💼 Management Samenvatting
Kernel DMA (Direct Memory Access) bescherming voorkomt dat kwaadaardige externe apparaten via Thunderbolt- of USB-C-poorten direct toegang krijgen tot het systeemgeheugen, waardoor ze BitLocker-versleuteling kunnen omzeilen en gegevens kunnen stelen.
Aanbeveling
IMPLEMENTEREN
Risico zonder
Hoog
Risk Score
7/10
Implementatie
12u (tech: 4u)
Van toepassing op:
✓ Windows 10 1803+
✓ Windows 11
✓ Windows 11
Direct Memory Access (DMA) vormt een unieke aanvalsvector die fundamenteel verschilt van traditionele externe apparaataanvallen. Traditionele externe apparaten zoals USB-sticks kunnen alleen via besturingssysteemstuurprogramma's toegang krijgen tot systeembronnen, wat betekent dat het besturingssysteem controle heeft over wat er gebeurt. Thunderbolt en USB-C-poorten die Thunderbolt-modus ondersteunen, bieden echter een geheel andere mogelijkheid: ze ondersteunen DMA, waardoor apparaten direct het geheugen kunnen benaderen zonder tussenkomst van het besturingssysteem. De meest bekende aanvalsscenario is de zogenaamde 'Evil Maid'-aanval. In dit scenario krijgt een aanvaller kortstondig fysieke toegang tot een ontgrendelde of in slaapstand verkerende laptop. De aanvaller sluit vervolgens een kwaadaardig Thunderbolt-apparaat aan dat via DMA direct toegang heeft tot het geheugen. Het apparaat kan vervolgens het geheugen dumpen, BitLocker-versleutelingssleutels uit het RAM extraheren en de volledige schijf ontsleutelen. Dit alles kan binnen enkele minuten gebeuren, zonder dat de gebruiker het merkt. DMA-aanvallen komen in de praktijk voor via tools zoals PCILeech, die specifiek zijn ontworpen om via Thunderbolt DMA-aanvallen uit te voeren. Koude-opstartaanvallen kunnen worden versterkt via DMA, en firmware-implantaten kunnen via DMA worden geïnstalleerd. Doelwitten zijn vaak hoogwaardige personen zoals executives, ingenieurs en overheidsmedewerkers, maar ook laptops die in hotelkamers worden achtergelaten, apparaten die kortstondig onbeheerd zijn op beveiligingscheckpoints, of gestolen apparaten. In het tijdperk vóór DMA-bescherming bood BitLocker alleen bescherming tegen aanvallen tijdens het opstarten, maar niet tegen DMA-geheugendumps. Versleutelingssleutels blijven tijdens runtime in het RAM aanwezig, en fysieke toegang betekende in feite dat alle beveiliging werd omzeild. Kernel DMA-bescherming, geïntroduceerd in Windows 10 versie 1803 en later, lost dit probleem op door ongeautoriseerde DMA te blokkeren tijdens de pre-boot en vroege bootfase. Alleen DMA-compatibele apparaten die zijn geverifieerd via IOMMU (Input-Output Memory Management Unit) zijn toegestaan. Thunderbolt-apparaten moeten zich authenticeren voordat DMA-toegang wordt verleend, en geheugenisolatie wordt gegarandeerd via IOMMU. Het mechanisme werkt als volgt: wanneer een apparaat wordt aangesloten, controleert de firmware eerst of het apparaat is geautoriseerd. Als het apparaat is goedgekeurd door de gebruiker en voldoet aan de beveiligingsvereisten, wordt DMA-toegang verleend. Als het apparaat niet is geautoriseerd, wordt DMA geblokkeerd en wordt het apparaat alleen als regulier USB-apparaat herkend, zonder DMA-mogelijkheden. Het belang van deze bescherming kan niet worden overschat. Voor mobiele werknemers die regelmatig risico lopen op fysieke toegang tot hun apparaten, is DMA-bescherming essentieel. Voor geclassificeerde systemen is het een compliance-vereiste, en het biedt verdediging tegen geavanceerde aanvallen van nation-state actoren die toegang hebben tot geavanceerde tools en technieken.
