Kernel DMA Protection не поддерживается — как включить защиту от атак по Thunderbolt/PCIe (Windows 11, 2025)

Kernel DMA Protection защищает память от прямого доступа внешних устройств (Thunderbolt/PCIe/USB4). Если в «Безопасности устройства» написано «Не поддерживается», это не всегда ошибка — возможно, в UEFI отключён IOMMU/VT‑d, старые драйверы Thunderbolt, устаревший BIOS или просто нет аппаратной поддержки. Разберёмся, как проверить и что можно включить.

Коротко: что сделать сразу

  • Проверьте статус в Безопасности Windows → Безопасность устройства или через msinfo32.
  • Обновите BIOS/UEFI и драйверы чипсета/Thunderbolt.
  • Включите VT‑d/IOMMU/AMD‑Vi в UEFI.
  • Активируйте блокировку внешних DMA‑устройств на экране блокировки.
Нужна помощь? Проверю поддержку на Вашей модели, обновлю прошивку/драйверы и настрою безопасный режим работы с док‑станциями.

1) Как проверить статус

  • Пуск → msinfo32 → найдите строку «Защита DMA ядра». Там будет «Включена/Выключена/Не поддерживается».
  • Параметры → Конфиденциальность и безопасность → Безопасность WindowsБезопасность устройства.

2) Включаем IOMMU/VT‑d/AMD‑Vi в UEFI

Зайдите в UEFI/BIOS (Del/F2) и включите соответствующую опцию:

  • Intel: VT‑d, Intel Virtualization for Directed I/O.
  • AMD: IOMMU/AMD‑Vi (часто в разделах Advanced/PCI Subsystem).
  • Сохраните изменения и перезагрузитесь.

3) Обновляем прошивку и драйверы

  • Установите свежие драйверы чипсета Intel/AMD с сайта производителя платы/ноутбука.
  • Обновите драйвер и прошивку контроллера Thunderbolt/USB4 (если предусмотрено).
  • Проверьте обновления Windows: Параметры → Центр обновления.

4) Блокируем внешние DMA‑устройства при заблокированном ПК

В Windows есть защита, которая не допускает подключение некоторых внешних устройств DMA, пока ПК заблокирован.

  1. Откройте «Параметры» → «Конфиденциальность и безопасность» → «Безопасность Windows» → «Безопасность устройства» → «Сведения».
  2. Включите опцию блокировки внешних устройств при заблокированном экране (если доступна на Вашем устройстве).

PowerShell (Администратор) — выполнять по одной:

Get-CimInstance -ClassName Win32_ComputerSystem | Select-Object Manufacturer, Model
Start-Process msinfo32

FAQ

Статус по‑прежнему «Не поддерживается».

Значит, аппаратной поддержки на Вашей модели действительно нет. Используйте блокировку DMA на экране блокировки и держите систему обновлённой.

Док‑станция перестала работать после включения IOMMU.

Обновите драйверы/прошивку дока. Если производитель не поддерживает, верните настройку или используйте альтернативное подключение.

Читайте также: