Blokiranje SKP-2 vozača i grom kontroleri za smanjenje 1394 DMA i grom DMA pretnje za BitLocker

Primenjuje se na: Windows Server version 1803Windows 10, version 1803, all editionsWindows Server 2016 Version 1709

Najave


Za Windows, verzija 1803 i novije verzije, ako tvoj platforma podržava nove funkcije za Zaštitu DMA jezgra , preporučujemo da da zalog tu funkciju da se ublaže grom DMA napade. Za starije verzije programa Windowsor platforme koji nedostaje novi Kernel DMA zaštitu karakteristika, ako vaša organizacija dozvoljava samo TPM zaštitnici ili podržava računare u režim spavanja, sledi jedna opcija za ublažavanje DMA. Pogledajte za BitLocker protivmere da razumem spektru olakšice.

Korisnici možda upućujete na Intel grom 3 i bezbednosti na operativni sistem Microsoft Windows 10 dokumentacija za alternativne olakšice.

Microsoft obezbeđuje kontakt informacije nezavisnih proizvođača da pomogne pri pronalaženju tehničke podrške. Informacije za kontakt mogu promijeniti bez najave. Microsoft ne garantuje tačnost kontakt informacije nezavisnih proizvođača.Za više informacija o tome kako da biste to učinili, pogledajte sledeće Microsoft Web lokacije:

 

Simptomi


Zaštićen BitLocker kompjuter može biti osjetljiv na napade direktnog pristupa memoriji (DMA) kada je računar uključen ili je u stanje pripravnosti za napajanje. Ovo uključuje kada radne površine je zaključan.BitLocker verifikaciju samo TPM dozvoljava računaru da unesete vlast u državi bez bilo kakvu provjeru autentičnosti prethodno pokretanje. Zbog toga, napadač možda moći da izvrši DMA napade.U ovim konfiguracijama, napadač možda moći tražiti BitLocker šifrovanje ključevi u sistemsku memoriju, lažno predstavljanje ID hardvera SKP-2 pomoću uređaja Internet napada koji je priključen na 1394 port. Alternativno, jedan aktivni port grom takođe možete pristupiti sistemske memorije da biste izvršili napad. Imajte na umu da je grom 3 na novi konektor USB tip-C uključuje nove bezbednosne funkcije koje može biti podešen tako da zaštiti od ovih vrsta napada bez onemogućavanja port.Ovaj članak se odnosi na bilo koju od sledećih sistema:
  • Sistemi koji su ostali na uključeno
  • Sistemi koji su ostali u stanje pripravnosti za napajanje
  • Sistemi koji koriste samo za TPM-a BitLocker Zaštitniku

Uzrok


1394 fizičke DMA

Industrija standardni 1394 kontroleri (OHCI kompatibilan) pružaju funkcionalnost koja omogućava pristup sistemske memorije. Ova funkcionalnost je obezbeđena kao što je poboljšanje performansi. To omogućava velike količine podataka za prenos direktno između 1394 uređaja i sistema uspomenu, zaobilazeći CPU i softver. Po podrazumevanim postavkama, 1394 fizičke DMA je onemogućen u svim verzijama operativnog sistema Windows. Sledeće opcije su dostupne da biste omogućili 1394 fizičke DMA:

  • Administrator omogućava otklanjanje grešaka u jezgru 1394.
  • Neko ko ima fizički pristup računaru povezuje 1394 uređaju za pohranu napravljen u skladu sa specifikacijom SKP-2.

1394 DMA pretnje za BitLocker

BitLocker sistema integriteta čekove ublaže neovlašćenog otklanjanje grešaka u jezgru status se menja. Međutim, napadač mogao povezati uređaj za napada na 1394 port i onda korisniče ID hardvera SKP-2 Kada Windows otkrije ID hardvera SKP-2, to učitava upravljački program SKP-2 (sbp2port.sys), a zatim naloži upravljački program da se dozvoli SKP-2 uređaj za izvođenje DMA. Ovo omogućava napadaču da biste pristupili sistemske memorije i potraga za BitLocker šifrovanje ključevima.

