Den Bit­Lo­cker Maß­nah­men­ka­ta­log ver­öf­fent­lich­te Micro­soft am 6. Sep­tem­ber 2018 in Eng­lisch unter https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures . Dies ist eine mög­lichst direk­te deut­sche Über­set­zung mit erwei­ter­ten Sicher­heits­ein­schät­zun­gen von Exper­ten und Emp­feh­lun­gen für den euro­päi­schen Markt.

CPSD Zusam­men­fas­sung Bit­Lo­cker Maßnahmenkatalog

Der Bit­Lo­cker Maß­nah­men­ka­ta­log von Micro­soft erklärt die Schutz­zie­le von Bit­Lo­cker und gibt kla­re Hand­lungs­emp­feh­lun­gen für die Kon­fi­gu­ra­ti­on von Bit­Lo­cker die durch neue Angriffs­me­tho­den ent­stan­den sind.

Gleich­zei­tig zeigt der Maß­nah­men­ka­ta­log mög­li­che Angriffs­sze­na­ri­en und emp­fehlt wie man sich von unter­schied­li­chen Angrei­fern schüt­zen kann.

Die wesent­li­chen Inhal­te zusammengefasst:

  1. Bit­Lo­cker schützt Cli­ents durch Ver­schlüs­se­lung, dies erfor­dert jedoch, dass der Boot-Pro­zess vor Mani­pu­la­ti­on geschützt wird.
  2. Spe­zia­li­sier­te Angrei­fer kön­nen ein Bit­Lo­cker Sys­tem ohne Pre-Boot-Authen­ti­sie­rung mit diver­sen Metho­den angrei­fen, dar­un­ter Cold-Boot-Atta­cken auf den Haupt­spei­cher­in­halt, DMA-Angrif­fe über exter­ne Ports, Mani­pu­la­ti­on der Systemstartdateien.
  3. Micro­soft emp­fiehlt für mobi­le Endgeräte:
    a. Den Ein­satz einer Pre-Boot-Authentisierung.
    b. Das Deak­ti­vie­ren des Standby/Energiesparmodus

Ein­schät­zung der Secu­ri­ty Exper­ten von CPSD

Micro­soft ändert auf­grund der neu­en Bit­Lo­cker Hack­ing Medi­en­be­rich­te unter ande­rem von der Süd­deut­sche Zei­tung vom 13. Sep­tem­ber 2017 unter dem Titel „Lap­top-Die­be kön­nen Ver­schlüs­se­lung von Fest­plat­ten umge­hen“ die Sicher­heits­emp­feh­lun­gen für die Bit­Lo­cker Verschlüsselung.

In der Ver­öf­fent­li­chung wird behauptet:

Fünf Minu­ten dau­ert es, bis Olle Seger­dahl einen der wich­tigs­ten Schutz­me­cha­nis­men in fast allen moder­nen Macs und Win­dows-PCs aus­ge­he­belt hat. Der IT-Sicher­heits­for­scher der Fir­ma F‑Secure hat einen Weg gefun­den, Daten aus der Fest­plat­te aus­zu­le­sen, auch wenn die­se ver­schlüs­selt ist.“

In dem fol­gen­den Video zeigt der Autor den erfolg­rei­chen Angriff auf ein Bit­Lo­cker ver­schlüs­sel­tes System:

Video — The Chil­ling Rea­li­ty of Cold Boot Attacks

Die vor­ge­stell­te Metho­de ist nur ein wei­te­rer Angriff, neben zahl­rei­chen ver­gleich­ba­ren Schwach­stel­len in der Ver­gan­gen­heit, der Pass­wor­te oder Schlüs­sel aus dem Spei­cher eines lau­fen­den Sys­tems extra­hiert. Die­ses Aus­le­sen des Bit­Lo­cker Schlüs­sels ist in den ver­gan­ge­nen Schwach­stel­len über DMA-Ports, Cold-Boot Atta­cken auf den Haupt­spei­cher, wäh­rend dem Micro­soft-Update, durch Zugriff auf Memo­ry-Dumps oder durch foren­si­sche Tools im lau­fen­den Sys­tem mög­lich gewesen.

Micro­soft hat ver­sucht jede der oben ange­führ­ten Schwach­stel­len über das Betriebs­sys­tem oder eine Absi­che­rung des Boot-Vor­gan­ges zu schließen.

Nun ändert Micro­soft die Sicher­heits­emp­feh­lun­gen für Bit­Lo­cker und emp­fiehlt bei Gerä­ten mit der Gefahr des Ver­lus­tes (Angrei­fer mit lang­fris­ti­gem phy­si­schem Zugriff) den Ein­satz einer Pre-Boot Authen­ti­sie­rung. Der Gefahr eines Ver­lus­tes ist spe­zi­ell bei mobi­len Gerä­ten wie Note­books und Tablets hoch.

Durch die Ver­öf­fent­li­chung durch Micro­soft ändert sich der Stand der Tech­nik bei der Bit­Lo­cker Ver­schlüs­se­lung. Für Gerä­te, die einem Angrei­fer mit Fach­wis­sen und lang­fris­ti­gem phy­si­schem Zugriff im die Hän­de fal­len kön­nen (Anmer­kung: pri­mär mobi­le End­ge­rä­te), gilt der ver­pflich­ten­de Ein­satz einer Pre-Boot Authen­ti­sie­rung, wobei Micro­soft selbst nur TPM mit PIN oder TPM mit Start­schlüs­sel (oder Kom­bi­na­ti­on aus bei­den) unter­stützt. Wich­tig beim Stand der Tech­nik ist, dass der Bit­Lo­cker Schlüs­sel auf­grund zahl­rei­cher Angriffs­mög­lich­kei­ten nicht auto­ma­tisch in den Haupt­spei­cher gela­den wird, son­dern erst nach einer kryp­to­gra­phi­schen Benut­zer­iden­ti­fi­zie­rung gela­den wird.

Emp­feh­lun­gen für den euro­päi­schen Ein­satz von BitLocker

Micro­soft emp­fiehlt bei Gerä­ten mit dem Risi­ko eines dau­er­haf­ten Ver­lus­tes, im All­ge­mei­nen sind das mobi­le End­ge­rä­te wie Note­books oder Tablets, den Ein­satz von TPM mit PIN. Die­ses Modus ist für Unter­neh­men aus fol­gen­den tech­ni­schen und orga­ni­sa­to­ri­schen Grün­den erschwert möglich:

  1. Kos­ten­in­ten­si­ves ope­ra­ti­ves Manage­ment der TPM PIN und des Bit­Lo­cker Wiederstellungsschlüssels
  2. Man­geln­de Tas­ta­tur Unter­stüt­zung der TPM PIN auf Gerä­ten ohne Tas­ta­tur (z.B. Tablets, oder sogar dem Micro­soft Sur­face) oder bei inter­na­tio­na­lem Tastaturlayout
  3. Pro­ble­me bei der auto­ma­ti­sier­ten Soft­ware­ver­tei­lung mit Wake-on-LAN oder Wake-on-WLAN Metho­den durch man­gel­haf­te Net­work Unlock Funk­ti­on, da kein 802.1x und WLAN durch Net­work Unlock unter­stützt wird
  4. Schlech­te Benut­zer­ak­zep­tanz für ein wei­te­res Pass­wort (die TPM PIN) vor der Win­dows-Anmel­dung, da nach der Pre-Boot Anmel­dung kei­ne Sin­gle Sign-on (SSO) Funk­ti­on für das Win­dows Betriebs­sys­tem imple­men­tiert wurde

Alter­na­ti­ven für klei­ne Unternehmen:

  • Klei­ne Unter­neh­men kön­nen statt der gut zu pla­nen­den TPM plus PIN Pre-Boot Authen­ti­sie­rung mit Bit­Lo­cker bei­spiels­wei­se die Ver­schlüs­se­lungs­lö­sung A‑Trust Cryp­toP­ro Secu­re Dri­ve ein­set­zen. Die Lösung bie­tet eine Ver­schlüs­se­lung mit inte­grier­ter Zwei-Fak­to­ren Authen­ti­sie­rung und einer Wie­der­her­stel­lungs­me­tho­de über die Handy-Signatur.

Alter­na­ti­ven für mitt­le­re und gro­ße Unternehmen:

  • Mitt­le­re und gro­ße Unter­neh­men bie­tet die Lösung Cryp­toP­ro Secu­re Disk for Bit­Lo­cker ein Secu­ri­ty und Manage­ment Add-on für den Bit­Lo­cker an, der eine siche­re Pre-Boot Authen­ti­sie­rung bie­tet, jedoch ohne die Nach­tei­le der TPM Nut­zung mit PIN. Der Bit­Lo­cker Ver­schlüs­se­lungs­schlüs­sel bleibt kryp­to­gra­phisch in der Pre-Boot Authen­ti­sie­rung geschützt, bis eine Pass­wort-basier­te Benut­zer­iden­ti­fi­zie­rung oder Zwei-Fak­to­ren Authen­ti­sie­rung erfolgt.