PowerShell Modules Vereist
Primary API: Hardware/Firmware Functie
Connection:
Required Modules:
Connection:
UEFI/BIOSRequired Modules:
Implementatie
Kernel DMA-bescherming is een geïntegreerde beveiligingsfunctie die bestaat uit drie componenten: hardware, firmware en besturingssysteem. Deze drie lagen werken samen om een complete beveiligingsoplossing te bieden. Op hardwareniveau zijn specifieke vereisten nodig. De processor moet Intel VT-d of AMD-Vi ondersteunen, wat IOMMU-ondersteuning biedt. De firmware moet UEFI versie 2.3.1 of later zijn; legacy BIOS wordt niet ondersteund. Daarnaast moet de Thunderbolt 3-controller kernel DMA-bescherming ondersteunen. Op firmwareniveau moet UEFI Secure Boot zijn ingeschakeld, en de firmware moet compatibel zijn met Device Guard. Op besturingssysteemniveau vereist kernel DMA-bescherming Windows 10 versie 1803 of later, of Windows 11. Belangrijk is dat dit een hardwarefunctie is die automatisch wordt ingeschakeld op ondersteunde hardware; er is geen handmatige configuratie mogelijk via groepsbeleid of Intune-beleid. Verificatie van DMA-bescherming kan op verschillende manieren worden uitgevoerd. In het Windows-register bestaat de sleutel HKLM:\SYSTEM\CurrentControlSet\Control\DmaSecurity wanneer DMA-bescherming actief is. In Apparaatbeheer toont de eigenschappen van de PCI Express Root Complex 'Kernel DMA-bescherming: Aan'. System Information (msinfo32.exe) toont ook de status van kernel DMA-bescherming. Het is cruciaal te begrijpen dat dit geen beleid is dat kan worden in- of uitgeschakeld. Het is een hardwarefunctie die automatisch werkt als de hardware het ondersteunt. Organisaties moeten daarom laptops aanschaffen die DMA-bescherming ondersteunen, wat doorgaans moderne zakelijke laptops zijn zoals Dell Latitude, HP EliteBook of Lenovo ThinkPad van recente modellen. Consumentenlaptops missen vaak de juiste DMA-beschermingshardware. Organisaties moeten DMA-bescherming verifiëren tijdens de inrichting van apparaten en documenteren welke apparaten wel en geen bescherming hebben, zodat risicoanalyses kunnen worden uitgevoerd en prioriteiten kunnen worden gesteld voor hardwarevervanging.
Vereisten
Kernel DMA-bescherming vereist een specifieke combinatie van hardware-, firmware- en besturingssysteemcomponenten. Deze vereisten zijn niet onderhandelbaar en moeten allemaal aanwezig zijn om de beveiligingsfunctie te laten werken. Het is belangrijk te begrijpen dat DMA-bescherming niet kan worden toegevoegd via software-updates of configuratie; het is een hardwarefunctie die al in het systeem moet zijn ingebouwd. Op besturingssysteemniveau is Windows 10 versie 1803 of later vereist, of Windows 11. Eerdere versies van Windows 10 ondersteunen deze functie niet, zelfs niet als de hardware het ondersteunt. Dit betekent dat organisaties die DMA-bescherming willen implementeren, moeten zorgen voor een up-to-date Windows-versie op alle relevante apparaten. Op firmwareniveau zijn er strikte vereisten. De firmware moet UEFI versie 2.3.1 of later zijn. Legacy BIOS wordt niet ondersteund, wat betekent dat oudere apparaten die nog BIOS gebruiken, geen DMA-bescherming kunnen hebben, ongeacht andere hardwarecomponenten. Daarnaast moet UEFI Secure Boot zijn ingeschakeld. Secure Boot is een fundamentele beveiligingsfunctie die voorkomt dat onbevoegde firmware of besturingssysteemcode wordt uitgevoerd tijdens het opstartproces, en het is een vereiste voor DMA-bescherming omdat het de integriteit van het bootproces garandeert. Op hardwareniveau zijn er verschillende kritieke componenten nodig. De processor moet Intel VT-d (Virtualization Technology for Directed I/O) of AMD-Vi (AMD Virtualization) ondersteunen. Deze technologieën bieden IOMMU-functionaliteit, wat essentieel is voor het isoleren en beveiligen van DMA-operaties. Zonder IOMMU-ondersteuning kan het besturingssysteem geen controle uitoefenen over welke apparaten DMA-toegang krijgen. De Thunderbolt 3-controller moet specifiek DMA-bescherming ondersteunen. Niet alle Thunderbolt 3-controllers hebben deze functionaliteit, en dit is een belangrijk punt om te controleren bij de aanschaf van nieuwe apparaten. Moderne zakelijke laptops zoals Dell Latitude, HP EliteBook en Lenovo ThinkPad van