Van toepassing op
Windows 7 Service Pack 1 Windows 7 Home Basic Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Enterprise Windows 7 Home Basic Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Enterprise Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 Service Pack 2 Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Vista Service Pack 2 Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Windows Server 2012 Datacenter Windows Server 2012 Essentials Windows Server 2012 Foundation Hyper-V Server 2012 Windows Server 2012 Standard Windows 8 Windows 8 Enterprise

De ondersteuning voor Windows Vista Service Pack 1 (SP1) is op 12 juli 2011 beëindigd. Zorg ervoor dat Windows Vista wordt uitgevoerd met Service Pack 2 (SP2) als u beveiligingsupdates voor Windows wilt blijven ontvangen. Ga naar de volgende Microsoft-website voor meer informatie: Ondersteuning voor bepaalde versies van Windows wordt beëindigd.

Symptomen

Een met BitLocker beveiligde computer kan kwetsbaar zijn voor DMA-aanvallen (Direct Memory Access) wanneer de computer is ingeschakeld of in de stand-bystand staat. Dit geldt ook wanneer het bureaublad is vergrendeld. Bij BitLocker-beveiliging met uitsluitend TPM-verificatie kan een computer zonder Pre-boot-verificatie worden ingeschakeld. Daardoor kan een aanvaller DMA-aanvallen uitvoeren. Bij deze configuratie kan een aanvaller BitLocker-coderingssleutels in het systeemgeheugen opsporen door de SBP-2-hardware-id te spoofen via een aanvallend apparaat dat op een 1394-poort is aangesloten. Een actieve Thunderbolt-poort biedt ook toegang tot het systeemgeheugen, waar een aanval kan worden uitgevoerd. Dit artikel is van toepassing op de volgende systemen:

  • Systemen die ingeschakeld zijn

  • Systemen die in de stand-bystand staan

  • Systemen die gebruikmaken van Bitlocker-beveiliging met uitsluitend TPM

Oorzaak

1394 Physical DMAIndustriestandaard 1394-controllers (OHCI-compatibel) bieden functionaliteit waarmee toegang tot het systeemgeheugen kan worden verkregen. Deze functionaliteit wordt geleverd om de prestaties te verbeteren. Grote hoeveelheden gegevens kunnen er direct mee van een 1394-apparaat naar het systeemgeheugen en vice versa worden overgebracht, zonder CPU of software te gebruiken. 1394 Physical DMA is in alle versies van Windows standaard uitgeschakeld. De volgende opties zijn beschikbaar om 1394 Physical DMA in te schakelen:

  • Een beheerder schakelt 1394-kernel-foutopsporing in.

  • Iemand met fysieke toegang tot de computer sluit een 1394-opslagapparaat aan dat voldoet aan de SBP-2-specificatie.

1394 DMA-bedreigingen voor BitLockerSysteemintegriteitscontroles van BitLocker beschermen tegen onbevoegd wijzigen van een kernel-foutopsporingsstatus. Een aanvaller kan echter een aanvallend apparaat aansluiten op een 1394-poort en vervolgens een SBP-2-hardware-id spoofen. Als in Windows een SBP-2-hardware-id wordt gedetecteerd, wordt het SPB-2-stuurprogramma (sbp2port.sys) geladen met de instructie DMA toe te staan voor het SBP-2-apparaat. Zo kan een aanvaller toegang krijgen tot het systeemgeheugen en BitLocker-coderingssleutels opzoeken.Thunderbolt Physical DMAThunderbolt is een nieuwe externe bus die beschikt over functionaliteit waarmee directe toegang tot het systeemgeheugen kan worden verkregen. Deze functionaliteit wordt geleverd om de prestaties te verbeteren. Grote hoeveelheden gegevens kunnen er direct mee van een Thunderbolt-apparaat naar het systeemgeheugen en vice versa worden overgebracht, zonder CPU of software te gebruiken. Thunderbolt wordt in geen enkele Windows-versie ondersteund, maar fabrikanten kunnen wel besluiten dit poorttype op te nemen. Thunderbolt-bedreigingen voor BitLockerEen aanvaller kan een speciaal ontworpen apparaat op een Thunderbolt-poort aansluiten en via de PCI Express-bus volledige, directe toegang tot het systeemgeheugen krijgen en naar BitLocker-coderingssleutels zoeken.

Oplossing

In bepaalde BitLocker-configuraties kan het risico van dit soort aanvallen worden beperkt. Bij beveiliging met TPM plus PIN, TPM plus USB en TPM plus PIN en USB worden de gevolgen van DMA-aanvallen beperkt wanneer een computer niet in de slaapstand staat. Als in uw organisatie gebruik wordt gemaakt van beveiliging met uitsluitend TPM of als computers in de slaapstand worden gezet, raden we u aan het Windows SBP-2-stuurprogramma en alle Thunderbolt-controllers te blokkeren om het risico op DMA-aanvallen te verkleinen. Ga naar de volgende Microsoft-website voor meer informatie over hoe u dit kunt doen:

Stapsgewijze handleiding voor het beheren van apparaatinstallaties met Groepsbeleid

Oplossing voor SBP-2

Ga op de bovenstaande website naar de sectie Prevent installation of drivers matching these device setup classes onder Group Policy Settings for Device Installation. Hier volgt de Setup-klasse-GUID van een Plug en Play-apparaat voor een SBP-2-station:

d48179be-ec20-11d1-b6b8-00c04fa372a7

Oplossing voor Thunderbolt

Belangrijk De volgende oplossing voor Thunderbolt is alleen van toepassing op Windows 8 en op Windows Server 2012. De oplossing is niet van toepassing op de andere besturingssystemen die worden vermeld in de sectie Van toepassing op.Ga op de bovenstaande website naar de sectie Prevent installation of devices that match these device IDs onder Group Policy Settings for Device Installation. Hier volgt de compatibele Plug en Play-id voor een Thunderbolt-controller:

PCI\CC_0C0AOpmerkingen

Meer informatie

Ga naar het volgende Microsoft Security-blog voor meer informatie over DMA-bedreigingen voor BitLocker:

Beweringen over Windows BitLocker Ga naar het volgende Microsoft Integrity Team-blog voor meer informatie over oplossingen voor aanvallen op BitLocker:

Protecting BitLocker from Cold Attacks

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum