Blokiranje upravljački program SBP 2 i Thunderbolt kontroleri smanjiti 1394 prijetnje DMA i Thunderbolt DMA za BitLocker

Vrijedi za: Windows Server version 1803Windows 10, version 1803, all editionsWindows Server 2016 Version 1709

Obavijest


Za Windows verzija 1803 i novijim verzijama, ako vaš platform podržava novu značajku Zaštite DMA jezgre preporučujemo uravnotežavanje tu značajku umanjiti Thunderbolt DMA napada. Starije verzije Windowsor platforme koji nemaju nova Zaštita DMA jezgre značajka, ako vaša organizacija dopušta samo za TPM zaštitnike ili podržava računala u stanje mirovanja, sljedeće jednu mogućnost ublažiti DMA. Pogledajte Protumjere BitLocker razumjeti spektra mitigations.

Korisnici možda, pogledajte Intel Thunderbolt 3 i sigurnost na dokumentaciju Microsoft 10 operacijskog sustava za alternativni mitigations.

Microsoft nudi neovisnih proizvođača s podacima za kontakt za pomoć pri pronalaženju tehničke podrške. Kontakt informacije mogu promijeniti bez najave. Microsoft ne jamči točnost treće strane informacije o ovom kontaktu.Dodatne informacije o tome kako to učiniti, posjetite sljedeće Microsoftovo web-mjesto:

 

Simptomi


Zaštićena BitLocker računalo može biti ranjivo na napade izravnog pristupa memoriji (DMA) kada računalo je uključeno ili u stanju čekanja napajanja. To obuhvaća kad je zaključan radne površine.BitLocker TPM samo s provjerom autentičnosti omogućuje računalu da unesete stanja uštede energije na bez bilo prije pokretanja provjere autentičnosti. Stoga napadaču možda moći izvršiti DMA napada.U ovim konfiguracijama napadaču možda moći pretraživati ključevima programa BitLocker šifriranja u sistemske memorije prema lažno predstavljanje SBP 2 ID hardvera pomoću uzeli uređaj koji je priključen 1394 priključak. Umjesto toga, aktivni Thunderbolt priključak pruža pristup sistemske memorije za izvođenje u slučaju napada. Imajte na umu da Thunderbolt 3 na novu vrstu C USB poveznik uključuje nove sigurnosne značajke koje mogu se konfigurirati u zaštiti protiv vrsta napada bez onemogućavanja priključak.Ovaj se članak odnosi na bilo koju od sljedećih sustava:
  • Sustavi ostavljena su uključena
  • Sustavi lijevo u stanje napajanja stanje čekanja
  • Koristite BitLocker samo za TPM zaštitnik sustave

Uzrok


1394 fizičke DMA

Industrija standardni 1394 kontroleri (OHCI sa standardom) pružaju funkcionalnost koja omogućuje pristup sistemske memorije. Ova funkcija dana je kao poboljšanja performansi. Omogućuje velike količine podataka za prijenos izravno između 1394 uređaj i sistemske memorije, zaobilaženje procesora i softvera. Po zadanom, fizičke DMA 1394 je onemogućen u svim verzijama sustava Windows. Dostupne Omogući DMA fizičke 1394 su sljedeće mogućnosti:

  • Administrator omogućuje 1394 otklanjanje pogrešaka.
  • Netko tko ima fizički pristup računalu povezuje 1394 uređaju za pohranu koji je u skladu sa specifikacijom SBP 2.

1394 prijetnje DMA za BitLocker

Provjerava integritet sustava BitLocker umanjiti neovlaštene ispravljanje pogrešaka jezgre promjene statusa. Međutim, napadaču nije uzeli uređaj povezati 1394 priključak, a lažiraju ID. hardver SBP 2 Kada Windows otkrije ID hardvera SBP 2, učita upravljački program SBP 2 (sbp2port.sys) i upućuje upravljački program dopustiti za uređaj SBP 2 za izvođenje DMA. To omogućuje napadaču za pristupanje sistemske memorije i potražiti BitLocker ključeva za šifriranje.

