Ovládač SBP-2 a blesk radiče zníženie 1394 DMA a blesk DMA pre šifrovanie BitLocker

Upozornenie

Windows verzie 1803 a novšie verzie, ak svoju platformu podporuje funkcie Ochrany DMA jadra , odporúčame, môžete využiť túto funkciu zmierniť blesk DMA útokom. Starších Windowsor platforiem, ktoré nemajú nového Jadra DMA ochrany funkcie, ak vaša organizácia umožňuje iba modul TPM chrániče a podporuje počítače do režimu spánku nasledujúce volieb zahltenia DMA. Pozrite si Opatrenia BitLocker pochopiť spektrum mitigations.

Používateľov môže byť Intel blesk 3 a zabezpečenia v dokumentácii pre operačný systém Microsoft Windows 10 pre alternatívne mitigations.

Spoločnosť Microsoft poskytuje kontaktné informácie tretích strán na uľahčenie vyhľadania technickej podpory. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Spoločnosť Microsoft neručí za správnosť týchto kontaktných informácií iných výrobcov. Ďalšie informácie o tom, ako to urobiť, nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:

Podrobný sprievodca riadením inštalácie zariadenia pomocou politiky skupiny

Príznaky

Šifrovaním BitLocker počítač môže byť zraniteľný voči útokom priameho prístupu do pamäte (DMA), keď počítač zapnutý alebo v pohotovostnom režime napájania. Patria sem zamknutým pracovnú plochu. BitLocker s len TPM umožňuje počítač do stavu napájania bez akéhokoľvek overovania pred spustením. Preto útočník môže byť schopný vykonať DMA útokom. V týchto konfiguráciách útočník môže byť schopný hľadať šifrovanie BitLocker systémovej pamäte do spoofing SBP-2 ID hardvéru pomocou útoku zariadenia, ktorý je pripojený k portu 1394. Prípadne aktívny port blesk poskytuje prístup aj k systémovej pamäte na vykonanie útoku. Všimnite si, že blesk 3 nový konektor USB typu C zahŕňa nové funkcie zabezpečenia, ktoré je možné nakonfigurovať na ochranu pred útokmi tohto typu bez vypnutia portu. Tento článok sa vzťahuje na niektorý z nasledujúcich systémov:

  • Systémy, že sú zapnuté

  • Systémy, ktoré sú ponechané v pohotovostnom režime napájania

  • Systémy, ktoré používajú iba modul TPM šifrovanie BitLocker protektor

Príčina

1394 fyzické DMA

Industry standard 1394 radiče (OHCI kompatibilný) poskytujú funkcie, ktoré umožňuje prístup k systémovej pamäte. Táto funkcia slúži ako zlepšenie výkonu. Umožňuje veľké množstvo údajov na prenos medzi 1394 pamäť systému a zariadení, obchádzať Procesora a softvér. Štandardne vypnutá 1394 fyzické DMA vo všetkých verziách systému Windows. 1394 fyzické DMA k dispozícii sú nasledujúce možnosti:

  • Správca povolí 1394 ladenie jadra.

  • Kto má fyzický prístup k počítaču pripája 1394 ukladacie zariadenie, ktoré sú v súlade so špecifikáciou SBP-2.

1394 DMA ohrozenie BitLocker

BitLocker systému kontroly integrity zmierniť neoprávnené zmeny stavu ladenie jadra. Však útočník mohol pripojte k portu 1394 útoku zariadenie a potom zneužívajú ID hardvéru SBP-2 Systém Windows zistí ID hardvéru SBP-2, načíta ovládač SBP-2 (sbp2port.sys) a potom požiada ovládač umožňuje vykonať DMA zariadenia SBP-2. To umožňuje útočníkovi získať prístup k systémovej pamäte a vyhľadajte šifrovanie jednotiek BitLocker.

