін талаптарды жазған дұрыс, жалпы формулировкалар емес:

  • Kernel DMA Protection және қажетті Thunderbolt саясатын қолдау
  • партия бойынша біркелкі BIOS/UEFI профилі
  • сериялық нөмірлер бойынша партия статустарын тексеру

Егер сатып алу өндіруші немесе интегратор арқылы жүрсе, платформа, прошивка және стандартты BIOS/UEFI профильдері бойынша талаптарды алдын‑ала келісіңіз. Мысалы, GSE.kz жергілікті өндіруші және жүйелік интегратор ретінде аппараттық платформаның біртұтастығын және одан әрі қолдауын қамтамасыз етуде ыңғайлы жауапты бола алады.

FAQ

DMA-атака дегенді қарапайым тілмен қалай түсінеміз?

DMA-шабуыл — бұл оперативті жадыға тікелей қатынас орнатуға арналған құрылғы арқылы деректерге қол жеткізу әрекеті (мысалы, Thunderbolt/PCIe ұқсас интерфейстер арқылы). Желілік шабуылдардан айырмашылығы — әдетте шабуылдаушыға компьютерге физикалық түрде қатынасу керек және өз перифериясын қосу қажет.

Неліктен DMA‑қорғауды ПК сатып алу кезеңінде ойластыру керек?

Себебі бұл тәуекелті жаппай орналастырудан бұрын жабу арзан және оңай. Сатып алу кезінде IOMMU және Kernel DMA Protection қолдайтын платформаны таңдап, BIOS/UEFI профилін бекітіп, партикалдық тексеріс жасауға болады; жүздеген ПК таратқаннан кейін BIOS пен порттар бойынша айырмашылықтарды түзету күрделене түседі.

Kernel DMA Protection не істейді және неден қорғайды?

Kernel DMA Protection Windows-та IOMMU арқылы сыртқы құрылғылардың жадыға тікелей қатынасын шектейді, сондықтан Thunderbolt сияқты интерфейстер арқылы қосылған «күмәнді» периферия жүйе саясаттары қолданылғанша RAM‑ды оқи алмауы тиіс. Бұл Thunderbolt және ұқсас шиналар арқылы шабуылдардың ықтималдығын төмендетеді, бірақ BIOS/UEFI параметрлері мен физикалық қатынауды бақылауды алмастыра алмайды.

Неліктен кейбір ПК‑да Kernel DMA Protection қосулы, ал басқаларында «Not supported» немесе «Off» көрсетіледі?

Көбінесе платформа талаптары орындалмағаннан: IOMMU (VT-d/AMD-Vi) өшірулі, таза UEFI орнына Legacy/CSM іске қосылған, немесе Thunderbolt тым «еркін» күйде орнатылған. BIOS/UEFI нұсқасы немесе әртүрлі конфигурациялық шаблондар да әсер етуі мүмкін.

Қай BIOS/UEFI параметрлері DMA-қорғауға нақты әсер етеді?

UEFI‑де Legacy/CSM‑ды өшіріп, Secure Boot‑ты қосып, IOMMU‑ны (Intel‑да VT-d, AMD‑да AMD‑Vi/IOMMU) анық қосыңыз. Егер Thunderbolt болса, құрылғыларды авторизациялауды талап ететін режимді орнатыңыз және қажет болмаса жүктелуге дейінгі (pre-boot) режимде PCIe‑тішектердің жұмыс істеуін шектеңіз.

Бір компьютерде DMA‑қорғаудың қосылғанын қалай тез тексеруге болады?

Windows-та «Система туралы мәліметтер» (msinfo32) немесе «Windows Қауіпсіздігі» → «Құрылғы қауіпсіздігі» → «Ядро изоляциясы» бөлімінен Kernel DMA Protection статусыңызды тексеріңіз. Егер «Off» көрсетілсе, алдымен UEFI/Legacy, VT-d/AMD‑Vi және Thunderbolt параметрлерін BIOS‑тен тексеріңіз, содан кейін прошивка мен драйверлерді жаңартып, қайта тексеріңіз.

Thunderbolt қаншалықты қауіпті және оны өшіру керек пе?

Егер құрылғы «сыртқы PCIe» сияқты жұмыс істей алса, тәуекел жоғарылайды, әсіресе док‑станциялар ортақ немесе анықталмаған болса. Thunderbolt қажет болса — құрылғыларды авторизациялауды және pre-boot режимін өшіруді қолдану қауіпсіз; сонымен қатар док‑станцияларды бөлек актив ретінде есепке алу керек.

Қай сценарийлерде DMA-шабуылдар нақты жүзеге асырылуы мүмкін?

Жалпы офис ПК‑лары үшін тәуекел әдетте төмен болады, егер жұмыс орындары уақытылы қорғалған және периферия тұрақты орналасса. Қауіп переговорная, ресепшн, сервистік аймақтар, выездтік ноутбуктар және порттарға минуттық қол жетімділік болатын жерлерде артады.

Қауіпсіздік дұрыс жұмыс істемеуіне әкелетін типтік қателер қандай?

Негізгі себептер — BIOS/UEFI нұсқалары мен параметрлері арасындағы әркелкілік, Legacy/CSM қалдырып қою, Thunderbolt‑тың pre-boot күйде қалуы және прошивка жаңартқаннан кейін параметрлердің бастапқыға оралуы. Сондай-ақ «Windows‑тағы бір белгі арқылы қорғалған» деп ойлап, BIOS‑ті нақты тексермеу кең таралған қателік.

Парктегі әртүрлі DMA‑қорғауды болдырмау үшін ТЗ‑да қандай талаптар жазу керек?

Өлшенетін талаптарды бекітіңіз: IOMMU және Kernel DMA Protection қолдауы, барлық партияда бірдей BIOS/UEFI профилі және Thunderbolt саясаты (авторизациямен, жүктелуге дейін шектелген немесе өшірілген). Жеткізушіден партия бойынша бірдей прошивка мен қайталанатын параметрлерді қамтамасыз етуді сұраңыз және қабылдау кезінде сериялық номерлер мен статустар бойынша растама жинаңыз.