recente modellen hebben doorgaans de juiste hardware, maar het is belangrijk om dit te verifiëren bij de leverancier. Een kritiek punt is dat consumentenlaptops vaak de juiste DMA-beschermingshardware missen. Dit komt omdat DMA-bescherming extra hardwarecomponenten vereist die de productiekosten verhogen, en consumentenapparaten zijn vaak geoptimaliseerd voor prijs in plaats van beveiliging. Voor organisaties die DMA-bescherming nodig hebben, is het daarom essentieel om zakelijke modellen te kiezen en niet te vertrouwen op consumentenapparaten, zelfs als deze technisch gezien dezelfde specificaties lijken te hebben. Verificatie van DMA-bescherming kan eenvoudig worden uitgevoerd via System Information (msinfo32.exe). Open deze tool en navigeer naar System Summary. Zoek naar de regel 'Kernel DMA-bescherming' en controleer of deze 'Ja' of 'Yes' toont. Als deze regel ontbreekt of 'Nee' toont, betekent dit dat DMA-bescherming niet actief is, wat meestal betekent dat de hardware het niet ondersteunt. Deze verificatie moet worden uitgevoerd tijdens de inrichting van nieuwe apparaten en regelmatig worden gecontroleerd als onderdeel van beveiligingsaudits.
Implementatie
De implementatie van DMA-bescherming verschilt fundamenteel van de meeste andere beveiligingsmaatregelen omdat het geen configuratie vereist via Intune, groepsbeleid of andere beheertools. DMA-bescherming is een hardwarefunctie die automatisch wordt ingeschakeld op ondersteunde hardware zodra Windows 10 versie 1803 of later, of Windows 11, wordt geïnstalleerd. Dit betekent dat er geen handmatige configuratie nodig is; de hardware en Windows werken samen om de beveiliging automatisch te activeren. De enige vereiste die organisaties moeten controleren is dat Secure Boot is ingeschakeld in de UEFI-instellingen. Secure Boot is een firmwarefunctie die voorkomt dat onbevoegde code wordt uitgevoerd tijdens het opstartproces, en het is een fundamentele vereiste voor DMA-bescherming. Als Secure Boot niet is ingeschakeld, werkt DMA-bescherming niet, zelfs niet op hardware die het ondersteunt. IT-beheerders moeten daarom tijdens de inrichting van nieuwe apparaten controleren of Secure Boot is ingeschakeld, en dit moet worden gedocumenteerd als onderdeel van het standaard inrichtingsproces. Verificatie van DMA-bescherming kan op verschillende manieren worden uitgevoerd. De eenvoudigste methode is via System Information (msinfo32.exe), waar de status direct zichtbaar is. Een alternatieve methode is via Apparaatbeheer: navigeer naar PCI Express Root Complex, open de eigenschappen, ga naar het tabblad Details en zoek naar 'Kernel DMA-bescherming'. Deze verificatie moet worden uitgevoerd tijdens de inrichting en regelmatig worden gecontroleerd als onderdeel van beveiligingsaudits. Hoewel de technische implementatie automatisch is, vereist de organisatorische implementatie een gestructureerde aanpak. De eerste stap is het bijwerken van de inkoopspecificaties voor laptops. Organisaties moeten expliciet specificeren dat nieuwe laptops DMA-bescherming moeten ondersteunen. Dit betekent dat IT-afdelingen moeten samenwerken met inkoopafdelingen om ervoor te zorgen dat leveranciers de juiste modellen leveren. Het is belangrijk om niet alleen te vertrouwen op algemene specificaties zoals 'Thunderbolt 3-ondersteuning', maar expliciet te vragen naar DMA-bescherming, omdat niet alle Thunderbolt 3-implementaties deze functie ondersteunen. De tweede stap is het uitvoeren van een inventarisatie van de bestaande vloot. Organisaties moeten alle laptops controleren op DMA-beschermingsmogelijkheden. Dit kan worden geautomatiseerd via PowerShell-scripts die de registerwaarden of System Information controleren. De resultaten moeten worden gedocumenteerd in een centrale inventaris, waarbij wordt aangegeven welke apparaten wel en geen DMA-bescherming hebben. Deze inventaris vormt de basis voor risicoanalyses en prioritering van hardwarevervanging. Prioritering is essentieel, vooral voor organisaties met grote vlotten of beperkte budgetten. Hoogwaardige gebruikers zoals executives, ingenieurs met intellectueel eigendom, en medewerkers die regelmatig reizen of werken met geclassificeerde gegevens, moeten prioriteit krijgen bij het vervangen van