חסימת מנהל התקן SBP-2 ובקרי Thunderbolt להפחתת איומי ?1394 DMA ו- Thunderbolt DMA על BitLocker

תרגומי מאמרים תרגומי מאמרים
Article ID: 2516445 - View products that this article applies to.
התמיכה ב- Windows Vista Service Pack 1 (SP1)? הסתיימה ב- 12 ביולי, 2011. כדי להמשיך לקבל עדכוני אבטחה עבור Windows, ודא שבמחשב שלך פועלת מערכת ההפעלה Windows Vista עם Service Pack 2 (SP2)?. למידע נוסף, עבור לאתר האינטרנט הבא של Microsoft: התמיכה מסתיימת עבור חלק מהגירסאות של Windows.
הרחב הכל | כווץ הכל

מאפייני הבעיה

מחשב המוגן על-ידי BitLocker עלול להיות פגיע להתקפות גישה ישירה לזיכרון (DMA) כאשר המחשב מופעל או נמצא במצב המתנה. פגיעות זו קיימת גם כאשר שולחן העבודה נעול.

BitLocker עם אימות TPM בלבד מאפשר למחשב להיכנס למצב הפעלה בלי אימות קדם-אתחול כלשהו. לכן, תוקף עשוי להיות מסוגל לבצע התקפות DMA.

בתצורות אלו, תוקף עלול להיות מסוגל לחפש מפתחות הצפנה של BitLocker בזיכרון המערכת על-ידי התחזות למזהה החומרה של SBP-2 באמצעות התקן התקפה המחובר ליציאת 1394. לחלופין, יציאת Thunderbolt מספקת גישה גם לזיכרון המערכת לביצוע מתקפה.

מאמר זה מתייחס למערכות הבאות:
  • מערכות המושארות במצב פועל
  • מערכות המושארות במצב המתנה
  • מערכות המשתמשות בהגנת BitLocker של TPM בלבד

סיבה

?1394 physical DMA

בקרי 1394 תקניים (תואמי OHCI) מספקים פונקציונליות המאפשרת גישה לזיכרון המערכת. פונקציונליות זו מסופקת כשיפור ביצועים. היא מאפשרת העברה של כמויות נתונים גדולות ישירות בין התקן 1394 לבין זיכרון המערכת, תוך עקיפת המעבד והתוכנה. כברירת מחדל, ?1394 Physical DMA מושבת בכל הגירסאות של Windows. שתי האפשרויות הבאות זמינות להפעלת ?1394 Physical DMA:
  • מנהל מערכת מאפשר איתור באגים בליבת ?1394.
  • מישהו עם גישה פיזית למחשב מחבר התקן אחסון 1394 עם תאימות למפרט SBP-2.
איומי ?1394 DMA על BitLocker

בדיקות שלמות מערכת של BitLocker מגינות כנגד שינויי מצב לא מורשים של איתור באגים בליבות. עם זאת, תוקף יכול לחבר התקן תקיפה ליציאת 1394, ואז להתחזות למזהה חומרה של SBP-2. כאשר Windows מגלה מזהה חומרה של SBP-2, הוא טוען את מנהל התקן SBP-2? (sbp2port.sys), ואז מורה למנהל ההתקן לאפשר להתקן SBP-2 לבצע גישה ישירה לזיכרון (DMA). מצב זה מאפשר לתוקף לקבל גישה לזיכרון המערכת ולחפש מפתחות הצפנה של BitLocker.

Thunderbolt physical DMA

Thunderbolt הוא אפיק חיצוני חדש עם פונקציונליות המאפשרת גישה ישירה לזיכרון המערכת. פונקציונליות זו מסופקת כשיפור ביצועים. היא מאפשרת העברה של כמויות נתונים גדולות ישירות בין התקן Thunderbolt לבין זיכרון המערכת, תוך עקיפת המעבד והתוכנה. Thunderbolt אינו נתמך באף גירסה של Windows, אך יצרנים עדיין עשויים להחליט לכלול סוג יציאה זה.

