Windows 11 25H2 Sicherheitsmechanismen blockieren PCIe Geräte nach Installation aktueller 25H2 kompatibler AMD Chipsatz-Treiber 7.11.26.2142

[Grendelbox]

Ich habe Windows 11 25H2 laufen und als Netzwerk:

Primär: 20Gbit Team (2x 10G SFP+ via USB4/TB3/TB4-Adapter) (Metrik = 5)
Fallback: 5Gbit Team (2x 2,5G Onboard LAN) (Metrik =10)

Nach der Installation der aktuellsten nun voll W11 25H2 kompatiblen AMD-Chipsatz-Treiber (7.11.26.2142)
wollten die 10G Adapter nicht mehr und waren im Gerätemanager blockiert mit einer Fehlermeldung
die ich zuvor noch nie gesehen hatte.

Das ist offenbar ein relativ neuer Windows Sicherheitsmechanismus,
der nun erst nach der Installation der nun vollständig 25H2 fähigen Chipsatz Treiber von AMD gegriffen hat.

Fehlercode 55 / „Der Gerätestart wird blockiert, weil der Benutzer nicht angemeldet ist“
= Windows blockiert PCIe-Geräte mit direktem Speicherzugriff (DMA), solange niemand am Rechner angemeldet ist.
Grund ist „Kernel DMA Protection“ bzw. die Richtlinie „Disable new DMA devices when this computer is locked“, oft zusammen mit BitLocker / Gerätee-Verschlüsselung oder Intune / GPO.


1. Prüfen, ob Kernel-DMA-Schutz aktiv ist

1. Win + R → msinfo32
2. In Systeminformationen unten den Eintrag „Kernel-DMA-Schutz“suchen.
   • Steht dort „Aktiviert“ → Windows nutzt genau diesen Mechanismus.
     
     
     
     

Lösung:

1. Win + R → gpedit.msc
2. Pfad:
   Computerkonfiguration → Administrative Vorlagen → System → Kernel DMA Protection
3. Richtlinie:
   „Enumerationsrichtlinie für externe Geräte, die nicht mit Kernel-DMA-Schutz kompatibel sind“
   (engl. Enumeration policy for external devices incompatible with Kernel DMA Protection)
4. Diese Richtlinie auf „Aktiviert“ stellen und unten bei Aufzählungsrichtlinie → „Allow all“ / „Alle zulassen“ (Wert 2) wählen.
5. Übernehmen → schließen → neu booten.
   
   
   
   
   
   
   
   Danach sollten die NICs wieder sauber laufen !
   
   

 

[R4ID]

Und laufen jetzt deine Lan Adapter wieder oder nicht ?

Unter der Kernisolierung kannst du das auch verwalten.

 

[MadDog]

ich glaube das sollte eher in Richtung "Leserartikel" gehen, für andere quasi Just for info, falls ihnen dies auch so passiert

 

[updater14]

Ich sehe richtig, dass das ziemlich speziell ist, denn es betrifft nur "externe" Geräte, wie hier im Fall:

2x 10G SFP+ via USB4/TB3/TB4-Adapter

Bei internen PCIe Adaptern sollte es da keine "Probleme" geben?

 

[foofoobar]

@updater14 Sonst würde die Kiste ja nicht booten können weil Platten quasi immer DMA machen :-)

Grundsätzlich ist das allerdings mal wieder völliger Windows-Humburg weil der Angriffsvektor DMA von außen per IOMMU geregelt werden kann und und sollte. Denn nur weil jemand an der Kiste angemeldet ist wird ja keinerlei Kontrolle über die Speicherbereiche ausgeübt auf die per DMA zugegriffen wird.

Fazit: Typisches Windows-Snakeoil.

 

[Grendelbox]

Nach Änderung der Policy und Reboot gehen die SFP+ NICs im externen USB4 Gehäuse wieder

ist übrigens dieser Adapter hier:

https://www.amazon.de/dp/B0FDLF4JT1?ref=ppx_yo2ov_dt_b_fed_asin_title

verbunden mit 2x 1m SFP+ CopperDACs an einem Ubiquiti Unifi Pro-Aggregation Switch

 

[foofoobar]

https://www.amazon.de/dp/B0FDLF4JT1?ref=ppx_yo2ov_dt_b_fed_asin_title

verbunden mit 2x 1m SFP+ CopperDACs an einem Ubiquiti Unifi Pro-Aggregation Switch

"DMA von draußen" ist eine Eigenschaft von Thunderbolt/Firewire.