apparaten zonder DMA-bescherming. Deze gebruikers lopen het grootste risico op fysieke toegang tot hun apparaten en hebben vaak toegang tot de meest gevoelige gegevens. Voor apparaten zonder DMA-bescherming moeten compenserende controles worden geïmplementeerd. Dit omvat het afdwingen van BitLocker-versleuteling met TPM, wat ten minste bescherming biedt tegen aanvallen tijdens het opstarten, hoewel het niet beschermt tegen DMA-aanvallen tijdens runtime. Aanvullende fysieke beveiligingsmaatregelen zijn ook belangrijk, zoals het verplichten van pre-boot-authenticatie (BitLocker PIN + TPM) en het opleiden van gebruikers om laptops nooit onbeheerd achter te laten in openbare ruimtes. Gebruikerseducatie is een kritiek onderdeel van de implementatie. Gebruikers moeten worden getraind in Thunderbolt-beveiliging en moeten begrijpen dat ze geen onbekende Thunderbolt-apparaten moeten aansluiten. Dit is vooral belangrijk omdat DMA-aanvallen kunnen worden uitgevoerd met relatief eenvoudige apparaten die eruitzien als legitieme accessoires. Gebruikers moeten worden geïnformeerd over de risico's en moeten weten hoe ze verdachte activiteiten kunnen herkennen en melden.
Gebruik PowerShell-script kernel-dma-bescherming-enabled.ps1 (functie Invoke-Monitoring) – Verifieer DMA-bescherming via registercontrole.
Monitoring
Monitoring van DMA-bescherming is essentieel om te zorgen dat de beveiligingsmaatregel effectief wordt geïmplementeerd en onderhouden. In tegenstelling tot softwareconfiguraties die kunnen worden gemonitord via Intune of andere beheertools, vereist DMA-bescherming een specifieke monitoringaanpak omdat het een hardwarefunctie is die niet kan worden afgedwongen via beleid. De eerste en belangrijkste monitoringmetriek is de inventarisatie van DMA-beschermingsdekking. Organisaties moeten regelmatig controleren welk percentage van hun apparaten DMA-bescherming heeft. Dit kan worden geautomatiseerd via PowerShell-scripts die System Information of registerwaarden controleren en de resultaten rapporteren aan een centrale monitoringoplossing zoals Microsoft Intune of een SIEM-systeem. Het doel moet zijn dat 100% van nieuwe apparaten DMA-bescherming heeft, en organisaties moeten een duidelijk plan hebben om bestaande apparaten zonder bescherming te vervangen binnen een redelijke termijn. Risicoanalyse is een kritiek onderdeel van monitoring. Organisaties moeten niet alleen weten welke apparaten geen DMA-bescherming hebben, maar ook wie deze apparaten gebruikt en wat het risico is. Hoogwaardige gebruikers zoals executives, ingenieurs met intellectueel eigendom, en medewerkers die werken met geclassificeerde gegevens of regelmatig reizen, moeten worden geïdentificeerd als prioriteit voor hardwarevervanging. Deze risicoanalyse moet regelmatig worden bijgewerkt, vooral wanneer nieuwe gebruikers worden toegevoegd of wanneer gebruikers van rol veranderen. Incidentmonitoring is een meer geavanceerde vorm van monitoring die zich richt op het detecteren van verdachte activiteiten. Hoewel DMA-aanvallen moeilijk direct te detecteren zijn omdat ze plaatsvinden op hardwareniveau, kunnen organisaties wel monitoren op verdachte Thunderbolt-apparaatverbindingen. Windows Event Logs bevatten informatie over Thunderbolt-apparaatverbindingen, en deze kunnen worden gemonitord via SIEM-systemen. Ongebruikelijke patronen, zoals verbindingen buiten normale werkuren of verbindingen van onbekende apparaten, kunnen indicatoren zijn van potentiële aanvallen. Het is belangrijk om te benadrukken dat dit type monitoring geen directe detectie van DMA-aanvallen biedt, maar wel kan helpen bij het identificeren van verdachte activiteiten die verder onderzoek rechtvaardigen. Hardwareverversing moet worden gemonitord om ervoor te zorgen dat nieuwe aankopen DMA-bescherming omvatten. Dit vereist samenwerking tussen IT-afdelingen en inkoopafdelingen. IT moet regelmatig controleren of nieuwe apparaten die worden aangeschaft daadwerkelijk DMA-bescherming hebben, en inkoop moet worden geïnformeerd over eventuele afwijkingen. Dit helpt voorkomen dat organisaties per ongeluk nieuwe apparaten aanschaffen zonder de vereiste beveiligingsfuncties. Monitoring moet worden geïntegreerd in de algemene beveiligingsmonitoringstrategie van de organisatie. DMA-beschermingsstatus moet worden opgenomen in regelmatige beveiligingsrapporten, en afwijkingen moeten worden geëscaleerd naar de juiste beheerders. Voor organisaties met compliance-vereisten, zoals overheidsorganisaties die moeten voldoen aan BIO-normen, moet monitoring worden gedocumenteerd als onderdeel van auditbewijs.
