Блокирование драйвера SBP-2 и контроллеров Thunderbolt с целью предотвратить прямой доступ к памяти через порты 1394 и Thunderbolt в компьютере с функцией шифрования BitLocker

Переводы статьи Переводы статьи
Код статьи: 2516445 - Vizualiza?i produsele pentru care se aplic? acest articol.
Поддержка системы Windows Vista с пакетом обновления 1 (SP1) прекратится 12 июля 2011 г. Чтобы по-прежнему получать обновления для системы безопасности Windows, установите пакет обновления 2 (SP2) для Windows Vista. Дополнительные сведения см. на указанном ниже веб-сайте корпорации Майкрософт. Заканчивается поддержка некоторых версий Windows.
Развернуть все | Свернуть все

Проблема

Компьютер, защищенный технологией шифрования BitLocker, может быть уязвим перед угрозами прямого доступа к памяти (DMA), когда он включен или находится в ждущем режиме. Сюда входят и случаи, когда рабочий стол заблокирован.

Функция шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль позволяет компьютеру перейти в режим включения питания без проверки подлинности перед загрузкой. По этой причине злоумышленник может получить прямой доступ к памяти.

В такой ситуации он может выполнить поиск ключей шифрования BitLocker в системной памяти, подделав код оборудования SBP-2 с помощью специального устройства, подключенного к порту 1394. Кроме того, действующий порт Thunderbolt также предоставляет доступ к системной памяти с целью атаки.

Проблемы, описанные в этой статье, могут возникнуть:
  • во включенных системах;
  • в системах, которые находятся в ждущем режиме;
  • в системах, защищенных технологией шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль.

Причина

Физический прямой доступ к памяти через порт 1394

Контроллеры 1394, соответствующие отраслевому стандарту (OHCI-совместимые), позволяют получить доступ к системной памяти. Такая возможность представлена как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства, подключенного к порту 1394, в системную память, обходя центральный процессор и программное обеспечение. По умолчанию физический прямой доступ к памяти через порт 1394 отключен во всех версиях Windows. Существуют следующие варианты его включения:
  • администратор включает отладку на уровне ядра через порт 1394;
  • пользователь, обладающий физическим доступом к компьютеру, подключает запоминающее устройство, которое соответствует спецификации SBP-2, к порту 1394.
Угрозы прямого доступа к памяти через порт 1394 в компьютере с функцией шифрования BitLocker

Проверки целостности системы BitLocker защищают от несанкционированных изменений состояния отладки на уровне ядра. Тем не менее злоумышленник может подключить специальное устройство к порту 1394 и подделать код оборудования SBP-2. Когда система Windows обнаруживает этот код, она загружает драйвер SBP-2 (sbp2port.sys) и отправляет ему команду разрешить устройству SBP-2 прямой доступ к памяти. Это позволяет злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.

Физический прямой доступ к памяти через порт Thunderbolt

Thunderbolt — это новая внешняя шина с функциональностью, которая позволяет получить прямой доступ к системной памяти. Такая функциональность предоставляется как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства Thunderbolt в системную память, обходя центральный процессор и программное обеспечение. Thunderbolt не поддерживается ни в одной версии Windows, но производители могут принять решение о включении этого типа порта.

Угрозы прямого доступа к памяти через порт Thunderbolt в компьютере с функцией шифрования BitLocker

Злоумышленник может подключить специальное устройство в порт Thunderbolt и получить прямой доступ к памяти через шину PCI Express. Это может позволить злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.

Решение

Некоторые конфигурации BitLocker могут снизить риск атак такого типа. Если в компьютере не используется режим сна (приостановки ОЗУ), снизить риск могут следующие способы защиты: использование доверенного платформенного модуля и ПИН-кода; использование доверенного платформенного модуля и USB-ключа; использование доверенного платформенного модуля, ПИН-кода и USB-ключа. Кроме того, если в вашей организации разрешено использовать только доверенный платформенный модуль, или принято поддерживать компьютеры в режиме сна, то с целью снижения риска атак прямого доступа к памяти рекомендуется заблокировать в Windows драйвер SBP-2 и все контроллеры Thunderbolt.

Дополнительные сведения о том, как это делается, см. на следующем веб-сайте Майкрософт:

Снижение рисков, связанных с SBP-2

На упомянутом выше веб-сайте см. подраздел "Предотвращение установки драйверов, соответствующих этим классам установки устройств" в разделе "Параметры групповой политики для установки устройств".

Далее приводится GUID класса установки устройства Plug and Play для драйвера SBP-2.
d48179be-ec20-11d1-b6b8-00c04fa372a7

Снижение рисков, связанных с Thunderbolt

Важно! Следующий способ снижения рисков, связанных с Thunderbolt, относится только к Windows 8 и Windows Server 2012. Его нельзя применять к другим операционным системам, упомянутым в разделе "Информация в данной статье применима к".

На упомянутом выше веб-сайте см. подраздел Предотвращение установки устройств, соответствующих этим идентификаторам" в разделе "Параметры групповой политики для установки устройств".

Далее приводится идентификатор контроллера Thunderbolt, совместимый с устройством Plug and Play.
PCI\CC_0C0A


Примечания.
  • Недостаток описанного способа снижения рисков заключается в том, что внешние запоминающие устройства больше нельзя будет подключить к порту 1394, и все устройства PCI Express, подключенные к порту Thunderbolt, не будут работать. Однако этот отрицательный эффект может быть незначительным, поскольку многие устройства оснащены интерфейсами USB и eSATA, а DisplayPort часто работает даже при отключении Thunderbolt.
  • Если ваше оборудование не соответствует текущему техническому руководству по Windows, то после запуска компьютера и до того, как Windows установит контроль над оборудованием, оно может включать прямой доступ к памяти в этих портах. Таким образом будет открыт путь к нарушению безопасности вашей системы, и с помощью данного способа это условие не устраняется.

Дополнительная информация

Дополнительные сведения об угрозах прямого доступа к памяти в компьютере с функцией шифрования BitLocker см. в следующем блоге, посвященном обеспечению безопасности в Майкрософт:
Претензии к надежности технологии BitLocker в Windows
Дополнительные сведения о снижении риска атак "холодной" начальной загрузки на компьютеры с функцией шифрования BitLocker см. в следующем блоге группы обеспечения целостности данных Майкрософт:
Защита компьютера с функцией шифрования BitLocker от атак "холодной" начальной загрузки
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 2516445 - Последний отзыв: 9 августа 2012 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Windows 7 Service Pack 1 на следующих платформах
    • Windows 7 Домашняя базовая
    • Windows 7 Домашняя расширенная
    • Windows 7 Профессиональная
    • Windows 7 Максимальная
    • Windows 7 Корпоративная
  • Windows 7 Домашняя базовая
  • Windows 7 Домашняя расширенная
  • Windows 7 Профессиональная
  • Windows 7 Максимальная
  • Windows 7 Корпоративная
  • Windows Server 2008 R2 Service Pack 1 на следующих платформах
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 на следующих платформах
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 2 для Windows Vista на следующих платформах
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Service Pack 1 для Windows Vista на следующих платформах
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Ключевые слова: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com