Questa impostazione dei criteri consente di bloccare DMA (Direct Memory Access) per tutte le porte downstream PCI collegabili " hot" Thunderbolt finché l'utente non accede a Windows. Una volta eseguito l'accesso, Windows enumererà i dispositivi PCI connessi alle porte PCI Thunderbolt host. Ogni volta che l'utente blocca il computer, DMA sarà bloccato sulle porte PCI Thunderbolt con collegamento "hot" senza alcun dispositivo figlio, finché l'utente non accede di nuovo. I dispositivi già enumerati al momento dello sblocco del computer continueranno a funzionare fino a quando non saranno scollegati o finché il sistema non verrà riavviato o messo in stato di ibernazione. Questa impostazione dei criteri viene forzata solo quando è abilitato BitLocker o la crittografia del dispositivo.
Nota: alcuni PC potrebbero non essere compatibili con questi criteri se il firmware del sistema abilita DMA per i nuovi dispositivi Thunderbolt collegati prima di esporre i nuovi dispositivi a Windows.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Microsoft\FVE |
| Value Name | DisableExternalDMAUnderLock |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |