封鎖 SBP-2 驅動程式和 Thunderbolt 控制器以減少 1394 DMA 及 Thunderbolt DMA 對 BitLocker 所帶來的威脅

文章翻譯 文章翻譯
文章編號: 2516445 - 檢視此文章適用的產品。
對於 Windows Vista Service Pack 1 (SP1) 的支援將於 2011 年 7 月 12 日停止。如果要繼續收到 Windows 的安全性更新,請確定您執行的是 Windows Vista (含 Service Pack 2 (SP2))。如需詳細資訊,請移至下列 Microsoft 網站:已結束針對部分 Windows 版本的支援
全部展開 | 全部摺疊

徵狀

當電腦處於電源開啟或待命電源狀態 (包含桌面鎖定狀態) 時,BitLocker 保護的電腦可能會很容易受到直接記憶體存取 (DMA) 攻擊。

具有 TPM-only 驗證的 BitLocker 允許電腦不需任何開機前驗證便能進入電源開啟狀態。因此,攻擊者便可藉此執行 DMA 攻擊。

在這些組態中,攻擊者可能會透過使用插入 1394 連接埠的攻擊裝置偽裝而成的 SBP-2 硬體識別碼,在系統記憶體中搜尋 BitLocker 加密金鑰。此外,作用中的 Thunderbolt 連接埠也讓供擊者可存取系統記憶體來進行攻擊。

本文適用於下列系統:
  • 處於電源開啟狀態的系統
  • 處於待命電源狀態的系統
  • 使用 TPM-only BitLocker 保護裝置的系統

發生的原因

1394 實體 DMA

業界標準 1394 控制器 (與 OHCI 相容) 提供可存取系統記憶體的功能。這項功能是提供作為效能改善之用。該功能可略過 CPU 和軟體,讓大量資料直接在 1394 裝置和系統記憶體之間轉送。根據預設,所有 Windows 版本中的 1394 實際 DMA 均停用。您可使用下列選項啟用 1394 實體 DMA:
  • 請系統管理員啟用 1394 核心偵錯。
  • 擁有連線到符合 SBP-2 規格的 1394 存放裝置之電腦實際存取權的使用者
1394 DMA 對 BitLocker 的威脅

BitLocker 系統完整性檢查可保護系統避免未經授權的核心偵錯狀態變更。但是,攻擊者仍可以將攻擊裝置連線到 1394 連接埠,然後偽裝成 SBP-2 硬體識別碼。當 Windows 偵測到 SBP-2 硬體識別碼時,Windows 便會載入 SBP-2 驅動程式 (sbp2port.sys),然後指示該驅動程式讓 SBP-2 裝置執行 DMA。此動作可讓攻擊者藉此獲取系統記憶體的存取權並搜尋 BitLocker 加密金鑰。

Thunderbolt 實體 DMA

Thunderbolt 是個具有可直接存取系統記憶體功能的新外部匯流排。這項功能是提為效能改善之用。這項功能可讓大量資料直接在 Thunderbolt 裝置和系統記憶體之間轉送,因此可略過 CPU 和軟體。任何 Windows 版本皆不支援 Thunderbolt,但製造商還是可以決定納入此連接埠類型。

Thunderbolt 對 BitLocker 的威脅

攻擊者可連線到 Thunderbolt 連接埠所連接的特殊用途裝置,並透過取得 PCI Express 匯流排取得記憶體的完整直接存取權。此動作可讓攻擊者藉此獲取系統記憶體的存取權並搜尋 BitLocker 加密金鑰。

解決方案

BitLocker 的某些設定可減低遭受此類攻擊危害的風險。當電腦非處於睡眠 (suspend to RAM) 狀態時,TPM+PIN、TPM+USB 和 TPM+PIN+USB 保護裝置可減少 DMA 攻擊所帶來的影響。如果您的組織允許 TPM-only 保護裝置運作或支援處於睡眠模式的電腦,我們建議您封鎖 Windows SBP-2 驅動程式和所有 Thunderbolt 控制器以減低遭受 DMA 攻擊的風險。

