Blokering af SBP-2-driveren for at reducere 1394 DMA-trusler mod BitLocker


Symptomer


En BitLocker-beskyttet computer kan blive sårbar overfor DMA-angreb (Direct Memory Access), når computeren tændes eller er i standbytilstand. Dette gælder også, når computeren er låst.


En BitLocker med kun TPM-godkendelse gør det muligt for en computer at skifte til tændt tilstand uden nogen godkendelse før start. Det betyder, at en hacker kan udføre DMA-angreb.

I disse konfigurationer kan en hacker søge efter BitLocker-krypteringsnøgler i systemets hukommelse ved at efterligne SBP-2-hardware-id'et gennem brug af en angrebsenhed, der sluttes til en 1394-port.

Denne artikel gælder for følgende systemer:

  • Systemer, der lades være tændt.
  • Systemer, der efterlades i standbytilstand.
  • Systemer, hvorpå der anvendes BitLocker-beskyttelse med kun TPM.

Årsag


1394 Fysisk DMA
Branchestandard 1394-controllers (OHCI-kompatible) leverer funktioner, der muliggør adgang til systemhukommelsen. Denne funktion leveres som en forbedring af ydeevnen. Den muliggør overførsel af store mængder data direkte mellem en 1394-enhed og systemhukommelsen og uden om CPU og software. Som standard er 1394 Fysisk DMA deaktiveret i alle versioner af Windows. Der er to muligheder for at aktivere 1394 Fysisk DMA:

  • En administrator aktiverer 1394 Kernefejlfinding.
  • En person med fysisk adgang til computeren opretter forbindelse til en 1394-lagringsenhed, der opfylder SBP-2-specifikationerne.
1394 DMA-trusler mod BitLocker
Kontroller af BitLocker-systemets integritet beskytter mod uautoriserede statusændringer for kernefejlfinding. Dog kan en hacker slutte en angrebsenhed til en 1394-port og derefter efterligne et SBP-2-hardware-id. Når Windows registrerer et SBP-2-hardware-id, indlæses SBP-2-driveren (sbp2port.sys), og driveren instrueres derefter om at lade SBP-2-enheden køre DMA. Det gør det muligt for en hacker at opnå adgang til systemhukommelsen og søge efter BitLocker-krypteringsnøgler.

Løsning


Der findes konfigurationer af BitLocker, der kan reducere risikoen. TPM+PIN-, TPM+USB- og TPM+PIN+USB-beskytterne reducerer effekten af DMA-angreb, når computere ikke benytter slumretilstand (afbrydelse til RAM). Hvis din organisation tillader TPM-beskyttelse eller understøtter slumretilstand, anbefaler vi, at du blokerer Windows SBP-2-driveren for at reducere risikoen for 1394 DMA-angreb.


Du kan finde flere oplysninger om, hvordan du gør dette, på følgende Microsoft-webside. Se derefter afsnittet Bloker installation af drivere, der svarer til disse enhedskonfigurationsklasser i afsnittet Gruppepolitikindstillinger til enhedsinstallation:


Enhedsklasse-id'et for en SBP-2-driver er "d48179be-ec20-11d1-b6b8-00c04fa372a7".Bemærk! Ulempen ved denne afhjælpning er, at eksterne lagringsenheder ikke længere kan tilsluttes via 1394-porten. Da USB og eSATA er så fremherskende, skulle den ulempe, der forårsages af denne afhjælpning, dog være begrænset.

Yderligere Information

Du kan finde flere oplysninger om DMA-trusler mod BitLocker ved at besøge følgende Microsoft-webside. Webstedet er evt. på engelsk:Du kan finde flere oplysninger om forebyggelse mod kolde angreb mod BitLocker ved at besøge følgende Microsoft-webside. Webstedet er evt. på engelsk: