Het SBP-2-stuurprogramma en Thunderbolt-controllers blokkeren om 1394 DMA- en Thunderbolt DMA-bedreigingen voor BitLocker te verminderen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 2516445 - Bekijk de producten waarop dit artikel van toepassing is.
De ondersteuning voor Windows Vista Service Pack 1 (SP1) is op 12 juli 2011 beëindigd. Zorg ervoor dat Windows Vista wordt uitgevoerd met Service Pack 2 (SP2) als u beveiligingsupdates voor Windows wilt blijven ontvangen. Ga naar de volgende Microsoft-website voor meer informatie: Ondersteuning voor bepaalde versies van Windows wordt beëindigd.
Alles uitklappen | Alles samenvouwen

Symptomen

Een met BitLocker beveiligde computer kan kwetsbaar zijn voor DMA-aanvallen (Direct Memory Access) wanneer de computer is ingeschakeld of in de stand-bystand staat. Dit geldt ook wanneer het bureaublad is vergrendeld.

Bij BitLocker-beveiliging met uitsluitend TPM-verificatie kan een computer zonder Pre-boot-verificatie worden ingeschakeld. Daardoor kan een aanvaller DMA-aanvallen uitvoeren.

Bij deze configuratie kan een aanvaller BitLocker-coderingssleutels in het systeemgeheugen opsporen door de SBP-2-hardware-id te spoofen via een aanvallend apparaat dat op een 1394-poort is aangesloten. Een actieve Thunderbolt-poort biedt ook toegang tot het systeemgeheugen, waar een aanval kan worden uitgevoerd.

Dit artikel is van toepassing op de volgende systemen:
  • Systemen die ingeschakeld zijn
  • Systemen die in de stand-bystand staan
  • Systemen die gebruikmaken van Bitlocker-beveiliging met uitsluitend TPM

Oorzaak

1394 Physical DMA

Industriestandaard 1394-controllers (OHCI-compatibel) bieden functionaliteit waarmee toegang tot het systeemgeheugen kan worden verkregen. Deze functionaliteit wordt geleverd om de prestaties te verbeteren. Grote hoeveelheden gegevens kunnen er direct mee van een 1394-apparaat naar het systeemgeheugen en vice versa worden overgebracht, zonder CPU of software te gebruiken. 1394 Physical DMA is in alle versies van Windows standaard uitgeschakeld. De volgende opties zijn beschikbaar om 1394 Physical DMA in te schakelen:
  • Een beheerder schakelt 1394-kernel-foutopsporing in.
  • Iemand met fysieke toegang tot de computer sluit een 1394-opslagapparaat aan dat voldoet aan de SBP-2-specificatie.
1394 DMA-bedreigingen voor BitLocker

Systeemintegriteitscontroles van BitLocker beschermen tegen onbevoegd wijzigen van een kernel-foutopsporingsstatus. Een aanvaller kan echter een aanvallend apparaat aansluiten op een 1394-poort en vervolgens een SBP-2-hardware-id spoofen. Als in Windows een SBP-2-hardware-id wordt gedetecteerd, wordt het SPB-2-stuurprogramma (sbp2port.sys) geladen met de instructie DMA toe te staan voor het SBP-2-apparaat. Zo kan een aanvaller toegang krijgen tot het systeemgeheugen en BitLocker-coderingssleutels opzoeken.

Thunderbolt Physical DMA

Thunderbolt is een nieuwe externe bus die beschikt over functionaliteit waarmee directe toegang tot het systeemgeheugen kan worden verkregen. Deze functionaliteit wordt geleverd om de prestaties te verbeteren. Grote hoeveelheden gegevens kunnen er direct mee van een Thunderbolt-apparaat naar het systeemgeheugen en vice versa worden overgebracht, zonder CPU of software te gebruiken. Thunderbolt wordt in geen enkele Windows-versie ondersteund, maar fabrikanten kunnen wel besluiten dit poorttype op te nemen.

Thunderbolt-bedreigingen voor BitLocker

Een aanvaller kan een speciaal ontworpen apparaat op een Thunderbolt-poort aansluiten en via de PCI Express-bus volledige, directe toegang tot het systeemgeheugen krijgen en naar BitLocker-coderingssleutels zoeken.

Oplossing

In bepaalde BitLocker-configuraties kan het risico van dit soort aanvallen worden beperkt. Bij beveiliging met TPM plus PIN, TPM plus USB en TPM plus PIN en USB worden de gevolgen van DMA-aanvallen beperkt wanneer een computer niet in de slaapstand staat. Als in uw organisatie gebruik wordt gemaakt van beveiliging met uitsluitend TPM of als computers in de slaapstand worden gezet, raden we u aan het Windows SBP-2-stuurprogramma en alle Thunderbolt-controllers te blokkeren om het risico op DMA-aanvallen te verkleinen.

Ga naar de volgende Microsoft-website voor meer informatie over hoe u dit kunt doen:
Stapsgewijze handleiding voor het beheren van apparaatinstallaties met Groepsbeleid


Oplossing voor SBP-2

Ga op de bovenstaande website naar de sectie Prevent installation of drivers matching these device setup classes onder Group Policy Settings for Device Installation.

Hier volgt de Setup-klasse-GUID van een Plug en Play-apparaat voor een SBP-2-station:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Oplossing voor Thunderbolt

Belangrijk De volgende oplossing voor Thunderbolt is alleen van toepassing op Windows 8 en op Windows Server 2012. De oplossing is niet van toepassing op de andere besturingssystemen die worden vermeld in de sectie Van toepassing op.

Ga op de bovenstaande website naar de sectie Prevent installation of devices that match these device IDs onder Group Policy Settings for Device Installation.

Hier volgt de compatibele Plug en Play-id voor een Thunderbolt-controller:
PCI\CC_0C0A


Opmerkingen
  • Het nadeel van deze oplossing is dat externe opslagapparaten niet meer op poort 1394 kunnen worden aangesloten en dat alle PCI Express-apparaten die op de Thunderbolt-poort aangesloten zijn, niet werken. Doordat USB en eSATA zo gangbaar zijn en doordat DisplayPort vaak ook werkt als Thunderbolt is uitgeschakeld, zal dit nadelige effect van deze oplossingen beperkt blijven.
  • Als uw hardware afwijkt van huidige technische richtlijnen van Windows kan DMA op deze poorten worden ingeschakeld nadat u de computer hebt opgestart en voordat het beheer over de hardware door Windows is overgenomen. Uw systeem wordt zo kwetsbaar voor binnendringing, en deze situatie wordt niet door deze tijdelijke oplossing afgevangen.

Meer informatie

Ga naar het volgende Microsoft Security-blog voor meer informatie over DMA-bedreigingen voor BitLocker:
Beweringen over Windows BitLocker
Ga naar het volgende Microsoft Integrity Team-blog voor meer informatie over oplossingen voor aanvallen op BitLocker:
Protecting BitLocker from Cold Attacks
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst voor overige aandachtspunten.

Eigenschappen

Artikel ID: 2516445 - Laatste beoordeling: donderdag 9 augustus 2012 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Windows 7 Service Pack 1 op de volgende platformen
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 op de volgende platformen
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 op de volgende platformen
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2 op de volgende platformen
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1 op de volgende platformen
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Trefwoorden: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com