SBP 2 draiver ja Thunderbolt kontrollerid BitLockeri 1394 DMA ja Thunderbolt DMA ohtude vähendamiseks

Kehtib: Windows Server version 1803Windows 10, version 1803, all editionsWindows Server 2016 Version 1709

NB!


Windowsi versiooni 1803 ja uuemad versioonid, kui teie platvorm toetab uue Tuuma DMA kaitse funktsiooni soovitame te ära kasutama selle funktsiooni leevendamiseks Thunderbolt DMA rünnakute eest. Varasemate versioonide WindowsVõi platvormid, mis ei ole uus Kernel DMA kaitse funktsioon, kui teie organisatsioon võimaldab ainult TPM jätmine või arvuti toetab unerežiimi on üks DMA leevendamine variant. Palun vaadake BitLockeri vastuabinõud kergendamise spektri aru saada.

Kasutajatele võib viidata ka Inteli Thunderbolt 3 ja Microsoft Windows 10 opsüsteemi dokumentatsioonist turvalisuse jaoks alternatiivse kergendamise.

Microsoft pakub tootjate kontaktinfot aitamaks tehnilist tuge leida. Seda teavet võidakse ette teatamata muuta. Microsoft ei garanteeri kolmanda osapoole kontaktteabe täpsust.Selle kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:

 

Sümptomid


BitLockeri kaitstud arvuti võib otsemällupöörduse (DMA) rünnakute suhtes haavatavad, kui arvuti on sisse lülitatud või puhkerežiimist äratamist ei. See hõlmab kui töölaual on lukustatud.BitLockeri TPM ainult autentimisega võimaldab arvuti sisselülitatud olekusse eelne boot tuua kõik minema. Seetõttu võimalik ründaja DMA rünnakute sooritamiseks.Nende koosseisus ründaja saaks otsida BitLockeri krüptimisvõtmed süsteemimälu tüssamine SBP 2 riistvara ID abil rünnata seade, mis on ühendatud 1394 porti. Teise võimalusena pakub aktiivse Thunderbolt port juurdepääsu teha rünnak süsteemi mälu. Märkus Thunderbolt 3 uut USB Type-C konnektor sisaldab uute turvafunktsioonide, mida saab konfigureerida port keelamata sellist tüüpi rünnakute eest kaitsta.See artikkel kehtib üks järgmistest süsteemidest:
  • Süsteemides, mis on sisse lülitatud
  • Süsteemides, mis on jäänud puhkerežiimist äratamist
  • Süsteemides, mis kasutavad ainult TPM BitLockeri kaitse

Põhjus


1394 füüsilise DMA

Industry standard 1394 kontrollerid (OHCI ühilduv) pakub funktsioone, mis võimaldab juurdepääsu süsteemi mälu. See funktsioon on ette nähtud jõudluse parandamiseks. See võimaldab suurel hulgal andmeid edastada otse 1394 seadme ja süsteemi mälu, CPU ja tarkvara. Vaikimisi 1394 füüsilise DMA on keelatud kõigis Windowsi versioonides. Saadaval lubamiseks 1394 füüsilise DMA on järgmised valikud:

  • Administraator lubab 1394 tuuma silumist.
  • Keegi, kellel on arvutile füüsiline juurdepääs ühendab 1394 mäluseadmele, mis vastab spetsifikatsioonile SBP 2.

BitLockeri 1394 DMA ohud

BitLocker süsteemi terviklikkuse kontrollimiseks leevendada volitamata olekumuutuste tuuma silumist. Siiski võib ründaja rünnata seadme ühendada 1394 porti ja seejärel paroodia SBP 2 riistvara ID Kui Windows tuvastab SBP 2 riistvara ID, laadib SBP 2 draiveri (sbp2port.sys) ja seejärel juhendab lubama teha DMA SBP 2 seadme draiver. See võimaldab ründaja pääseda süsteemi mälu ja BitLocker krüptimisvõtmed otsida.