Anfra­gen zum The­ma Bit­Lo­cker Sicher­heit rich­ten Sie an:

Mag Rai­ner Altmüller
Geschäfts­füh­rer CPSD, Linz
rainer.altmueller [AT] cpsd.at

oder

Ing. Andre­as Schuster
Lei­ter CPSD Nie­der­las­sung Wien
andreas.schuster [AT ] cpsd.at

oder über unser Kon­takt­for­mu­lar

Bit­Lo­cker Maßnahmenkatalog

In die­sem Artikel

Schutz vor dem Systemstart

Sicher­heits-Richt­li­ni­en

Angriff Gegen­maß­nah­men

Angrei­fer Gegenmaßnahmen

Wei­te­re Informationen

Gilt für

  • Win­dows 10

Win­dows nutzt Tech­no­lo­gien wie Trus­ted Plat­form Modu­le (TPM), Secu­re Boot und Mea­su­red Boot, um den Bit­Lo­cker Ver­schlüs­se­lungs­schlüs­sel vor Angrif­fen zu schüt­zen. Bit­Lo­cker ist Teil eines stra­te­gi­schen Ansat­zes Daten gegen Off­line Angrif­fe durch Ver­schlüs­se­lungs­tech­no­lo­gie zu schüt­zen. Daten auf einem ver­lo­re­nen oder gestoh­le­nen Com­pu­ter sind angreif­bar. Zum Bei­spiel, durch unau­to­ri­sier­ten Zugriff, ent­we­der durch das Star­ten einer Hacker-Soft­ware oder durch den Trans­fer der Com­pu­ter Fest­plat­te auf einen ande­ren Computer.

Bit­Lo­cker ent­schärft die­sen unau­to­ri­sier­ten Daten­zu­griff auf ver­lo­re­nen oder gestoh­le­nen Com­pu­tern, bevor das auto­ri­sier­te Betriebs­sys­tem gestar­tet wird, durch:

  • Ver­schlüs­se­lung von Spei­cher­lauf­wer­ken auf Ihrem Com­pu­ter. Zum Bei­spiel kön­nen Sie Bit­Lo­cker auf Ihrem Betriebs­sys­tem-Spei­cher­lauf­werk ein­schal­ten, oder dies für ein ein­ge­bau­tes Lauf­werk oder einen Wech­sel­da­ten­trä­ger (wie ein USB-Stick, SD Kar­te, etc.) tun. Das Akti­vie­ren von Bit­Lo­cker auf dem Betriebs­sys­tem-Spei­cher­lauf­werk ver­schlüs­selt alle Sys­tem­da­tei­en auf dem Lauf­werk, inklu­si­ve der Aus­la­ge­rungs­da­tei und Ruhe­zu­stands­da­tei. Die ein­zi­ge Aus­nah­me ist die Sys­tem-Par­ti­ti­on, die den Win­dows Boot Mana­ger beinhal­tet, der mini­ma­le zusätz­li­che Sicher­heit erfor­dert, um die Betriebs­sys­tem-Par­ti­ti­on zu ent­schlüs­seln, nach­dem der Schlüs­sel ent­sperrt wurde.
  • Sicher­stel­lung der Inte­gri­tät von frü­hen Boot-Kom­po­nen­ten und Boot-Kon­fi­gu­ra­ti­ons­da­ten. Auf Gerä­ten, die über einen TPM-Chip Ver­si­on 1.2 oder höher ver­fü­gen, nutzt Bit­Lo­cker die erwei­ter­ten Sicher­heits­fä­hig­kei­ten des TPM, um Daten nur bereit­zu­stel­len, wenn das Com­pu­ter BIOS und die dazu­ge­hö­ri­gen Kon­fi­gu­ra­ti­on, die ori­gi­na­le Boot-Rei­hen­fol­ge, die Boot-Kom­po­nen­ten, sowie die BCD Kon­fi­gu­ra­ti­on unver­än­dert aus­se­hen und die ver­schlüs­sel­te Plat­te sich im Ori­gi­nal­com­pu­ter befin­det. Bei Sys­te­men die für den TPM-Schutz das Regis­ter PCR[7] nut­zen, wer­den die BCD Ein­stel­lungs­än­de­run­gen als “Sicher” ein­ge­stuft, um die Benut­zer­freund­lich­keit zu erhöhen.

Der nächs­te Absatz bie­tet mehr Details wie Win­dows vor ver­schie­de­nen Angrif­fen auf den Bit­Lo­cker Ver­schlüs­se­lungs­schlüs­sel unter Win­dows 10, Win­dows 8.1 und Win­dows 8 schützt.

Mehr Infor­ma­tio­nen dar­über, wie man die bes­te gene­rel­le Sicher­heits­kon­fi­gu­ra­ti­on für Gerä­te mit Win­dows 10 Ver­si­on 1803 akti­viert, lesen Sie Stan­dards für ein hoch­si­che­res Win­dows 10 Gerät.

Schutz vor dem Systemstart

Bevor Win­dows star­tet, müs­sen Sie auf die Sicher­heits­funk­tio­nen ver­trau­en, die Tei­le der Gerä­te­hard­ware und Firm­ware sind, dies inklu­diert TPM und Secu­re Boot. Glück­li­cher­wei­se ver­fü­gen vie­le moder­ne Com­pu­ter über TPM und Secu­re Boot.

Trus­ted Plat­form Module

Ein TPM ist ein Micro­chip, der für ein­fa­che sicher­heits­re­le­van­te Funk­tio­nen ent­wi­ckelt wur­de, pri­mär wer­den Ver­schlüs­se­lungs­schlüs­sel mit ein­be­zo­gen. Auf eini­gen Platt­for­men kann TPM alter­na­tiv als Teil der Sicher­heits­firm­ware imple­men­tiert wer­den. Bit­Lo­cker bin­det Ver­schlüs­se­lungs­schlüs­sel mit dem TPM, um sicher­zu­stel­len, dass ein Com­pu­ter im aus­ge­schal­te­ten Zustand nicht mani­pu­liert wur­de. Für mehr Infor­ma­tio­nen über TPM lesen Sie Trus­ted Plat­form Modu­le.

UEFI und Secu­re Boot

Uni­fied Exten­si­ble Firm­ware Inter­face (UEFI) ist eine pro­gram­mier­ba­re Boot-Umge­bung die Gerä­te initia­li­siert und den Betriebs­sys­tem Boot­loa­der startet.

Die UEFI Spe­zi­fi­ka­tio­nen defi­nie­ren einen Firm­ware-Aus­führ-Authen­ti­sie­rungs-Pro­zess namens Secu­re Boot. Secu­re Boot ver­hin­dert bei nicht ver­trau­ens­wür­di­ger Firm­ware und Boot-Loa­der (signiert oder unsi­gniert) den Systemstart.

Als Vor­ein­stel­lung bie­tet Bit­Lo­cker einen Inte­gri­täts­schutz für Secu­re Boot durch Nut­zung des TPM PCR[7] Mess­wer­tes. Eine unau­to­ri­sier­te EFI Firm­ware, eine EFI Boot-Appli­ka­ti­on, oder ein Boot-Loa­der kann nicht star­ten und sich den Bit­Lo­cker Schlüs­sel aneignen.

Bit­Lo­cker und Reset Angriffe

Um vor bös­ar­ti­gen Reset-Atta­cken zu schüt­zen, nutzt Bit­Lo­cker die TCG Reset Attack Miti­ga­ti­on, auch bekannt als MOR Bit (Memo­ry Over­wri­te Request), bevor der Schlüs­sel in den Spei­cher extra­hiert wird.

Hin­weis: Dies schützt nicht gegen phy­si­sche Angrif­fe, bei dem ein Angrei­fer das Gerä­te­ge­häu­se öff­nen und die Hard­ware angreift.

Sicher­heits-Richt­li­ni­en

Der nächs­te Absatz behan­delt Pre-Boot-Authen­ti­sie­rung und DMA Richt­li­ni­en, die zusätz­li­chen Schutz für Bit­Lo­cker bie­ten können.

