NB!
Windowsi versiooni 1803 ja uuemad versioonid, kui teie platvorm toetab uue Tuuma DMA kaitse funktsiooni soovitame te ära kasutama selle funktsiooni leevendamiseks Thunderbolt DMA rünnakute eest. Varasemate versioonide WindowsVõi platvormid, mis ei ole uus Kernel DMA kaitse funktsioon, kui teie organisatsioon võimaldab ainult TPM jätmine või arvuti toetab unerežiimi on üks DMA leevendamine variant. Palun vaadake BitLockeri vastuabinõud kergendamise spektri aru saada.
Kasutajatele võib viidata ka Inteli Thunderbolt 3 ja Microsoft Windows 10 opsüsteemi dokumentatsioonist turvalisuse jaoks alternatiivse kergendamise.
Microsoft pakub tootjate kontaktinfot aitamaks tehnilist tuge leida. Seda teavet võidakse ette teatamata muuta. Microsoft ei garanteeri kolmanda osapoole kontaktteabe täpsust. Selle kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
Üksikasjalik juhend kontrolliva seadme installimine, kasutades rühmapoliitika
Sümptomid
BitLockeri kaitstud arvuti võib otsemällupöörduse (DMA) rünnakute suhtes haavatavad, kui arvuti on sisse lülitatud või puhkerežiimist äratamist ei. See hõlmab kui töölaual on lukustatud. BitLockeri TPM ainult autentimisega võimaldab arvuti sisselülitatud olekusse eelne boot tuua kõik minema. Seetõttu võimalik ründaja DMA rünnakute sooritamiseks. Nende koosseisus ründaja saaks otsida BitLockeri krüptimisvõtmed süsteemimälu tüssamine SBP 2 riistvara ID abil rünnata seade, mis on ühendatud 1394 porti. Teise võimalusena pakub aktiivse Thunderbolt port juurdepääsu teha rünnak süsteemi mälu. Märkus Thunderbolt 3 uut USB Type-C konnektor sisaldab uute turvafunktsioonide, mida saab konfigureerida port keelamata sellist tüüpi rünnakute eest kaitsta. See artikkel kehtib üks järgmistest süsteemidest:
-
Süsteemides, mis on sisse lülitatud
-
Süsteemides, mis on jäänud puhkerežiimist äratamist
-
Süsteemides, mis kasutavad ainult TPM BitLockeri kaitse
Põhjus
1394 füüsilise DMA
Industry standard 1394 kontrollerid (OHCI ühilduv) pakub funktsioone, mis võimaldab juurdepääsu süsteemi mälu. See funktsioon on ette nähtud jõudluse parandamiseks. See võimaldab suurel hulgal andmeid edastada otse 1394 seadme ja süsteemi mälu, CPU ja tarkvara. Vaikimisi 1394 füüsilise DMA on keelatud kõigis Windowsi versioonides. Saadaval lubamiseks 1394 füüsilise DMA on järgmised valikud:
-
Administraator lubab 1394 tuuma silumist.
-
Keegi, kellel on arvutile füüsiline juurdepääs ühendab 1394 mäluseadmele, mis vastab spetsifikatsioonile SBP 2.
BitLockeri 1394 DMA ohud
BitLocker süsteemi terviklikkuse kontrollimiseks leevendada volitamata olekumuutuste tuuma silumist. Siiski võib ründaja rünnata seadme ühendada 1394 porti ja seejärel paroodia SBP 2 riistvara ID Kui Windows tuvastab SBP 2 riistvara ID, laadib SBP 2 draiveri (sbp2port.sys) ja seejärel juhendab lubama teha DMA SBP 2 seadme draiver. See võimaldab ründaja pääseda süsteemi mälu ja BitLocker krüptimisvõtmed otsida.
Thunderbolt füüsilise DMA
Thunderbolt on välise siini, mis võimaldab otsest juurdepääsu süsteemimälu PCI kaudu. See funktsioon on ette nähtud jõudluse parandamiseks. See võimaldab suurel hulgal andmeid edastada otse Thunderbolt seadme ja süsteemi mälu, seega võite Protsessori- ja tarkvara.
BitLockeri Thunderbolt ohud
Ründaja võib spetsiaalse eesmärgi seadme ühendada Thunderbolt port ja on täis otsene juurdepääs läbi PCI Expressi siiniga. See võimaldaks ründaja pääseda süsteemi mälu ja BitLocker krüptimisvõtmed otsida. Märkus Thunderbolt 3 uut USB Type-C konnektor sisaldab uute turvafunktsioonide, mida saab konfigureerida nii, et kaitsta seda tüüpi juurdepääsu.
Lahendus
Mõned konfiguratsiooni BitLockeri võib vähendada seda tüüpi rünnak. TPM + PIN-kood, TPM + USB ja TPM + PIN-kood + USB kaitsevahendid DMA rünnakute mõju vähendada, kui ei kasuta arvuti unerežiimi (peatatakse RAM).
SBP 2 leevendamine
Eelnevalt mainitud veebisaidikohta vt "Takistada võrdlemine nende seadme häälestamine klassi draiverite installimist" jaotise "rühma rühmapoliitika sätete kohta seadmete installimine". Plug and Play seadme häälestamine klassi GUID SBP 2 draivi jaoks on järgmine:
d48179be-ec20-11d1-b6b8-00c04fa372a7
Mõned platvormidel täielikult 1394 seadme keelamine võib anda turbeks. Kohta ning eelnevalt mainitud veebilehel, "Takistada installimist seadmeid, mis vastavad nende seadme ID-d" jaotises "Rühma rühmapoliitika sätete kohta seadmete installimine" jaotisest.Järgneb 1394 kontroller Plug and Play ühilduv ID:
PCI\CC_0C0010
Thunderbolt leevendamine
Alates Windows 10 versiooni 1803, uuem mantel-põhised süsteemid sisaldavad sisseehitatud tuuma DMA kaitse Thunderbolt 3. Ei ole konfiguratsioon on vaja seda kaitset.
Thunderbolt kontroller kasutab varasemat versiooni Windowsi või platvormidel puudub tuuma DMA kaitse Thunderbolt 3seadme blokeerimiseks viidata "Väldi paigaldamise vastavad need seadme ID-d" jaotises "rühmapoliitika alusel Sätteid seadme installimiseks"on eelnevalt mainitud veebilehel.
Plug and Play ühilduv ID Thunderbolt kontroller on järgmine:
PCI\CC_0C0A
Märkused.
-
Selle leevendamine puuduseks on selle väliste mäluseadmete abil 1394 port ja kõik PCI Expressi seadmeid, mis on seotud Thunderbolt port ei tööta enam ühenduse loomise seadmed.
-
Kui teie riistvara erineb Windows Engineering juhendi, see luba DMA need pordid, pärast arvuti käivitamist ja enne Windows hõivab riistvara. See avab teie süsteemi kahjustada ja selline olukord on leevendada, seda lahendust.
-
SBP 2 draiver ja Thunderbolt kontrollerid ei kaitse rünnakud välise või sisemise PCI pesa (sh M.2, Cardbus ja ExpressCard).
Lisateave
BitLockeri DMA ohtude kohta lisateabe saamiseks vaadake järgmist Microsoft Security blogi:
Windows BitLocker nõudedKergendamise külma rünnakud BitLockeri kohta lisateabe saamiseks lugege järgmist Microsofti terviklikkuse meeskonna Ajaveeb:
Selles artiklis käsitletud teiste tootjate tooteid valmistavad Microsoftiga mitteseotud ettevõtted. Microsoft ei anna nende toodete jõudlusele ega töökindlusele mingit kaudset ega muud garantiid.