BitLocker'a yönelik 1394 DMA ve Thunderbolt DMA tehditlerini azaltmak için SBP-2 sürücüsünü ve Thunderbolt denetleyicilerini engelleme

Makale çevirileri Makale çevirileri
Makale numarası: 2516445 - Bu makalenin geçerli olduğu ürünleri görün.
Windows Vista Service Pack 1 (SP1) desteği 12 Temmuz 2011'de sona erdi. Windows güvenlik güncelleştirmelerini almaya devam etmek için bilgisayarınızda Service Pack 2'ye (SP2) sahip Windows Vista çalıştırıldığından emin olun. Daha fazla bilgi için aşağıdaki Microsoft web sitesine gidin: Bazı Windows sürümleri için destek sona eriyor.
Hepsini aç | Hepsini kapa

Belirtiler

BitLocker tarafından korunan bir bilgisayar açıldığında veya Bekleme güç durumundayken Doğrudan Bellek Erişimi (DMA) saldırılarından etkilenebilir. Bu, masaüstü kilitli olduğu zamanı da içerir.

Yalnızca TPM kimlik doğrulaması ile BitLocker, bir bilgisayarın önyükleme öncesinde kimlik doğrulaması olmadan açılış durumuna geçmesine olanak verebilir. Bu nedenle, bir saldırgan DMA saldırıları gerçekleştirebilir.

Bu yapılandırmalarda, bir saldırgan 1394 numaralı bağlantı noktasına takılı olan bir aygıtı saldırı amacıyla kullanarak SBP-2 donanım kimliğini taklit etmek yoluyla sistem belleğinde BitLocker şifreleme anahtarlarını arayabilir. Alternatif olarak, etkin bir Thunderbolt bağlantı noktası da bir saldırı gerçekleştirmek için sistem belleğine erişim sağlar.

Bu makale aşağıdaki sistemler için geçerlidir:
  • Açık bırakılmış sistemler
  • Bekleme güç durumunda bırakılmış sistemler
  • Yalnızca TPM BitLocker koruyucusunu kullanan sistemler

Neden

1394 fiziksel DMA

Endüstri standardı 1394 denetleyicileri (OHCI uyumlu olan), sistem belleğine erişim sağlayan işlevler sağlar. Bu işlevsellik, bir performans iyileştirmesi olarak sağlanır. Büyük miktarda verinin CPU ve yazılımlar atlanarak doğrudan bir 1394 aygıtı ile sistem belleği arasında aktarılabilmesini sağlar. 1394 Fiziksel DMA varsayılan olarak Windows'un tüm sürümlerinde devre dışı bırakılmıştır. Aşağıdaki seçenekler 1394 Fiziksel DMA'yı etkinleştirmek üzere kullanılabilir:
  • Bir yönetici, 1394 Çekirdek Hata Ayıklaması'nı etkinleştirir.
  • Bilgisayara fiziksel erişimi olan bir kişi, SBP-2 belirtimiyle uyumlu bir 1394 depolama aygıtı bağlar.
BitLocker'a Yönelik 1394 DMA tehditleri

BitLocker sistem bütünlüğü denetimleri, yetkisiz Çekirdek Hata Ayıklaması durum değişikliklerine karşı koruma sağlar. Ancak bir saldırgan, 1394 numaralı bağlantı noktasına saldırı amacıyla kullanmak üzere bir aygıt bağlayıp daha sonra bir SBP-2 donanım kimliğini taklit edebilir. Windows bu SBP-2 donanım kimliğini algıladığında, SBP-2 sürücüsünü (sbp2port.sys) yükler ve ardından sürücüye SBP-2 aygıtının DMA gerçekleştirmesi için izin vermesini bildirir. Bu durum, bir saldırganın sistem belleğine erişim sağlamasına ve BitLocker şifreleme anahtarlarını aramasına olanak verir.

Thunderbolt fiziksel DMA

Thunderbolt, sistem belleğine doğrudan erişime olanak veren bir işlevselliğe sahip yeni dış veri yoludur. Bu işlevsellik, bir performans iyileştirmesi olarak sağlanır. Büyük miktarda verinin CPU ve yazılımlar atlanarak doğrudan bir Thunderbolt aygıtı ile sistem belleği arasında aktarılabilmesini sağlar. Thunderbolt hiçbir Windows sürümünde desteklenmez ancak üreticiler bu bağlantı noktası türünü halen ürünlere ekleyebilirler.

