Blockieren des SBP-2-Treibers und der Thunderbolt-Controller, um 1394-DMA- und Thunderbolt-DMA-Bedrohungen für BitLocker zu reduzieren
Beachten
Wenn Ihre Plattform für Windows Version 1803 und höher die neue Kernel-DMA-Schutzfunktion unterstützt, empfehlen wir Ihnen, diese Funktion zu nutzen, um Thunderbolt-DMA-Angriffe abzuwehren. Für frühere Windows-Versionen oder Plattformen, denen die neue Kernel-DMA-Schutzfunktion fehlt, und wenn Ihre Organisation nur TPM-Schutzfunktionen zulässt oder Computer im Energiesparmodus unterstützt, gibt es die folgende Möglichkeit zur DMA-Abschwächung. Weitere Informationen zum Spektrum der Abhilfemaßnahmen finden Sie unter „BitLocker-Gegenmaßnahmen" .
Darüber hinaus können Benutzer alternative Abhilfemaßnahmen in der Dokumentation zu Intel Thunderbolt 3 und Sicherheit unter dem Betriebssystem Microsoft Windows 10 finden.
Microsoft stellt Kontaktinformationen von Drittanbietern zur Verfügung, um Ihnen bei der Suche nach technischem Support zu helfen. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft übernimmt keine Garantie für die Richtigkeit dieser Kontaktinformationen des Drittanbieters.
Weitere Informationen dazu finden Sie auf der folgenden Microsoft-Website:
Schritt-für-Schritt-Anleitung zur Steuerung der Geräteinstallation mithilfe von Gruppenrichtlinien
Symptome
Ein durch BitLocker geschützter Computer ist möglicherweise anfällig für DMA-Angriffe (Direct Memory Access), wenn der Computer eingeschaltet ist oder sich im Standby-Modus befindet. Dies gilt auch, wenn der Desktop gesperrt ist.
BitLocker mit reiner TPM-Authentifizierung ermöglicht es einem Computer, ohne Authentifizierung vor dem Start in den Einschaltzustand zu wechseln. Daher kann ein Angreifer möglicherweise DMA-Angriffe durchführen.
In diesen Konfigurationen kann ein Angreifer möglicherweise nach BitLocker-Verschlüsselungsschlüsseln im Systemspeicher suchen, indem er die SBP-2-Hardware-ID fälscht, indem er ein angreifendes Gerät verwendet, das an einen 1394-Port angeschlossen ist. Alternativ bietet ein aktiver Thunderbolt-Port auch Zugriff auf den Systemspeicher, um einen Angriff durchzuführen. Beachten Sie, dass Thunderbolt 3 am neuen USB-Typ-C-Anschluss neue Sicherheitsfunktionen enthält, die zum Schutz vor dieser Art von Angriffen konfiguriert werden können, ohne den Port zu deaktivieren.
Dieser Artikel gilt für eines der folgenden Systeme:
Systeme, die eingeschaltet bleiben
Systeme, die im Standby-Stromversorgungszustand verbleiben
Systeme, die den reinen TPM-BitLocker-Schutz verwenden
Ursache
1394 physischer DMA
Controller nach Industriestandard 1394 (OHCI-konform) bieten Funktionen, die den Zugriff auf den Systemspeicher ermöglichen. Diese Funktionalität wird als Leistungsverbesserung bereitgestellt. Es ermöglicht die direkte Übertragung großer Datenmengen zwischen einem 1394-Gerät und dem Systemspeicher unter Umgehung von CPU und Software. Standardmäßig ist 1394 Physical DMA in allen Windows-Versionen deaktiviert. Die folgenden Optionen stehen zur Aktivierung von 1394 Physical DMA zur Verfügung:
Ein Administrator aktiviert das 1394-Kernel-Debugging.
Jemand, der physischen Zugriff auf den Computer hat, schließt ein 1394-Speichergerät an, das der SBP-2-Spezifikation entspricht.
1394 DMA-Bedrohungen für BitLocker
BitLocker-Systemintegritätsprüfungen verhindern unbefugte Statusänderungen beim Kernel-Debugging. Ein Angreifer könnte jedoch ein angreifendes Gerät mit einem 1394-Port verbinden und dann eine SBP-2-Hardware-ID fälschen. Wenn Windows eine SBP-2-Hardware-ID erkennt, lädt es den SBP-2-Treiber (sbp2port.sys) und weist den Treiber dann an, dem SBP-2-Gerät die Durchführung von DMA zu ermöglichen. Dies ermöglicht es einem Angreifer, Zugriff auf den Systemspeicher zu erhalten und nach BitLocker-Verschlüsselungsschlüsseln zu suchen.
