Bloķēt SBP 2 draiveri un spēriens kontrolleri samazināt 1394 DMA un spēriens DMA draudus BitLocker

Paziņojums

Windows versijas 1803 un jaunākām versijām, ja jūsu platforma atbalsta jaunā Kodola DMA aizsardzības līdzekli, ieteicams gūt labumu šis līdzeklis novērst uzbrukumus spēriens DMA. Versijās Windowsor platformas, kas trūkst jauna Kodola DMA aizsardzības līdzekli, vai jūsu uzņēmums ļauj tikai TPM individuālos atbalsta datoru miega režīmā, šie ir DMA samazināšanas iespēja. Lūdzu, skatiet BitLocker pretpasākumu saprast mitigations spektrs.

Arī lietotāji var būt Intel spēriens 3 un drošības operētājsistēmas Microsoft Windows 10 dokumentācijas alternatīvu mitigations.

Korporācija Microsoft sniedz trešo pušu kontaktinformāciju, lai palīdzētu atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez brīdinājuma. Korporācija Microsoft negarantē trešo pušu kontaktinformācijas pareizību. Lai iegūtu papildinformāciju, kā to izdarīt, skatiet šajā Microsoft vietnē:

Detalizēti norādījumi par kontrollera draiveru instalēšanu, izmantojot grupas politiku

Simptomi

BitLocker aizsargā datoru var būt neaizsargāts pret uzbrukumiem atmiņas tiešpiekļuves (DMA) datorā ir ieslēgts vai gaidstāves enerģijas stāvoklī. Tas attiecas, ja darbvirsmā ir bloķēta. Ļauj datora ieslēgšanas stāvoklī, visas iepriekš sāknēšanas autentifikāciju, ievadiet BitLocker tikai TPM autentifikācija. Tādējādi uzbrucējs var veikt DMA uzbrukumiem. Šīs konfigurācijas uzbrucējs var meklēt BitLocker šifrēšanas atslēgas sistēmas atmiņas ar izlikšanos SBP 2 aparatūras ID, izmantojot uzbrūk ierīce ir pievienota 1394 portam. Vai arī aktīvā spēriens ports nodrošina piekļuvi sistēmas atmiņas, lai veiktu uzbrukumu. Ievērojiet, ka jaunā USB C veida savienotājs spēriens 3 iekļauj jauni drošības līdzekļi, kas var būt konfigurēta, lai nodrošinātu aizsardzību pret šāda veida uzbrukums bez atspējošanas portu. Šis raksts attiecas uz kādu no šādām sistēmām:

  • Sistēmās, kurās tiek saglabāti ieslēgts

  • Sistēmās, kurās tiek saglabāti gaidīšanas enerģijas stāvoklī

  • Sistēmās, kurās tiek izmantota tikai TPM BitLocker aizsardzība

Cēlonis

fiziskā 1394 DMA

Nozares standarta 1394 kontrolleri (OHCI saderīgs) nodrošina funkcionalitāti, kas nodrošina piekļuvi sistēmas atmiņas. Šī funkcionalitāte tiek piedāvāts kā veiktspējas uzlabojumus. Tas ļauj lielu datu pārsūtīšanai tieši no standarta 1394 ierīces un sistēmas atmiņas, apiet CPU un programmatūras. Pēc noklusējuma ir atspējota fiziskā 1394 DMA visās Windows versijās. Lai fiziskā 1394 DMA pieejamas šādas opcijas:

  • Administrators iespējo 1394 kodola atkļūdošanu.

  • Persona, kurai ir fizisko piekļuvi datoram savienojumu 1394 atmiņas ierīci, kas atbilst SBP 2 specifikācijai.

1394 DMA draudiem BitLocker

BitLocker sistēmas integritātes pārbaudes samazinātu neautorizētas kodola atkļūdošanu statusa izmaiņas. Tomēr uzbrucējs var uzbrūk ierīču savienojumu 1394 portu un pēc tam šmaukšana SBP 2 aparatūras ID Ja sistēma Windows nosaka SBP 2 aparatūras ID, ielādē draiveri SBP 2 (sbp2port.sys), un pēc tam uzdod ļauj veikt DMA SBP 2 ierīces draiveri. Tādējādi uzbrucējs piekļūt sistēmas atmiņas un meklējiet BitLocker šifrēšanas atslēgas.

