ข้ามไปที่เนื้อหาหลัก
การสนับสนุน
ลงชื่อเข้าใช้
ลงชื่อเข้าใช้ด้วย Microsoft
ลงชื่อเข้าใช้หรือสร้างบัญชี
สวัสดี
เลือกบัญชีอื่น
คุณมีหลายบัญชี
เลือกบัญชีที่คุณต้องการลงชื่อเข้าใช้

ประกาศ

สำหรับ Windows รุ่นปี 1803 และรุ่นหลังจากนั้น ถ้าแพลตฟอร์มของคุณสนับสนุนคุณลักษณะการป้องกัน DMA เคอร์เนลใหม่ เราขอแนะนำให้ คุณใช้ประโยชน์คุณลักษณะนั้นเพื่อบรรเทาโจมตี Thunderbolt DMA สำหรับรุ่นก่อนหน้าของแพลตฟอร์ Windowsor ที่ขาดการป้องกัน DMA เคอร์เนลใหม่คุณลักษณะ ถ้าองค์กรของคุณอนุญาตให้มีตัวป้องกัน TPM อย่างเดียว หรือสนับสนุนคอมพิวเตอร์ในโหมดสลีป ต่อไปนี้คือ ตัวเลือกการลด DMA หนึ่ง โปรดดูที่วิธีการรับมือ BitLockerเพื่อทำความเข้าใจหลัก ๆ ของ mitigations

นอกจากนี้ ผู้ใช้สามารถอ้างอิงIntel Thunderbolt 3 และความปลอดภัยในส่วนเอกสารของระบบปฏิบัติการ 10 Windows Microsoftสำหรับ mitigations อื่น

Microsoft ให้ข้อมูลการติดต่อของบริษัทอื่นเพื่อช่วยให้คุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลการติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบ Microsoft ไม่รับประกันความถูกต้องของข้อมูลการติดต่อของบุคคลภายนอก สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำเช่นนี้ ไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:

คำแนะนำทีละขั้นตอนเพื่อติดตั้งอุปกรณ์การควบคุมโดยใช้'นโยบายกลุ่ม'

อาการ

คอมพิวเตอร์ที่มีการป้องกันด้วย BitLocker อาจเสี่ยงต่อการโจมตีการเข้าถึงหน่วยความจำโดยตรง (DMA) เมื่อคอมพิวเตอร์ที่เปิดอยู่ หรืออยู่ในสถานะใช้พลังงานการสแตนด์บาย ซึ่งรวมถึงเมื่อถูกล็อกเดสก์ท็อป BitLocker มีการตรวจสอบ TPM อย่างเดียวสำหรับคอมพิวเตอร์เพื่อป้อนสถานะพลังงานบน โดยไม่มีการรับรองความถูกต้องเบื้องต้นสำหรับการเริ่มระบบใดก็ได้ ดังนั้น ผู้จู่โจมอาจจะสามารถทำการโจมตี DMA ในการกำหนดค่าเหล่านี้ ผู้จู่โจมอาจสามารถค้นหาคีย์การเข้ารหัสลับด้วย BitLocker ในหน่วยความจำระบบ โดยการเคลื่อนย้ายหมายเลขฮาร์ดแวร์ SBP 2 โดยโดยใช้อุปกรณ์ที่ต่อเข้ากับพอร์ต 1394 attacking อีกวิธีหนึ่งคือ พอร์ตที่มี Thunderbolt ที่ใช้งานอยู่นอกจากนี้ให้การเข้าถึงหน่วยความจำระบบจะทำการโจมตี หมายเหตุว่า Thunderbolt 3 บนตัวเชื่อมต่อ USB ชนิด-C ใหม่มีคุณลักษณะความปลอดภัยใหม่ซึ่งคุณสามารถกำหนดค่าเพื่อป้องกันการโจมตีชนิดนี้ โดยไม่มีการปิดการใช้งานพอร์ต บทความนี้ใช้กับแฟ้มใด ๆ ในระบบต่อไปนี้:

  • เปิดใช้งานระบบที่เหลือ

  • สถานะพลังงานของระบบที่เหลือในการสแตนด์บาย

  • ระบบที่ใช้การป้องกันด้วย BitLocker TPM อย่างเดียว

สาเหตุ

1394 DMA ที่มีอยู่จริง

คอนโทรลเลอร์ 1394 มาตรฐานอุตสาหกรรม (OHCI เข้ากันได้) มีฟังก์ชันที่ช่วยให้การเข้าถึงหน่วยความจำระบบ ฟังก์ชันนี้มีไว้เป็นการปรับปรุงประสิทธิภาพการทำงาน ช่วยให้ข้อมูลการโอนย้ายโดยตรงระหว่างการ 1394 อุปกรณ์และระบบหน่วยความจำ ข้ามการทำงานของ CPU และซอฟต์แวร์จำนวนมากขึ้น โดยค่าเริ่มต้น 1394 DMA ที่มีอยู่จริงถูกปิดใช้งานใน Windows รุ่นทั้งหมด ตัวเลือกต่อไปนี้จะพร้อมใช้งานเพื่อเปิดใช้งาน DMA ทางกายภาพ 1394:

  • ผู้ดูแลระบบเท่านั้นที่เปิดใช้งานการดีบักเคอร์เนล 1394

  • บุคคลที่มีการเข้าถึงคอมพิวเตอร์ที่เชื่อมต่ออุปกรณ์เก็บข้อมูลแบบ 1394 ที่สอดคล้องกับข้อมูลจำเพาะ SBP-2

คุกคาม DMA 1394 กับ BitLocker

ตรวจสอบความสมบูรณ์ของระบบของ BitLocker บรรเทาเปลี่ยนสถานะของเคอร์เนลดีบักไม่ได้รับอนุญาต อย่างไรก็ตาม โจมตีไม่สามารถเชื่อมต่ออุปกรณ์ attacking มีพอร์ต 1394 และจากนั้น แก้ไขรหัสฮาร์ดแวร์ที่มี SBP-2 เมื่อ Windows ตรวจพบฮาร์ดแวร์ ID SBP 2 จะโหลดไดรเวอร์ SBP 2 (sbp2port.sys), และจากนั้น สั่งให้โปรแกรมควบคุมสำหรับอุปกรณ์ sbp-2 DMA ทำ ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงหน่วยความจำระบบและค้นหาคีย์การเข้ารหัสลับด้วย BitLocker

Thunderbolt DMA ที่มีอยู่จริง

Thunderbolt จะมีบัสภายนอกที่อนุญาตให้สามารถเข้าถึงหน่วยความจำระบบผ่านทาง PCI ฟังก์ชันนี้มีไว้เป็นการปรับปรุงประสิทธิภาพการทำงาน ช่วยให้ข้อมูลการโอนย้ายโดยตรงระหว่างการ Thunderbolt อุปกรณ์และระบบหน่วยความจำ ดังนั้นจึงข้ามการทำงานของ CPU และซอฟต์แวร์จำนวนมากขึ้น

คุกคาม thunderbolt กับ BitLocker

โจมตีไม่สามารถเชื่อมต่ออุปกรณ์กับวัตถุประสงค์พิเศษพอร์ต Thunderbolt และมีการเข้าถึงหน่วยความจำทั้งหมดโดยตรงผ่านบัส PCI Express นี้ไม่สามารถช่วยให้ผู้โจมตีสามารถเข้าถึงหน่วยความจำระบบและค้นหาคีย์การเข้ารหัสลับด้วย BitLocker หมายเหตุว่า Thunderbolt 3 บนตัวเชื่อมต่อ USB ชนิด-C ใหม่มีคุณลักษณะความปลอดภัยใหม่ซึ่งคุณสามารถกำหนดค่าเพื่อป้องกันการเข้าถึงชนิดนี้

การแก้ไข

กำหนดค่าบางอย่างของ BitLocker สามารถช่วยลดความเสี่ยงของการโจมตีชนิดนี้ ตัวป้องกัน TPM + PIN, TPM + USB และ TPM + PIN + USB ที่ลดผลกระทบของการโจมตี DMA เมื่อคอมพิวเตอร์ไม่ได้ใช้โหมดสลีป (หยุดชั่วคราวกับ RAM)

ลด SBP-2

บนเว็บไซต์ที่กล่าวถึงก่อนหน้านี้โปรดดูส่วน"ป้องกันไม่ให้ติดตั้งโปรแกรมควบคุมที่ตรงกับคลาเหล่านี้ติดตั้งอุปกรณ์"ภายใต้"กลุ่มนโยบายการตั้งค่าสำหรับการติดตั้งอุปกรณ์" คลาสการตั้งค่าอุปกรณ์ Plug and Play GUID สำหรับไดรฟ์ sbp-2 ผิดอยู่ต่อไปนี้:

d48179be-ec20-11d1-b6b8-00c04fa372a7

บนแพลตฟอร์มบางส่วน ทั้งหมดปิดใช้งานอุปกรณ์ 1394 อาจให้เพิ่มความปลอดภัยได้  ในการเว็บไซต์ที่กล่าวถึงก่อนหน้านี้อ้างอิงหัวข้อ "ป้องกันการติดตั้งอุปกรณ์ที่ตรงกับรหัสของอุปกรณ์เหล่านี้" ภายใต้ "กลุ่มนโยบายการตั้งค่าสำหรับการติดตั้งอุปกรณ์"ต่อไปนี้มีรหัส Plug and Play ที่เข้ากันได้สำหรับตัวควบคุม 1394:

PCI\CC_0C0010

ลด thunderbolt

เริ่มต้น ด้วย Windows 10 ปี 1803 รุ่นใหม่กว่าฉัน ระบบที่ใช้ ntel มีอยู่แล้วภายในเคอร์เนลป้องกัน DMA สำหรับ Thunderbolt 3 ไม่มีการตั้งค่าคอนฟิกเป็นสิ่งจำเป็นสำหรับการป้องกันนี้

เมื่อต้องการบล็อกตัวควบคุม Thunderbolt บนอุปกรณ์เรียกใช้เวอร์ชันก่อนหน้า ของ Windows หรือ สำหรับแพลตฟอร์มไม่เพียงพอที่ป้องกัน DMA เคอร์เนลสำหรับ Thunderbolt 3ดูที่ส่วน "ป้องกันไม่ให้ติดตั้งอุปกรณ์ที่ตรงกับรหัสเหล่านี้อุปกรณ์" ภายใต้ "'นโยบายกลุ่ม' การตั้งค่าสำหรับการติดตั้งอุปกรณ์"ในการเว็บไซต์ที่กล่าวถึงก่อนหน้านี้.

ต่อไปนี้คือ รหัส Plug and Play ที่เข้ากันได้สำหรับตัวควบคุม Thunderbolt:

PCI\CC_0C0A

หมายเหตุ

  • ข้อเสียเปรียบของการลดนี้เป็นที่เก็บข้อมูลภายนอกที่อุปกรณ์สามารถเชื่อมต่อ โดยใช้พอร์ต 1394 และทั้งหมด PCI Express อุปกรณ์ที่เชื่อมต่อกับ Thunderbolt พอร์ตไม่ทำงาน ไม่ได้อีกต่อไป

  • ถ้าฮาร์ดแวร์ของคุณแตกต่างจากแนวทางวิศวกรรม Windows ปัจจุบัน นั้นอาจเปิดใช้งาน DMA บนพอร์ตเหล่านี้หลัง จากที่คุณเริ่มการทำงานของคอมพิวเตอร์ และ ก่อน Windows จะควบคุมฮาร์ดแวร์ ซึ่งเปิดระบบของคุณเพื่อลดระดับ และเงื่อนไขนี้ไม่ถูก mitigated โดยวิธีแก้ปัญหานี้

  • บล็อกโปรแกรมควบคุม SBP 2 และตัวควบคุม Thunderbolt ไม่สามารถป้องกันการโจมตีบนช่อง PCI (รวมถึง M.2, cardbus ที่ใส่ไว้ & ExpressCard) ภายใน หรือภายนอก

ข้อมูลเพิ่มเติม

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับภัยคุกคามต่อ DMA BitLocker ดูบล็อกความปลอดภัยของ Microsoft ต่อไปนี้:

อ้างสิทธิ์ BitLocker Windowsสำหรับข้อมูลเพิ่มเติมเกี่ยวกับ mitigations สำหรับ BitLocker โจมตีเย็น ดูบล็อกทีมความสมบูรณ์ของ Microsoft ต่อไปนี้:

การป้องกันด้วย BitLocker จากการโจมตีเย็น

ผลิตภัณฑ์ของบริษัทอื่นที่มีการกล่าวถึงในบทความนี้ ผลิตโดยบริษัทต่างๆ ที่ไม่เกี่ยวข้องกับ Microsoft Microsoft ไม่รับประกัน ทั้งโดยนัยหรืออย่างอื่นใด เกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์เหล่านี้

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ค้นพบ ชุมชน

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย

ถามคำถามใน Microsoft Community

ชุมชนด้านเทคนิคของ Microsoft

Windows Insider

Microsoft 365 Insiders

ข้อมูลนี้เป็นประโยชน์หรือไม่

คุณพึงพอใจกับคุณภาพภาษาเพียงใด
สิ่งที่ส่งผลต่อประสบการณ์ใช้งานของคุณ
เมื่อกดส่ง คำติชมของคุณจะถูกใช้เพื่อปรับปรุงผลิตภัณฑ์และบริการของ Microsoft ผู้ดูแลระบบ IT ของคุณจะสามารถรวบรวมข้อมูลนี้ได้ นโยบายความเป็นส่วนตัว

ขอบคุณสำหรับคำติชมของคุณ!

×