Blockieren des SBP-2-Treibers und der Thunderbolt-Controller, um 1394 DMA- und Thunderbolt-DMA-Bedrohungen für BitLocker zu reduzieren

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2516445 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Der Support für Windows Vista Service Pack 1 (SP1) endet am 12. Juli 2011. Um weiterhin Sicherheitsupdates für Windows zu erhalten, müssen Sie Windows Vista mit Service Pack 2 (SP2) ausführen. Weitere Informationen finden Sie auf der folgenden Microsoft-Webseite: Auslaufender Support für einige Windows-Versionen.
Alles erweitern | Alles schließen

Problembeschreibung

Ein mit BitLocker geschützter Computer kann für DMA-Angriffe (direkte Speicherzugriffe) anfällig sein, während der Computer eingeschaltet ist oder sich im Standbymodus befindet. Dies ist auch der Fall, wenn der Desktop gesperrt ist.

Wird BitLocker mit "Nur TPM"-Authentifizierung verwendet, kann der Computer in den eingeschalteten Modus zurückwechseln, ohne dass vor dem Starten eine Authentifizierung erforderlich ist. Daher kann ein Angreifer möglicherweise DMA-Angriffe ausführen.

In diesen Konfigurationen kann ein Angreifer im Systemspeicher nach BitLocker-Verschlüsselungsschlüsseln suchen, indem er über ein an einen 1394-Port angeschlossenes Gerät die SBP-2-Hardware-ID ausspioniert. Alternativ kann ein aktiver Thunderbolt-Port auch Zugriff auf den Systemspeicher ermöglichen, um einen Angriff auszuführen.

Dieser Artikel gilt für die folgenden Systeme:
  • Systeme, die eingeschaltet sind
  • Systeme, die sich im Standbymodus befinden
  • Systeme, die den BitLocker-Schutz "Nur TPM" verwenden

Ursache

Physischer DMA über einen 1394-Port

Dem Industriestandard 1394 entsprechende Controller (OHCI-konform) stellen Funktionen bereit, die den Zugriff auf den Systemspeicher ermöglichen. Diese Funktion wird als Leistungsverbesserung bereitgestellt. Sie ermöglicht die direkte Übertragung großer Datenmengen zwischen einem 1394-Gerät und dem Systemspeicher unter Umgehung von CPU und Software. Der physische direkte Speicherzugriff (DMA) über einen 1394-Port ist in allen Windows-Versionen standardmäßig deaktiviert. Zum Aktivieren des physischen 1394-DMA-Ports:
  • Ein Administrator aktiviert das 1394-Kerneldebugging.
  • Jemand mit physischem Zugriff auf den Computer schließt ein 1394-Speichergerät an, das der SBP-2-Spezifikation entspricht.
Bedrohungen für BitLocker durch DMA über einen 1394-Port

BitLocker-Systemintegritätsprüfungen schützen vor unautorisierten Kerneldebugging-Statusänderungen. Ein Angreifer kann jedoch ein Gerät an einen 1394-Port anschließen, um eine SBP-2-Hardware-ID auszuspionieren. Wenn Windows eine SBP-2-Hardware-ID erkennt, lädt es den SBP-2-Treiber ("sbp2port.sys"), und weist den Treiber an, dem SBP-2-Gerät den direkten Speicherzugriff zu erlauben. Dadurch kann sich der Angreifer Zugriff auf den Systemspeicher verschaffen und nach BitLocker-Verschlüsselungsschlüsseln suchen.

Physischer Thunderbolt-DMA

Thunderbolt ist ein neuer externer Bus mit einer Funktionalität, die den direkten Zugriff auf den Systemspeicher ermöglicht. Diese Funktion wird als Leistungsverbesserung bereitgestellt. Sie ermöglicht die direkte Übertragung großer Datenmengen zwischen einem Thunderbolt-Gerät und dem Systemspeicher unter Umgehung von CPU und Software. Thunderbolt wird von keiner Windows-Version unterstützt, Hersteller können dennoch entscheiden, diesen Porttyp aufzunehmen.

