Поддержка системы Windows Vista с пакетом обновления 1 (SP1) прекратится 12 июля 2011 г. Чтобы по-прежнему получать обновления для системы безопасности Windows, установите пакет обновления 2 (SP2) для Windows Vista. Дополнительные сведения см. на указанном ниже веб-сайте корпорации Майкрософт. Заканчивается поддержка некоторых версий Windows.
Проблема
Компьютер, защищенный технологией шифрования BitLocker, может быть уязвим перед угрозами прямого доступа к памяти (DMA), когда он включен или находится в ждущем режиме. Сюда входят и случаи, когда рабочий стол заблокирован.
Функция шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль позволяет компьютеру перейти в режим включения питания без проверки подлинности перед загрузкой. По этой причине злоумышленник может получить прямой доступ к памяти.
В такой ситуации он может выполнить поиск ключей шифрования BitLocker в системной памяти, подделав код оборудования SBP-2 с помощью специального устройства, подключенного к порту 1394. Кроме того, действующий порт Thunderbolt также предоставляет доступ к системной памяти с целью атаки.
Проблемы, описанные в этой статье, могут возникнуть:
-
во включенных системах;
-
в системах, которые находятся в ждущем режиме;
-
в системах, защищенных технологией шифрования BitLocker с проверкой подлинности только через доверенный платформенный модуль.
Причина
Физический прямой доступ к памяти через порт 1394
Контроллеры 1394, соответствующие отраслевому стандарту (OHCI-совместимые), позволяют получить доступ к системной памяти. Такая возможность представлена как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства, подключенного к порту 1394, в системную память, обходя центральный процессор и программное обеспечение. По умолчанию физический прямой доступ к памяти через порт 1394 отключен во всех версиях Windows. Существуют следующие варианты его включения:
-
администратор включает отладку на уровне ядра через порт 1394;
-
пользователь, обладающий физическим доступом к компьютеру, подключает запоминающее устройство, которое соответствует спецификации SBP-2, к порту 1394.
Угрозы прямого доступа к памяти через порт 1394 в компьютере с функцией шифрования BitLocker
Проверки целостности системы BitLocker защищают от несанкционированных изменений состояния отладки на уровне ядра. Тем не менее злоумышленник может подключить специальное устройство к порту 1394 и подделать код оборудования SBP-2. Когда система Windows обнаруживает этот код, она загружает драйвер SBP-2 (sbp2port.sys) и отправляет ему команду разрешить устройству SBP-2 прямой доступ к памяти. Это позволяет злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.
Физический прямой доступ к памяти через порт Thunderbolt
Thunderbolt — это новая внешняя шина с функциональностью, которая позволяет получить прямой доступ к системной памяти. Такая функциональность предоставляется как улучшение в области производительности, поскольку позволяет передавать большой объем данных непосредственно с устройства Thunderbolt в системную память, обходя центральный процессор и программное обеспечение. Thunderbolt не поддерживается ни в одной версии Windows, но производители могут принять решение о включении этого типа порта.
Угрозы прямого доступа к памяти через порт Thunderbolt в компьютере с функцией шифрования BitLocker
Злоумышленник может подключить специальное устройство в порт Thunderbolt и получить прямой доступ к памяти через шину PCI Express. Это может позволить злоумышленнику получить доступ к системной памяти и выполнить поиск ключей шифрования BitLocker.
Решение
Некоторые конфигурации BitLocker могут снизить риск атак такого типа. Если в компьютере не используется режим сна (приостановки ОЗУ), снизить риск могут следующие способы защиты: использование доверенного платформенного модуля и ПИН-кода; использование доверенного платформенного модуля и USB-ключа; использование доверенного платформенного модуля, ПИН-кода и USB-ключа. Кроме того, если в вашей организации разрешено использовать только доверенный платформенный модуль, или принято поддерживать компьютеры в режиме сна, то с целью снижения риска атак прямого доступа к памяти рекомендуется заблокировать в Windows драйвер SBP-2 и все контроллеры Thunderbolt.
Дополнительные сведения о том, как это делается, см. на следующем веб-сайте Майкрософт:
Пошаговое руководство по управлению установкой устройств с помощью групповой политики
Снижение рисков, связанных с SBP-2
На упомянутом выше веб-сайте см. подраздел "Предотвращение установки драйверов, соответствующих этим классам установки устройств" в разделе "Параметры групповой политики для установки устройств".
Далее приводится GUID класса установки устройства Plug and Play для драйвера SBP-2.
d48179be-ec20-11d1-b6b8-00c04fa372a7
Снижение рисков, связанных с Thunderbolt
Важно! Следующий способ снижения рисков, связанных с Thunderbolt, относится только к Windows 8 и Windows Server 2012. Его нельзя применять к другим операционным системам, упомянутым в разделе "Информация в данной статье применима к".
На упомянутом выше веб-сайте см. подраздел Предотвращение установки устройств, соответствующих этим идентификаторам" в разделе "Параметры групповой политики для установки устройств".
Далее приводится идентификатор контроллера Thunderbolt, совместимый с устройством Plug and Play.
PCI\CC_0C0A
Примечания.
Дополнительная информация
Дополнительные сведения об угрозах прямого доступа к памяти в компьютере с функцией шифрования BitLocker см. в следующем блоге, посвященном обеспечению безопасности в Майкрософт:
Претензии к надежности технологии BitLocker в Windows Дополнительные сведения о снижении риска атак "холодной" начальной загрузки на компьютеры с функцией шифрования BitLocker см. в следующем блоге группы обеспечения целостности данных Майкрософт:
Защита компьютера с функцией шифрования BitLocker от атак "холодной" начальной загрузки
