Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Pemberitahuan

Untuk Windows versi 1803 dan versi yang lebih baru, jika Anda platform mendukung fitur Perlindungan DMA Kernel baru, kami sarankan Anda memanfaatkan fitur untuk mengurangi Thunderbolt DMA serangan. Untuk versi yang lebih lawas dari platform Windowsor yang kurang baru Perlindungan DMA Kernel fitur, jika organisasi Anda memungkinkan untuk pelindung TPM-saja atau mendukung komputer dalam modus tidur, berikut ini adalah salah satu opsi mitigasi DMA. Silakan merujuk ke BitLocker penanggulangan dipahami pihak mitigations.

Juga pengguna dapat merujuk ke Intel Thunderbolt 3 dan keamanan pada sistem operasi Microsoft Windows 10 dokumentasi untuk mitigations alternatif.

Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini dapat berubah tanpa pemberitahuan. Microsoft tidak menjamin keakuratan informasi kontak dari pihak ketiga ini. Untuk informasi selengkapnya tentang cara melakukannya, kunjungi website Microsoft berikut:

Panduan Langkah Demi Langkah untuk Mengontrol Penginstalan Perangkat Menggunakan Kebijakan Grup

Gejala

Dilindungi BitLocker komputer mungkin rentan terhadap serangan akses memori langsung (DMA) ketika komputer dihidupkan atau dalam kondisi daya siaga. Ini termasuk saat desktop terkunci. BitLocker dengan otentikasi hanya TPM memungkinkan komputer untuk memasukkan kondisi power-on tanpa otentikasi pra-boot apa pun. Oleh karena itu, seorang penyerang dapat melakukan serangan DMA. Dalam konfigurasi ini, seorang penyerang dapat mencari kunci enkripsi BitLocker dalam memori sistem dengan masalah ID perangkat keras SBP-2 dengan menggunakan perangkat menyerang yang dicolokkan ke 1394 port. Selain itu, port Thunderbolt aktif juga menyediakan akses ke memori sistem untuk melakukan serangan. Perhatikan bahwa Thunderbolt 3 di konektor USB tipe-C baru menyertakan fitur keamanan baru yang dapat dikonfigurasi untuk melindungi terhadap jenis serangan tanpa menonaktifkan port. Artikel ini berlaku untuk salah satu dari sistem berikut ini:

  • Sistem yang tersisa diaktifkan

  • Sistem yang tersisa dalam kondisi daya siaga

  • Sistem yang menggunakan pelindung BitLocker TPM-saja

Penyebab

1394 fisik DMA

Kontroler 1394 standar industri (OHCI sesuai) menyediakan fungsionalitas yang memungkinkan untuk mengakses memori sistem. Fungsionalitas ini tersedia sebagai perbaikan kinerja. Hal ini memungkinkan sejumlah besar data untuk mentransfer langsung antara 1394 perangkat dan memori sistem, melewati CPU dan perangkat lunak. Secara default, 1394 fisik DMA dinonaktifkan di semua versi Windows. Opsi berikut ini tersedia untuk mengaktifkan 1394 fisik DMA:

  • Administrator memungkinkan 1394 Kernel Debugging.

  • Seseorang yang memiliki akses ke komputer fisik Menyambungkan perangkat penyimpanan 1394 yang sesuai dengan spesifikasi SBP-2.

1394 DMA ancaman BitLocker

Pemeriksaan integritas sistem BitLocker mengurangi Kernel Debugging status perubahan tidak sah. Namun, seorang penyerang dapat menghubungkan perangkat menyerang 1394 port, dan kemudian spoof id perangkat keras SBP-2 Jika Windows mendeteksi ID perangkat keras SBP-2, ini memuat pengandar SBP-2 (sbp2port.sys), dan kemudian memerintahkan pengandar untuk perangkat SBP-2 untuk melakukan DMA. Hal ini memungkinkan penyerang untuk mengakses memori sistem dan Cari kunci enkripsi BitLocker.

Thunderbolt fisik DMA

Thunderbolt adalah bus eksternal yang memungkinkan untuk akses langsung ke memori sistem melalui PCI. Fungsionalitas ini tersedia sebagai perbaikan kinerja. Hal ini memungkinkan sejumlah besar data untuk mentransfer langsung antara Thunderbolt perangkat dan memori sistem, sehingga melewati CPU dan perangkat lunak.

Ancaman Thunderbolt BitLocker

Seorang penyerang dapat menyambungkan perangkat tujuan khusus untuk Thunderbolt port dan memiliki akses memori penuh langsung melalui bus PCI Express. Hal ini memungkinkan penyerang untuk mengakses memori sistem dan Cari kunci enkripsi BitLocker. Perhatikan bahwa Thunderbolt 3 di konektor USB tipe-C baru menyertakan fitur keamanan baru yang dapat dikonfigurasi untuk melindungi jenis akses.

Pemecahan Masalah

Beberapa konfigurasi BitLocker dapat mengurangi risiko jenis serangan. Pelindung TPM + PIN, TPM + USB dan TPM + PIN + USB mengurangi efek DMA serangan ketika komputer tidak menggunakan mode tidur (menangguhkan ke RAM).

Mitigasi SBP-2

Pada situs web yang disebutkan sebelumnya, rujuk ke bagian "Mencegah penginstalan driver kelas penataan perangkat ini yang cocok" di bawah "grup kebijakan pengaturan untuk pemasangan perangkat". Berikut ini adalah Plug and Play perangkat setup class GUID untuk kandar SBP-2:

d48179be-ec20-11d1-b6b8-00c04fa372a7

Pada beberapa platform sepenuhnya menonaktifkan perangkat 1394 dapat memberikan keamanan tambahan.  Pada situs web yang disebutkan sebelumnya, rujuk ke bagian "Mencegah pemasangan perangkat yang sesuai id perangkat ini" di bawah "Grup kebijakan pengaturan untuk pemasangan perangkat".Berikut ini adalah Plug and Play ID yang kompatibel untuk kontroler 1394:

PCI\CC_0C0010

Mitigasi Thunderbolt

Dimulai dengan 10 Windows versi 1803, baru saya sistem berbasis ntel termasuk built-in kernel DMA perlindungan Thunderbolt 3. Tidak ada konfigurasi diperlukan untuk perlindungan ini.

Untuk memblokir Thunderbolt controller pada perangkat yang menjalankan versi yang lebih lawas dari Windows, atau untuk platform bahwa kurangnya perlindungan DMA kernel untuk Thunderbolt 3, rujuk ke bagian "Cegah pemasangan perangkat yang sesuai dengan perangkat ini id" di bawah "kebijakan grup Pengaturan untuk pemasangan perangkat"di situs web yang disebutkan sebelumnya.

Berikut ini adalah Plug and Play ID yang kompatibel untuk kontroler Thunderbolt:

PCI\CC_0C0A

Catatan

  • Kelemahan mitigasi ini adalah bahwa penyimpanan eksternal perangkat tidak dapat menyambung menggunakan 1394 port, dan semua perangkat PCI Express yang tersambung ke Thunderbolt port tidak akan bekerja.

  • Jika perangkat keras Anda menyimpang dari panduan rekayasa Windows saat ini, mungkin mengaktifkan DMA pada port ini setelah Anda memulai komputer dan sebelum Windows mengambil kontrol perangkat keras. Ini akan membuka sistem membahayakan, dan kondisi ini tidak dikurangi dengan pemecahan masalah ini.

  • Memblokir pengandar SBP-2 dan pengendali Thunderbolt tidak melindungi terhadap serangan internal atau eksternal slot PCI (termasuk M.2, Cardbus & ExpressCard).

Informasi Selengkapnya

Untuk informasi selengkapnya tentang ancaman DMA BitLocker, lihat blog Microsoft Security berikut ini:

Windows BitLocker klaimUntuk informasi selengkapnya tentang mitigations dingin serangan terhadap BitLocker, lihat blog tim integritas Microsoft berikut ini:

Melindungi BitLocker dari serangan dingin

Produk pihak ketiga yang dibahas dalam artikel ini dibuat oleh perusahaan independen dan terpisah dari Microsoft. Microsoft tidak memberikan garansi, secara tersirat atau dalam bentuk apa pun, terkait kinerja atau keandalan produk ini.

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×