Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Najave

Za Windows, verzija 1803 i novije verzije, ako tvoj platforma podržava nove funkcije za Zaštitu DMA jezgra , preporučujemo da da zalog tu funkciju da se ublaže grom DMA napade. Za starije verzije programa Windowsor platforme koji nedostaje novi Kernel DMA zaštitu karakteristika, ako vaša organizacija dozvoljava samo TPM zaštitnici ili podržava računare u režim spavanja, sledi jedna opcija za ublažavanje DMA. Pogledajte za BitLocker protivmere da razumem spektru olakšice.

Korisnici možda upućujete na Intel grom 3 i bezbednosti na operativni sistem Microsoft Windows 10 dokumentacija za alternativne olakšice.

Microsoft obezbeđuje kontakt informacije nezavisnih proizvođača da pomogne pri pronalaženju tehničke podrške. Informacije za kontakt mogu promijeniti bez najave. Microsoft ne garantuje tačnost kontakt informacije nezavisnih proizvođača. Za više informacija o tome kako da biste to učinili, pogledajte sledeće Microsoft Web lokacije:

Postepeni vodič za instalaciju kontrolnog uređaja pomoću smernica grupe

Simptomi

Zaštićen BitLocker kompjuter može biti osjetljiv na napade direktnog pristupa memoriji (DMA) kada je računar uključen ili je u stanje pripravnosti za napajanje. Ovo uključuje kada radne površine je zaključan. BitLocker verifikaciju samo TPM dozvoljava računaru da unesete vlast u državi bez bilo kakvu provjeru autentičnosti prethodno pokretanje. Zbog toga, napadač možda moći da izvrši DMA napade. U ovim konfiguracijama, napadač možda moći tražiti BitLocker šifrovanje ključevi u sistemsku memoriju, lažno predstavljanje ID hardvera SKP-2 pomoću uređaja Internet napada koji je priključen na 1394 port. Alternativno, jedan aktivni port grom takođe možete pristupiti sistemske memorije da biste izvršili napad. Imajte na umu da je grom 3 na novi konektor USB tip-C uključuje nove bezbednosne funkcije koje može biti podešen tako da zaštiti od ovih vrsta napada bez onemogućavanja port. Ovaj članak se odnosi na bilo koju od sledećih sistema:

  • Sistemi koji su ostali na uključeno

  • Sistemi koji su ostali u stanje pripravnosti za napajanje

  • Sistemi koji koriste samo za TPM-a BitLocker Zaštitniku

Uzrok

1394 fizičke DMA

Industrija standardni 1394 kontroleri (OHCI kompatibilan) pružaju funkcionalnost koja omogućava pristup sistemske memorije. Ova funkcionalnost je obezbeđena kao što je poboljšanje performansi. To omogućava velike količine podataka za prenos direktno između 1394 uređaja i sistema uspomenu, zaobilazeći CPU i softver. Po podrazumevanim postavkama, 1394 fizičke DMA je onemogućen u svim verzijama operativnog sistema Windows. Sledeće opcije su dostupne da biste omogućili 1394 fizičke DMA:

  • Administrator omogućava otklanjanje grešaka u jezgru 1394.

  • Neko ko ima fizički pristup računaru povezuje 1394 uređaju za pohranu napravljen u skladu sa specifikacijom SKP-2.

1394 DMA pretnje za BitLocker

BitLocker sistema integriteta čekove ublaže neovlašćenog otklanjanje grešaka u jezgru status se menja. Međutim, napadač mogao povezati uređaj za napada na 1394 port i onda korisniče ID hardvera SKP-2 Kada Windows otkrije ID hardvera SKP-2, to učitava upravljački program SKP-2 (sbp2port.sys), a zatim naloži upravljački program da se dozvoli SKP-2 uređaj za izvođenje DMA. Ovo omogućava napadaču da biste pristupili sistemske memorije i potraga za BitLocker šifrovanje ključevima.

