Blokuoja SBP 2 tvarkyklę ir žaibo valdikliai sumažinti 1394 DMA ir žaibo DMA grėsmę "BitLocker"

Pranešimas

"Windows" versija 1803 ir naujesnėse versijose, jei jūsų platforma palaiko Branduolio DMA apsauga nauja, rekomenduojame panaudoti šios funkcijos sumažinti DMA žaibo atakų. Ankstesnėse versijose Windowsor platformos, kad trūksta naują Branduolio DMA apsaugos funkcija, ar jūsų organizacija leidžia tik TPM apsaugos palaiko kompiuterius miego režimu, toliau pateikiamas vienas DMA mažinimas parinktis. Skaitykite "BitLocker" priemonės suprasti spektro priemonėmis sumažinti riziką.

Taip pat vartotojai gali kreiptis į Intel Thunderbolt 3 ir Microsoft Windows 10 operacinės sistemos dokumentacijoje sauga , alternatyvūs priemonėmis sumažinti riziką.

Microsoft teikia trečiųjų šalių kontaktinę informaciją, kuri gali padėti susirasti techninę pagalbą. Ši kontaktinė informacija gali būti pakeista neperspėjus. Microsoft negarantuoja šios trečiosios šalies kontaktinės informacijos tikslumo. Jei norite gauti daugiau informacijos apie tai, kaip tai padaryti, rasite apsilankę šioje "Microsoft" svetainėje:

Išsamios instrukcijos, kaip kontroliuoti įrenginio diegimą naudojant grupės strategiją

Simptomai

"BitLocker" apsaugotas kompiuteris gali būti pažeidžiamas tiesioginės kreipties į atmintį (DMA), kai kompiuteris yra įjungta arba yra laukimo būsenos maitinimo. Tai apima kai darbalaukis užrakintas. "BitLocker" tik TPM autentifikavimo leidžia įvesti įjungimo būseną be jokių prieš paleidžiant sistemą autentifikavimo kompiuteryje. Todėl, pažeidėjas gali būti atlikti DMA atakų. Šių konfigūracijų, pažeidėjas gali būti gali ieškoti BitLocker šifravimo raktų sistemos atminties iš SBP 2 aparatūros ID imitavimo naudojant puola įrenginio, kuris prijungtas prie 1394 prievadą. Be to, yra aktyvus "Thunderbolt" prievadas taip pat suteikia prieigą prie sistemos atminties atlikti ataka. Atkreipkite dėmesį, Thunderbolt 3 naują USB C tipo jungtis yra naujų saugos funkcijų, kurios gali būti konfigūruojamas, siekiant apsaugoti nuo šio tipo atakų be išjungti prievado. Šis straipsnis taikomas bet kurį iš šių sistemų:

  • Sistemas, kurios buvo įjungtas

  • Sistemas, kurios buvo laukimo maitinimo būsenos

  • Sistemose, kuriose naudojama tik TPM "BitLocker" apsauga

Priežastis

1394 fizinės DMA

Standartinė pramonės 1394 valdikliai (OHCI su) pateikia funkciją, leidžiančią prieigos prie sistemos atminties. Ši funkcija yra pateikiamas kaip efektyvumo patobulinimas. Tai leidžia daug duomenų perdavimo tarp 1394 įrenginių ir sistemos atminties, apeiti CPU ir programinės įrangos. Pagal numatytuosius nustatymus 1394 fizinės DMA yra išjungta visose "Windows" versijose. Šios pasirinktys galimos įgalinti 1394 fizinės DMA:

  • Administratorius leidžia 1394 branduolio derinimas.

  • Kas yra fizinės prieigos prie kompiuterio prisijungia 1394 saugojimo įrenginio, kuris atitinka SKS-2 specifikacija.

1394 DMA grėsmę "BitLocker"

"BitLocker" sistemos vientisumo patikros sumažinti neteisėto branduolio derinimas būsenos keitimo. Tačiau pažeidėjas gali įjungti puola įrenginį 1394 prievado, ir tada klaidingą, SKS-2 aparatūros ID. Kai Windows aptinka SBP 2 aparatūros ID, įkelia SBP 2 tvarkyklė (sbp2port.sys), ir tada nurodo, kad būtų galima atlikti DMA SBP 2 įrenginio tvarkyklės. Tokiu atveju pažeidėjas gauti prieigą prie sistemos atminties ir ieškoti BitLocker šifravimo raktai.