 

[gforce4711]

Was für ein PC ist denn das? Ich hatte bei meinem Kunden auch so ein Problem mit einer speziellen Schnittstellkarte in einem Dell-PC. Da sollten wir dann im UEFI-BIOS unter Virtualisierung alles deaktivieren, was mit Kernel-DMA-Schutz zu tun hatte.

 

[-=:Cpt.Nemo:=-]

Dankechön, gleichmal ein Lesezeichen gesetzt.

 

[TomH22]

@Grendelbox:

Du sollest Die Moderation bitten, die Überschrift so abzuändern, dass klar ist, das nur externe PCIe Geräte betroffen sind. Die meisten PC Besitzer werden dieses Problem niemals haben.

Grundsätzlich ist das allerdings mal wieder völliger Windows-Humburg weil der Angriffsvektor DMA von außen per IOMMU geregelt werden kann und und sollte.

Ich glaube nicht dass "völliger Humbug" ist. Die IOMMU stellt erst mal nur sicher, dass PCIe Busmaster nur auf Speicher zugreifen dürfen, der ihnen zugewiesen wurde (z.B. entsprechende Buffer für Netwerkpakete).

Der "DMA-Schutz" ist eine Ebene höher und zielt eher darauf ab, dass nicht eine unberechtigte Person mit physischem Zugriff auf einen unbeaufsichtigten Rechner ein externes PCIe Gerät aktivieren kann (Evil Maid Attack) . Ich kann mir schon vorstellen, dass es valide Angriffsmöglichkeiten über diesen Weg gibt.
Es ist auch denkbar, dass es einfach als zusätzliche Schutzebene für heute noch nicht bekannte Exploits gedacht ist.

 

[foofoobar]

Der "DMA-Schutz" ist eine Ebene höher und zielt eher darauf ab, dass nicht eine unberechtigte Person mit physischem Zugriff auf einen unbeaufsichtigten Rechner ein externes PCIe Gerät aktivieren kann (Evil Maid Attack) . Ich kann mir schon vorstellen, dass es valide Angriffsmöglichkeiten über diesen Weg gibt.
Es ist auch denkbar, dass es einfach als zusätzliche Schutzebene für heute noch nicht bekannte Exploits gedacht ist.

Das ist kein Alleinstellungsmerkmal von DMA, usb-treiber haben auch Bugs.
Oder meinst du das das Ping-Pong-USB-Gadget von Ali-Baba für 2,99€ ganz tolle bugfreie Treiber hat?

 

[arvan]

Kann ich nicht nachvollziehen, neuer Treiber und bei mir ist laut msinfo32 "Kernal-DMA-Schutz" auf Aus.
Kernisolierung mal testweise voll Palette aktiviert. In gpedit, sind keine Richtlinien konfiguriert.
Rechner hat auch keine GPO und kein Bitlocker aktiv.

 

[TomH22]

Das ist kein Alleinstellungsmerkmal von DMA, usb-treiber haben auch Bugs.
Oder meinst du das das Ping-Pong-USB-Gadget von Ali-Baba für 2,99€ ganz tolle bugfreie Treiber hat?

Natürlich, auch da sollte entsprechende Schutzmechanismen eingebaut sein, zumindest wenn man das Gerät das erste mal ansteckt. Aber das ist ja kein Gegenargument gegen den DMA Schutz.

Kann ich nicht nachvollziehen, neuer Treiber und bei mir ist laut msinfo32 "Kernal-DMA-Schutz" auf Aus.

Hast Du überhaupt einen Thunderbolt oder USB4 Port im System?

 

[foofoobar]

Natürlich, auch da sollte entsprechende Schutzmechanismen eingebaut sein, zumindest wenn man das Gerät das erste mal ansteckt.

Treiber brauchen nun mal weitreichende Rechte, und fast alle Konzepte um diese einzuschränken haben einen signifikanten Performance Impact.

Aber das ist ja kein Gegenargument gegen den DMA Schutz.

Welcher Schutz entsteht konkret dadurch das ein User angemeldet sein muss gegenüber einer scharf geschalteten IOMMU?

 

[arvan]

Hast Du überhaupt einen Thunderbolt oder USB4 Port im System?

Nein, daran wirds dann wohl liegen. War mir nicht so ganz bewusst.