Blokování ovladače SBP-2 a řadičů Thunderbolt s cílem omezit ohrožení DMA standardu 1394 a Thunderbolt nástroje BitLocker

Překlady článku Překlady článku
ID článku: 2516445 - Produkty, které se vztahují k tomuto článku.
Podpora systému Windows Vista Service Pack 1 (SP1) byla ukončena 12. července 2011. Chcete-li pokračovat v přijímání aktualizací zabezpečení pro systém Windows, ověřte, zda používáte systém Windows Vista s aktualizací Service Pack 2 (SP2). Další informace naleznete na následující webové stránce společnosti Microsoft: Končí podpora pro některé verze systému Windows.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Počítač chráněný nástrojem BitLocker může být ohrožen útoky DMA (Direct Memory Access) v případě, že počítač je zapnut nebo je v úsporném režimu. To zahrnuje i situaci, kdy je plocha počítače uzamčena.

Nástroj BitLocker, který využívá pouze ověřování TPM, umožňuje, aby počítač byl zapnut, aniž by došlo k ověření před spuštěním. Proto útočník může provést útoky DMA.

V těchto konfiguracích útočník může v paměti systému vyhledat šifrovací klíče BitLocker, a to zfalšováním ID hardwaru SBP-2 prostřednictvím útočícího zařízení, které je připojeno k portu standardu 1394. Aktivní port Thunderbolt rovněž poskytuje přístup k systémové paměti a umožňuje provést útok.

Tento článek se týká následujících systémů:
  • Systémy, které jsou ponechány zapnuté.
  • Systémy, které jsou ponechány v úsporném režimu.
  • Systémy, které používají nástroj BitLocker s ověřováním pouze TPM.

Příčina

Fyzický přístup DMA pomocí standardu 1394

Řadiče standardu 1394 (kompatibilní se standardem OHCI) poskytují funkce umožňující přístup k paměti systému. Tyto funkce jsou poskytovány v rámci vylepšení výkonu. Umožňují rozsáhlé přenosy dat přímo mezi zařízením standardu 1394 a systémovou pamětí, a obcházejí tak procesor a software. Ve výchozím nastavení je fyzický přístup DMA pomocí standardu 1394 ve všech verzích systému Windows zablokován. Pro povolení fyzického přístupu DMA pomocí standardu 1394 jsou k dispozici následující možnosti:
  • Správce povolí ladění jádra pomocí standardu 1394.
  • Uživatel s fyzickým přístupem k počítači připojí paměťové zařízení standardu 1394, které vyhovuje specifikaci SBP-2.
Ohrožení DMA standardu 1394 nástroje BitLocker

Kontroly integrity systému nástroje BitLocker chrání před neoprávněnými změnami stavu ladění jádra. Útočník však může připojit útočící zařízení k portu standardu 1394 a pak zfalšovat ID hardwaru SBP-2. Systém Windows po detekci ID hardwaru SBP-2 načte ovladač SBP-2 (sbp2port.sys) a pak jej instruuje k tomu, aby zařízení SBP-2 umožnil přímý přístup k paměti. To útočníkovi umožní získat přístup k systémové paměti a vyhledat šifrovací klíče BitLocker.

Fyzický přístup DMA pomocí standardu Thunderbolt

Thunderbolt je nová externí sběrnice, jejíž funkce umožňují přímý přístup k systémové paměti. Tyto funkce jsou poskytovány v rámci vylepšení výkonu. Umožňují rozsáhlé přenosy dat přímo mezi zařízením standardu Thunderbolt a systémovou pamětí, a obcházejí tak procesor a software. Standard Thunderbolt není podporován žádnou verzí systému Windows, ale výrobci se přesto mohou rozhodnout pro zahrnutí tohoto typu portu.

Ohrožení standardu Thunderbolt nástroje BitLocker

Útočník může připojit k portu Thunderbolt speciální zařízení a získat tak plný přímý přístup do paměti prostřednictvím sběrnice PCI Express. To by útočníkovi mohlo umožnit získat přístup k systémové paměti a vyhledat šifrovací klíče nástroje BitLocker.

Řešení

Některé konfigurace nástroje BitLocker mohou riziko tohoto typu útoku omezit. Ochrany TPM+PIN, TPM+USB a TPM+PIN+USB omezují vliv útoků DMA, pokud počítače nepoužívají režim spánku (pozastavení s uložením do paměti RAM). Pokud vaše organizace připouští pouze ochrany TPM nebo podporuje počítače v režimu spánku, doporučujeme omezit rizika útoků DMA blokováním ovladače SBP-2 systému Windows a všech řadičů Thunderbolt.

Další informace o postupu naleznete na následujícím webu společnosti Microsoft:
Podrobný návod pro kontrolu instalace zařízení pomocí zásad skupiny


Omezení rizik ovladače SBP-2

Na webu zmíněném výše přejděte k části Jak zabránit instalaci ovladačů odpovídajících těmto třídám nastavení zařízení pod nadpisem Nastavení zásad skupiny pro instalaci zařízení.

Toto je identifikátor GUID třídy nastavení zařízení Plug and Play pro jednotku SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Omezení rizik řadiče Thunderbolt

Důležité: Následující omezení rizik řadiče Thunderbolt se vztahuje pouze na systémy Windows 8 a Windows Server 2012. Nevztahuje se na žádný jiný z operačních systémů uvedených v části Informace v tomto článku jsou určeny pro produkt.

Na webu zmíněném výše přejděte k části Jak zabránit instalaci ovladačů odpovídajících těmto třídám nastavení zařízení pod nadpisem Nastavení zásad skupiny pro instalaci zařízení.

Toto je identifikátor ID kompatibilní s technologií Plug and Play pro řadič Thunderbolt:
PCI\CC_0C0A


Poznámky
  • Nevýhodou tohoto opatření je skutečnost, že externí paměťová zařízení již nelze připojovat pomocí portu standardu 1394 a že veškerá zařízení PCI Express připojená k portu Thunderbolt nebudou fungovat. Vzhledem k tomu, že výrazně častěji se vyskytují zařízení USB a eSATA a že technologie DisplayPort často funguje i v případě, že je standard Thunderbolt zakázán, negativní efekt způsobený tímto opatřením by měl být pouze omezený. 
  • Pokud se aktuálně použitý hardware odlišuje od aktuálních technických pokynů pro systém Windows, může po spuštění počítače a předtím, než kontrolu nad hardwarem převezme systém Windows, na těchto portech povolit přímý přístup do paměti. Tato situace může ohrozit zabezpečení systému a není tímto řešením zmírněna.

Další informace

Další informace o ohroženích DMA nástroje BitLocker naleznete na následujícím blogu zabezpečení společnosti Microsoft:
Nároky nástroje Windows BitLocker
Další informace o opatřeních při útocích na neaktivní počítač proti nástroji BitLocker naleznete na následujícím blogu týmu integrity společnosti Microsoft:
Ochrana nástroje BitLocker před útoky na neaktivní počítač

Vlastnosti

ID článku: 2516445 - Poslední aktualizace: 9. srpna 2012 - Revize: 8.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows 7 Service Pack 1 na těchto platformách
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 na těchto platformách
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 na těchto platformách
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Aktualizace SP2 pro Windows Vista na těchto platformách
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Aktualizace SP1 pro Windows Vista na těchto platformách
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Klíčová slova: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com