Spēriens fiziskā DMA

Spēriens ir ārējā kopnes, kas sniedz tiešu piekļuvi, izmantojot PCI sistēmas atmiņas. Šī funkcionalitāte tiek piedāvāts kā veiktspējas uzlabojumus. Tas ļauj lielu datu pārsūtīšanai tieši no spēriens ierīces un sistēmas atmiņu, tādējādi apiet CPU un programmatūru.

BitLocker spēriens draudi

Uzbrucējs var pievienot īpašu mērķis ierīces spēriens portam un ir pilnībā atmiņas tiešpiekļuves ar kopni PCI Express. Tas var ļaut uzbrucējam ļaut piekļūt sistēmas atmiņas un meklējiet BitLocker šifrēšanas atslēgas. Ievērojiet, ka jaunā USB C veida savienotājs spēriens 3 iekļauj jauni drošības līdzekļi, kas var būt konfigurēta, lai nodrošinātu aizsardzību pret šāda veida piekļuves.

Risinājums

Šāda veida uzbrukuma risku var samazināt dažas konfigurācijas BitLocker. TPM + PIN TPM + USB un TPM + PIN + USB individuālos samazināt DMA uzbrukumu ietekmi, datoru nelietojiet miega režīmā (pārtraukt RAM).

SBP 2 novēršana

Iepriekš minētā vietnes, skatiet "Neļauj instalēt draiverus, kas atbilst šīs ierīces uzstādīšanas klases" sadaļā "grupas politikas iestatījumiem par ierīces instalāciju". Šī ir Plug and Play ierīces iestatīšanas klase GUID SBP 2 disku:

d48179be-ec20-11d1-b6b8-00c04fa372a7

Dažas platformās pilnībā atspējot 1394 ierīču var sniegt papildu drošību.  Par iepriekš minētā vietnes, skatiet sadaļu "Novērst instalēšanas ierīces, kas atbilst šīs ierīces ID" sadaļā "Grupas politikas iestatījumiem par ierīces instalāciju".Turpmāk ir saderīgs Plug and Play ID 1394 controller:

PCI\CC_0C0010

Spēriens novēršana

Sākas ar Windows versiju 1803, 10 jaunākā manntel tipa sistēmām ir iebūvēta kodola DMA aizsardzības spēriens 3. Nav konfigurācijas ir nepieciešama šāda aizsardzība.

Bloķēt spēriens kontrolleris darbojas vecāka versija Windows vai platformas trūkst kodola DMA aizsardzības spēriens 3ierīcē, skatiet sadaļu "grupas politikā"Novērst instalēšanas ierīces, kas atbilst šīs ierīces ID" Iestatījumi ierīces instalācijas" iepriekš minētā vietni.

Šī ir spēriens kontrolleris saderīgs Plug and Play ID:

PCI\CC_0C0A

Piezīmes.

  • Šīs samazināšanas trūkums ir šo ārējās atmiņas ierīces vairs nevarat izveidot savienojumu, izmantojot 1394 portu un visas PCI Express ierīces, kas pievienotas spēriens porta nedarbosies.

  • Ja aparatūras atšķiras no pašreizējās Windows tehniskās norādes, pēc tam, kad startējat datoru, un pirms Windows aparatūras vadības var palīdzēt DMA, šie porti. Tiek atvērts neapdraud sistēmas, un šis nosacījums nav novērsts, šis risinājums.

  • Bloķēt SBP 2 draiveri un spēriens kontrolleri aizsargāt pret uzbrukumiem (tostarp M.2, Cardbus un ExpressCard) vai ārēja PCI slotu.

Papildinformācija

Papildinformāciju par BitLocker DMA draudiem skatiet šādu Microsoft Security emuāru:

Windows BitLocker prasībāmPapildinformāciju par mitigations aukstā uzbrukumiem BitLocker skatiet šādu Microsoft integritāti darba grupas emuārā:

BitLocker aizsardzība pret uzbrukumiem aukstā

Šajā rakstā minētos trešo pušu produktus ražo no Microsoft neatkarīgi uzņēmumi. Microsoft nesniedz nekādas netiešas vai cita veida garantijas par šo produktu veiktspēju vai uzticamību.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka jums varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta speciālistiem.

×