Obvestilo
Za Windows različico 1803 in novejše različice, če svojo platformo podpira funkcijo Jedra DMA zaščite , vam priporočamo, da izkoristite to funkcijo za ublažitev Thunderbolt DMA napadov. Za starejše različice Windowsor platforme, ki nimajo nov Stržen DMA varstvo zunanja oblika, če vaša organizacija omogoča TPM samo ščitnike ali podpira računalniki v stanju mirovanja, to je ena od možnosti ublažitev DMA. Prosimo, da BitLocker protiukrepov razumeti spektra mitigations.
Uporabniki lahko nanaša tudi na Intel Thunderbolt 3 in varnost na operacijski sistem Microsoft Windows 10 dokumentacijo za alternativne mitigations.
Microsoft ponuja podatke za stik tretjih da bi lažje poiskali tehnično podporo. Te kontaktne informacije se lahko spremenijo brez obvestila. Microsoft ne jamči za točnost izdelovalcih tretjih oseb. Če želite več informacij o tem, kako to storiti, obiščite to Microsoftovo spletno mesto:
Vodnik po korakih za nadzor nameščanja naprav s pravilnikom skupine
Znaki
Zaščitene s funkcijo BitLocker računalniku lahko izpostavljeni napadom neposrednega dostopa do pomnilnika (DMA), ko je računalnik vklopljen ali v stanju pripravljenosti moč. To vključuje zaklenjenem namizju. BitLocker s TPM-samo pri preverjanju pristnosti omogoča računalniku, da preide vklop država brez kakršne koli preverjanja pristnosti vnaprejšnjega zagona. Zato lahko napadalec sposoben opravljati DMA napadov. V teh konfiguracijah, napadalec lahko iščete ključi za šifriranje BitLocker v sistemski pomnilnik z prevara SBP-2 ID strojne opreme z uporabo napadajo napravo, ki je priključen v vrata za 1394. Pa aktivno Thunderbolt vrata ponuja tudi dostop do sistemskega pomnilnika za izvedbo napada. Upoštevajte, da Thunderbolt 3 na nov priključek USB tip-C vključuje nove varnostne funkcije, ki je lahko konfiguriran za zaščito pred tovrstnimi napadi ne onesposobiti pristanišča. Ta člen se uporablja za katero koli od naslednjih sistemov:
-
Sistemi, ki so zapustila vklopljena
-
Sistemi, ki so zapustili v stanje pripravljenosti stanje porabe
-
Sistemi, ki uporabljajo zaščitnika TPM samo BitLocker
Razlog
1394 fizično DMA
Industrija standardne 1394 krmilniki (OHCI ustrežljiv) zagotavlja funkcionalnost, ki omogoča dostop do sistemskega pomnilnika. Ta funkcija je na voljo kot izboljšanje uspešnosti. Omogoča velike količine podatkov, ki jih prenesemo neposredno med 1394 naprava in sistem spomin, mimo CPU in programske opreme. Privzeto onemogočena 1394 fizično DMA v vseh različicah operacijskega sistema Windows. Te možnosti so na voljo omogočiti 1394 fizično DMA:
-
Skrbniku omogoča iskanja napak 1394 jedra.
-
Nekdo, ki ima fizični dostop do računalnika povezuje napravo za shranjevanje 1394, ki je v skladu s specifikacijo SBP-2.
1394 DMA grožnje BitLocker
Preglede celovitosti sistema BitLocker ublažitev nepooblaščeno spreminjanje statusa iskanje napak v jedru. Napadalec lahko napadajo napravo priključite na vrata 1394, pa potem prevara SBP-2 strojne opreme ID. Če Windows zazna SBP-2 ID strojne opreme, naloži SBP-2 gonilnik (sbp2port.sys), in nato naroči voznik omogočiti SBP-2 načrt v izvršiti nalogo DMA. To omogoča napadalec dostop do sistemskega pomnilnika in poiščite šifriranje ključev BitLockerja.
