Blokkere SBP-2-driveren for å redusere 1394 DMA-trusler for BitLocker

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 2516445
Vis alt | Skjul alt

Symptom

En BitLocker-beskyttet datamaskin kan være utsatt for DMA-angrep når datamaskinen blir slått på eller er i ventemodus, også når skrivebordet er låst.

BitLocker med kun TPM-godkjenning tillater at datamaskinen går over i oppstartstilstand uten godkjenning forut for oppstart. Dermed er det mulig å utføre DMA-angrep.

I disse konfigurasjonene kan en angriper søke etter BitLocker-krypteringsnøkler i systemminnet ved å forfalske maskinvare-ID-en for SBP-2 ved hjelp av en angrepsenhet som er koblet til en 1394-port.

Denne artikkelen gjelder for følgende systemer:
  • Systemer som står på.
  • Systemer som er i ventemodus.
  • Systemer som bruker BitLocker-beskyttelsen for kun TPM.

Årsak

1394-fysisk DMA
Bransjestandardiserte 1394-kontrollere (OHCI-kompatible) inneholder funksjonalitet som gir tilgang til systemminnet. Denne funksjonaliteten sørger for forbedret ytelse. Den gjør det mulig å overføre store datamengder direkte mellom en 1394-enhet og systemminnet ved å omgå prosessor og programvare. Som standard er 1394-fysisk DMA deaktivert i alle versjoner av Windows. Det finnes to muligheter for å aktivere 1394-fysisk DMA:
  • Administrator aktiverer 1394-kjernefeilsøking.
  • Noen med fysisk tilgang til datamaskinen tilkobler en 1394-lagringsenhet som samsvarer med SBP-2-spesifikasjonen
1394 DMA-trusler for BitLocker
Integritetskontroller for BitLocker-systemet beskytter mot uautoriserte endringer av status for kjernefeilsøking. En angriper kan imidlertid koble en angrepsenhet til en 1394-port, og deretter forfalske maskinvare-ID-en til SBP-2. Når Windows oppdager maskinvare-ID-en til SBP-2, laster den inn SBP-2-driveren (sbp2port.sys), og deretter instruerer den driveren til å tillate at SBP-2-enheten utfører DMA. Dermed kan en angriper få tilgang til systemminnet og søke etter BitLocker-krypteringsnøkler.

Løsning

Det finnes konfigurasjoner av BitLocker som kan redusere denne risikoen. Beskyttelsene TPM+PIN, TPM+USB og TPM+PIN+USB reduserer virkningen av DMA-angrep når datamaskinen ikke er i hvilemodus (deaktiverer RAM). Hvis organisasjonen tillater beskyttelser for kun TPM eller støtter datamaskiner i hvilemodus, anbefaler vi at du blokkerer Windows SBP-2-driveren for å redusere risikoen for 1394 DMA-angrep.

Hvis du vil ha mer informasjon om hvordan du gjør dette, kan du besøke Microsofts webside nedenfor, og deretter ser du delen Forhindre installasjon av drivere som samsvarer med disse enhetsinstallasjonsklassene under delen Gruppepolicyinnstillinger for enhetsinstallasjon:
Trinnvis veiledning for å kontrollere enhetsinstallasjon ved hjelp av gruppepolicy

Enhetsklasse-ID-en for en SBP-2-driver er d48179be-ec20-11d1-b6b8-00c04fa372a7.

Obs!  Ulempen med denne reduksjonen er at eksterne lagringsenheter ikke lenger kan tilkobles via 1394-porten. Siden USB og eSATA er så utbredte, bør ulempen med denne reduksjonen være begrenset.

Mer informasjon

Hvis du vil ha mer informasjon om DMA-trusler for BitLocker, kan du gå til følgende Microsoft-webområde:
Krav for Windows BitLocker
Hvis du vil ha mer informasjon om reduksjoner for direkte angrep mot BitLocker, kan du gå til følgende Microsoft-webområde:
Beskytte BitLocker mot direkte angrep
Obs! Dette er en "FAST PUBLISH"-artikkel som er opprettet direkte innenfor Microsofts kundestøtteorganisasjon. Informasjonen her leveres "som den er" som svar på problemer som kan oppstå. Som et resultat av den korte tiden det tar å gjøre materialet tilgjengelig, kan det inneholde skrivefeil, og det kan når som helst og uten forvarsel bli revidert. Se Vilkår for bruk for mer informasjon.

Egenskaper

Artikkel-ID: 2516445 - Forrige gjennomgang: 10. mars 2011 - Gjennomgang: 1.0
Nøkkelord: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com