Thunderbolt-Bedrohungen für BitLocker

Ein Angreifer könnte ein spezielles Gerät an einen Thunderbolt-Port anschließen und über den PCI Express-Bus vollen direkten Zugriff haben. Dadurch kann sich der Angreifer Zugriff auf den Systemspeicher verschaffen und nach BitLocker-Verschlüsselungsschlüsseln suchen.

Lösung

Einige Konfigurationen von BitLocker können das Risiko dieser Art des Angriffs reduzieren. Mit TPM+PIN-, TPM+USB- und TPM+PIN+USB-Schutz können Sie die Auswirkungen von DMA-Angriffen verringern, wenn Computer keinen Energiesparmodus (Ruhezustand im RAM) verwenden. Wenn Ihre Organisation "Nur TPM"-Schutz zulässt oder wenn Computer im Energiesparmodus unterstützt werden, sollten Sie den Windows SBP-2-Treiber und alle Thunderbolt-Controller blockieren, um das Risiko von DMA-Angriffen zu verringern.

Weitere Informationen hierzu finden Sie auf der folgenden Microsoft-Website:
Step-By-Step Guide to Controlling Device Installation Using Group Policy


SBP-2-Abwehr

Lesen Sie auf der zuvor erwähnten Website den Abschnitt "Prevent installation of drivers matching these device setup classes" unter "Group Policy Settings for Device Installation".

Die folgende ist die Setupclass-GUID für Plug & Play-Geräte für ein SBP-2-Laufwerk:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt-Abwehr

Wichtig Die folgende Thunderbolt-Abwehr gilt nur für Windows 8 und Windows Server 2012. Sie gilt nicht für die anderen Betriebssysteme, die im Abschnitt "Produkte anzeigen, auf die sich dieser Artikel bezieht" erwähnt sind.

Lesen Sie auf der zuvor erwähnten Website den Abschnitt "Prevent installation of devices that match these device IDs" unter "Group Policy Settings for Device Installation".

Die folgende ist die Plug & Play-kompatible ID für einen Thunderbolt-Controller:
PCI\CC_0C0A


Hinweise
  • Der Nachteil dieser Abwehr ist, dass externe Speichergeräte keine Verbindung mehr über den 1394-Port herstellen können, und dass alle PCI Express-Geräte, die mit dem Thunderbolt-Port verbunden sind, nicht funktionieren. Da USB und eSATA so weit verbreitet sind, und weil DisplayPort häufig auch dann funktioniert, wenn Thunderbolt deaktiviert ist, sollte der nachteilige Effekt dieser Abwehr begrenzt sein.
  • Wenn Ihre Hardware vom aktuellen Windows Engineering Guidance abweicht, kann sie DMA an diesen Ports aktivieren, nachdem Sie den Computer gestartet haben und bevor Windows die Steuerung der Hardware übernimmt. Dies macht Ihr System offen für Gefährdungen, und diese Bedingung wird durch diese Problemumgehung nicht abgewehrt.

Weitere Informationen

Weitere Informationen zu DMA-Bedrohungen für BitLocker finden Sie im folgenden Microsoft-Sicherheitsblog:
Windows BitLocker-Mängel
Weitere Informationen zu Schadensbegrenzungsmaßnahmen für Angriffe auf BitLocker finden Sie auf der folgenden Microsoft-Webseite:
Schützen von BitLocker vor Angriffen

Eigenschaften

Artikel-ID: 2516445 - Geändert am: Donnerstag, 9. August 2012 - Version: 8.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows 7 Service Pack 1, wenn verwendet mit:
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1, wenn verwendet mit:
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2, wenn verwendet mit:
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2, wenn verwendet mit:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1, wenn verwendet mit:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Keywords: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com