Gebruik PowerShell-script kernel-dma-protection-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie van apparaten zonder DMA-bescherming vereist een gelaagde aanpak die rekening houdt met de verschillende scenario's en beperkingen. Het is belangrijk te begrijpen dat DMA-bescherming niet kan worden toegevoegd via software-updates of configuratie; het is een hardwarefunctie. Dit betekent dat remediatie vaak hardwarevervanging vereist, maar er zijn ook korte- en middellangetermijnmaatregelen die kunnen worden genomen om risico's te verminderen. Voor apparaten die DMA-bescherming missen vanwege oudere hardware, zijn er verschillende opties afhankelijk van de tijdslijn. Op korte termijn kunnen organisaties Thunderbolt-poorten uitschakelen in de BIOS-instellingen. Dit vermindert de functionaliteit van het apparaat aanzienlijk, omdat gebruikers geen Thunderbolt-apparaten meer kunnen aansluiten, maar het voorkomt wel DMA-aanvallen volledig. Deze maatregel is vooral geschikt voor apparaten die worden gebruikt door gebruikers met een hoog risicoprofiel en waar de functionaliteit van Thunderbolt niet essentieel is voor het dagelijkse werk. Op middellange termijn moeten apparaten zonder DMA-bescherming worden geprioriteerd voor hardwarevervanging. Dit betekent dat wanneer organisaties hun hardwareverversingscyclus plannen, apparaten zonder DMA-bescherming prioriteit moeten krijgen, vooral als ze worden gebruikt door hoogwaardige gebruikers. Organisaties moeten een duidelijk plan hebben voor hardwarevervanging dat rekening houdt met budgettaire beperkingen maar ook met beveiligingsrisico's. Compenserende controles zijn essentieel voor apparaten zonder DMA-bescherming. Deze omvatten versterkte fysieke beveiliging, zoals het verplichten dat laptops nooit onbeheerd worden achtergelaten in openbare ruimtes. Gebruikers moeten worden getraind in fysieke beveiligingspraktijken en moeten begrijpen dat zelfs korte perioden van onbeheerd achterlaten kunnen leiden tot beveiligingsincidenten. Pre-boot-authenticatie via BitLocker PIN in combinatie met TPM biedt aanvullende bescherming, hoewel het niet beschermt tegen DMA-aanvallen tijdens runtime. Deze maatregelen moeten worden geïmplementeerd als onderdeel van een bredere beveiligingsstrategie die meerdere lagen van bescherming biedt. Op lange termijn moeten alle apparaten zonder DMA-bescherming worden vervangen door hardware die DMA-bescherming ondersteunt. Dit moet worden opgenomen in de volgende hardwareverversingscyclus, en organisaties moeten ervoor zorgen dat nieuwe aankopen expliciet DMA-bescherming vereisen. Het is belangrijk om een duidelijk tijdlijn te hebben voor deze vervanging, vooral voor apparaten die worden gebruikt door hoogwaardige gebruikers of voor het verwerken van geclassificeerde gegevens. Voor apparaten waarvan de hardware DMA-bescherming zou moeten ondersteunen maar waar de functie niet actief is, zijn er specifieke stappen die kunnen worden genomen. De eerste stap is verificatie dat Secure Boot is ingeschakeld in de UEFI- of BIOS-instellingen. Secure Boot is een vereiste voor DMA-bescherming, en als het niet is ingeschakeld, werkt DMA-bescherming niet, zelfs niet op hardware die het ondersteunt. IT-beheerders moeten de UEFI-instellingen controleren en Secure Boot inschakelen indien nodig. Firmware-updates kunnen soms DMA-bescherming inschakelen op hardware die het ondersteunt maar waar de functie niet actief was. Leveranciers brengen regelmatig firmware-updates uit die beveiligingsfuncties verbeteren of inschakelen, en het is belangrijk om firmware up-to-date te houden. Organisaties moeten een proces hebben voor het beheren van firmware-updates, inclusief testen voordat updates worden uitgerold naar productieomgevingen. Als de hardware DMA-bescherming zou moeten ondersteunen maar het nog steeds niet werkt na het inschakelen van Secure Boot en het bijwerken van de firmware, moet contact worden opgenomen met de leverancier. De leverancier kan bevestigen of het specifieke model DMA-bescherming ondersteunt en kan helpen bij het oplossen van problemen. Soms zijn er specifieke configuratie-instellingen in de UEFI nodig die niet standaard zijn ingeschakeld, of zijn er bekende problemen met bepaalde hardwareconfiguraties. Leveranciersondersteuning kan helpen bij het identificeren en oplossen van deze problemen.