"Thunderbolt" fizinės DMA

Žaibo yra išorinis magistralės, kad tiesioginę prieigą prie sistemos atminties per PCI leidžia. Ši funkcija yra pateikiamas kaip efektyvumo patobulinimas. Tai leidžia daug duomenų perdavimo tarp "Thunderbolt" įrenginių ir sistemos atminties, tokiu būdu apeiti CPU ir programinės įrangos.

"Thunderbolt" grėsmę "BitLocker"

Pažeidėjas gali paskirties įrenginį prie "Thunderbolt" prievadą ir turi visą Tiesioginė kreiptis į atmintį per PCI Express magistralės. Tai leistų pažeidėjas gauti prieigą prie sistemos atminties ir ieškoti BitLocker šifravimo raktai. Pastaba, Thunderbolt 3 naują USB C tipo jungtis yra naujų saugos funkcijų, kurios gali būti konfigūruojamas, siekiant apsaugoti nuo šio tipo prieigos.

Sprendimas

Kai kurie "BitLocker" konfigūraciją galite sumažinti šios rūšies ataka. TPM + PIN kodą, TPM + USB ir TPM + PIN + USB apsaugos priemonės sukeliamą poveikį DMA atakų, kai kompiuteryje negalima naudoti miego režimą (sustabdo RAM).

SKS-2 mažinimas

Apie jau buvo minėta svetainėje, skaitykite skyrelį "Apsisaugoti nuo atitikimo šių įrenginių sąrankos klasės tvarkyklės" dalyje "grupės strategijos parametrus, įrenginio diegimas". Toliau pateikiamas Plug and Play įrenginio nustatymas klasės GUID SBP 2 diską:

d48179be-ec20-11d1-b6b8-00c04fa372a7

Kai kurie platformose, visiškai išjungti 1394 įrenginių gali suteikti papildomų saugos.  Dėl į jau buvo minėta svetainėje, žr. skyrių "Apsisaugoti nuo įrenginių, kurie atitinka šiuos įrenginio ID" dalyje "Grupės strategijos parametrus, įrenginio diegimas".Toliau pateikiamas Plug and Play 1394 valdiklis suderinamas ID:

PCI\CC_0C0010

"Thunderbolt" mažinimas

Pradedant nuo Windows 10 versijos 1803, naujesni Intel sistemoms yra integruotas branduolio DMA apsaugos Thunderbolt 3. Nereikia reikalingas apsaugos.

Blokuoti "Thunderbolt" valdiklio įrenginyje veikia senesnę "Windows", arba platformos, trūksta branduolio DMA apsauga Thunderbolt 3, skaitykite skyrelį "Prevencijos diegimo įrenginių, kurie atitinka šiuos įrenginio ID" dalyje "grupės strategijos Parametrus įrenginio diegimas", jau buvo minėta svetainėje.

Toliau pateikiamas Plug and Play žaibo valdiklis suderinamas ID:

PCI\CC_0C0A

Pastabos

  • Šis mažinimas trūkumas yra išorinio saugojimo įrenginiai gali daugiau prisijungti naudojant 1394 prievado, ir visi PCI Express įrenginiai, kurie yra prijungtas prie Thunderbolt prievado neveiks.

  • Jei aparatūra skiriasi nuo "Windows" inžinerijos rekomendacijas, ją įgalinti DMA per šiuos prievadus, po to, kai paleidžiate kompiuterį ir prieš "Windows" valdymo aparatūros. Atsidarys pakenkti jūsų sistemos, ir šios sąlygos nėra sumažina šios problemos sprendimas.

  • Blokuoja SBP 2 tvarkyklę ir žaibo valdikliai nėra apsaugoti nuo atakų dėl išorinio ar vidinio PCI lizdai (įskaitant M.2, "CardBus" ir "ExpressCard").

Daugiau informacijos

Jei norite gauti daugiau informacijos apie grėsmę DMA "BitLocker", žr. toliau nurodytame "Microsoft" Security interneto dienoraštyje:

"Windows" BitLocker reikalavimaiDaugiau informacijos apie priemonėmis sumažinti riziką pradinis atakas prieš "BitLocker", rasite šioje "Microsoft" vientisumo komandos interneto dienoraštis:

"BitLocker" apsaugą nuo atakų pradinis

Trečiųjų šalių produktus, aprašytus šiame straipsnyje, gamina bendrovei „Microsoft“ nepriklausančios įmonės. „Microsoft“ neteikia jokių numanomų ar kitokių garantijų dėl šių produktų veikimo ar patikimumo.

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Dėkojame už jūsų atsiliepimus!

Dėkojame už jūsų atsiliepimą! Panašu, kad gali būti naudinga jus sujungti su vienu iš mūsų „Office“ palaikymo agentų.

×