Grom fizičke DMA

Grom je u spoljni autobus koji dozvoljava za direktan pristup sistemske memorije putem PCI. Ova funkcionalnost je obezbeđena kao što je poboljšanje performansi. To omogućava velike količine podataka za prenos direktno između je grom uređaj i sistemsku memoriju, čime bi zaobilazeći CPU i softver.

Grom pretnje za BitLocker

Napadač mogao posebne namene uređaj povezuju grom porta i imati punu direktan pristup memoriji kroz sa PCI Express magistralom. Ovo može biti osposobljen napadaču da biste pristupili sistemske memorije i potraga za BitLocker šifrovanje ključevima. Imajte na umu da je grom 3 na novi konektor USB tip-C uključuje nove bezbednosne funkcije koje mogu biti konfigurisani da zaštiti ovu vrstu pristupa.

Rešenje


Neke konfiguracije za BitLocker možete da smanjite rizik od ove vrste napada. TPM + PIN, TPM + USB i TPM + PIN + USB zastitnici smanjuju dejstvo DMA napada kada računari ne koriste režim spavanja (suspenduje količine RAM-a).

Još više pospješuje SKP-2

Na na prethodno pomenuto Web lokacije, pogledajte odjeljak „Sprečavanje instalacije upravljačkih programa koje se podudaraju sa ove klase instalacije uređaja” u okviru „grupa politika postavke za instalaciju uređaja”.Sledi Plug and Play instalacija klasa uređaja GUID za disk jedinicu na SKP-2:
d48179be-ec20-11d1-b6b8-00c04fa372a7

Na neke platformama, potpuno zaustavivši 1394 uređaj može da pruži dodatnu sigurnost.  Na na su prethodno navedene Web lokaciji, pogledajte odjeljak „Spreči instalaciju uređaja koji zadovoljavaju ove propusnice za uređaj” u okviru „Grupa politika postavke za instalaciju uređaja”.Na sledeći način je Plug and Play kompatibilan ID za 1394 kontroler:

PCI\CC_0C0010

Još više pospješuje grom

Počevši od Windows 10 verzija 1803, novija samntel procesorima Itanium uključuju ugrađeni jezgra DMA zaštitu za grom 3. Nema konfiguracija je potrebna za ovu zaštitu.

Da biste blokirali kontrolera "grom" na uređaju koriste raniju verziju operativnog sistema Windows ili za platforme taj nedostatak zaštite DMA jezgra za grom 3, pogledajte odjeljak „Spreči instalaciju uređaja koje se podudaraju sa ovim uređajem ID-ova” pod „pravila grupe Postavke za instalaciju uređaja” na na da su prethodno navedene Web lokacije.

Sledi Plug and Play kompatibilan ID za kontroler grom:
PCI\CC_0C0A

Napomene

  • Mana od ovaj još više pospješuje je taj externi uređaji više ne može da se poveže pomoću 1394 port i sve PCI Express uređaje koji su povezani sa Thunderbolt port neće raditi.
  • Ako vaš hardver odstupa od trenutnog Windows Engineering smernice, može da omogući DMA na ove portove nakon pokretanja računara i pre nego što Windows preuzme kontrolu nad hardverom. Ovo otvara vaš sistem da postignu kompromis, a ovaj uslov je nisu bili umanjeni od strane ovog zaobilaznog rješenja.
  • Blokiranje SKP-2 vozač i kontrolori grom ne štiti od napada na spoljne ili unutrašnje PCI slotova (uključujući M.2, Cardbus & ExpressCard).

Više informacija


Za više informacija o DMA pretnje da BitLocker, vidite sledeće Microsoft Security blog:Za više informacija o olakšice za hladno napade protiv BitLocker, vidite sledeće Microsoft integritet tima blog:

Proizvode nezavisnih proizvođača o kojima se govori u ovom članku proizvela su preduzeća koja su nezavisna od korporacije Microsoft. Microsoft ne daje nikakvu garanciju, impliciranu ni neku drugu, u pogledu performansi ili pouzdanosti ovih proizvoda.