SBP-2 драйвер и гръм контролери за намаляване на 1394 DMA и гръм DMA заплахи за шифроване

Работете навсякъде от всяко устройство с Microsoft 365

Надстройте до Microsoft 365, за да работите навсякъде с най-новите функции и актуализации.

Надстройване сега

Съобщение

За Windows версия 1803 и по-нови версии ако вашата платформа поддържа новата функция за Защита на ядрото DMA , ви препоръчваме, можете да използвате тази функция, за да намали гръм DMA атаки. За по-стари версии на Windowsor платформи, които нямат нови Ядрото DMA защита функция, ако вашата организация позволява само за TPM защитник или поддържа компютри в режим на заспиване, по-долу е една опция за намаляване на DMA. Вижте BitLocker противодействие да разберат спектър на предпазни мерки.

Също така потребителите може да се отнася за Intel гръм 3 и защита на операционната система Microsoft Windows 10 документация за алтернативни предпазни мерки.

Microsoft предоставя информация за контакт с трети лица, за да ви помогне да намерите техническа поддръжка. Тази информация може да се променя без уведомяване. Microsoft не гарантира точността на информацията за контакти с други производители. За повече информация как да направите това посетете следния уеб сайт на Microsoft:

Подробно ръководство за контролиране вграждане използване на групови правила

Симптоми

BitLocker защитен компютър може да бъде уязвими за атаки на директен достъп до паметта (DMA), когато компютърът е включен или е в режим на готовност на енергиен запас. Това включва по време на работния плот е заключен. BitLocker TPM само с удостоверяване позволява на компютъра да влиза в състоянието на включване без предварително зареждане удостоверяване. Затова хакер може да успеете да изпълните DMA атаки. В тези конфигурации атакуващият може да успеете да търсите ключове за шифроване на BitLocker в системната памет от фишинг ИД на хардуера SBP-2 чрез атакуват устройство, който е включен в 1394 порт. Другият вариант е активен гръм порт осигурява достъп до системна памет за извършване на атаки. Имайте предвид, че гръм 3 на нов тип С USB конектор включва нови функции за защита, които могат да бъдат конфигурирани за защита от този вид атака без изключване на порта. В тази статия се отнася за следните системи:

  • Системи, които са оставени включен

  • Системи, които са останали в режим на готовност на енергиен запас

  • Системи, които използват само за TPM BitLocker протектор

Причина

1394 физически DMA

Индустриален стандарт 1394 контролери (OHCI съвместим) предоставя функционалност, която позволява достъп до системна памет. Тази функция се предлага за повишаване на производителността. Той позволява голям обем данни за прехвърляне между 1394 устройство и системна памет, заобикаляйки Процесора и софтуер. По подразбиране 1394 физически DMA е забранено във всички версии на Windows. За разрешаване на физически DMA 1394 са следните опции:

  • Администратор позволява 1394 отстраняването на грешки в ядрото.

  • Някой, който има физически достъп до компютъра свързва 1394 устройство, което е в съответствие с SBP-2 спецификацията.

1394 DMA заплахи за шифроване

BitLocker система цялост шах намаляване на неупълномощени промени на състоянието, отстраняването на грешки в ядрото. Обаче хакер може да свържете устройство атакуват 1394 порт и след имитират ИД на хардуера SBP-2. Когато Windows открие ИД на хардуера SBP-2, зарежда драйвер SBP-2 (sbp2port.sys) и след това инструктира драйвер за устройството SBP-2 се извършва DMA. Това позволява на хакерите да получат достъп до системната памет и търсене на ключове за шифроване на BitLocker.

Гръм физически DMA

Гръм е външна шина, която дава възможност за директен достъп до паметта на системата чрез PCI. Тази функция се предлага за повишаване на производителността. Той позволява голям обем данни за прехвърляне между гръм устройство и системна памет, като заобикаляне на Процесора и софтуер.

Гръм заплахи за шифроване

Хакер може да свържете устройство специално гръм порт и имат пълен директен достъп до паметта през PCI Express шината. Това може да позволи на хакерите да получат достъп до системната памет и търсене на ключове за шифроване на BitLocker. Имайте предвид, че гръм 3 на нов тип С USB конектор включва нови функции за защита, които могат да бъдат конфигурирани за защита от този вид достъп.

Решение

Някои конфигурации на BitLocker да намалите риска от този вид атака. TPM + ПИН TPM + USB и TPM + ПИН + USB защитник намаляване на влиянието на DMA атаки при компютри не се използват в режим на заспиване (спиране на RAM).

Намаляване на SBP-2

В споменатите по-горе уеб сайтвижте раздела "Предотвратяване на инсталирането на драйвери, отговаряща на тези устройства настройка класове" в "групови правила настройки за инсталиране на устройство". Plug and Play устройство настройка клас GUID за устройството SBP-2 е:

d48179be-ec20-11d1-b6b8-00c04fa372a7

На някои платформи Деактивирането напълно 1394 устройство може да предостави допълнителна защита.  На споменато сайт, вижте раздела "Предотвратяване на инсталирането на устройства, отговарящи на тези ИД на устройства" в "Групови правила настройки за инсталиране на устройство".По-долу е съвместим ИД на Plug and Play за контролер 1394:

PCI\CC_0C0010

Гръм намаляване

Започва с Windows 10 версия 1803, по-новите Intel системи са вградени в ядрото DMA защита гръм 3. Конфигурация не е необходим за тази защита.

За да блокирате гръм контролер на устройство с по-ранна версия на Windows, или за платформи липсата ядрото DMA защита гръм 3, вижте раздела "Не позволявай инсталиране на устройства, отговарящи на тези устройства ИД" под "групови правила Настройки за инсталиране на устройство"на споменато уебсайт.

По-долу е съвместим ИД на Plug and Play гръм контролер:

PCI\CC_0C0A

Бележки

  • Недостатъкът на това намаляване е тази външна памет устройства вече не може да се свърже с помощта на 1394 порт и всички PCI Express устройства, които са свързани с гръм порт няма да работи.

  • Ако хардуерът отклонение от текущия Windows Инженеринг указания, тя може да позволи DMA на тези портове след стартиране на компютъра и преди Windows контрол на хардуера. Това отваря вашата система за влошаване и това не е намален от това решение.

  • Блокиране на SBP-2 драйвер и гръм контролери предпазва от атаки на вътрешен или външен PCI слот (включително M.2 Cardbus и ExpressCard).

Повече информация

За повече информация относно DMA заплахи за BitLocker вижте следния блог сигурността на Microsoft:

Windows BitLocker вземанияЗа повече информация относно предпазни мерки за студено атаки срещу BitLocker вижте следния блог целостта на екипа на Microsoft:

Защита на защитено стартиране от студено атаки

Продуктите на други производители, които се обсъждат в тази статия, са произведени от фирми, независими от Microsoft. Microsoft не дава никакви гаранции – подразбиращи се,или други – за работата или надеждността на тези продукти.

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×