Aviso
Para o Windows versão 1803 e versões posteriores, se sua plataforma dá suporte ao novo recurso de Proteção DMA do Kernel, recomendamos que você aproveite esse recurso para mitigar os ataques de Thunderbolt DMA. Para versões anteriores de plataformas Windows ou que não têm o novo recurso Proteção DMA do Kernel, se a sua organização permite proteções somente de TPM ou dá suporte a computadores no modo de suspensão, o iten a seguir é uma opção de mitigação de DMA. Consulte Contramedidas do BitLocker para entender o espectro de mitigações.
Os usuários também podem consultar a Documentação do Intel Thunderbolt 3 e segurança no sistema operacional Microsoft Windows 10 para saber mais sobre mitigações alternativas.
A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações para contato com outras empresas.
Para obter mais informações sobre como fazer isso, acesse o seguinte site da Microsoft:Guia passo a passo para controlar a instalação de dispositivos usando a política de grupo
Sintomas
Um computador protegido pelo BitLocker pode ser vulnerável a ataques de DMA (Acesso Direto à Memória) quando o computador é ligado ou está em modo de Espera. Isso inclui quando a área de trabalho está bloqueada.
O BitLocker com a autenticação somente para TPM permite que um computador entre no estado ligado sem qualquer autenticação de pré-inicialização. Portanto, o invasor poderá executar ataques de DMA. Nessas configurações, um invasor poderá pesquisar por chaves de criptografia do BitLocker na memória do sistema ao falsificar a ID de hardware SBP-2 usando um dispositivo de ataque conectado a uma porta 1394. Como alternativa, uma porta Thunderbolt ativa também fornece acesso a memória do sistema para realizar um ataque. Observe que o Thunderbolt 3 no novo conector USB Tipo C inclui novos recursos de segurança que podem ser configurados para proteção contra esse tipo de ataque sem desabilitar a porta. Este artigo aplica-se a qualquer um dos seguintes sistemas:-
Sistemas que são deixados ligados.
-
Sistemas que são deixados no estado de espera.
-
Sistemas que usam o protetor de BitLocker somente para TPM
Motivo
DMA físico 1394
Os controladores de 1394 padrão do setor (compatível com OHCI) fornecem funcionalidades que permitem acesso à memória do sistema. Essa funcionalidade é fornecida como aprimoramento de desempenho. Ela permite transferência de grandes quantidades de dados entre um dispositivo 1394 e a memória do sistema, ignorando CPU e softwares. Por padrão, o 1394 Physical DMA é desabilitado em todas as versões do Windows. As seguintes opções estão disponíveis para ativar o 1394 Physical DMA:
-
Um administrador habilita a depuração de kernel do 1394.
-
Uma pessoa com acesso físico ao computador se conecta a um dispositivo de armazenamento 1394 de acordo com a especificação SBP-2.
Ameaças de DMA 1394 para o BitLocker
As verificações de integridade do sistema do BitLocker mitigam alterações de status não autorizadas de depuração de kernel. No entanto, é possível que um invasor conecte um dispositivo a uma porta 1394 e falsifique uma ID de hardware SBP-2. Quando o Windows detecta uma ID de hardware SBP-2, ele carrega um driver do SBP-2 (sbp2port.sys) e instrui o driver a permitir que o dispositivo SBP-2 execute o DMA. Isso habilita um invasor a obter acesso à memória do sistema e procurar as chaves de criptografia do BitLocker.
DMA físico Thunderbolt
Thunderbolt é um barramento externo que permite acesso direto à memória do sistema via PCI. Essa funcionalidade é fornecida como aprimoramento de desempenho. Ela permite a transferência de grandes quantidades de dados diretamente entre um dispositivo Thunderbolt e a memória do sistema, com isso ignorando a CPU e os softwares.
Ameaças ThunderBolt ao BitLocker
Um invasor pode conectar um dispositivo especial a uma porta Thunderbolt e ter acesso total direto à memória por meio do barramento PCI Express. Isto pode habilitar um invasor a obter acesso à memória do sistema e procurar as chaves de criptografia do BitLocker. Observe que o Thunderbolt 3 no novo conector USB Tipo C inclui novos recursos de segurança que podem ser configurados para proteção contra esse tipo de acesso.
Resolução
Algumas configurações do BitLocker podem reduzir o risco desse tipo de ataque. Os protetores TPM+PIN, TPM+USB e TPM+PIN+USB reduzem o efeito de ataques DMA quando os computadores não utilizarem o modo de espera (suspender para RAM).
Atenuação do SBP-2
No site mencionado anteriormente, consulte a seção "Impedir instalação de drivers que correspondam a essas classes de configuração de dispositivo" em "Configurações de política de grupo para instalação de dispositivos". A seguir está o GUID de classe de instalação de dispositivo Plug and Play para uma unidade SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7
Em algumas plataformas, desabilitar completamente o dispositivo 1394 pode fornecer segurança extra. No site mencionado anteriormente, consulte a seção "Impedir instalação de dispositivos que correspondam a essas IDs de dispositivo" em "Configurações de política de grupo para instalação de dispositivos". Esta é a ID compatível com Plug and Play para um controlador 1394:
PCI\CC_0C0010
Atenuação do Thunderbolt
Começando com o Windows 10 versão 1803, sistemas baseados em Intel mais recentes incluem a proteção DMA do kernel para Thunderbolt 3 interna. Nenhuma configuração é necessária para essa proteção.
Para bloquear um controlador Thunderbolt em um dispositivo que executa uma versão anterior do Windows ou para plataformas que não têm a proteção DMA do kernel para Thunderbolt 3, consulte a seção "Impedir instalação de dispositivos que correspondam a essas IDs de dispositivo" em "Configurações de política de grupo para instalação de dispositivos" no site mencionado anteriormente.
Esta é a ID compatível com Plug and Play para um controlador Thunderbolt:
PCI\CC_0C0A
Observações
-
A desvantagem desta atenuação é que os dispositivos de armazenamento externo não podem mais se conectar usando a porta 1394 e todos os dispositivos PCI Express que não estiverem conectados à porta Thunderbolt não funcionarão.
-
Se seu hardware desviar do Windows Engineering Guidance atual, isto pode habilitar o DMA nessas portas após iniciar o computador e antes do Windows tomar o controle do hardware. Isso expõe seu sistema, e essa condição não é atenuada por essa solução alternativa.
-
O bloqueio do driver SBP-2 e dos controladores Thunderbolt não protege contra ataques em slots PCI externos ou internos (incluindo M.2, Cardbus e ExpressCard).
Informações adicionais
Para obter mais informações sobre ameaças de DMA ao BitLocker, consulte o seguinte blog do Microsoft Security:
Declarações de BitLocker no Windows Para obter mais informações sobre atenuações de ataques estáticos ao BitLocker, consulte o seguinte blog da Equipe de Integridade da Microsoft:
Protegendo o BitLocker contra ataques estáticos
Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.