Thunderbolt füüsilise DMA

Thunderbolt on välise siini, mis võimaldab otsest juurdepääsu süsteemimälu PCI kaudu. See funktsioon on ette nähtud jõudluse parandamiseks. See võimaldab suurel hulgal andmeid edastada otse Thunderbolt seadme ja süsteemi mälu, seega võite Protsessori- ja tarkvara.

BitLockeri Thunderbolt ohud

Ründaja võib spetsiaalse eesmärgi seadme ühendada Thunderbolt port ja on täis otsene juurdepääs läbi PCI Expressi siiniga. See võimaldaks ründaja pääseda süsteemi mälu ja BitLocker krüptimisvõtmed otsida. Märkus Thunderbolt 3 uut USB Type-C konnektor sisaldab uute turvafunktsioonide, mida saab konfigureerida nii, et kaitsta seda tüüpi juurdepääsu.

Lahendus


Mõned konfiguratsiooni BitLockeri võib vähendada seda tüüpi rünnak. TPM + PIN-kood, TPM + USB ja TPM + PIN-kood + USB kaitsevahendid DMA rünnakute mõju vähendada, kui ei kasuta arvuti unerežiimi (peatatakse RAM).

SBP 2 leevendamine

Eelnevalt mainitud veebisaidikohta vt "Takistada võrdlemine nende seadme häälestamine klassi draiverite installimist" jaotise "rühma rühmapoliitika sätete kohta seadmete installimine".Plug and Play seadme häälestamine klassi GUID SBP 2 draivi jaoks on järgmine:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Mõned platvormidel täielikult 1394 seadme keelamine võib anda turbeks.  Kohta ning eelnevalt mainitud veebilehel, "Takistada installimist seadmeid, mis vastavad nende seadme ID-d" jaotises "Rühma rühmapoliitika sätete kohta seadmete installimine" jaotisest.Järgneb 1394 kontroller Plug and Play ühilduv ID:

PCI\CC_0C0010

Thunderbolt leevendamine

Alates Windows 10 versiooni 1803, uuem mantel-põhised süsteemid sisaldavad sisseehitatud tuuma DMA kaitse Thunderbolt 3. Ei ole konfiguratsioon on vaja seda kaitset.

Thunderbolt kontroller kasutab varasemat versiooni Windowsi või platvormidel puudub tuuma DMA kaitse Thunderbolt 3seadme blokeerimiseks viidata "Väldi paigaldamise vastavad need seadme ID-d" jaotises "rühmapoliitika alusel Sätteid seadme installimiseks"on eelnevalt mainitud veebilehel.

Plug and Play ühilduv ID Thunderbolt kontroller on järgmine:
PCI\CC_0C0A

Märkused.

  • Selle leevendamine puuduseks on selle väliste mäluseadmete abil 1394 port ja kõik PCI Expressi seadmeid, mis on seotud Thunderbolt port ei tööta enam ühenduse loomise seadmed.
  • Kui teie riistvara erineb Windows Engineering juhendi, see luba DMA need pordid, pärast arvuti käivitamist ja enne Windows hõivab riistvara. See avab teie süsteemi kahjustada ja selline olukord on leevendada, seda lahendust.
  • SBP 2 draiver ja Thunderbolt kontrollerid ei kaitse rünnakud välise või sisemise PCI pesa (sh M.2, Cardbus ja ExpressCard).

Lisateave


BitLockeri DMA ohtude kohta lisateabe saamiseks vaadake järgmist Microsoft Security blogi:Kergendamise külma rünnakud BitLockeri kohta lisateabe saamiseks lugege järgmist Microsofti terviklikkuse meeskonna Ajaveeb:

Selles artiklis käsitletud teiste tootjate tooteid valmistavad Microsoftiga mitteseotud ettevõtted. Microsoft ei anna nende toodete jõudlusele ega töökindlusele mingit kaudset ega muud garantiid.