Windows10のカーネルDMA保護 が有効かどうか、[ファイル名を指定して実行]から msinfo32 を使って調べたところ、[無効]だった(マザーボードが古いからしょうがないね)ので次善策としてグループポリシーによるデバイスインストール制御について設定したのでメモ。
BitLocker に対する 1394 DMA と Thunderbolt DMA の脅威を軽減するための SBP-2 ドライバーと Thunderbolt コントローラーのブロック
[Windows]+[R] で [ファイル名を指定して実行]から gpedit.msc と入力して[Enter]
グループポリシーエディターを起動します。
[コンピューターの構成]-[管理用テンプレート]-[システム]-[デバイスのインストール]-[デバイスのインストールの制限] から [他のポリシー設定で記述されていないデバイスのインストールを禁止する] を[有効]にします。
一方、[Windows]+[X] でショートカットメニューから[デバイスマネージャー]を起動して、許可するデバイスのハードウェアを右クリック、[プロパティ]から[詳細]タブの[ハードウェアID] を表示して[コピー]します。
同じくグループポリシーの[コンピューターの構成]-[管理用テンプレート]-[システム]-[デバイスのインストール]-[デバイスのインストールの制限] の中の[これらのデバイスIDと一致するデバイスのインストールを許可する]を [有効] にして、先ほどコピーした[ハードウェアID] をリストに登録します。
リストにないハードウェアドライバーをデバイスマネージャーからアンインストールしてみます。
機器を再び、取り付けるとシステムから警告が表示されドライバーのインストールが制限されているのが確認できました。
Thunderbolt のID「 PCI\CC_0C0A 」を[これらのデバイスIDと一致するデバイスのインストールを禁止する]一覧に登録して作業終了です。