如需有關如何執行這項操作的詳細資訊,請移至下列 Microsoft 網站:
使用群組原則來控制裝置安裝的逐步指南


SBP-2 安全防護功能

請參閱上述網站<裝置安裝的群組原則設定>下的<防止安裝符合這些裝置設定類別的驅動程式>一節。

下面是 SBP-2 磁碟機的隨插即用裝置安裝類別 GUID:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Thunderbolt 安全防護功能

重要 下列 Thunderbolt 安全防護功能只適用於 Windows 8 和 Windows Server 2012,不適用於任何<適用於>一節所述的所有其他作業系統。

請參閱上述網站<裝置安裝的群組原則設定>下的<防止安裝符合這些裝置設定類別的驅動程式>一節。

下面是 Thunderbolt 控制器的隨插即用相容識別碼:
PCI\CC_0C0A


注意事項
  • 此安全防護功能的缺點是您再也無法使用 1394 連接埠連接外部存放裝置,且所有已連線到 Thunderbolt 連接埠的 PCI Express 裝置將無法運作。由於仍可使用幾乎人人具備的 USB 和 eSATA,且 Thunderbolt 停用時,DisplayPort 通常仍可運作,所以應可減輕這些安全防護功能所造成的負面影響。
  • 如果您的硬體和目前的 Windows 工程指導 (Windows Engineering Guidance) 相違背,在您啟動電腦之後和 Windows 取得控制硬體的能力之前,系統會啟用這些連接埠上的 DMA。這會讓您的系統暴露在受到入侵的危險之中,且此因應措施無法減輕此狀況所帶來的風險。

其他相關資訊

如需有關 DMA 對 BitLocker 的威脅,請參閱下列 Microsoft 資訊安全部落格:
Windows BitLocker 宣告
如需有關針對 BitLocker 的急凍攻擊之安全防護措施的詳細資訊,請參閱下列 Microsoft 整合團隊 (Microsoft Integrity Team) 部落格:
保護 BitLocker 不受急凍攻擊
注意 :本文屬於「快速發佈」文章,係由 Microsoft 技術支援或組織內部直接建立。 本文所包含的資訊是為了回應新問題而依現況提供。 因此為了迅速對外發佈,文章內容可能含有印刷錯誤,而且可能會在不另行通知的情況下進行修改。 如需其他考量事項,請參閱使用規定

屬性

文章編號: 2516445 - 上次校閱: 2012年8月9日 - 版次: 3.0
這篇文章中的資訊適用於:
  • Windows 7 Service Pack 1?應用於:
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows Server 2008 R2 Service Pack 1?應用於:
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2?應用於:
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2?應用於:
    • Windows Vista 商用入門版
    • Windows Vista 商用進階版
    • Windows Vista 家用入門版
    • Windows Vista 家用進階版
    • Windows Vista Starter
    • Windows Vista 旗艦版
    • Windows Vista 商用進階 64 位元版
    • Windows Vista 家用入門 64 位元版
    • Windows Vista 家用進階 64 位元版
    • Windows Vista 旗艦 64 位元版
    • Windows Vista 商用入門 64 位元版
  • Windows Vista Service Pack 1?應用於:
    • Windows Vista 商用入門版
    • Windows Vista 商用進階版
    • Windows Vista 家用入門版
    • Windows Vista 家用進階版
    • Windows Vista Starter
    • Windows Vista 旗艦版
    • Windows Vista 商用進階 64 位元版
    • Windows Vista 家用入門 64 位元版
    • Windows Vista 家用進階 64 位元版
    • Windows Vista 旗艦 64 位元版
    • Windows Vista 商用入門 64 位元版
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Hyper V
  • Windows Server 2012 Standard
  • Windows 8
  • Windows 8 Professional
  • Windows 8 Enterprise
關鍵字:?
kbbug kbexpertiseinter kbsecurity kbsecvulnerability KB2516445
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com