Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Примітка

Windows версії 1803 і пізніших версій якщо ваші платформи, підтримує нову функцію Ядра DMA захисту , рекомендовано, у вас використовувати цю функцію ймовірність грім DMA атак. Функції для попередніх версій платформи Windowsor, що не мають нового Ядра DMA захисту , якщо ваша організація дозволяє тільки TPM захисту, або підтримує комп'ютери в режимі сну, такі один варіант для зменшення DMA. Зверніться до Засобу BitLocker із зрозуміти спектра пом'якшення.

Також користувачі можуть звернутися до Intel грім 3 та безпеки операційної системи Microsoft Windows-10-документація для альтернативного пом'якшення.

Корпорація Майкрософт надає контактні відомості сторонніх виробників, щоб допомогти вам отримати технічну підтримку. Ці дані можуть змінюватися без попередження. Корпорація Майкрософт не гарантує точності контактних відомостей сторонніх виробників. Щоб отримати додаткові відомості про те, як це зробити див. на веб-сайт корпорації Майкрософт:

Покрокові інструкції зі контролю інсталяція пристрою, використання групової політики

Ознаки

Захищеного BitLocker комп'ютер може бути вразливим до атак, прямого доступу до пам'яті (DMA), якщо комп'ютер увімкнено, або перебуває у стані очікування, живлення. Це стосується, коли робочого стола заблоковано. Засіб BitLocker, тільки TPM з автентифікацією дозволяє ввести Увімкнення стану без будь-яких автентифікації для попереднього завантаження комп'ютера. Таким чином, якими можна виконати DMA атак. Ці конфігурації зловмисник може бути можливість для пошуку за підробки СБП-2 Ідентифікатор обладнання, за допомогою атаки пристрою, який підключено до порту 1394 ключів шифрування BitLocker, у системної пам'яті. Крім того, порт активний грім також надає доступ до пам'яті для виконання атаки. Зверніть увагу, що грім 3 з'єднувача USB типу C включає в себе нові функції безпеки, для яких може бути налаштована для захисту від таких атак, без відключення порт. У цій статті, застосовується до будь-якого з таких систем:

  • Системи, які залишилися на

  • Системи, які залишилися в стані очікування живлення

  • Системах, де використовується лише для TPM BitLocker захисник

Причина

1394 фізичних DMA.

Галузі стандарт 1394 контролери (OHCI сумісний), забезпечують функціональність, яка дозволяє отримати доступ до пам'яті. Ця функція надано на покращення продуктивності. Це дає змогу великих обсягів даних для перенесення безпосередньо між 1394 пристрої та системи пам'яті, процесор і програмного забезпечення. За промовчанням 1394 безпосередній доступ до фізичної пам'яті, вимкнуто в усіх версіях Windows. Доступні такі параметри увімкнути 1394 безпосередній доступ до фізичної пам'яті:

  • Адміністратор, дає змогу 1394 для налагодження ядра.

  • Користувач, який має фізичний доступ до комп'ютера, підключення до 1394 пристрою збереження даних, який відповідає специфікації СБП-2.

1394 DMA загроз BitLocker

Перевірка цілісності системи для засобу BitLocker, ймовірність несанкціонованих змін стану налагодження ядра. Проте, зловмисник може підключити пристрій, що атакують до порту 1394 і потім підробити, код на СБП-2 обладнання. Windows виявить, код СБП-2 обладнання, він завантажується драйвер СБП-2 (sbp2port.sys) та виберіть значення, драйвер для пристрою СБП-2 для виконання DMA. Це дає змогу, якими отримати доступ до системної пам'яті і знайдіть ключі для шифрування BitLocker.

Грім фізичних DMA.

Грім-це зовнішній шини, що забезпечує прямий доступ до пам'яті за допомогою PCI. Ця функція надано на покращення продуктивності. Це дає змогу великих обсягів даних для перенесення безпосередньо між грім пристрої та системи пам'яті, таким чином, оминаючи ЦП і програмного забезпечення.

Грім загроз BitLocker

Зловмисник може підключення пристрою спеціальні грім порт і мають повну прямий доступ до пам'яті до шини PCI Express. Це особи можуть отримати зловмисник для доступу до пам'яті та здійснити пошук за BitLocker-ключів шифрування. Зверніть увагу, що грім 3 з'єднувача USB типу C включає в себе нові функції безпеки, для яких може бути налаштована для захисту доступу до цього типу.

Спосіб вирішення

Певні конфігурації BitLocker, може знизити ризик атаки цього типу. Модуль TPM + PIN TPM + USB та TPM + PIN-код + USB-пристрої захисту зменшити ефект DMA атак, коли комп'ютери, не використовувати сплячий режим (зберігаючи Оперативна пам'ять).

СБП-2 потоків.

На на зазначено вище, веб-сайтможна знайти в розділі "Заборонити на інсталяцію драйверів, які відповідають цих пристроїв, налаштування класи" в розділі "групової політики параметри для пристрою інсталяції". Нижче наведено Plug and Play пристрою інсталяції клас GUID для на диску, СБП-2:

d48179be-ec20-11d1-b6b8-00c04fa372a7

Деякі платформ повністю, відключення пристрою 1394 може надати додаткові безпеки.  На на зазначено вище, веб-сайт, можна знайти в розділі "Заборонити на інсталяцію пристрої, які відповідають ці коди для пристроїв" у розділі "Групової політики параметри для пристрою інсталяції".Нижче наведено-сумісних Ідентифікаторів Plug and Play до контролера 1394:

PCI\CC_0C0010

Грім потоків.

Починаючи з версії 10 версії 1803, пізніше яntel систем, містять вбудовані ядра DMA захист грім 3. Немає, конфігурацію, необхідна для цього захисту.

Для блокування грім контролер на пристрої під керуванням попередню версію Windows, або для платформ, що відсутність ядра DMA захист грім 3, зверніться до розділу "Заборонити інсталяції пристроїв, які відповідають ці ідентифікатори пристрою" в розділі "групова політика Параметри для інсталяції пристроїв"у полі зазначено вище, веб-сайт.

Нижче наведено сумісних Ідентифікаторів Plug and Play до контролера грім:

PCI\CC_0C0A

Примітки

  • Мінусом, з цього потоків, це, зовнішнього зберігання на пристрої, більше не можна підключитися за допомогою порту 1394 і всі PCI Express пристрої, підключені до порту не працюватиме грім.

  • Якщо обладнання, відхиляється від поточного Windows Engineering, інструкції, може включити DMA, ці порти після запуску комп'ютера, і, перш ніж Windows керування обладнання. Відкриється системи вплинути, і ця умова не пом'якшується цей спосіб.

  • Блокування СБП-2-драйвер і грім пристрої не захисту від атак в зовнішніх або внутрішніх плат PCI (включно з m. 2, Cardbus і ExpressCard).

Додаткові відомості

Щоб отримати додаткові відомості про загрози безпеці DMA BitLocker див. нижче блог Microsoft Security:

Windows BitLocker вимогиЩоб отримати додаткові відомості про пом'якшення для холодних нападів BitLocker див. нижче блог Microsoft цілісності команди:

Захист BitLocker від атак, холодна

Продукти, про які йдеться в цій статті, виготовлено сторонніми виробниками, що не залежать від корпорації Майкрософт. Корпорація Майкрософт не надає жодних гарантій, явних або неявних, стосовно якості чи надійності роботи таких продуктів.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×