איומי Thunderbolt על BitLocker

תוקף יכול לחבר התקן למטרה מיוחדת ליציאת Thunderbolt ולקבל גישה ישירה מלאה דרך אפיק PCI Express. מצב זה עלול לאפשר לתוקף לקבל גישה לזיכרון מערכת ולחפש מפתחות הצפנה של BitLocker.

פתרון הבעיה

תצורות מסוימות של BitLocker יכולות לצמצם מתקפה מסוג זה. הגנות TPM+PIN?, TPM+USB ו- TPM+PIN+USB מפחיתות את ההשפעה של התקפות DMA כאשר מחשבים אינם משתמשים במצב שינה (השהייה לזיכרון RAM). אם הארגון שלך מאפשר הגנות TPM בלבד או תומך במחשבים במצב שינה, מומלץ לחסום את מנהל התקן Windows SBP-2 ואת כל בקרי Thunderbolt כדי להפחית את הסיכון של התקפות DMA.

לקבלת מידע נוסף על אופן ביצוע כל אלה, עבור לאתר האינטרנט הבא של Microsoft:

הפחתת SBP-2

באתר האינטרנט שהוזכר קודם לכן, עבור לסעיף "מניעת התקנה של מנהלי התקנים התואמים לסיווגי התקנת ההתקנים הבאים" תחת "הגדרות מדיניות קבוצתית להתקנת התקנים".

להלן GUID של סיווג התקנת התקן 'הכנס הפעל' עבור מנהל התקן SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

הפחתת Thunderbolt

חשוב הפחתת Thunderbolt הבאה חלה אך ורק על Windows 8 ועל Windows Server 2012. היא אינה חלה על אף אחת ממערכות ההפעלה האחרות שהוזכרו בסעיף "חל על".

באתר האינטרנט שהוזכר קודם לכן, עבור לסעיף "מניעת התקנה של מנהלי התקנים התואמים לסיווגי התקנת ההתקנים הבאים" תחת "הגדרות מדיניות קבוצתית להתקנת התקנים".

המזהה להלן הוא המזהה תואם 'הכנס הפעל' עבור בקר Thunderbolt:
PCI\CC_0C0A


הערות
  • החיסרון בהפחתה זו הוא שהתקני אחסון חיצוניים לא יכולים להתחבר עוד באמצעות יציאת 1394, וכל התקני ה- PCI Express שמחוברים ליציאת Thunderbolt לא יפעלו. כיוון ש- USB ו- eSATA נפוצים כל כך, ומכיוון ש- DisplayPort פועל לעתים קרובות גם כאשר Thunderbolt אינו זמין, ההשפעה השלילית הנגרמת על ידי הפחתות אלה תהיה מוגבלת. 
  • אם החומרה שלך סוטה מה- Windows Engineering Guidance הנוכחי, היא עלולה להפוך DMA לזמין ביציאות אלה לאחר שתפעיל את המחשב ולפני ש- Windows משתלט על החומרה. כך המערכת שלך חשופה לפגיעות, ומצב זה אינו מופחת על ידי מעקף זה.

מידע נוסף

למידע נוסף אודות איומי DMA על BitLocker, בקר בבלוג האבטחה הבא של Microsoft:
טענות Windows BitLocker
לקבלת מידע נוסף על הפחתות עבור התקפות קרות נגד BitLocker, עיין בבלוג צוות Microsoft Integrity הבא:
הגנה על BitLocker מפני התקפות קרות
הערה זהו מאמר "פרסום מהיר" שנוצר ישירות מתוך ארגון התמיכה של Microsoft. המידע הכלול במסמך זה מסופק כפי שהוא בתגובה לבעיות שצצות. לאור הקצב המהיר של פרסום החומרים, ייתכן שהחומרים יכללו שגיאות הקלדה ואנו עשויים לתקן אותם בכל עת, ללא הודעה מוקדמת. למידע על שיקולים אחרים, עיין בתנאי השימוש.

מאפיינים

Article ID: 2516445 - Last Review: יום חמישי 09 אוגוסט 2012 - Revision: 3.0
המידע במאמר זה חל על:
  • Windows 7 Service Pack 1, הפועל עם:
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1, הפועל עם:
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2, הפועל עם:
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2, הפועל עם:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1, הפועל עם:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
מילות מפתח 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com