注意事項
對於 Windows 1803 版和更新版本,如果您的平台支援新的核心 DMA 保護 (英文) 功能,建議您運用該功能來防範 Thunderbolt DMA 攻擊。對於舊版 Windows 或未具備新的核心 DMA 保護 (英文) 功能的平台,如果您的組織允許使用僅 TPM 保護裝置或支援睡眠模式的電腦,下列是一個 DMA 緩和措施選項。 請參閱 BitLocker 計數器測量 (英文),以了解緩和措施的範圍。
此外,使用者也可以參閱 Microsoft Windows 10 作業系統上的 Intel Thunderbolt 3 和安全性 (英文) 文件,以取得替代的緩和措施。
Microsoft 提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊若有變更,恕不另行通知。 Microsoft 不保證此協力廠商連絡資訊的正確性。
如需有關如何執行這項操作的詳細資訊,請前往下列 Microsoft 網站:
徵狀
當電腦處於電源開啟或待命電源狀態時,BitLocker 保護的電腦可能會很容易受到直接記憶體存取 (DMA) 攻擊。 桌面鎖定時也包含在內。
具有僅 TPM 驗證的 BitLocker 允許電腦不需任何開機前驗證,就能進入電源開啟狀態。 因此,攻擊者便可藉此執行 DMA 攻擊。
在這些組態中,攻擊者可能會透過使用插入 1394 連接埠的攻擊裝置偽裝而成的 SBP-2 硬體 ID,在系統記憶體中搜尋 BitLocker 加密金鑰。 此外,作用中的 Thunderbolt 連接埠也讓供擊者可存取系統記憶體來進行攻擊。 請注意,全新 USB 類型 C 連接器上的 Thunderbolt 3 包含新的安全性功能,可設定為防範這類攻擊而不需停用連接埠。
本文適用於下列任何系統:
-
處於電源開啟狀態的系統
-
處於待命電源狀態的系統
-
使用僅 TPM BitLocker 保護裝置的系統
造成原因
1394 實體 DMA
業界標準 1394 控制器 (與 OHCI 相容) 提供可存取系統記憶體的功能。 這項功能是提供做為效能改善之用。 該功能可略過 CPU 和軟體,讓大量資料直接在 1394 裝置和系統記憶體之間轉送。 根據預設,所有 Windows 版本中的 1394 實際 DMA 均停用。 您可使用下列選項啟用 1394 實體 DMA:
-
請系統管理員啟用 1394 核心偵錯。
-
擁有連線到符合 SBP-2 規格的 1394 存放裝置之電腦實際存取權的使用者。
1394 DMA 對 BitLocker 的威脅
BitLocker 系統完整性檢查可防範未經授權的核心偵錯狀態變更。 然而,攻擊者可能會將攻擊裝置連接至 1394 連接埠,然後詐騙 SBP-2 硬體 ID。 當 Windows 偵測到 SBP-2 硬體 ID 時,會載入 SBP-2 驅動程式 (sbp2port.sys),然後指示驅動程式允許 SBP-2 裝置執行 DMA。 這讓攻擊者得以取得系統記憶體的存取權並搜尋 BitLocker 加密金鑰。
Thunderbolt 實體 DMA
Thunderbolt 是全新的外部匯流排,可允許透過 PCI 直接存取系統記憶體。 這項功能是提供做為效能改善之用。 它可讓大量資料直接在 Thunderbolt 裝置和系統記憶體之間轉送,進而略過 CPU 和軟體。
Thunderbolt 對 BitLocker 的威脅
攻擊者可能會將特殊用途的裝置連接到 Thunderbolt 連接埠,並且透過 PCI Express 匯流排取得記憶體的完整直接存取權。這讓攻擊者得以取得系統記憶體的存取權並搜尋 BitLocker 加密金鑰。 請注意,全新 USB 類型 C 連接器上的 Thunderbolt 3 包含新的安全性功能,可設定為防範這類存取。
解決方案
某些 BitLocker 組態可以降低這類攻擊的風險。 當電腦不是使用睡眠模式 (暫停至 RAM) 時,TPM+PIN、TPM+USB 和 TPM+PIN+USB 保護裝置可減少 DMA 攻擊的影響。
SBP-2 安全防護功能
在先前所述的網站 (英文) 上,請參閱<裝置安裝的群組原則設定>下的<防止安裝符合這些裝置設定類別的驅動程式>。
下面是 SBP-2 磁碟機的隨插即用裝置安裝類別 GUID:
d48179be-ec20-11d1-b6b8-00c04fa372a7
在某些平台上,完全停用 1394 裝置可能帶來額外安全性。 在先前所述的網站 (英文) 上,請參閱<裝置安裝的群組原則設定>底下的<防止安裝符合這些裝置 ID 的裝置>一節。
下面是 1394 控制器的相容隨插即用 ID:
PCI\CC_0C0010
Thunderbolt 安全防護功能
從 Windows 10 1803 版開始,新版的 Intel 系統會包含內建的 Thunderbolt 3 核心 DMA 保護 (英文)。 這個保護不需要進行設定。
若要在執行舊版 Windows 的裝置上封鎖 Thunderbolt 控制器,或者平台未具備 Thunderbolt 3 的核心 DMA 保護 (英文),請參閱先前所述的網站 (英文) 上,<裝置安裝的群組原則設定>底下的<防止安裝符合這些裝置 ID 的裝置>一節。
下面是 Thunderbolt 控制器的相容隨插即用 ID:
PCI\CC_0C0A
注意事項
-
此安全防護功能的缺點在於,外部儲存空間裝置無法再使用 1394 連接埠連線,並且所有連接到 Thunderbolt 連接埠的 PCI Express 裝置將無法運作。
-
如果您的硬體和目前的 Windows 工程指導 (Windows Engineering Guidance) 相違背,在您啟動電腦之後和 Windows 取得控制硬體的能力之前,系統會啟用這些連接埠上的 DMA。 這會讓您的系統暴露在受到入侵的危險之中,且此因應措施無法減輕此狀況所帶來的風險。
-
封鎖 SBP-2 驅動程式和 Thunderbolt 控制器無法防範外部或內部 PCI 插槽 (包括 M.2、Cardbus 與 ExpressCard) 上的攻擊。
其他相關資訊
如需有關 DMA 對 BitLocker 的威脅的詳細資訊,請參閱下列 Microsoft 安全性部落格:
Windows BitLocker 宣告 (英文) 如需有關針對 BitLocker 的冷攻擊之防護功能的詳細資訊,請參閱下列 Microsoft Integrity Team 部落格:
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。
