Applies ToWindows Server version 1803 Windows 10, version 1803, all editions Windows Server 2016 Version 1709 Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows Server 2016, all editions Windows 10, version 1607, all editions Windows 10 Windows Server 2012 R2 Windows RT 8.1 Windows 8.1 Windows Server 2012 Windows 8

Thông báo

Đối với Windows phiên bản 1803 và phiên bản mới hơn, nếu nền tảng của bạn hỗ trợ tính năng Lõi DMA bảo vệ mới, chúng tôi khuyên bạn tận dụng tính năng giảm Thunderbolt DMA tấn công. Các phiên bản trước của nền tảng Windowsor thiếu mới Lõi DMA bảo vệ tính năng, nếu tổ chức của bạn cho phép TPM chỉ bảo vệ hoặc hỗ trợ máy tính ở chế độ ngủ, đây là một tùy chọn giảm thiểu DMA. Vui lòng tham khảo Đối phó BitLocker hiểu phổ mitigations.

Đồng thời người dùng có thể là Intel Thunderbolt 3 và bảo mật trên hệ điều hành Microsoft Windows 10 tài liệu cho các mitigations.

Microsoft cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo trước. Microsoft không bảo đảm độ chính xác của thông tin liên hệ của bên thứ ba này. Để biết thêm thông tin về cách thực hiện việc này, hãy truy cập website sau của Microsoft:

Hướng dẫn từng bước để cài đặt thiết bị kiểm soát bằng cách sử dụng chính sách Nhóm

Triệu chứng

BitLocker bảo vệ máy tính có thể bị tấn công truy cập bộ nhớ trực tiếp (DMA) khi máy tính bị tắt hoặc ở trạng thái nguồn điện ở chế độ chờ. Điều này bao gồm khi máy tính bị khóa. BitLocker TPM chỉ xác thực cho máy tính vào trạng thái nguồn điện trên không có bất kỳ xác thực trước khi khởi động. Do đó, kẻ tấn công có thể thực hiện DMA tấn công. Cấu hình các kẻ tấn công có thể tìm kiếm các khóa mã hóa BitLocker trong bộ nhớ hệ thống của đảo ID phần cứng SBP-2 bằng cách sử dụng một thiết bị tấn công được cắm vào cổng 1394. Ngoài ra, cổng Thunderbolt hoạt động cũng cung cấp quyền truy cập vào bộ nhớ hệ thống để thực hiện một cuộc tấn công. Chú ý Thunderbolt 3 kết nối USB Type-C mới bao gồm các tính năng bảo mật mới có thể được cấu hình để bảo vệ chống lại các loại tấn công mà không tắt cổng. Bài viết này áp dụng cho bất kỳ hệ thống sau:

  • Bật hệ thống còn lại

  • Hệ thống được đặt ở trạng thái nguồn điện ở chế độ chờ

  • Hệ thống sử dụng bảo vệ chỉ TPM BitLocker

Nguyên nhân

1394 vật lý DMA

Điều khiển 1394 chuẩn công nghiệp (OHCI tương thích) cung cấp chức năng cho phép truy cập vào bộ nhớ hệ thống. Chức năng này được cung cấp cải thiện hiệu năng. Cho phép số lượng lớn dữ liệu để chuyển giữa một 1394 thiết bị và hệ thống bộ nhớ, bỏ qua CPU và phần mềm. Theo mặc định, 1394 vật lý DMA bị vô hiệu hoá tất cả các phiên bản Windows. Các tùy chọn có sẵn sử 1394 DMA vật lý:

  • Quản trị viên cho phép 1394 lõi gỡ lỗi.

  • Ai đó có thể truy cập vào máy tính kết nối thiết bị lưu trữ 1394 phù hợp với đặc tả SBP-2.

1394 DMA các mối đe dọa BitLocker

Kiểm tra tính toàn vẹn BitLocker hệ thống giảm thiểu việc gỡ lỗi hạt nhân thay đổi trạng thái. Tuy nhiên, kẻ có thể kết nối thiết bị tấn công với cổng 1394, và sau đó spoof ID phần cứng SBP-2 Khi Windows phát hiện ID phần cứng SBP-2, nó tải trình điều khiển SBP-2 (sbp2port.sys), và sau đó hướng dẫn trình điều khiển cho phép thực hiện DMA SBP-2 thiết bị. Điều này cho phép kẻ tấn công để truy cập vào bộ nhớ hệ thống và tìm kiếm các khóa mã hóa BitLocker.

