और Thunderbolt नियंत्रक BitLocker के लिए 1394 DMA और Thunderbolt DMA खतरों को कम करने के लिए SBP-2 ड्राइवर अवरोधित कर रही

लागू: Windows Server version 1803Windows 10, version 1803, all editionsWindows Server 2016 Version 1709

सूचना


अपने प्लेटफ़ॉर्म नया कर्नेल DMA सुरक्षा सुविधा का समर्थन करता है, तो Windows संस्करण 1803 और बाद के संस्करणों के लिए, हम Thunderbolt DMA आक्रमणों को कम करने के लिए जो सुविधा leverage अनुशंसा करते हैं। नया कर्नेल DMA सुरक्षा कमी Windowsor प्लेटफॉर्म के पूर्व संस्करणों के लिए सुविधा, आपके संगठन के लिए केवल TPM protectors की अनुमति देता है या स्लीप मोड में कंप्यूटर का समर्थन करता है, तो निम्न एक DMA mitigation विकल्प है। स्पेक्ट्रम को सायकल करती mitigations के समझने के लिए BitLocker Countermeasures के लिए कृपया देखें।

भी उपयोगकर्ताओं को Intel Thunderbolt 3 और Microsoft Windows 10 ऑपरेटिंग सिस्टम के दस्तावेज़ पर सुरक्षा के लिए वैकल्पिक mitigations के लिए देखें हो सकता है।

Microsoft तकनीकी समर्थन पाने में आपकी मदद के लिए तृतीय-पक्ष संपर्क जानकारी उपलब्ध कराता है। यह संपर्क जानकारी बिना किसी सूचना के बदल सकती है। Microsoft इस तृतीय-पक्ष संपर्क जानकारी की परिशुद्धता गारंटी नहीं देता है।ऐसा कैसे करें के बारे में अधिक जानकारी के लिए, निम्न Microsoft वेब साइट पर जाएँ:

 

लक्षण


कंप्यूटर चालू है या स्टैंडबाय पावर स्थिति में है जब एक BitLocker सुरक्षित कंप्यूटर डायरेक्ट मेमोरी एक्सेस (DMA) हमलों के लिए असुरक्षित हो सकता है। डेस्कटॉप अवरोधित किया गया है, जब इसमें शामिल हैं।केवल TPM प्रमाणन के साथ BitLocker पावर-ऑन स्थिति किसी भी पूर्व बूट प्रमाणीकरण के बिना दर्ज करने के लिए कंप्यूटर के लिए अनुमति देता है। इसलिए, एक हमलावर DMA हमलों को करने में सक्षम हो सकता है।इन कॉन्फ़िगरेशन में आक्रमणकर्ता द्वारा SBP-2 हार्डवेयर ID spoofing 1394 पोर्ट में प्लग किया गया है एक यहाँ डिवाइस का उपयोग कर सिस्टम स्मृति में BitLocker एन्क्रिप्शन कुंजी के लिए खोज करने में सक्षम हो सकता है। वैकल्पिक रूप से, एक सक्रिय Thunderbolt पोर्ट भी किसी आक्रमण करने के लिए सिस्टम स्मृति के लिए पहुँच प्रदान करता है। नोट नए प्रकार-C USB कनेक्टर पर Thunderbolt 3 नई सुरक्षा सुविधाएँ जो पोर्ट अक्षम किए बिना इस प्रकार के हमलों के विरुद्ध की सुरक्षा करने के लिए कॉन्फ़िगर किया जा सकता शामिल हैं।इस आलेख में से कोई भी निम्न सिस्टम्स के लिए लागू होता है:
  • चालू शेष हैं सिस्टमों
  • सिस्टम स्टैंडबाय पावर स्थिति में शेष रहे हैं
  • सिस्टम केवल TPM BitLocker संरक्षक का उपयोग करें

कारण


1394 भौतिक DMA

उद्योग मानक 1394 नियंत्रक (OHCI समर्थक) कार्यक्षमता तक पहुँच सिस्टम स्मृति के लिए अनुमति देता है प्रदान करें। यह कार्यक्षमता कोई प्रदर्शन सुधार के रूप में प्रदान किया गया है। यह CPU और सॉफ़्टवेयर से बचते हुए सीधे एक 1394 डिवाइस और सिस्टम स्मृति के बीच, को स्थानांतरित करने के लिए डेटा की बड़ी मात्रा देता है। डिफ़ॉल्ट रूप से, 1394 भौतिक DMA Windows के सभी संस्करणों में अक्षम है। 1394 भौतिक DMA सक्षम करने के लिए निम्न विकल्प हैं:

  • व्यवस्थापक 1394 करनेल डीबग करना सक्षम करता है।
  • उस कंप्यूटर तक भौतिक पहुँच वाले किसी SBP-2 विनिर्देशन के साथ का पालन करता 1394 संग्रहण डिवाइस कनेक्ट करता है।

BitLocker के लिए 1394 DMA खतरों

BitLocker सिस्टम समेकन जाँच अनधिकृत करनेल डीबगिंग स्थिति परिवर्तन को कम करने। हालांकि, एक हमलावर सका कोई यहाँ डिवाइस 1394 पोर्ट के लिए कनेक्ट करें, और फिर एक SBP-2 हार्डवेयर id spoof जब Windows SBP-2 हार्डवेयर ID का पता लगाता है, तो इसे (sbp2port.sys) SBP-2 ड्रायवर को लोड करता, और उसके बाद ड्राइवर DMA करने के लिए SBP-2 डिवाइस के लिए अनुमति देने के लिए अनुदेश देता है। यह एक हमलावर सिस्टम स्मृति और BitLocker एन्क्रिप्शन कुंजी के लिए खोज करने के लिए पहुँच प्राप्त करने के लिए सक्षम करता है।

