Αποκλεισμός του προγράμματος οδήγησης SBP-2 και των ελεγκτών Thunderbolt για τη μείωση των απειλών 1394 DMA και Thunderbolt DMA κατά του BitLocker

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 2516445 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Η υποστήριξη του Windows Vista Service Pack 1 (SP1) έληξε στις 12 Ιουλίου 2011. Για να συνεχίσετε να λαμβάνετε ενημερώσεις ασφαλείας για τα Windows, βεβαιωθείτε ότι εκτελείτε τα Windows Vista με Service Pack 2 (SP2). Για περισσότερες πληροφορίες, μεταβείτε στην παρακάτω τοποθεσία Web της Microsoft: Η υποστήριξη λήγει για κάποιες εκδόσεις των Windows.
Ανάπτυξη όλων | Σύμπτυξη όλων

Συμπτώματα

Ένας υπολογιστής που προστατεύεται από το BitLocker ενδέχεται να είναι ευάλωτος σε επιθέσεις άμεσης πρόσβασης μνήμης (DMA) όταν ο υπολογιστής είναι ενεργοποιημένος ή βρίσκεται σε κατάσταση λειτουργίας αναμονής. Αυτό συμβαίνει ακόμη κι όταν η επιφάνεια εργασίας είναι κλειδωμένη.

Το BitLocker με έλεγχο ταυτότητας μόνο TPM επιτρέπει σε έναν υπολογιστή να εισέλθει σε κατάσταση ενεργοποίησης χωρίς έλεγχο ταυτότητας πριν από την εκκίνηση. Επομένως, ένας εισβολέας ενδέχεται να είναι σε θέση να πραγματοποιεί επιθέσεις DMA.

Με αυτές τις ρυθμίσεις παραμέτρων, ένας εισβολέας ενδέχεται να είναι σε θέση να πραγματοποιήσει αναζήτηση για κλειδιά κρυπτογράφησης BitLocker στη μνήμη του συστήματος πλαστογραφώντας το αναγνωριστικό υλικού του SBP-2 με τη χρήση μιας συσκευής επιθέσεων που είναι συνδεδεμένη σε μια θύρα 1394. Εναλλακτικά, μια ενεργή θύρα Thunderbolt μπορεί να παρέχει πρόσβαση στη μνήμη του συστήματος, ώστε να εκτελεστεί μια επίθεση.

Αυτό το άρθρο ισχύει για τα ακόλουθα συστήματα:
  • Συστήματα που παραμένουν ενεργοποιημένα
  • Συστήματα που παραμένουν σε κατάσταση λειτουργίας αναμονής
  • Συστήματα που χρησιμοποιούν την προστασία BitLocker μόνο με TPM

Αιτία

Φυσικό DMA 1394

Οι ελεγκτές 1394 που τηρούν τις απαραίτητες προϋποθέσεις της βιομηχανίας (συμβατοί με το OHCI) παρέχουν λειτουργικότητα η οποία καθιστά δυνατή την πρόσβαση στη μνήμη του συστήματος. Αυτή η λειτουργικότητα παρέχεται ως βελτίωση επιδόσεων. Επιτρέπει την απευθείας μεταφορά μεγάλων όγκων δεδομένων μεταξύ μιας συσκευής 1394 και της μνήμης συστήματος, παρακάμπτοντας CPU και λογισμικό. Από προεπιλογή, το φυσικό DMA 1394 είναι απενεργοποιημένο σε όλες τις εκδόσεις των Windows. Για την ενεργοποίηση του φυσικού DMA 1394 είναι διαθέσιμες οι παρακάτω επιλογές:
  • Ένας διαχειριστής ενεργοποιεί το πρόγραμμα εντοπισμού σφαλμάτων πυρήνα 1394.
  • Κάποιος που έχει φυσική πρόσβαση στον υπολογιστή συνδέει μια συσκευή αποθήκευσης 1394 η οποία συμμορφώνεται με την προδιαγραφή SBP-2.
Απειλές DMA 1394 για το BitLocker

Οι έλεγχοι ακεραιότητας συστήματος του BitLocker παρέχουν προστασία από μη εξουσιοδοτημένες αλλαγές κατάστασης του προγράμματος εντοπισμού σφαλμάτων πυρήνα. Ωστόσο, ένας εισβολέας μπορεί να συνδέσει μια συσκευή επίθεσης σε μια θύρα 1394 και, στη συνέχεια, να πλαστογραφήσει ένα αναγνωριστικό υλικού SBP-2. Όταν τα Windows εντοπίσουν το αναγνωριστικό υλικού SBP-2, πραγματοποιούν φόρτωση του προγράμματος οδήγησης SBP-2 (sbp2port.sys) και έπειτα καθοδηγούν το πρόγραμμα οδήγησης προκειμένου να επιτρέψει στη συσκευή SBP-2 να εκτελέσει το DMA. Έτσι, ένας εισβολέας μπορεί να αποκτήσει πρόσβαση στη μνήμη του συστήματος και να πραγματοποιήσει αναζήτηση για κλειδιά κρυπτογράφησης BitLocker.

Φυσικό Thunderbolt DMA

To Thunderbolt είναι ένας νέος εξωτερικός δίαυλος με μια λειτουργικότητα που επιτρέπει την άμεση πρόσβαση στη μνήμη του συστήματος. Αυτή η λειτουργικότητα παρέχεται ως βελτίωση επιδόσεων. Επιτρέπει την απευθείας μεταφορά μεγάλων όγκων δεδομένων μεταξύ μιας συσκευής Thunderbolt και της μνήμης του συστήματος, παρακάμπτοντας το CPU και το λογισμικό. Το Thunderbolt δεν υποστηρίζεται σε καμία έκδοση των Windows. Ωστόσο, οι κατασκευαστές ενδέχεται να αποφασίσουν να συμπεριλάβουν το συγκεκριμένο τύπο θύρας.