Thunderbolt vật lý DMA

Thunderbolt là một xe bên ngoài cho phép truy cập trực tiếp vào bộ nhớ hệ thống qua PCI. Chức năng này được cung cấp cải thiện hiệu năng. Cho phép số lượng lớn dữ liệu để chuyển giữa một Thunderbolt thiết bị và hệ thống bộ nhớ, do đó bỏ qua CPU và phần mềm.

Các mối đe dọa Thunderbolt BitLocker

Kẻ tấn công có thể kết nối thiết bị chuyên dụng cổng Thunderbolt và có truy cập đầy đủ bộ nhớ thông qua bus PCI Express. Điều này có thể cho phép kẻ tấn công để truy cập vào bộ nhớ hệ thống và tìm kiếm các khóa mã hóa BitLocker. Lưu ý rằng Thunderbolt 3 kết nối USB Type-C mới bao gồm các tính năng bảo mật mới có thể được cấu hình để bảo vệ chống lại loại truy cập.

Giải pháp

Một số cấu hình BitLocker có thể giảm nguy cơ bị loại tấn công. Bảo vệ TPM + PIN, TPM + USB và TPM + PIN + USB làm giảm hiệu lực DMA tấn công khi không sử dụng chế độ ngủ (tạm ngưng để RAM).

Giảm thiểu SBP-2

Trên trang web đề cập trước đó, hãy tham khảo phần "Ngăn chặn cài đặt các trình điều khiển phù hợp với các thiết bị thiết lập lớp" trong "nhóm chính sách cài đặt để cài đặt thiết bị". Dưới đây là cắm và chạy thiết bị thiết lập lớp GUID cho ổ SBP-2:

d48179be-ec20-11d1-b6b8-00c04fa372a7

Trên một nền tảng hoàn toàn vô hiệu hoá thiết bị 1394 có thể cung cấp bảo mật hơn.  Trên các đã được đề cập trang web, tham khảo phần "Ngăn chặn cài đặt thiết bị phù hợp với các thiết bị ID" trong "Nhóm chính sách cài đặt để cài đặt thiết bị".Dưới đây là ID cắm và chạy tương thích cho bộ điều khiển 1394:

PCI\CC_0C0010

Giảm thiểu Thunderbolt

Bắt đầu với Windows 10 phiên bản 1803 mới đểntel dựa trên hệ thống có sẵn lõi DMA bảo vệ Thunderbolt 3. Cấu hình không phải bảo vệ này.

Để ngăn chặn điều khiển Thunderbolt trên thiết bị chạy phiên bản cũ hơn của Windows, hoặc nền tảng đó thiếu bảo vệ DMA lõi Thunderbolt 3, tham khảo phần "Ngăn chặn cài đặt thiết bị phù hợp với thiết bị ID" trong "chính sách Nhóm Cài đặt để cài đặt thiết bị"trên máy đã đề cập đến trang web.

Dưới đây là ID tương thích cắm và chạy bộ kiểm soát Thunderbolt:

PCI\CC_0C0A

Chú ý

  • Hạn chế này giảm thiểu là lưu trữ bên ngoài mà thiết bị có thể không kết nối bằng cách sử dụng cổng 1394, và tất cả PCI Express thiết bị được kết nối Thunderbolt cổng sẽ không hoạt động.

  • Nếu phần cứng deviates từ hiện tại Windows hướng dẫn kỹ thuật, nó có thể cho phép DMA các cổng sau khi bạn khởi động máy tính và trước khi Windows có điều khiển phần cứng. Điều này mở hệ thống ảnh hưởng đến và điều kiện này không được giảm nhẹ bằng cách này.

  • Chặn trình điều khiển SBP-2 và bộ điều khiển Thunderbolt bảo vệ chống lại cuộc tấn công bên ngoài hoặc bên trong khe PCI (bao gồm M.2, Cardbus & ExpressCard).

Thông tin Bổ sung

Để biết thêm chi tiết về các mối đe dọa DMA BitLocker, xem Microsoft Security blog sau đây:

Windows BitLocker khiếu nạiĐể biết thêm chi tiết về mitigations cho nguội tấn BitLocker, xem blog của nhóm tính toàn vẹn của Microsoft sau:

Bảo vệ BitLocker lạnh tấn công

Các sản phẩm của bên thứ ba mà bài viết này thảo luận được các công ty độc lập với Microsoft sản xuất. Microsoft không bảo hành, dù ngụ ý hay không, về hiệu suất hoạt động hoặc độ tin cậy của các sản phẩm này.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365