Blesk fyzické DMA

Blesk je externej zbernice, ktorý umožňuje priamy prístup do pamäte systému prostredníctvom PCI. Táto funkcia slúži ako zlepšenie výkonu. Umožňuje veľké množstvo údajov na prenos medzi blesk pamäť systému a zariadení, tým obísť Procesora a softvér.

Blesk ohrozenie BitLocker

Útočník mohol pripojiť špeciálne zariadenie na blesk port a úplný priamy prístup do pamäte cez zbernicu PCI Express. Toto by mohol útočník prístup systémovej pamäte a pre šifrovanie BitLocker. Všimnite si, že blesk 3 nový konektor USB typu C zahŕňa nové funkcie zabezpečenia, ktoré je možné nakonfigurovať na ochranu proti tento typ prístupu.

Riešenie

Niektoré konfigurácie šifrovania BitLocker môže znížiť riziko takéhoto útoku. Modul TPM + PIN a TPM + USB TPM + PIN + USB chrániče oslabiť DMA útoky pri počítačoch používať režim spánku (ukladanie do RAM).

Zníženie SBP-2

Na uvedenej webovej stránkyodkazujú na časť "Zabrániť inštalácii ovládačov zodpovedajúce tieto zariadenia Inštalátor triedy" pod "skupinovej politiky nastavenie pre zariadenie inštalácie". Plug and Play zariadenie nastavenie Trieda GUID SBP-2 jednotky je:

d48179be-ec20-11d1-b6b8-00c04fa372a7

Na niektoré platformy úplne vypnúť zariadenie 1394 môže poskytnúť vyššiu úroveň zabezpečenia.  Na uvedenej webovej stránky, nájdete v časti "Zabrániť inštalácii zariadenia, ktoré zodpovedajú tieto zariadenia ID" pod "Skupinovej politiky nastavenie pre zariadenie inštalácie".Nasleduje identifikácia Plug and Play kompatibilný radič 1394:

PCI\CC_0C0010

Blesk zníženie

Počnúc Windows 10 verzia 1803, novšie Intel systémom zahŕňajú vstavaný jadra DMA ochrany blesk 3. Konfigurácia je potrebné ochranu.

Blokovanie blesk ovládač zariadenia používa staršiu verziu systému Windows alebo platformy nedostatočná Ochrana jadra DMA blesk 3, nájdete v časti "Zabrániť inštalácii zariadenia, ktoré zodpovedajú tieto zariadenia ID" pod "skupinovej politiky Nastavenia pre zariadenia" uvedenej webovej stránky.

Identifikácia Plug and Play kompatibilné pre radič blesk je:

PCI\CC_0C0A

Poznámky

  • Vrátenie tejto zahltenia je daný ukladacích zariadení už pripojíte prostredníctvom portu 1394, a všetky zariadenia PCI Express, pripojené k portu nefunguje blesk.

  • Ak hardvér odlišné od aktuálne Windows technické pokyny, môže povoliť DMA tieto porty, po spustení počítača a systém Windows vykoná kontrolu hardvéru. Otvorí systém ohroziť a tento stav nie je zmierniť Toto riešenie.

  • Ovládač SBP-2 a blesk radiče ochranu pred útokmi na externé alebo interné sloty PCI (vrátane M.2 a Cardbus alebo ExpressCard).

Ďalšie informácie

Ďalšie informácie o DMA ohrozenie BitLocker nájdete nasledujúce Microsoft Security blog:

Požiadavky systému Windows BitLockerĎalšie informácie o mitigations pre studené útoky BitLocker nájdete nasledujúce Microsoft Integrity Team blog:

Ochranu BitLocker studené útokom

Dodávateľmi iných produktov uvádzaných v tomto článku sú spoločnosti nezávislé od spoločnosti Microsoft. Spoločnosť Microsoft neposkytuje implicitné ani iné záruky týkajúce sa výkonu alebo spoľahlivosti takýchto produktov.

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pripojiť k Microsoft insiderov chcú

Považujete poskytnuté informácie za užitočné?

Ďakujem za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×