BitLockerin suojaaminen 1394 DMA- ja Thunderbolt DMA -uhkia vastaan SBP-2-ohjaimen ja Thunderbolt-ohjainten estämisen avulla

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 2516445 - Näytä tuotteet, joita tämä artikkeli koskee.
Windows Vista Service Pack 1:n (SP1) tuki päättyi 12.7.2011. Jos haluat saada Windowsin suojauspäivityksiä edelleen, varmista, että käyttöjärjestelmä on Windows Vista Service Pack 2 (SP2). Lisätietoja on seuraavassa Microsoftin WWW-sivustossa: Joidenkin Windows-versioiden tuki päättyy.
Laajenna kaikki | Kutista kaikki

Oire

BitLockerilla suojattu tietokone saattaa olla alttiina DMA (Direct Memory Access) -hyökkäyksille, kun tietokoneeseen on kytketty virta tai kun se on valmiustilassa. Se on alttiina hyökkäyksille myös silloin, kun työasema on lukittuna.

Vain TPM-turvapiiriä käyttävä BitLocker-todennus antaa tietokoneen siirtyä virta kytkettynä -tilaan, ilman mitään käynnistystä edeltävää todennusta. Tämän vuoksi hyökkääjä saattaa pystyä tekemään DMA-hyökkäyksiä.

Näissä kokoonpanoissa hyökkääjä saattaa pystyä etsimään BitLocker-salausavaimia järjestelmän muistista tekeytymällä SBP-2-laitetunnukseksi käyttäen 1394-porttiin liitettyä hyökkäyslaitetta. Vaihtoehtoisesti myös aktiivinen Thunderbolt-portti sallii järjestelmämuistin käytön hyökkäyksen suorittamiseen.

Tämä artikkeli koskee seuraavia järjestelmiä:
  • Järjestelmät, joihin virta jätetään kytketyksi
  • Järjestelmät, jotka jätetään valmiustilaan
  • Järjestelmät, jotka käyttävät vain TPM-turvapiiriin perustuvaa BitLocker-suojausta

Syy

1394-portin fyysinen DMA

Alan standardin mukaiset 1394-ohjaimet (OHCI-yhteensopivat) tarjoavat toimintoja, joiden avulla järjestelmämuistia voi käyttää. Tämä toiminto tarjotaan, jotta suorituskyky olisi entistä parempi. Sen avulla suuria määriä tietoja voidaan siirtää suoraan 1394-laitteen ja järjestelmämuistin välillä niin, että suoritin ja ohjelmisto ohitetaan. Oletusarvon mukaan 1394-portin fyysinen DMA on poistettu käytöstä kaikissa Windowsin versioissa. 1394-portin fyysinen DMA voidaan ottaa käyttöön seuravilla tavoilla:
  • Järjestelmänvalvoja ottaa käyttöön 1394-portin ytimen virheenkorjauksen.
  • Joku tietokonetta fyysisesti käyttämään pystyvä liittää 1394-porttiin tallennuslaitteen, joka on SBP-2-määrityksen mukainen.
BitLockeria koskevat 1394-portin DMA-uhat

BitLockerin järjestelmän eheystarkistukset suojaavat luvattomia ytimen virheenkorjauksen tilan muutoksia vastaan. Hyökkääjä voi kuitenkin liittää hyökkäyslaitteen 1394-porttiin ja tekeytyä sitten SBP-2-laitetunnukseksi. Kun Windows havaitsee SBP-2-laitetunnuksen, se lataa SBP-2-ohjaimen (sbp2port.sys) ja antaa ohjaimelle sitten käskyn sallia SBP-2-laitteen suorittaa DMA:n eli suoran muistin käytön. Tämä antaa hyökkääjän päästä käsiksi järjestelmämuistiin ja etsiä BitLocker-salausavaimia.

Thunderbolt-portin fyysinen DMA

Thunderbolt on uusi ulkoinen väylä, jonka toimintojen avulla järjestelmämuistia voi käyttää suoraan. Nämä toiminnot tarjotaan, jotta suorituskyky olisi entistä parempi. Niiden avulla voidaan siirtää suuria määriä tietoja suoraan Thunderbolt-laitteen ja järjestelmämuistin välillä niin, että suoritin ja ohjelmisto ohitetaan. Mikään Windows-versio ei tue Thunderboltia, mutta valmistajat saattavat silti lisätä tämän porttityypin.