Gebruik PowerShell-script kernel-dma-protection-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
DMA-bescherming is relevant voor verschillende compliance-frameworks en beveiligingsstandaarden, vooral voor organisaties die werken met geclassificeerde systemen of kritieke infrastructuur. Het is belangrijk te begrijpen hoe DMA-bescherming past binnen deze frameworks en welke specifieke vereisten van toepassing zijn. Voor geclassificeerde systemen, met name in overheids- en defensiecontexten, is DMA-bescherming vaak een expliciete vereiste. Deze organisaties werken met gegevens die zijn geclassificeerd als vertrouwelijk, geheim of zelfs staatsgeheim, en fysieke beveiliging is een fundamenteel onderdeel van hun beveiligingsstrategie. DMA-bescherming voorkomt dat aanvallers met fysieke toegang versleutelingssleutels kunnen extraheren uit het geheugen, wat essentieel is voor het beschermen van geclassificeerde gegevens. Organisaties die werken met geclassificeerde systemen moeten daarom expliciet controleren of DMA-bescherming aanwezig is en moeten dit documenteren als onderdeel van hun compliance-audits. Binnen het BIO-framework (Baseline Informatiebeveiliging Overheid) is DMA-bescherming relevant voor controle 10.01, die betrekking heeft op cryptografische maatregelen. Deze controle vereist dat organisaties passende cryptografische maatregelen implementeren om gegevens te beschermen, en DMA-bescherming voorkomt dat aanvallers BitLocker-versleuteling kunnen omzeilen door versleutelingssleutels uit het geheugen te extraheren. Voor BIO-audits moeten organisaties kunnen aantonen dat ze DMA-bescherming hebben geïmplementeerd waar mogelijk, en moeten ze compenserende controles hebben voor apparaten zonder DMA-bescherming. ISO 27001 controle A.8.24 betreft het gebruik van cryptografie en vereist dat organisaties cryptografische controles implementeren om informatie te beschermen. DMA-bescherming is relevant omdat het de integriteit van cryptografische implementaties beschermt door te voorkomen dat versleutelingssleutels worden geëxtraheerd uit het geheugen. Voor ISO 27001-certificering moeten organisaties kunnen aantonen dat ze passende maatregelen hebben genomen om cryptografische sleutels te beschermen, en DMA-bescherming is een belangrijke maatregel voor mobiele apparaten die risico lopen op fysieke toegang. De CIS Windows Benchmark beveelt DMA-bescherming aan voor mobiele apparaten. Hoewel dit geen expliciete vereiste is, wordt het beschouwd als een best practice voor organisaties die hun Windows-omgeving willen beveiligen volgens CIS-richtlijnen. Organisaties die de CIS Windows Benchmark volgen, moeten daarom overwegen DMA-bescherming te implementeren als onderdeel van hun beveiligingsstrategie, vooral voor apparaten die regelmatig risico lopen op fysieke toegang. NIS2 (Network and Information Systems Directive 2) Artikel 21 betreft fysieke beveiligingsmaatregelen voor kritieke infrastructuur. DMA-bescherming is relevant omdat het een fysieke beveiligingsmaatregel is die beschermt tegen aanvallen die fysieke toegang vereisen. Organisaties die onder NIS2 vallen, moeten passende fysieke beveiligingsmaatregelen implementeren, en DMA-bescherming is een belangrijke maatregel voor mobiele apparaten die worden gebruikt in kritieke infrastructuursectoren. Voor compliance-audits moeten organisaties kunnen aantonen dat ze DMA-bescherming hebben geïmplementeerd waar mogelijk. Dit betekent dat ze moeten documenteren welke apparaten DMA-bescherming hebben, welke apparaten het missen, en welke compenserende controles zijn geïmplementeerd voor apparaten zonder bescherming. Regelmatige monitoring en rapportage zijn essentieel om te zorgen dat compliance-vereisten worden nageleefd en om auditbewijs te kunnen leveren wanneer dat nodig is.