Grom fizičke DMA

Grom je u spoljni autobus koji dozvoljava za direktan pristup sistemske memorije putem PCI. Ova funkcionalnost je obezbeđena kao što je poboljšanje performansi. To omogućava velike količine podataka za prenos direktno između je grom uređaj i sistemsku memoriju, čime bi zaobilazeći CPU i softver.

Grom pretnje za BitLocker

Napadač mogao posebne namene uređaj povezuju grom porta i imati punu direktan pristup memoriji kroz sa PCI Express magistralom. Ovo može biti osposobljen napadaču da biste pristupili sistemske memorije i potraga za BitLocker šifrovanje ključevima. Imajte na umu da je grom 3 na novi konektor USB tip-C uključuje nove bezbednosne funkcije koje mogu biti konfigurisani da zaštiti ovu vrstu pristupa.

Rešenje

Neke konfiguracije za BitLocker možete da smanjite rizik od ove vrste napada. TPM + PIN, TPM + USB i TPM + PIN + USB zastitnici smanjuju dejstvo DMA napada kada računari ne koriste režim spavanja (suspenduje količine RAM-a).

Još više pospješuje SKP-2

Na na prethodno pomenuto Web lokacije, pogledajte odjeljak „Sprečavanje instalacije upravljačkih programa koje se podudaraju sa ove klase instalacije uređaja” u okviru „grupa politika postavke za instalaciju uređaja”. Sledi Plug and Play instalacija klasa uređaja GUID za disk jedinicu na SKP-2:

d48179be-ec20-11d1-b6b8-00c04fa372a7

Na neke platformama, potpuno zaustavivši 1394 uređaj može da pruži dodatnu sigurnost.  Na na su prethodno navedene Web lokaciji, pogledajte odjeljak „Spreči instalaciju uređaja koji zadovoljavaju ove propusnice za uređaj” u okviru „Grupa politika postavke za instalaciju uređaja”.Na sledeći način je Plug and Play kompatibilan ID za 1394 kontroler:

PCI\CC_0C0010

Još više pospješuje grom

Počevši od Windows 10 verzija 1803, novija samntel procesorima Itanium uključuju ugrađeni jezgra DMA zaštitu za grom 3. Nema konfiguracija je potrebna za ovu zaštitu.

Da biste blokirali kontrolera "grom" na uređaju koriste raniju verziju operativnog sistema Windows ili za platforme taj nedostatak zaštite DMA jezgra za grom 3, pogledajte odjeljak „Spreči instalaciju uređaja koje se podudaraju sa ovim uređajem ID-ova” pod „pravila grupe Postavke za instalaciju uređaja” na na da su prethodno navedene Web lokacije.

Sledi Plug and Play kompatibilan ID za kontroler grom:

PCI\CC_0C0A

Napomene

  • Mana od ovaj još više pospješuje je taj externi uređaji više ne može da se poveže pomoću 1394 port i sve PCI Express uređaje koji su povezani sa Thunderbolt port neće raditi.

  • Ako vaš hardver odstupa od trenutnog Windows Engineering smernice, može da omogući DMA na ove portove nakon pokretanja računara i pre nego što Windows preuzme kontrolu nad hardverom. Ovo otvara vaš sistem da postignu kompromis, a ovaj uslov je nisu bili umanjeni od strane ovog zaobilaznog rješenja.

  • Blokiranje SKP-2 vozač i kontrolori grom ne štiti od napada na spoljne ili unutrašnje PCI slotova (uključujući M.2, Cardbus & ExpressCard).

Više informacija

Za više informacija o DMA pretnje da BitLocker, vidite sledeće Microsoft Security blog:

Windows BitLocker tvrdnjeZa više informacija o olakšice za hladno napade protiv BitLocker, vidite sledeće Microsoft integritet tima blog:

Štiti BitLocker od hladne napada

Proizvode nezavisnih proizvođača o kojima se govori u ovom članku proizvela su preduzeća koja su nezavisna od korporacije Microsoft. Microsoft ne daje nikakvu garanciju, impliciranu ni neku drugu, u pogledu performansi ili pouzdanosti ovih proizvoda.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×