BitLockeria koskevat Thunderbolt-uhat

Hyökkääjä voi liittää erikoislaitteen Thunderbolt-porttiin ja käyttää muistia suoraan PCI Express -väylän kautta. Tämä voi antaa hyökkääjän päästä käsiksi järjestelmämuistiin ja hakea BitLocker-salausavaimia.

Ratkaisu

Jotkin BitLocker-kokoonpanot voivat vähentää tällaisen hyökkäyksen riskiä. TPM-turvapiirin ja PIN-tunnuksen (TPM+PIN), TPM-turvapiirin ja USB-portin (TPM+USB) sekä TPM-turvapiirin, PIN-tunnuksen ja USB-portin (TPM+PIN+USB) suojaustavat pienentävät DMA-hyökkäysten vaikutusta, kun tietokoneet eivät käytä lepotilaa (keskeytys RAM-muistiin). Jos organisaatiosi sallii vain TPM-turvapiiriä käyttävät suojaukset tai tukee lepotilassa olevia tietokoneita, Microsoft suosittelee, että estät Windowsin SBP-2-ohjaimen, jotta kaikkien Thunderbolt-ohjainten DMA-hyökkäysten riski pienenee.

Saat lisätietoja tästä seuraavasta Microsoftin verkkosivustosta:

SBP-2-ongelmaa lieventävät toimet

Lue aiemmin mainitussa verkkosivustossa osio Prevent installation of drivers matching these device setup classes (Estä näitä laiteasennusluokkia vastaavien ohjainten asennus), joka on kohdassa Group Policy Settings for Device Installation (Laiteasennusten ryhmäkäytäntöasetukset).

Seuraavassa on SBP-2-aseman Plug and Play -laiteasetusten GUID-luokka:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt-ongelmaa lieventävät toimet

Tärkeää Seuraavat Thunderbolt-ongelmaa lieventävät toimet koskevat vain Windows 8:aa ja Windows Server 2012:ta. Ne eivät koske mitään muita tämän artikkelin alussa lueteltuja käyttöjärjestelmiä.

Lue aiemmin mainitussa verkkosivustossa osio Prevent installation of devices that match these device IDs (Estä näitä laitetunnuksia vastaavien laitteiden asennus) kohdassa Group Policy Settings for Device Installation (Laiteasennusten ryhmäkäytäntöasetukset).

Seuraavassa on Thunderbolt-ohjaimen Plug and Play -yhteensopiva tunnus:
PCI\CC_0C0A


Huomautuksia
  • Tämän heikkouden vaikutuksen pienentämistavan huono puoli on se, että ulkoisia tallennuslaitteita ei enää voi liittää 1394-portin avulla. Lisäksi mikään Thunderbolt-porttiin liitetty PCI Express -laite ei toimi. Koska USB- ja eSATA-laitteet ovat yleisempiä ja koska DisplayPort toimii usein, vaikka Thunderbolt on poistettu käytöstä, näiden heikkouden vaikutuksen pienentämistapojen haittavaikutuksen pitäisi olla rajallinen.
  • Jos laitteisto poikkeaa nykyisestä Windows Engineering Guidance -ohjeistuksesta, se saattaa ottaa DMA:n käyttöön näissä porteissa tietokoneen käynnistämisen jälkeen, ennen kuin Windows ottaa laitteiston hallintaansa. Tämä altistaa järjestelmän uhille, eikä tämä kiertotapa lievennä tätä ongelmaa.

Enemmän tietoa

Lisätietoja BitLockeria koskevista DMA-uhista on seuraavalla Microsoftin suojausaiheisessa blogissa:
Windows BitLocker Claims (Windowsin BitLockeria koskevat väitteet)
Lisätietoja BitLockeria vastaan tehtävistä suorahyökkäyksistä on seuraavassa Microsoft Integrity Team -blogissa:
Protecting BitLocker from Cold Attacks (BitLockerin suojaaminen suorahyökkäyksiä vastaan)
Huomautus Tämä on niin sanottu nopeasti julkaistava (?fast publish?) artikkeli, joka on laadittu suoraan Microsoftin tukiorganisaatiossa. Tässä olevat tiedot toimitetaan sellaisenaan vastauksena esiin tulleisiin ongelmiin. Koska aineisto on tuotu saataville nopeasti, se saattaa sisältää painovirheitä ja tietoja saatetaan muokata milloin tahansa ilman erillistä ilmoitusta. Lue muut huomioon otettavat seikat käyttöehdoista.

Ominaisuudet

Artikkelin tunnus: 2516445 - Viimeisin tarkistus: 9. elokuuta 2012 - Versio: 3.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Windows 7 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Hakusanat: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com