Pre-Boot-Authen­ti­sie­rung

Pre-Boot-Authen­ti­sie­rung mit Bit­Lo­cker ist eine Richt­li­ni­en-Ein­stel­lung die eine Nut­zung ent­we­der von Benut­ze­rin­put wie einer PIN, oder einen Start-Schlüs­sel, oder bei­des für die Authen­ti­sie­rung erfor­dern, bevor Inhal­te des Sys­tem­lauf­wer­kes ver­füg­bar gemacht wer­den. Die Grup­pen­richt­li­ni­en-Ein­stel­lung lau­tet Zusätz­li­che Authen­ti­sie­rung beim Start anfor­dern und die zuge­hö­ri­ge Ein­stel­lung in der Bit­Lo­cker CSP ist  SystemDrivesRequireStartupAuthentication.

Erst nach der Pre-Boot-Authen­ti­sie­rung benutzt und spei­chert Bit­Lo­cker den Ver­schlüs­se­lungs­schlüs­sel im Spei­cher. Wenn Win­dows den Ver­schlüs­se­lungs­schlüs­sel nicht benut­zen kann, kann das Gerät kei­ne Datei­en auf dem Sys­tem­lauf­werk lesen oder schrei­ben. Die ein­zi­ge Opti­on die Pre-Boot-Authen­ti­sie­rung zu umge­hen ist die Ein­ga­be des Wiederherstellungsschlüssels.

Pre-Boot-Authen­ti­sie­rung wur­de ent­wi­ckelt, um zu ver­hin­dern, dass der Ver­schlüs­se­lungs­schlüs­sel ohne zuver­läs­si­ge Benut­zer­ein­ga­be wie eine PIN oder einem Start-Schlüs­sel in den Sys­tem­spei­cher gela­den wird. Dies hilft, die Gefahr von Angrif­fen über DMA oder Spei­cher­wie­der­her­stel­lung zu minimieren.

Auf Com­pu­tern mit einem kom­pa­ti­blen TPM, kön­nen Bit­Lo­cker geschütz­te Sys­tem­lauf­wer­ke mit vier Metho­den ent­sperrt werden.

  • Nur-TPM. Die Nur-TPM Vali­die­rung erfor­dert kei­ne Inter­ak­ti­on mit dem Benut­zer, um das Lauf­werk zu ent­sper­ren und Zugriff zu erlau­ben. Sobald die TPM Vali­die­rung erfolg­reich ist, erfolgt eine nor­ma­le Benut­zer­an­mel­dung wie beim Stan­dard Log­in. Wenn der TPM fehlt oder modi­fi­ziert wird oder wenn Bit­Lo­cker eine Ände­rung im BIOS oder UEFI Code oder der Kon­fi­gu­ra­ti­on, kri­ti­schen Betriebs­sys­tem Start­da­tei­en, oder der Boot-Kon­fi­gu­ra­ti­on fest­stellt, dann läuft Bit­Lo­cker in den Wie­der­her­stel­lungs­mo­dus und der Benut­zer muss das Wie­der­her­stel­lungs­pass­wort ein­ge­ben, um wie­der auf sei­ne Daten zugrei­fen zu kön­nen. Die­se Opti­on hat eine höhe­re Benut­zer­freund­lich­keit bei der Anmel­dung, ist aber weni­ger sicher als ande­re Metho­den die einen zusätz­li­chen Authen­ti­sie­rungs­fak­tor erfordern.
  • TPM mit Start-Schlüs­sel. Zusätz­lich zu dem Schutz der Nur-TPM bie­tet, wird ein Teil des Ver­schlüs­se­lungs-Schlüs­sels auf einem USB-Stick gespei­chert, bezeich­net als Start-Schlüs­sel. Ohne dem Start-Schlüs­sel kann auf Daten eines ver­schlüs­sel­ten Lauf­werks nicht zuge­grif­fen werden.
  • TPM mit PIN. Zusätz­lich zu dem Schutz, der durch TPM gebo­ten wird, erfor­dert Bit­Lo­cker die Ein­ga­be eines PINs. Daten auf dem ver­schlüs­sel­ten Lauf­werk kön­nen ohne die Ein­ga­be des PIN nicht genutzt wer­den. Der TPM hat auch einen Schutz vor über­mä­ßi­ger Nut­zung (Anti-Ham­me­ring) die ent­wi­ckelt wur­de, um Bru­te-Force-Angrif­fe zu ver­hin­dern, die ver­su­chen die PIN zu ermitteln.
  • TPM mit Start-Schlüs­sel und PIN. Zusätz­lich zu dem Basis-Kom­po­nen­ten Schutz, den die Nur-TPM Metho­de bie­tet, wird ein Teil des Ver­schlüs­se­lungs-Schlüs­sels auf einem USB-Stick gespei­chert und zusätz­lich ist eine PIN für die Benut­zer­iden­ti­fi­zie­rung am TPM erfor­der­lich. Die­se Kon­fi­gu­ra­ti­on bie­tet Mul­ti-Fak­tor Authen­ti­sie­rung, falls der USB-Schlüs­sel ver­lo­ren oder gestoh­len wird, kann die­ser nicht für den Zugriff auf das Lauf­werk benutzt wer­den, da die kor­rek­te PIN eben­falls erfor­der­lich ist.

