SBP-2-drivrutinen blockeras för att minska 1394 DMA-hot mot BitLocker

Artikelöversättning Artikelöversättning
Artikel-id: 2516445
Visa alla | Dölj alla

Symptom

En BitLocker-skyddad dator kan vara utsatt för DMA-angrepp (Direct Memory Access) när dator är påslagen eller i standby-läge, även om skrivbordet är låst.

BitLocker med endast TPM-autentisering kan försätta en dator i påslaget läge utan någon Pre-Boot-autentisering. Det innebär att en angripare kan utföra DMA-attacker.

I de här konfigureringarna kan en angripare söka efter BitLocker-krypteringsnycklar i systemminnet genom att förfalska SBP-2-maskinvarans ID med hjälp av en angreppsenhet som är ansluten till en 1394-port.

Den här artikeln gäller följande system:
  • System som lämnas påslagna.
  • System som lämnas i standby-läge.
  • System som endast använder BitLocker-skyddet TPM.

Orsak

1394 Fysisk DMA
Branschstandardens1394-styrenheter (OHCI-kompatibla) innehåller funktioner för att få åtkomst till systemminnet. Funktionerna tillhandahålls som en förbättring av prestandan. De gör att stora mängder data kan överföras direkt mellan en 1394-enhet och systemminnet, och kringgå processorn och programvaran. Som standard är 1394 Fysisk DMA inaktiverat i alla versioner av Windows. Det finns två sätt att aktivera 1394 Fysisk DMA:
  • En administratör aktiverar 1394 Kernelfelsökning.
  • Någon med fysisk åtkomst till datorn ansluter en 1394-lagringsenhet som uppfyller SBP-2-specifikationen
1394 DMA-hot mot BitLocker
Kontroller av BitLocker-systemets integritet skyddar mot otillåtna statusändringar av kernelfelsökning. Men en angripare kan ansluta en angreppsenhet till en 1394-port och sedan förfalska ett SBP-2-maskinvaru-ID. När Windows registrerar SBP-2-maskinvarans ID läses SBP-2-drivrutinen in (sbp2port.sys) och instrueras därefter att tillåta SBP-2-enheten att utföra DMA. Det gör det möjligt för en angripare att få tillgång till systemminnet och söka efter BitLocker-krypteringsnycklar.

Lösning

Vissa konfigureringar av BitLocker kan minska risken. Skyddskomponenterna TPM+PIN, TPM+USB och TPM+PIN+USB minskar effekten av DMA-angrepp när datorer inte använder strömsparläge (RAM-uppehåll). Om ditt företag endast tillåter TPM-skydd eller stöder datorer i strömsparläge, rekommenderar vi att du blockerar Windows SBP-2-drivrutinen för att minska riskerna för 1394 DMA-angrepp.

Mer information om hur du gör finns på följande Microsoft-webbsida i avsnittet om att förhindra installation av drivrutiner som matchar följande enhetsinstallationsklasser under avsnittet Group Policy Settings for Device Installation (Grupprincipinställningar för enhetsinstallation):
ID för enhetsklassen för en SBP-2-enhet är "d48179be-ec20-11d1-b6b8-00c04fa372a7.

Obs! Nackdelen med den här åtgärden är att externa lagringsenheter inte längre kan anslutas till 1394-porten. Eftersom USB och eSATA är så vanligt förekommande bör de oönskade effekterna av den här åtgärden vara begränsade.

Mer Information

Mer information om att DMA-hot mot BitLocker finns på följande Microsoft-webbsida:
Windows BitLocker Claims
Mer information om åtgärder mot kalla angrepp mot BitLocker finns på följande Microsoft-webbsida:
Protecting BitLocker from Cold Attacks (Skydda BitLocker mot kalla angrepp)
Obs! Det här är en "FAST PUBLISH?-artikel som skapats direkt inom Microsofts supportorganisation. Informationen i artikeln tillhandahålls i befintligt skick för att besvara framtida frågor. På grund av den snabba framtagningen kan materialet innehålla typografiska fel och kan utan förvarning när som helst komma att omarbetas. Se användarvillkoren för andra hänsynstaganden.

Egenskaper

Artikel-id: 2516445 - Senaste granskning: den 9 mars 2011 - Revision: 1.0
Nyckelord: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com