Compliance & Frameworks
- CIS M365: Control Windows Beveiliging (L1) - DMA-bescherming voor mobiele apparaten
- BIO: 10.01.02 - Bescherming van cryptografische sleutels
- ISO 27001:2022: A.8.24 - Gebruik van cryptografie
- NIS2: Artikel - Fysieke beveiligingsmaatregelen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Intune Security: Kernel DMA Protection Enabled
.DESCRIPTION
CIS - Kernel DMA protection moet enabled zijn (Thunderbolt security).
.NOTES
Filename: kernel-dma-protection-enabled.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Registry: HKLM:\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses|Expected: Exists
#>
#Requires -Version 5.1
#Requires -RunAsAdministrator
[CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert)
$ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SYSTEM\CurrentControlSet\Control\DmaSecurity"
function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) }
function Test-Compliance {
$r = [PSCustomObject]@{ScriptName = "kernel-dma-protection-enabled.ps1"; PolicyName = "Kernel DMA Protection"; IsCompliant = $false; CurrentValue = $null; ExpectedValue = "Enabled"; Details = @() }; function Invoke-Revert { Write-Host "Hardware feature - cannot revert" }
try { if (Test-Path $RegPath) { $r.IsCompliant = $true; $r.CurrentValue = "Enabled"; $r.Details += "DMA protection active" }else { $r.CurrentValue = "Not Supported"; $r.Details += "Hardware ondersteunt geen DMA protection" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r
}
function Invoke-Remediation { Write-Host "DMA protection vereist hardware ondersteuning (Windows 10 1803+)" -ForegroundColor Yellow; Write-Host "Wordt automatisch enabled door Windows op ondersteunde hardware" -ForegroundColor Gray }
function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r }
function Invoke-Revert { Write-Host "Hardware feature - cannot revert" }
try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }
Risico zonder implementatie
Risico zonder implementatie
Hoog: Hoog risico voor mobiele werknemers: Evil maid-aanvallen via Thunderbolt DMA kunnen BitLocker omzeilen en gegevens stelen binnen enkele minuten. Dit is vooral kritiek voor executives (hoogwaardige doelwitten), ingenieurs met intellectueel eigendom, frequente reizigers en medewerkers die werken met geclassificeerde gegevens. Zonder DMA-bescherming betekent fysieke toegang in feite een datalek, ongeacht BitLocker-versleuteling.
Management Samenvatting
Schaf laptops aan met Kernel DMA-bescherming (hardwarefunctie, automatisch ingeschakeld in Windows 10 1803+). Dit voorkomt Thunderbolt DMA-aanvallen die BitLocker omzeilen. Verifieer via msinfo32.exe. Werk inkoopspecificaties bij om DMA-bescherming te vereisen. Geef prioriteit aan hoogwaardige gebruikers. Voldoet aan BIO 10.01, ISO 27001 A.8.24. Implementatie: 4-12 uur voor vlootinventarisatie en inkoopupdates. KRITIEK voor mobiele apparaten.
- Implementatietijd: 12 uur
- FTE required: 0.05 FTE