Thunderbolt भौतिक DMA

Thunderbolt PCI के माध्यम से सिस्टम स्मृति के लिए सीधी पहुँच के लिए अनुमति देता है जो किसी बाह्य बस है। यह कार्यक्षमता कोई प्रदर्शन सुधार के रूप में प्रदान किया गया है। यह CPU और सॉफ़्टवेयर को इस प्रकार छोड़कर सीधे एक Thunderbolt डिवाइस और सिस्टम स्मृति के बीच, को स्थानांतरित करने के लिए डेटा की बड़ी मात्रा देता है।

BitLocker के खतरों thunderbolt

एक हमलावर सका Thunderbolt पोर्ट के लिए कोई विशेष उद्देश्य डिवाइस कनेक्ट करें और PCI एक्सप्रेस बस से पूर्ण सीधी स्मृति पहुँच है। यह एक हमलावर सिस्टम स्मृति और BitLocker एन्क्रिप्शन कुंजी के लिए खोज करने के लिए पहुँच प्राप्त करने के लिए सक्षम कर सकता है। नोट Thunderbolt 3 नए प्रकार-C USB कनेक्टर पर नई सुरक्षा सुविधाएँ जो इस प्रकार की पहुँच को सुरक्षित करने के लिए कॉन्फ़िगर किया जा सकता शामिल हैं।

समाधान


BitLocker के कुछ कॉन्फ़िगरेशन इस प्रकार के हमलों के जोखिम कम कर सकते हैं। जब कंप्यूटर स्लीप मोड का उपयोग नहीं करते, तो DMA हमलों का प्रभाव घटाने TPM + पिन, TPM + USB और TPM + पिन + USB protectors (RAM को निलंबित)।

Mitigation SBP-2

पहले उल्लेखित वेब साइटपर, "समूह नीति सेटिंग के लिए डिवाइस की स्थापना"के अंतर्गत "इन डिवाइस सेटअप क्लासेस मेल खाते ड्रायवर की स्थापना के रोकें" अनुभाग का संदर्भ लें।प्लग एंड प्ले डिवाइस सेटअप वर्ग GUID एक SBP-2 ड्राइव के लिए निम्न है:
d48179be-ec20-11d1-b6b8-00c04fa372a7

कुछ प्लेटफॉर्म्स पर 1394 डिवाइस को पूरी तरह से अक्षम अतिरिक्त सुरक्षा प्रदान कर सकते हैं।  पर पहले उल्लेखित वेब साइट, "समूह नीति सेटिंग के लिए डिवाइस की स्थापना" के अंतर्गत "इन डिवाइस IDs से मेल खाने वाली डिवाइस की स्थापना रोकें" अनुभाग का संदर्भ लें.प्लग एंड प्ले संगत ID एक 1394 नियंत्रक के लिए निम्न है:

PCI\CC_0C0010

Thunderbolt Mitigation

Windows 10 संस्करण 1803, के साथ आरंभ नए मैंntel-आधारित सिस्टम कर्नेल DMA सुरक्षा Thunderbolt 3 के लिएबिल्ट-इन शामिल है। कोई कॉन्फ़िगरेशन इस सुरक्षा के लिए आवश्यक है.

"इन डिवाइस IDs से मेल खाने वाली डिवाइस की स्थापना रोकें" अनुभाग "समूह नीति के अंतर्गत उस कमी के कर्नल DMA Thunderbolt 3 के लिए सुरक्षाWindows के, या प्लेटफॉर्म्स के लिए कोई पूर्व संस्करण चला रहे किसी डिवाइस पर किसी Thunderbolt नियंत्रक ब्लॉक करने के लिए, देखें डिवाइस की स्थापना के लिए "पर सेटिंग्स पहले उल्लेखित वेब साइट.

प्लग एंड प्ले संगत ID एक Thunderbolt नियंत्रक के लिए निम्न है:
PCI\CC_0C0A

नोट्स

  • बाह्य संग्रह डिवाइस अब 1394 पोर्ट, और Thunderbolt पोर्ट नहीं काम करेगा करने के लिए कनेक्ट हैं सभी PCI एक्सप्रेस डिवाइसेज़ का उपयोग कर कनेक्ट कर सकते हैं कि यह mitigation का drawback है।
  • यदि आपका हार्डवेयर पर वर्तमान Windows इंजीनियरिंग मार्गदर्शन से deviates, इसे इन पोर्ट्स पर DMA करने के बाद आपको कंप्यूटर को प्रारंभ करें और Windows हार्डवेयर का नियंत्रण लेता है इससे पहले कि सक्षम कर सकते हैं। यह समझौता करने के लिए अपने सिस्टम को खोलता है, और यह स्थिति इस तरीके से mitigated नहीं है।
  • (M.2, Cardbus और ExpressCard सहित) बाह्य या आंतरिक PCI स्लॉट पर आक्रमण के विरुद्ध Thunderbolt नियंत्रकों और SBP-2 ड्राइवर अवरोधित करना सुरक्षित नहीं।

अधिक जानकारी


BitLocker के लिए DMA खतरों के बारे में अधिक जानकारी के लिए, निम्न Microsoft सुरक्षा ब्लॉग देखें:BitLocker के विरुद्ध शीतल हमलों के लिए mitigations के बारे में अधिक जानकारी के लिए, निम्न Microsoft अक्षतता टीम ब्लॉग देखें:

यह आलेख चर्चा करता है कि तृतीय-पक्ष उत्पाद Microsoft से स्वतंत्र कंपनियों द्वारा निर्मित किए गए हैं. Microsoft कोई वारंटी, निहित या अन्यथा, प्रदर्शन या विश्वसनीयता इन उत्पादों के लिए कोई वारंटी नहीं देता.