In dem fol­gen­den Grup­pen-Richt­li­ni­en Bei­spiel ist TPM + PIN für das Ent­sper­ren des Sys­tem­lauf­wer­kes erforderlich:

BitLocker Gruppenrichtlinie TPM+PIN

Bit­Lo­cker Grup­pen­richt­li­nie TPM+PIN

Pre-Boot Authen­ti­sie­rung mit einer PIN kann die Angriffs­vek­to­ren für Gerä­te, die ein boot­ba­res eDri­ve nut­zen, redu­zie­ren, da ein unge­schütz­ter eDri­ve Bus einem Angrei­fer ermög­li­chen kann den Bit­Lo­cker Ver­schlüs­se­lungs-Schlüs­sel wäh­rend dem Sys­tem­start abzu­grei­fen. Pre-Boot Authen­ti­sie­rung mit einer PIN kann auch das Risi­ko einer DMA Port Atta­cke redu­zie­ren, die wäh­rend der Zeit, zwi­schen der Bit­Lo­cker Ent­sper­rung des Lauf­werks und dem Win­dows Boot bis zu dem Punkt an dem Port-spe­zi­fi­sche Richt­li­ni­en kon­fi­gu­riert wer­den, mög­lich sind.

Dem­ge­gen­über kann die Ein­ga­be einer Pre-Boot Authen­ti­sie­rung unbe­quem für Benut­zer sein. Zusätz­lich wird der Zugriff auf Ihre Daten ver­hin­dert, soll­ten Benut­zer Ihre PIN oder Ihren Start-Schlüs­sel ver­lie­ren und müs­sen das Sup­port Team des Unter­neh­mens kon­tak­tie­ren, um einen Wie­der­her­stel­lungs­schlüs­sel zu erhal­ten. Eine Pre-Boot Authen­ti­sie­rung kann auch die unbe­auf­sich­tig­ten Updates und remo­te ver­wal­te­te Ser­ver schwie­ri­ger machen, da eine PIN ein­ge­ge­ben wer­den muss, sobald ein Com­pu­ter neu gestar­tet wird oder nach dem Ruhe­zu­stand fortsetzt.

Um die­se The­men zu adres­sie­ren, kön­nen Sie Bit­Lo­cker Net­work Unlock ein­set­zen. Net­work Unlock erlaubt es Sys­te­men, inner­halb der phy­si­ka­li­schen Sicher­heits­zo­ne des Unter­neh­mens, sofern deren Hard­ware-Anfor­de­run­gen erfüllt sind und bei denen Bit­Lo­cker mit TPM+PIN akti­viert sind, Win­dows ohne Inter­ven­ti­on des Benut­zers zu boo­ten. Es erfor­dert direk­te Ether­net Ver­bin­dung zu einem Win­dows Deploy­ment Ser­vices (WDS) Server.

Schutz für Thun­der­bold und ande­re DMA Ports

Es gibt eini­ge weni­ge ver­schie­de­ne Optio­nen zum Schutz von DMA Ports wie dem Thunderbolt™3. Ab Win­dows 10 Ver­si­on 1803 haben neue Intel-basier­te Gerä­te einen stan­dard­mä­ßig akti­vier­ten Ker­nel Schutz gegen DMA Angrif­fe über die Thunderbolt™3 Schnitt­stel­len. Die­ser Ker­nel DMA Schutz ist nur für neue Sys­te­me ab der Win­dows 10 Ver­si­on 1803 ver­füg­bar, da er eine Ände­rung in der Sys­tem Firm­ware und/oder BIOS erfordert.