Physischer Thunderbolt-DMA
Thunderbolt ist ein externer Bus, der über PCI den direkten Zugriff auf den Systemspeicher ermöglicht. Diese Funktionalität wird als Leistungsverbesserung bereitgestellt. Es ermöglicht die direkte Übertragung großer Datenmengen zwischen einem Thunderbolt-Gerät und dem Systemspeicher, wodurch CPU und Software umgangen werden.
Thunderbolt-Bedrohungen für BitLocker
Ein Angreifer könnte ein Spezialgerät an einen Thunderbolt-Port anschließen und über den PCI-Express-Bus vollen direkten Speicherzugriff erhalten. Dadurch könnte ein Angreifer Zugriff auf den Systemspeicher erhalten und nach BitLocker-Verschlüsselungsschlüsseln suchen. Beachten Sie, dass Thunderbolt 3 am neuen USB-Typ-C-Anschluss neue Sicherheitsfunktionen enthält, die zum Schutz vor dieser Art von Zugriff konfiguriert werden können.
Auflösung
Einige Konfigurationen von BitLocker können das Risiko dieser Art von Angriffen verringern. Die TPM+PIN-, TPM+USB- und TPM+PIN+USB-Schutzvorrichtungen reduzieren die Auswirkungen von DMA-Angriffen, wenn Computer nicht den Energiesparmodus verwenden (an RAM anhängen).
SBP-2-Abschwächung
Lesen Sie auf der zuvor genannten Website den Abschnitt „Installation von Treibern verhindern, die diesen Geräte-Setup-Klassen entsprechen" unter „Gruppenrichtlinieneinstellungen für die Geräteinstallation".
Im Folgenden finden Sie die Plug-and-Play-Geräte-Setup-Klassen-GUID für ein SBP-2-Laufwerk:
d48179be-ec20-11d1-b6b8-00c04fa372a7
Auf einigen Plattformen kann die vollständige Deaktivierung des 1394-Geräts zusätzliche Sicherheit bieten. Lesen Sie auf der zuvor genannten Website den Abschnitt „Installation von Geräten verhindern, die diesen Geräte-IDs entsprechen" unter „Gruppenrichtlinieneinstellungen für die Geräteinstallation".
Im Folgenden finden Sie die Plug-and-Play-kompatible ID für einen 1394-Controller:
PCI\CC_0C0010
Thunderbolt-Abschwächung
Ab Windows 10 Version 1803 verfügen neuere Intel-basierte Systeme über einen integrierten Kernel-DMA-Schutz für Thunderbolt 3 . Für diesen Schutz ist keine Konfiguration erforderlich.
Um einen Thunderbolt-Controller auf einem Gerät zu blockieren, auf dem eine frühere Version von Windows ausgeführt wird, oder auf Plattformen, auf denen der Kernel-DMA-Schutz für Thunderbolt 3 fehlt, lesen Sie den Abschnitt „Installation von Geräten verhindern, die diesen Geräte-IDs entsprechen" unter „Gruppenrichtlinieneinstellungen für die Geräteinstallation". " auf der zuvor genannten Website .
Im Folgenden finden Sie die Plug-and-Play-kompatible ID für einen Thunderbolt-Controller:
PCI\CC_0C0A
Anmerkungen
Der Nachteil dieser Abhilfe besteht darin, dass externe Speichergeräte nicht mehr über den 1394-Port angeschlossen werden können und alle PCI-Express-Geräte, die an den Thunderbolt-Port angeschlossen sind, nicht funktionieren.
Wenn Ihre Hardware von den aktuellen technischen Windows-Richtlinien abweicht, wird möglicherweise DMA an diesen Ports aktiviert, nachdem Sie den Computer gestartet haben und bevor Windows die Kontrolle über die Hardware übernimmt. Dadurch wird Ihr System anfällig für Gefährdungen, und dieser Zustand wird durch diese Problemumgehung nicht gemindert.
Das Blockieren des SBP-2-Treibers und der Thunderbolt-Controller bietet keinen Schutz vor Angriffen auf externe oder interne PCI-Steckplätze (einschließlich M.2, Cardbus und ExpressCard).
Mehr Informationen
Weitere Informationen zu DMA-Bedrohungen für BitLocker finden Sie im folgenden Microsoft-Sicherheitsblog:
Windows BitLocker-Ansprüche Weitere Informationen zu Abhilfemaßnahmen für kalte Angriffe gegen BitLocker finden Sie im folgenden Blog des Microsoft Integrity Teams:
BitLocker vor Kaltangriffen schützen
Die in diesem Artikel behandelten Produkte von Drittanbietern werden von Unternehmen hergestellt, die von Microsoft unabhängig sind. Microsoft übernimmt keinerlei stillschweigende oder sonstige Garantie für die Leistung oder Zuverlässigkeit dieser Produkte.
No comments:
Post a Comment