Blokowanie sterownika SBP-2 i kontrolerów Thunderbolt w celu zminimalizowania zagrożeń dla funkcji BitLocker ze strony ataków DMA przez porty 1394 i Thunderbolt

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 2516445 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Świadczenie pomocy technicznej dla systemu Windows Vista z dodatkiem Service Pack 1 (SP1) zakończono 12 lipca 2011. Aby w dalszym ciągu otrzymywać aktualizacje zabezpieczeń dla systemu Windows, należy korzystać z systemu Windows Vista z dodatkiem Service Pack 2 (SP2). Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web: Wkrótce zostanie zakończone świadczenie pomocy technicznej dla niektórych wersji systemu Windows.
Rozwiń wszystko | Zwiń wszystko

Symptomy

Komputer chroniony funkcją BitLocker może być podatny na ataki DMA (Direct Memory Access), gdy jest włączony lub w trybie wstrzymania. Dotyczy to także sytuacji, gdy pulpit jest zablokowany.

Funkcja BitLocker z uwierzytelnianiem wyłącznie za pomocą modułu TPM pozwala komputerowi na przejście w stan włączenia bez przeprowadzania jakiegokolwiek uwierzytelniania przed rozruchem. Z tego powodu osoba atakująca może być w stanie przeprowadzić ataki DMA.

Gdy używana jest taka konfiguracja, osoba atakująca może być w stanie wyszukać klucze szyfrowania funkcji BitLocker w pamięci systemowej, fałszując identyfikator sprzętu SBP-2 przez użycie urządzenia atakującego podłączonego do portu 1394. Dostęp do pamięci systemowej osoba atakująca może też uzyskać przez aktywny port Thunderbolt.

Ten artykuł dotyczy następujących systemów:
  • Systemów, które są pozostawiane włączone.
  • Systemów, które są pozostawiane w stanie wstrzymania.
  • Systemów, które są chronione funkcją BitLocker wyłącznie z modułem TPM.

Przyczyna

Fizyczny dostęp DMA przez port 1394

Kontrolery w standardzie branżowym 1394 (zgodne ze standardem OHCI) udostępniają funkcję zezwalającą na dostęp do pamięci systemowej. Ta funkcja w zamierzeniu ma służyć poprawie wydajności. Pozwala na transfer dużych ilości danych bezpośrednio między urządzeniem 1394 a pamięcią systemową, z pominięciem procesora i oprogramowania. Domyślnie fizyczny dostęp DMA przez port 1394 jest wyłączony we wszystkich wersjach systemu Windows. Oto dostępne opcje włączania fizycznego dostępu DMA przez port 1394:
  • Administrator włącza debugowanie jądra przez port 1394.
  • Ktoś z fizycznym dostępem do komputera podłącza urządzenie magazynujące 1394, które jest zgodne ze specyfikacją SBP-2.
Zagrożenia dla funkcji BitLocker ze strony ataków DMA przez port 1394

Kontrole integralności systemu funkcji BitLocker chronią przed nieautoryzowanymi zmianami stanu debugowania jądra. Osoba atakująca może jednak podłączyć urządzenie atakujące do portu 1394, a następnie sfałszować identyfikator sprzętu SBP-2. Gdy system Windows wykryje identyfikator sprzętu SBP-2, załaduje sterownik SBP-2 (sbp2port.sys), a następnie wyda sterownikowi instrukcje zezwolenia urządzeniu SBP-2 na dostęp DMA. To pozwoli osobie atakującej na uzyskanie dostępu do pamięci systemowej i wyszukanie kluczy szyfrowania funkcji BitLocker.

Fizyczny dostęp DMA przez port Thunderbolt

Thunderbolt to nowa magistrala zewnętrzna z funkcją zezwalającą na dostęp bezpośredni do pamięci systemowej. Ta funkcja w zamierzeniu ma służyć poprawie wydajności. Pozwala na transfer dużych ilości danych bezpośrednio między urządzeniem Thunderbolt a pamięcią systemową, z pominięciem procesora i oprogramowania. Technologia Thunderbolt nie jest obsługiwana w żadnej wersji systemu Windows, ale producenci mogą umieszczać tego typu porty w komputerach.