Thunderbolt fizičke DMA

Thunderbolt je vanjske sabirnice koji omogućuje izravan pristup sistemske memorije putem PCI. Ova funkcija dana je kao poboljšanja performansi. Omogućuje velike količine podataka za prijenos izravno između Thunderbolt uređaj i sistemske memorije, time zaobilaženje procesora i softvera.

Thunderbolt prijetnji za BitLocker

Napadaču može povezati uređaj posebne namjene Thunderbolt priključka i imate puno izravan pristup memoriji kroz PCI Express sabirnicom. To može omogućiti napadaču za pristupanje sistemske memorije i potražiti BitLocker ključeva za šifriranje. Imajte na umu da Thunderbolt 3 na novu vrstu C USB poveznik uključuje nove sigurnosne značajke koje mogu se konfigurirati u zaštiti protiv tu vrstu pristupa.

Rješenje


Nekim konfiguracijama BitLocker možete smanjiti rizik vrsta napada. TPM + PIN, TPM + USB i TPM + PIN + USB zaštitnike smanjili efekt DMA napada kada računala koriste mirovanja (Obustavljanje RAM-a).

Ublažiti SBP 2

Na na prethodno spomenutih web-mjesta, pogledajte odjeljak "Spriječiti instalacije upravljačkih programa podudaranje ove klase uređaja Postava" pod "grupe pravila postavke za instalacija uređaja".Uključi i radi program za postavljanje klasa uređaja GUID za SBP 2 pogon je:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Na neke platformama potpuno onemogućavanje 1394 uređaja možda pružaju dodatnu sigurnost.  Na u prethodno spomenutih web-mjesto, pogledajte odjeljak "Spriječiti instalaciju uređaja koji odgovaraju te uređaju ID-ove" pod "grupe pravila postavke za uređaj"instalacija.Je sljedeće vrste Uključi i radi kompatibilan ID za kontroler 1394:

PCI\CC_0C0010

Ublažiti thunderbolt

Počevši od 10 Windows verzija 1803., novije Intel-bitne sustave obuhvatiti ugrađene jezgre zaštita DMA za Thunderbolt 3. Nema konfiguracije potreban je za ovu zaštitu.

Blokiranje Thunderbolt kontroler na uređaju izvodi ranijoj verziji sustava Windows ili za platforme taj nedostatak jezgre DMA zaštitu za Thunderbolt 3, pogledajte odjeljak "Spriječi instalacija uređaja koji odgovaraju tim uređaju ID" pod "pravila grupe Postavke za instalacija uređaja"na u prethodno spomenutih web-mjesto.

Uključi i radi kompatibilan ID za kontroler Thunderbolt je:
PCI\CC_0C0A

Napomene

  • Drawback ovaj ublažiti je taj vanjskog pohranjivanja uređaji više ne možete povezati putem 1394 priključak i sve PCI Express uređaje koji su povezani s Thunderbolt priključak će raditi.
  • Ako vaš hardver deviates iz trenutnog Windows inženjerskih smjernica, omogućiti možda DMA na ove priključke nakon pokretanja računala i prije Windows uzima kontrolu hardver. Otvara vaš sustav ugroziti i ovaj uvjet ne mitigated po ovo zaobilazno rješenje.
  • Blokiranje upravljački program SBP 2 i Thunderbolt kontroleri se zaštiti protiv napada na vanjskog ili internog utora PCI (uključujući M.2, Cardbus & ExpressCard).

Dodatne informacije


Dodatne informacije o prijetnje DMA za BitLocker potražite sljedeće Microsoft Security bloga:Dodatne informacije o mitigations Hladno napade BitLocker potražite blog tima integritet Microsoft za sljedeće:

Proizvodi drugih proizvođača koji se spominju u ovom članku proizvedeni su u tvrtkama neovisnima o Microsoftu. Microsoft ne daje ni posredna ni druga jamstva vezana uz performanse ili pouzdanost tih proizvoda.