BitLocker'a yönelik Thunderbolt tehditleri

Bir saldırgan, özel amaçlı bir aygıtı Thunderbolt bağlantı noktasına bağlayabilir ve PCI Express veri yolu aracılığıyla doğrudan bellek erişimini tam olarak sağlayabilir. Bu, saldırganın sistem belleğine erişmesini ve BitLocker şifreleme anahtarlarını aramasını sağlayabilir.

Çözüm

BitLocker'ın bazı yapılandırmaları bu türdeki saldırı riskini azaltabilir. TPM+PIN, TPM+USB ve TPM+PIN+USB koruyucuları, bilgisayarların uyku modunu (RAM'de askıda kalma) kullanmadığı sırada DMA saldırılarının etkisini azaltır. Kuruluşunuzda yalnızca TPM koruyuculara izin veriliyorsa veya uyku modundaki bilgisayarlar destekleniyorsa, DMA saldırıları riskini azaltmak için Windows SBP-2 sürücüsünü ve tüm Thunderbolt denetleyicilerini engellemenizi öneririz.

Bunun nasıl yapılacağı hakkında daha fazla bilgi için, aşağıdaki Microsoft web sitesine gidin:
Aygıt Yüklemesini Grup İlkesi Kullanarak Denetlemeye Yönelik Adım Adım Kılavuz


SBP-2'yi Azaltıcı Etken

Daha önce anlatılan web sitesinde, "Aygıt Yükleme için Grup İlkesi Ayarları" altındaki "Bu aygıt kurulumu sınıflarıyla eşleşen sürücülerin yüklenmesini engelleme" bölümüne bakın.

Aşağıda SBP-2 sürücüsüne yönelik Tak ve Çalıştır aygıtı kurulum sınıfı GUID'si yer almaktadır:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt'u Azaltıcı Etken

Önemli Aşağıdaki Thunderbolt'u azaltıcı etken yalnızca Windows 8 ve Windows Server 2012 için geçerlidir. "Aşağıdakilere uygulanır" bölümünde anlatılan diğer işletim sistemlerinin hiçbiri için geçerli değildir.

Daha önce anlatılan web sitesinde, "Aygıt Yükleme için Grup İlkesi Ayarları" altındaki "Bu aygıt kimlikleriyle eşleşen aygıtların yüklenmesini engelleme" bölümüne bakın.

Aşağıda Thunderbolt denetleyicisine yönelik Tak ve Çalıştır uyumlu kimlik yer almaktadır:
PCI\CC_0C0A


Notlar
  • Bu azaltıcı etkinin dezavantajı, harici depolama aygıtlarının bundan sonra 1394 numaralı bağlantı noktasını kullanarak bağlanamaması ve Thunderbolt bağlantı noktasına bağlanan tüm PCI Express aygıtlarının çalışmayacak olmasıdır. USB ve eSATA yaygın olarak kullanıldıkları ve Thunderbolt devre dışı bırakıldığında DisplayPort genellikle çalıştığı için, bu azaltıcı etkiler sonucunda oluşan olumsuz etki sınırlı olmalıdır.
  • Donanımınız geçerli Windows Mühendislik Rehberi'nden saparsa, bilgisayarı başlatmanızdan sonra ve Windows donanımın denetimini almadan önce bu bağlantı noktalarında DMA'yı etkinleştirebilir. Bu, sisteminizi tehlikelere açık hale getirir ve bu durumun etkisi bu geçici çözüm tarafından azaltılmaz.

Daha fazla bilgi

BitLocker'a yönelik DMA tehditleri hakkında daha fazla bilgi için, aşağıdaki Microsoft Güvenlik web günlüğünü ziyaret edin:
Windows BitLocker Talepleri
BitLocker'a yönelik soğuk saldırıların azaltıcı etkileri hakkında daha fazla bilgi için, aşağıdaki Microsoft Bütünlük Ekibi web günlüğüne bakın:
BitLocker'ı Soğuk Saldırılara Karşı Korunma
Not Bu, doğrudan Microsoft destek kuruluşu tarafından oluşturulan bir “FAST PUBLISH” makalesidir. Buradaki bilgiler, ortaya çıkan sorunları gidermek üzere olduğu gibi sağlanmaktadır. Mümkün olduğu kadar hızlı sunulmasının bir sonucu olarak malzemelerde yazım hataları bulunabilir ve bunlar bildirimde bulunulmadan daha sonra düzeltilebilir. Diğer hususlar için Kullanım Koşulları’na bakın.

Özellikler

Makale numarası: 2516445 - Last Review: 9 Ağustos 2012 Perşembe - Gözden geçirme: 3.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows 7 Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2, Ne zaman ne ile kullanilir:
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2, Ne zaman ne ile kullanilir:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
Anahtar Kelimeler: 
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com