Zagrożenia dla funkcji BitLocker ze strony ataków przez port Thunderbolt

Osoba atakująca może podłączyć do portu Thunderbolt urządzenie specjalnego przeznaczenia, aby w ten sposób uzyskać pełny dostęp bezpośredni do pamięci przez magistralę PCI Express. To pozwoli osobie atakującej na uzyskanie dostępu do pamięci systemowej i wyszukanie kluczy szyfrowania funkcji BitLocker.

Rozwiązanie

Niektóre konfiguracje funkcji BitLocker zmniejszają ryzyko wystąpienia tego rodzaju ataku. Moduły chroniące TPM+PIN, TPM+USB i TPM+PIN+USB zmniejszają efekty ataków DMA, gdy komputer nie jest przełączany w stan uśpienia (wstrzymania w pamięci RAM). Jeśli w organizacji są dozwolone same moduły TPM lub komputery są przełączane w stan uśpienia, zaleca się zablokowanie sterownika SBP-2 systemu Windows i wszystkich kontrolerów Thunderbolt w celu zmniejszenia ryzyka wystąpienia ataków DMA.

Aby uzyskać więcej informacji o tym, jak to zrobić, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Neutralizowanie zagrożeń związanych z urządzeniami SBP-2

W wymienionej wcześniej witrynie sieci Web w obszarze poświęconym ustawieniom zasad grupy dotyczącym instalacji urządzeń (Group Policy Settings for Device Installation) należy skorzystać z sekcji z opisem uniemożliwiania instalacji sterowników zgodnych z podanymi klasami instalacji urządzeń (Prevent installation of drivers matching these device setup classes).

Identyfikator GUID klasy instalacji urządzenia Plug and Play dla stacji dysków SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Neutralizowanie zagrożeń związanych z urządzeniami Thunderbolt

Ważne Poniższe zasady neutralizowania zagrożeń związanych z urządzeniami Thunderbolt dotyczą tylko systemów Windows 8 i Windows Server 2012. Nie dotyczą żadnych innych systemów operacyjnych wymienionych w sekcji „Informacje zawarte w tym artykule dotyczą”.

W wymienionej wcześniej witrynie sieci Web w obszarze poświęconym ustawieniom zasad grupy dotyczącym instalacji urządzeń (Group Policy Settings for Device Installation) należy skorzystać z sekcji z opisem uniemożliwiania instalacji urządzeń zgodnych z podanymi identyfikatorami urządzeń (Prevent installation of devices that match these device IDs).

Identyfikator zgodny z technologią Plug and Play dla kontrolera Thunderbolt:
PCI\CC_0C0A


Uwagi
  • Wadą takiego rozwiązania jest fakt, że nie będzie już można podłączać zewnętrznych urządzeń magazynujących przez port 1394 i że nie będą już działać żadne urządzenia PCI Express podłączane przez port Thunderbolt. Ponieważ w olbrzymiej większości w użyciu są urządzenia podłączane przez porty USB i eSATA, a interfejs DisplayPort często działa nawet przy wyłączonym porcie Thunderbolt, negatywne skutki tych rozwiązań neutralizowania zagrożeń dotyczą niewielkiej grupy użytkowników.
  • Jeśli używany sprzęt odbiega od bieżących wytycznych dotyczących opracowywania produktów dla systemu Windows, może włączać dostęp DMA na tych portach po uruchomieniu komputera, zanim system Windows przejmie kontrolę nad sprzętem. W takiej sytuacji, system może być zagrożony, i tego zagrożenia nie można wyeliminować, stosując podane obejście.

Więcej informacji

Aby uzyskać więcej informacji o zagrożeniach dla funkcji BitLocker wynikających z ataków DMA, odwiedź następujący blog firmy Microsoft poświęcony zabezpieczeniom:
Zastrzeżenia dotyczące funkcji BitLocker w systemie Windows
Aby uzyskać więcej informacji o tym, jak neutralizować zimne ataki na funkcję BitLocker, odwiedź następujący blog zespołu firmy Microsoft ds. integralności:
Ochrona funkcji BitLocker przed zimnymi atakami
Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.

Właściwości

Numer ID artykułu: 2516445 - Ostatnia weryfikacja: 9 sierpnia 2012 - Weryfikacja: 3.0
Informacje zawarte w tym artykule dotyczą:
  • Windows 7 Service Pack 1 na następujących platformach
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1 na następujących platformach
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 na następujących platformach
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Dodatek Service Pack 2 do systemu Windows Vista na następujących platformach
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Dodatek Service Pack 1 do systemu Windows Vista na następujących platformach
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Słowa kluczowe: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com