Блокирование драйвера SBP-2 и контроллеров Thunderbolt с целью предотвратить прямой доступ к памяти через порты 1394 и Thunderbolt в компьютере с функцией шифрования BitLocker

Поддержка системы Windows Vista с пакетом обновления 1 (SP1) прекратится 12 июля 2011 г. Чтобы по-прежнему получать обновления для системы безопасности Windows, установите пакет обновления 2 (SP2) для Windows Vista. Дополнительные сведения см. на указанном ниже веб-сайте корпорации Майкрософт. Заканчивается поддержка некоторых версий Windows.

Проблема

Компьютер, защищенный технологией шифрования BitLocker, может быть уязвим перед угрозами прямого доступа к памяти (DMA), когда он включен или находится в ждущем режиме. Сюда входят и случаи, когда рабочий стол заблокирован.

Функция шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль позволяет компьютеру перейти в режим включения питания без проверки подлинности перед загрузкой. По этой причине злоумышленник может получить прямой доступ к памяти.

В такой ситуации он может выполнить поиск ключей шифрования BitLocker в системной памяти, подделав код оборудования SBP-2 с помощью специального устройства, подключенного к порту 1394. Кроме того, действующий порт Thunderbolt также предоставляет доступ к системной памяти с целью атаки.

Проблемы, описанные в этой статье, могут возникнуть:

  • во включенных системах;

  • в системах, которые находятся в ждущем режиме;

  • в системах, защищенных технологией шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль.

Причина

Физический прямой доступ к памяти через порт 1394

Контроллеры 1394, соответствующие отраслевому стандарту (OHCI-совместимые), позволяют получить доступ к системной памяти. Такая возможность представлена как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства, подключенного к порту 1394, в системную память, обходя центральный процессор и программное обеспечение. По умолчанию физический прямой доступ к памяти через порт 1394 отключен во всех версиях Windows. Существуют следующие варианты его включения:

  • администратор включает отладку на уровне ядра через порт 1394;

  • пользователь, обладающий физическим доступом к компьютеру, подключает запоминающее устройство, которое соответствует спецификации SBP-2, к порту 1394.

Угрозы прямого доступа к памяти через порт 1394 в компьютере с функцией шифрования BitLocker

Проверки целостности системы BitLocker защищают от несанкционированных изменений состояния отладки на уровне ядра. Тем не менее злоумышленник может подключить специальное устройство к порту 1394 и подделать код оборудования SBP-2. Когда система Windows обнаруживает этот код, она загружает драйвер SBP-2 (sbp2port.sys) и отправляет ему команду разрешить устройству SBP-2 прямой доступ к памяти. Это позволяет злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.

Физический прямой доступ к памяти через порт Thunderbolt

Thunderbolt — это новая внешняя шина с функциональностью, которая позволяет получить прямой доступ к системной памяти. Такая функциональность предоставляется как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства Thunderbolt в системную память, обходя центральный процессор и программное обеспечение. Thunderbolt не поддерживается ни в одной версии Windows, но производители могут принять решение о включении этого типа порта.

Угрозы прямого доступа к памяти через порт Thunderbolt в компьютере с функцией шифрования BitLocker

Злоумышленник может подключить специальное устройство в порт Thunderbolt и получить прямой доступ к памяти через шину PCI Express. Это может позволить злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.

Решение

Некоторые конфигурации BitLocker могут снизить риск атак такого типа. Если в компьютере не используется режим сна (приостановки ОЗУ), снизить риск могут следующие способы защиты: использование доверенного платформенного модуля и ПИН-кода; использование доверенного платформенного модуля и USB-ключа; использование доверенного платформенного модуля, ПИН-кода и USB-ключа. Кроме того, если в вашей организации разрешено использовать только доверенный платформенный модуль, или принято поддерживать компьютеры в режиме сна, то с целью снижения риска атак прямого доступа к памяти рекомендуется заблокировать в Windows драйвер SBP-2 и все контроллеры Thunderbolt.

Дополнительные сведения о том, как это делается, см. на следующем веб-сайте Майкрософт:

Пошаговое руководство по управлению установкой устройств с помощью групповой политики

Снижение рисков, связанных с SBP-2

На упомянутом выше веб-сайте см. подраздел "Предотвращение установки драйверов, соответствующих этим классам установки устройств" в разделе "Параметры групповой политики для установки устройств".

Далее приводится GUID класса установки устройства Plug and Play для драйвера SBP-2.


d48179be-ec20-11d1-b6b8-00c04fa372a7

Снижение рисков, связанных с Thunderbolt

Важно! Следующий способ снижения рисков, связанных с Thunderbolt, относится только к Windows 8 и Windows Server 2012. Его нельзя применять к другим операционным системам, упомянутым в разделе "Информация в данной статье применима к".


На упомянутом выше веб-сайте см. подраздел Предотвращение установки устройств, соответствующих этим идентификаторам" в разделе "Параметры групповой политики для установки устройств".

Далее приводится идентификатор контроллера Thunderbolt, совместимый с устройством Plug and Play.

PCI\CC_0C0A

Примечания.

Дополнительная информация

Дополнительные сведения об угрозах прямого доступа к памяти в компьютере с функцией шифрования BitLocker см. в следующем блоге, посвященном обеспечению безопасности в Майкрософт:

Претензии к надежности технологии BitLocker в Windows Дополнительные сведения о снижении риска атак "холодной" начальной загрузки на компьютеры с функцией шифрования BitLocker см. в следующем блоге группы обеспечения целостности данных Майкрософт:

Защита компьютера с функцией шифрования BitLocker от атак "холодной" начальной загрузки

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×