Thunderbolt fizično DMA
Thunderbolt je zunanjega vodila, ki omogoča neposreden dostop do sistemskega pomnilnika preko PCI. Ta funkcija je na voljo kot izboljšanje uspešnosti. Omogoča velike količine podatkov, ki jih prenesemo neposredno med Thunderbolt naprava in sistem spomin, s čimer mimo CPU in programske opreme.
Thunderbolt grožnje BitLocker
Napadalec lahko namenskih napravo priključite na vrata Thunderbolt in imajo popolno neposredni dostop do pomnilnika preko PCI Express avtobusom. Tako bi lahko napadalec dostop do sistemskega pomnilnika in poiščite šifriranje ključev BitLockerja. Upoštevajte, da Thunderbolt 3 na nov priključek USB tip-C vključuje nove varnostne funkcije, ki je lahko konfiguriran za zaščito proti tej vrsti dostopa.
Rešitev
Nekatere konfiguracije BitLocker lahko zmanjša tveganje za ta vrsta napada. TPM + PIN, TPM + USB in TPM + PIN + USB ščitnike zmanjšati učinek DMA napadi, ko računalniki ne uporabljajte spanja (suspend to RAM).
Ublažitev SBP-2
Na prej omenjeno spletno mesto, se nanašajo na "Prepreči namestitev gonilnikov, ujemanja teh namestitvenih razredov naprave" delu "skupine politike nastavitve za namestitev naprave". To je Plug and Play naprave namestitvenega razreda GUID za se pogon SBP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7
Na nekaj platforme, popolnoma onemogočite napravo 1394 lahko zagotavljajo dodatno varnost. Na je prej omenjeno spletno stran, se nanašajo na "Prepreči namestitev naprav, ki ustrezajo ti ID-ji naprave" delu "Skupine politike nastavitve za namestitev naprave".v nadaljevanju je Plug and Play združljivega ID-ja za krmilnik 1394:
PCI\CC_0C0010
Thunderbolt ublažitev
Začne z Windows 10 prevod 1803, novejša semntel-osnova sistem vključuje vgrajeno jedra DMA zaščite za Thunderbolt 3. Konfiguracija je potrebno za to varstvo.
Da blokira krmilnik Thunderbolt napravi teče starejša različica operacijskega sistema Windows, ali za platforme pomanjkanje stržen DMA varstvo za Thunderbolt 3, se nanašajo na "Prepreči namestitev naprav, ki ustrezajo teh IDS-naprav" oddelku pod "pravilnika skupine Nastavitve za namestitev naprave« v je bilo že omenjeno spletno stran.
To je Plug and Play združljivega ID-ja za Thunderbolt krmilnik:
PCI\CC_0C0A
Opombe
-
Pomanjkljivost tega ublažitev je da zunanje pomnilne naprave lahko ni več povezavo prek vrat 1394, in vse PCI Express naprave, ki so povezani z Thunderbolt vrata ne bo delovala.
-
Če strojna odstopa od trenutnega inženiring Nasveti za sistem Windows, lahko omogoči DMA na teh vratih, ko zaženete računalnik in preden Windows prevzame nadzor nad strojno opremo. Odpre vaš sistem za kompromis, in ta pogoj ne blaži to workaround.
-
Blokiranje SBP-2 gonilnik in Thunderbolt krmilniki ne varuje pred napadi na zunanji ali notranji PCI slotov (vključno z M.2, Cardbus & ExpressCard).
Več informacij
Če želite več informacij o DMA grožnje BitLocker, glej naslednji blog Microsoft Security:
Windows BitLocker terjatveČe želite več informacij o mitigations za hladno napadov BitLocker, glej naslednji Microsoft celovitost skupina blog:
Zaščito BitLocker hladno napadi
Izdelke drugih proizvajalcev, omenjene v tem članku, proizvajajo podjetja, neodvisna od Microsofta. Microsoft ne daje nobenih naznačenih ali drugačnih jamstev o delovanju ali zanesljivosti teh izdelkov.