Înștiințare
Pentru Windows versiunea 1803 și versiunile ulterioare, dacă platforma acceptă noua caracteristică Kernel DMA Protection , vă recomandăm să scoate venituri din această caracteristică pentru a diminua Thunderbolt DMA atacuri. Pentru versiunile anterioare de platforme Windowsor că lipsa nou Kernel DMA Protection caracteristică, dacă organizația dvs. permite doar TPM de protecţie sau acceptă computerele în modul de repaus, aceasta este o opţiune de afluxului DMA. Consultați Contra-măsurile BitLocker pentru a înțelege gamă de mitigations.
De asemenea, utilizatorii se poate referi la Intel Thunderbolt 3 și securitate documentaţia sistemului de operare Microsoft Windows 10 pentru mitigations alternativă.
Microsoft furnizează unor terţe persoane informaţiile de contact pentru a vă ajuta să găsiţi sprijin tehnic. Informaţiile de contact se pot schimba fără notificare prealabilă. Microsoft nu garantează exactitatea acestor informații de contact pentru terți. Pentru mai multe informații despre cum se face acest lucru, mergeţi la următorul site Web Microsoft:
Ghid pas cu pas pentru controlul instalare dispozitiv utilizând politica de grup
Simptome
Un computer BitLocker protejat poate fi vulnerabil la atacuri de acces Direct la memorie (DMA) atunci când computerul este pornit sau este în stare de alimentare Standby. Aceasta include atunci când desktop este blocat. BitLocker cu autentificare doar TPM permite pentru un computer să intre în starea de alimentare fără nicio autentificare de încărcare. De aceea, un atacator să poată efectua atacuri DMA. În aceste configurații, un atacator să poată căuta pentru cheile de criptare BitLocker în memorie de sistem prin falsificarea ID-ul hardware TAS-2 utilizând un dispozitiv ataca care este conectat la un port 1394. Ca alternativă, un port Thunderbolt active, de asemenea, furnizează acces la memorie de sistem pentru a efectua un atac. Reţineţi că Thunderbolt 3 pe noul conector USB Type-C include noi caracteristici de securitate care pot fi configurate pentru a proteja împotriva acestui tip de atac fără dezactivarea portul. Acest articol se aplică la oricare dintre următoarele sisteme de:
-
Sisteme care sunt lăsată activată
-
Sisteme care rămân în stare de alimentare Standby
-
Sisteme care utilizează doar TPM BitLocker protector
Cauză
1394 DMA fizic
Controlerii de 1394 standard industrial (OHCI compatibil cu) furnizează funcţionalitate care permite accesul la memorie de sistem. Această funcționalitate este furnizată ca o îmbunătățiri de performanță. Acesta permite volumelor mari de date pentru a transfera direct între 1394 dispozitiv și sistemul de memorie, ignorând interfețele CPU și software. În mod implicit, 1394 DMA fizic este dezactivată în toate versiunile de Windows. Următoarele opțiuni sunt disponibile pentru a activa 1394 DMA fizice:
-
Un administrator permite 1394 Kernel depanare.
-
Cineva care are acces fizic la computerul se conectează un dispozitiv de stocare 1394 în conformitate cu specificațiile TAS-2.
1394 DMA amenințări cu BitLocker
BitLocker sistem integritatea verificări diminua Kernel depanare stare de modificări neautorizate. Cu toate acestea, un atacator poate conecta un dispozitiv ataca la un port 1394, și apoi spoof un ID de hardware TAS-2 Când Windows detectează un ID-ul hardware TAS-2, încarcă driverul TAS-2 (sbp2port.sys), și apoi instruieşte driverul pentru a permite dispozitivului TAS-2 pentru a efectua DMA. Acest lucru permite unui atacator să obţineţi acces la memorie de sistem și căutați cheile de criptare BitLocker.
Thunderbolt DMA fizic
Thunderbolt este o magistrală externă care permite acces direct la memorie de sistem prin PCI. Această funcționalitate este furnizată ca o îmbunătățiri de performanță. Acesta permite volumelor mari de date pentru a transfera direct între Thunderbolt dispozitiv și sistemul de memorie, astfel ignorând interfețele CPU și software.
Thunderbolt amenințări cu BitLocker
Un atacator poate conecta un dispozitiv speciale la un port Thunderbolt și au acces complet direct la memorie prin magistrala PCI Express. Acest lucru ar putea permite unui atacator să obţineţi acces la memorie de sistem și căutați cheile de criptare BitLocker. Reţineţi că Thunderbolt 3 pe noul conector USB Type-C include noi caracteristici de securitate care pot fi configurate pentru a proteja împotriva acestui tip de acces.
Rezolvare
Anumite configurații BitLocker poate reduce riscul de acest tip de atac. Protecţie TPM + PIN, TPM + USB și TPM + PIN + USB reduce efectul de atacuri DMA atunci când computerele utilizează modul de repaus (suspendare la RAM).
Diminuarea TAS-2
Pe site-ul web a menționat anterior, consultați secțiunea "Împiedica instalarea de drivere potrivite aceste clasele de instalare" sub "instalarea Politica de grup setări pentru dispozitiv". Aceasta este Plug and Play dispozitiv setup class GUID pentru o unitate TAS-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7
Pe unele platforme, complet dezactivarea dispozitivului 1394 pot oferi securitate suplimentare. Pe menționate anterior site-ul, consultați secțiunea "Împiedica instalarea dispozitivelor care se potrivesc cu aceste dispozitive ID-uri" sub "Instalarea Politica de grup setări pentru dispozitiv".Următoarele este Plug and Play ID compatibil pentru un controler 1394:
PCI\CC_0C0010
Diminuarea Thunderbolt
Începând cu Windows 10 1803, versiunea mai nouă amntel sistemele includ încorporat kernel protecție DMA pentru Thunderbolt 3. Configurare nu este necesar pentru această protecție.
Pentru a bloca un controler Thunderbolt pe un dispozitiv care execută o versiune anterioară de Windows sau pentru platforme că lipsa kernel DMA protecție pentru Thunderbolt 3, consultați secțiunea "Împiedică instalarea dispozitivelor care se potrivesc cu aceste dispozitive ID-uri" sub "Politica de grup Setările pentru instalare dispozitiv" menționate anterior site-ul.
Aceasta este Plug and Play ID compatibil pentru un controler Thunderbolt:
PCI\CC_0C0A
Note
-
Dezavantaj al acestui afluxului este că stocare externă dispozitive nu se mai poate conecta utilizând portul 1394 și toate dispozitivele PCI Express care sunt conectate la Thunderbolt port nu va funcționa.
-
Dacă hardware-ul deviază de la curent de orientare Engineering Windows, se poate activa DMA pe aceste porturi după pornirea computerului și înainte ca Windows să ia control de hardware. Se va deschide sistemul compromis și această condiție nu este atenuat de această soluție.
-
Blocarea driverului TAS-2 și Thunderbolt controlere a proteja împotriva atacurilor interne sau externe sloturi PCI (inclusiv M.2, Cardbus ExpressCard).
Mai multe informații
Pentru mai multe informații despre amenințări DMA pentru BitLocker, consultaţi următorul blog-ul Microsoft Security:
Windows BitLocker cereriPentru mai multe informații despre mitigations pentru rece atacuri împotriva BitLocker, consultaţi următorul blog echipei de integritate Microsoft:
Protejarea BitLocker de atacuri la rece
Produsele producătorilor terţi prezentate în acest articol sunt fabricate de companii independente de Microsoft. Microsoft nu garantează în niciun fel, implicit sau în alt mod, funcționarea sau fiabilitatea acestor produse.