Απειλές Thunderbolt για το BitLocker

Ένας εισβολέας θα μπορούσε να συνδέσει μια συσκευή ειδικής χρήσης σε μια θύρα Thunderbolt και να αποκτήσει πλήρη άμεση πρόσβαση στη μνήμη μέσω του διαύλου PCI Express. Με τον τρόπο αυτό, ο εισβολέας θα μπορούσε να αποκτήσει πρόσβαση στη μνήμη του συστήματος και να πραγματοποιήσει αναζήτηση για κλειδιά κρυπτογράφησης BitLocker.

Προτεινόμενη αντιμετώπιση

Ορισμένες ρυθμίσεις παραμέτρων του BitLocker μπορούν να μειώσουν τον κίνδυνο για αυτό το είδος επίθεσης. Οι προστασίες TPM+PIN, TPM+USB και TPM+PIN+USB μειώνουν τον αντίκτυπο των επιθέσεων DMA όταν οι υπολογιστές δεν χρησιμοποιούν την κατάσταση αναστολής λειτουργίας (αναστολή στη RAM). Εάν η εταιρεία σας επιτρέπει προστασίες μόνο με TPM ή υποστηρίζει τους υπολογιστές σε κατάσταση αναστολής λειτουργίας, συνιστάται ο αποκλεισμός του προγράμματος οδήγησης SBP-2 των Windows και όλων των ελεγκτών Thunderbolt, ώστε να μειωθεί ο κίνδυνος των επιθέσεων DMA.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο που μπορείτε να το κάνετε αυτό, μεταβείτε στην παρακάτω τοποθεσία Web της Microsoft:

Μετριασμός SBP-2

Στην τοποθεσία Web που αναφέρεται παραπάνω, ανατρέξτε στην ενότητα "Αποτροπή εγκατάστασης προγραμμάτων οδήγησης που ταιριάζουν με αυτές τις κλάσεις εγκατάστασης συσκευών" στην παράγραφο "Ρυθμίσεις πολιτικής ομάδας για την εγκατάσταση συσκευής".

Ακολουθεί η κλάση εγκατάστασης συσκευών για τοποθέτηση και άμεση λειτουργία GUID (Plug and Play) για μια μονάδα δίσκου SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Μετριασμός Thunderbolt

Σημαντικό Ο παρακάτω μετριασμός Thunderbolt ισχύει μόνο για τα Windows 8 και τα Windows Server 2012. Δεν ισχύει για κανένα άλλο από τα λειτουργικά συστήματα που αναφέρονται στην ενότητα "Ισχύει για".

Στην τοποθεσία Web που αναφέρεται παραπάνω, ανατρέξτε στην ενότητα "Αποτροπή εγκατάστασης συσκευών που ταιριάζουν με αυτές τις κλάσεις εγκατάστασης συσκευών" στην παράγραφο "Ρυθμίσεις πολιτικής ομάδας για την εγκατάσταση συσκευής".

Ακολουθεί το συμβατό αναγνωριστικό τοποθέτησης και άμεσης λειτουργίας για έναν ελεγκτή Thunderbolt:
PCI\CC_0C0A


Σημειώσεις
  • Το μειονέκτημα αυτού του μετριασμού είναι ότι οι συσκευές εξωτερικής αποθήκευσης δεν μπορούν πλέον να συνδέονται με χρήση της θύρας 1394 και όλες οι συσκευές PCI Express που είναι συνδεδεμένες στη θύρα Thunderbolt δεν θα λειτουργήσουν. Επειδή οι τύποι σύνδεσης USB και eSATA είναι ευρέως συνδεδεμένοι και επειδή το DisplayPort συχνά λειτουργεί ακόμη κι όταν το Thunderbolt είναι απενεργοποιημένο, τα αρνητικά αποτελέσματα που προκαλούνται από αυτόν τον μετριασμό κινδύνου θα πρέπει να περιορίζονται. 
  • Εάν το υλικό σας αποκλίνει από τις τρέχουσες κατευθυντήριες οδηγίες μηχανικής των Windows, ενδέχεται να ενεργοποιήσει το DMA σε αυτές τις θύρες μόλις εκκινήσετε τον υπολογιστή και πριν τα Windows αποκτήσουν τον έλεγχο του υλικού. Αυτό θέτει σε κίνδυνο το σύστημά σας και αυτή η συνθήκη δεν μετριάζεται από αυτήν τη λύση.

Περισσότερες πληροφορίες

Για περισσότερες πληροφορίες σχετικά με τις απειλές DMA στο BitLocker, επισκεφθείτε το ακόλουθο ιστολόγιο για την Ασφάλεια της Microsoft:
Αξιώσεις BitLocker των Windows
Για περισσότερες πληροφορίες σχετικά με τους μετριασμούς για ψυχρές επιθέσεις εναντίον του BitLocker, ανατρέξτε στο παρακάτω ιστολόγιο της ομάδας ακεραιότητας της Microsoft:
Προστασία του BitLocker από ψυχρές επιθέσεις

Ιδιότητες

Αναγν. άρθρου: 2516445 - Τελευταία αναθεώρηση: Πέμπτη, 9 Αυγούστου 2012 - Αναθεώρηση: 8.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Windows 7 Service Pack 1 στις ακόλουθες πλατφόρμες
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 στις ακόλουθες πλατφόρμες
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 στις ακόλουθες πλατφόρμες
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 2 για Windows Vista στις ακόλουθες πλατφόρμες
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Service Pack 1 για Windows Vista στις ακόλουθες πλατφόρμες
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Λέξεις-κλειδιά: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com