Blokering af SBP-2-driveren for at reducere 1394 DMA-trusler mod BitLocker

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 2516445
Udvid alle | Skjul alle

Symptomer

En BitLocker-beskyttet computer kan blive sårbar overfor DMA-angreb (Direct Memory Access), når computeren tændes eller er i standbytilstand. Dette gælder også, når computeren er låst.

En BitLocker med kun TPM-godkendelse gør det muligt for en computer at skifte til tændt tilstand uden nogen godkendelse før start. Det betyder, at en hacker kan udføre DMA-angreb.

I disse konfigurationer kan en hacker søge efter BitLocker-krypteringsnøgler i systemets hukommelse ved at efterligne SBP-2-hardware-id'et gennem brug af en angrebsenhed, der sluttes til en 1394-port.

Denne artikel gælder for følgende systemer:
  • Systemer, der lades være tændt.
  • Systemer, der efterlades i standbytilstand.
  • Systemer, hvorpå der anvendes BitLocker-beskyttelse med kun TPM.

Årsag

1394 Fysisk DMA
Branchestandard 1394-controllers (OHCI-kompatible) leverer funktioner, der muliggør adgang til systemhukommelsen. Denne funktion leveres som en forbedring af ydeevnen. Den muliggør overførsel af store mængder data direkte mellem en 1394-enhed og systemhukommelsen og uden om CPU og software. Som standard er 1394 Fysisk DMA deaktiveret i alle versioner af Windows. Der er to muligheder for at aktivere 1394 Fysisk DMA:
  • En administrator aktiverer 1394 Kernefejlfinding.
  • En person med fysisk adgang til computeren opretter forbindelse til en 1394-lagringsenhed, der opfylder SBP-2-specifikationerne.
1394 DMA-trusler mod BitLocker
Kontroller af BitLocker-systemets integritet beskytter mod uautoriserede statusændringer for kernefejlfinding. Dog kan en hacker slutte en angrebsenhed til en 1394-port og derefter efterligne et SBP-2-hardware-id. Når Windows registrerer et SBP-2-hardware-id, indlæses SBP-2-driveren (sbp2port.sys), og driveren instrueres derefter om at lade SBP-2-enheden køre DMA. Det gør det muligt for en hacker at opnå adgang til systemhukommelsen og søge efter BitLocker-krypteringsnøgler.

Løsning

Der findes konfigurationer af BitLocker, der kan reducere risikoen. TPM+PIN-, TPM+USB- og TPM+PIN+USB-beskytterne reducerer effekten af DMA-angreb, når computere ikke benytter slumretilstand (afbrydelse til RAM). Hvis din organisation tillader TPM-beskyttelse eller understøtter slumretilstand, anbefaler vi, at du blokerer Windows SBP-2-driveren for at reducere risikoen for 1394 DMA-angreb.

Du kan finde flere oplysninger om, hvordan du gør dette, på følgende Microsoft-webside. Se derefter afsnittet Bloker installation af drivere, der svarer til disse enhedskonfigurationsklasser i afsnittet Gruppepolitikindstillinger til enhedsinstallation:
Trinvis vejledning til kontrol af enhedsinstallation ved hjælp af Gruppepolitik

Enhedsklasse-id'et for en SBP-2-driver er "d48179be-ec20-11d1-b6b8-00c04fa372a7".

Bemærk! Ulempen ved denne afhjælpning er, at eksterne lagringsenheder ikke længere kan tilsluttes via 1394-porten. Da USB og eSATA er så fremherskende, skulle den ulempe, der forårsages af denne afhjælpning, dog være begrænset.

Yderligere Information

Du kan finde flere oplysninger om DMA-trusler mod BitLocker ved at besøge følgende Microsoft-webside. Webstedet er evt. på engelsk:
Windows BitLocker-krav
Du kan finde flere oplysninger om forebyggelse mod kolde angreb mod BitLocker ved at besøge følgende Microsoft-webside. Webstedet er evt. på engelsk:
Beskyttelse af BitLocker mod kolde angreb
Bemærk! Dette er en artikel til hurtig udgivelse, som er oprettet direkte i Microsofts supportafdeling. Oplysningerne i artiklen præsenteres som de og behandler aktuelle problemer. Fordi artiklen er blevet udgivet hurtigt, kan der forekomme slåfejl, og artiklen kan blive redigeret uden varsel. Se andre forbehold under Vilkår for anvendelse.

Egenskaber

Artikel-id: 2516445 - Seneste redigering: 8. marts 2011 - Redigering: 1.0
Nøgleord: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com