Sie kön­nen die Sys­tem Infor­ma­ti­on Desk­top Anwen­dung (MSINFO32) nut­zen, um zu prü­fen, ob Ihr Gerät den DMA Schutz im Ker­nel akti­viert hat:

MSINFO32 - DMA Schutz

MSINFO32DMA Schutz

Wenn der DMA Schutz im Ker­nel nicht aktiv ist, fol­gen Sie den fol­gen­den Schrit­ten, um Thunderbolt™3 akti­vier­te Ports zu schützen:

  1. BIOS Pass­wort setzten
  2. Intel Thun­der­bold Sicher­heit muss auf Benut­zer Auto­ri­sie­rung in den BIOS Ein­stel­lun­gen gesetzt sein
  3. Zusätz­li­che DMA Sicher­heit kann durch die Ver­tei­lung von Richt­li­ni­en (ab Win­dows 10 Ver­si­on 1607) hin­zu­ge­fügt werden: 

Für Thun­der­bold V1 und v2 (Dis­play­Po­rt Schnitt­stel­le), lesen Sie den “Thun­der­bolt Miti­ga­ti­on” Absatz in KB 2516445. Für SBP‑2 und 1394 (auch bekannt als Fire­wire), lesen Sie den “SBP‑2 Miti­ga­ti­on” Absatz in KB 2516445.

Angriff Gegen­maß­nah­men

Die­ser Abschnitt behan­delt Gegen­maß­nah­men für spe­zi­el­le Angriffstypen.

Boot­kits und Rootkits

Ein Angrei­fer mit phy­si­schem Zugang kann ver­su­chen ein Boot­kit oder Root­kit-ähn­li­ches Stück Soft­ware in die Boot-Ket­te zu instal­lie­ren, um damit zu ver­su­chen die Bit­Lo­cker Schlüs­sel zu steh­len. Der TPM soll­te die­se Instal­la­ti­on mit PCR Mess­wer­ten erken­nen und den Bit­Lo­cker Schlüs­sel nicht frei­ge­ben. Dies ist die Voreinstellung.

Ein BIOS Pass­wort ist für eine tief­ge­hen­de Ver­tei­di­gung emp­foh­len, falls ein BIOS sei­ne Ein­stel­lun­gen offen­bart und damit das Bit­Lo­cker Sicher­heits­ver­spre­chen geschwächt wird. Intel Boot Guard und AMD Hard­ware Veri­fied Boot unter­stüt­zen stär­ke­re Imple­men­tie­run­gen von Secu­re Boot, das zusätz­li­che Wie­der­stand­fä­hig­keit gegen Mal­wa­re und phy­si­sche Angrif­fe bie­tet. Intel Boot Guard und AMD Hard­ware Veri­fied Boot sind Teil der Platt­form Boot Veri­fi­ka­ti­on Stan­dards für hoch­si­che­re Win­dows 10 Gerä­te.

Bru­te-Force Atta­cken gehen die PIN

Erfor­dern TPM + PIN zum Schutz vor über­mä­ßi­ger Nut­zung (Anti-Ham­me­ring).

DMA Atta­cken

Lesen Sie Schutz für Thun­der­bold und ande­re DMA Ports wei­ter oben in die­sem Artikel.

Aus­la­ge­rungs­da­tei, Absturz­spei­cher­aus­zug (Crash Dump) und Ruhe­zu­stands­da­tei (Hyberfil.sys) Angriffe

Die­se Datei­en sind auf einem ver­schlüs­sel­ten Lauf­werk stan­dard­mä­ßig geschützt, sobald Bit­Lo­cker auf dem Betriebs­sys­tem­lauf­werk akti­viert wird. Es blo­ckiert auch auto­ma­ti­sche oder manu­el­le Ver­su­che die Aus­la­ge­rungs­da­tei zu verschieben.

Spei­cher­wie­der­her­stel­lung

Akti­vie­ren Sie Secu­re Boot und set­zen Sie ein Pass­wort um BIOS Kon­fi­gu­ra­tio­nen zu ändern. Kun­den, die sich gegen die­se fort­ge­schrit­te­nen Angrif­fe schüt­zen möch­ten, kon­fi­gu­rie­ren einen TPM + PIN Pro­tec­tor, deak­ti­vie­ren den Standby/Energiesparmodus und nut­zen die Funk­tio­nen “Her­un­ter­fah­ren” oder “Ruhe­zu­stand” bevor ein Gerät die Kon­trol­le eines auto­ri­sier­ten Benut­zers verlässt.

