所属分类 > BIOS > BIOS设置/模拟 > 部分ThinkPad关闭SecureBoot后仍无法对引导模式进行更改的解决方案

部分ThinkPad关闭SecureBoot后仍无法对引导模式进行更改的解决方案

. 2021-04-29 17:45:52 | 知识编号: 196245

知识点分析:

部分ThinkPad关闭SecureBoot后仍无法对引导模式进行更改(显示为灰色),经过分析,目前已经确认为BIOS内的“Kernel DMA Protection”选项开启导致,在BIOS内将其关闭即可。同时,该选项也将对Thunderbolt雷电接口进行保护,如果Thunderbolt选项无法更改的话,也可以考虑此选项。


操作步骤:

1.按F1进入BIOS;


2.进入“Security”模块,然后选择“Virtualization”选项,将“Kernel DMA Protection”置为Disabled。


3.此时会提示进行取消的确认,选择“Yes"即可。



备注:

关于Kernel DMA :


在 Windows 10 版本 1803 中,Microsoft 引入了一项称为内核 DMA 保护的新功能,以使用连接到可从外部访问的 PCIe 端口 (如 Thunderbolt™ 3 端口和 CFexpress) 的 PCI 热插拔设备保护电脑免受驱动器直接内存访问 (DMA) 攻击。 在 Windows 10 版本 1903 中,Microsoft 扩展了内核 DMA 保护支持,以涵盖内部 PCIe 端口 (例如 M.2 插槽)。DMA 攻击可能会导致泄露驻留在电脑上的敏感信息,甚至导致恶意软件的注入,使得攻击者可以绕过锁屏界面或远程控制电脑。但此功能无法抵御通过 1394/FireWire、PCMCIA、CardBus、ExpressCard 等的 DMA 攻击。并且,内核 DMA 保护需要新的 UEFI 固件支持,也直接导致并解释了为什么在Kernel DMA enable的情况下,UEFI FW的设置与Thunderbolt相关设置会失效。


有关的详细内容也可以参考:https://docs.microsoft.com/zh-cn/windows/security/information-protection/kernel-dma-protection-for-thunderbolt


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。