Angrei­fer Gegenmaßnahmen

Die­ser Abschnitt behan­delt die Risi­ko­min­de­rung für ver­schie­de­ne Typen von Angreifern.

Angrei­fer ohne viel Fach­wis­sen oder mit limi­tier­tem phy­si­schem Zugang

Der phy­si­sche Zugang kann durch den Form­fak­tor limi­tiert sein, der inter­ne Bus­se oder den Spei­cher nicht expo­niert.  Zum Bei­spiel wenn kei­ne exter­nen DMA-fähi­gen Ports, sowie kei­ne expo­nier­ten Schrau­ben zum Öff­nen des Gehäu­ses vor­han­den sind und der Haupt­spei­cher auf das Mother­board gelö­tet ist. Die­ser Gele­gen­heits­an­g­rei­fer nutzt kei­ne zer­stö­re­ri­sche oder aus­ge­klü­gel­te Foren­si­sche Hardware/Software.

Risi­ko­ab­schwä­chung:

  • Pre-Boot Authen­ti­sie­rung auf Nur-TPM (die Vor­ein­stel­lung) setzten

Angrei­fer mit Fach­wis­sen und lang­fris­ti­gem phy­si­schem Zugriff

Ziel­ge­rich­te­ter Angriff mit viel Zeit; die­ser Angrei­fer wird das Gehäu­se öff­nen, wird löten und wird aus­ge­klü­gel­te Hard­ware oder Soft­ware einsetzen.

Risi­ko­ab­schwä­chung:

  • Pre-Boot Authen­ti­sie­rung auf TPM mit PIN Pro­tec­tor set­zen (mit einem anspruchs­vol­len alpha­nu­me­ri­schen PIN, um den Schutz vor über­mä­ßi­ger Nut­zung [Anti-Ham­me­ring] zu unterstützen).
    — UND –
  • Deak­ti­vie­rung des Standby/Energiesparmodus sowie Nut­zung der Funk­tio­nen Her­un­ter­fah­ren oder Ruhe­zu­stand des Gerä­tes bevor es die Kon­trol­le des auto­ri­sier­ten Benut­zers ver­lässt. Dies kann durch Grup­pen-Richt­li­ni­en gesetzt werden: 
    • Computerkonfiguration|Administrative Vorlagen|Windows-Komponenten |Datei-Explorer|Ruhezustand im Menü “Ener­gie­op­tio­nen anzeigen“
    • Computerkonfiguration|Administrative Vorlagen|System|Energieverwaltung|Standbymoduseinstellungen|Standbyzustände (S1-S3) zulas­sen (Netz­be­trieb)
    • Computerkonfiguration|Administrative Vorlagen|System| Ener­gie­ver­wal­tung| Stand­by­mo­dus­ein­stel­lun­gen | Stand­by­zu­stän­de (S1-S3) zulas­sen (Akku­be­trieb)

Die­se Ein­stel­lun­gen sind in der Vor­ein­stel­lung nicht kon­fi­gu­riert.

Für eini­ge Sys­te­me erfor­dert das Umge­hen der Nur-TPM Kon­fi­gu­ra­ti­on das Öff­nen des Gehäu­ses und even­tu­ell löten, jedoch kann dies mög­li­cher­wei­se zu einem zumut­ba­ren Preis durch­ge­führt wer­den. Die Umge­hung von TPM mit einer PIN wür­de viel mehr kos­ten und erfor­dert ein sys­te­ma­ti­sches Aus­pro­bie­ren mög­li­cher PINs. Mit einer anspruchs­vol­len erwei­ter­ten PIN wird dies nahe­zu unmög­lich. Die Grup­pen-Richt­li­ni­en Ein­stel­lung für Erwei­ter­te PIN lautet:

Computerkonfiguration|Administrative Vorlagen|Windows-Komponenten|BitLocker-Laufwerksverschlüsselung|Betriebssystemlaufwerke|Erweiterte PIN für Sys­tem­start zulassen

Die­se Ein­stel­lun­gen sind in der Vor­ein­stel­lung nicht kon­fi­gu­riert.

Für siche­re admi­nis­tra­ti­ve Work­sta­tions emp­fiehlt Micro­soft TPM mit PIN Pro­tec­tor und die Deak­ti­vie­rung des Standby/Energiesparmodus sowie das Her­un­ter­fah­ren oder den Ruhe­zu­stand der Geräte.