13
Win 10 1703 bietet eine GPO gegen DMA-Attacken
Was vorher nur über Registrymodifikation ging, hat jetzt eine eigene GPO bekommen:
Computerconfig - administrative Templates - Windows Components - Bitlocker
Disable new DMA devices when this computer is locked
This policy setting allows you to block direct memory access (DMA) for all hot pluggable PCI downstream ports until a user logs into Windows. Once a user logs in, Windows will enumerate the PCI devices connected to the host plug PCI ports. Every time the user locks the machine, DMA will be blocked on hot plug PCI ports with no children devices, until the user logs in again. Devices which were already enumerated when the machine was unlocked will continue to function until unplugged. This policy setting is only enforced when BitLocker or device encryption is enabled.
Ohne dies zu aktivieren lief man bislang Gefahr, das Angreifer mit Zugriff auf das eingeschaltete aber gesperrte Gerät über die Firewireschnittstelle oder auch über Thunderbolt an der Kennwortabfrage vorbei ins Windows spazieren konnten. Für vorige Versionen von Windows 10, siehe Official Blog: The True Story of Windows 10 and the DMA-protection
Computerconfig - administrative Templates - Windows Components - Bitlocker
Disable new DMA devices when this computer is locked
This policy setting allows you to block direct memory access (DMA) for all hot pluggable PCI downstream ports until a user logs into Windows. Once a user logs in, Windows will enumerate the PCI devices connected to the host plug PCI ports. Every time the user locks the machine, DMA will be blocked on hot plug PCI ports with no children devices, until the user logs in again. Devices which were already enumerated when the machine was unlocked will continue to function until unplugged. This policy setting is only enforced when BitLocker or device encryption is enabled.
Ohne dies zu aktivieren lief man bislang Gefahr, das Angreifer mit Zugriff auf das eingeschaltete aber gesperrte Gerät über die Firewireschnittstelle oder auch über Thunderbolt an der Kennwortabfrage vorbei ins Windows spazieren konnten. Für vorige Versionen von Windows 10, siehe Official Blog: The True Story of Windows 10 and the DMA-protection
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 334827
Url: https://administrator.de/contentid/334827
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
13 Kommentare
Neuester Kommentar
Stehlen des Bitlockerschlüssels aus dem Arbeitsspeicher
"Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden BitLocker-Schlüssel beim Neustart des Computers aus dem Arbeitsspeicher entfernt."
Das gibt es doch schon in W7! Oder verstehe ich da etwas falsch? Das obig genannte überschreibt doch den BL Key nach dem Start, er ist also nicht mehr im RAM - oder?!
"Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden BitLocker-Schlüssel beim Neustart des Computers aus dem Arbeitsspeicher entfernt."
Das gibt es doch schon in W7! Oder verstehe ich da etwas falsch? Das obig genannte überschreibt doch den BL Key nach dem Start, er ist also nicht mehr im RAM - oder?!
Der Schlüssel ist permanent im RAM und er muss da auch bleiben, sonst könnten die Daten nicht gelesen werden. Es geht bei der von dir genannten Policy um eine Maßnahme, die nur dann von Interesse ist, wenn Du Laufwerke hast, die du nicht permanent gemountet hast und deren Schlüssel somit auch nicht im RAM sein müssen.
Aha, Danke! Und was bedeutet das nun z.B. für eine Partition auf einer HD die explizit per PIN freigeschalten werden muss. Dummerweise gibt es ja keine Option, um BL im laufenden Windows wieder zu verschließen. Oder?
Per PIN kannst Du keine Partition freischalten. PIN wird nur für die Systempartition benutzt in Verbindung mit einem TPM. Schließt man eine Platte mit Systempartition an ein anderes System an, wird auch keine PIN abgefragt, sondern das Recoverypasswort. Auf Datenpartitionen kann man Passwörter setzen, aber keine PINs.
Aber egal. Verschließen kannst Du auf der Kommandozeile: manage-bde -lock d: Ist die Partition verschlossen, willst Du evtl. sicherstellen, dass deren Schlüssel nicht mehr im RAM rumfliegt, wenn Du den Rechner rebootest - dafür ist dann die Policy da, die Du genannt hast (per default wird der RAM überschrieben).
Auf was mein Tipp hinauswollte: wenn jemand eine DMA-Attacke ausführt, kann er Speicherinhalte manipulieren (und so in Windows ohne Kennwort reinkommen) oder auch den RAM lesen (und so auch Bitlocker-Schlüssel, die der TPM schon beim Booten freigegeben hat oder die der Nutzer beim Aufschließen weiterer Volumes in den RAM geschafft hat) - dagegen hilft die Löschung des RAMs beim nächsten Reboot nicht.
Aber egal. Verschließen kannst Du auf der Kommandozeile: manage-bde -lock d: Ist die Partition verschlossen, willst Du evtl. sicherstellen, dass deren Schlüssel nicht mehr im RAM rumfliegt, wenn Du den Rechner rebootest - dafür ist dann die Policy da, die Du genannt hast (per default wird der RAM überschrieben).
Auf was mein Tipp hinauswollte: wenn jemand eine DMA-Attacke ausführt, kann er Speicherinhalte manipulieren (und so in Windows ohne Kennwort reinkommen) oder auch den RAM lesen (und so auch Bitlocker-Schlüssel, die der TPM schon beim Booten freigegeben hat oder die der Nutzer beim Aufschließen weiterer Volumes in den RAM geschafft hat) - dagegen hilft die Löschung des RAMs beim nächsten Reboot nicht.
1
Danke! War ein Ausdrucksfehler von mir, PIN damit war ein PW gemeint.
Kommandozeile: manage-bde -lock d: Ist die Partition verschlossen
Danke!
willst Du evtl. sicherstellen, dass deren Schlüssel nicht mehr im RAM rumfliegt, wenn Du den Rechner rebootest
Nach einen Neustart kann doch der BL Key nicht mehr im RAM sein, da doch der Strom weg war! Oder?
Frohes Ostern!
Kommandozeile: manage-bde -lock d: Ist die Partition verschlossen
Danke!
willst Du evtl. sicherstellen, dass deren Schlüssel nicht mehr im RAM rumfliegt, wenn Du den Rechner rebootest
Nach einen Neustart kann doch der BL Key nicht mehr im RAM sein, da doch der Strom weg war! Oder?
Frohes Ostern!
Ein Neustart im eigentlichen Sinn trennt ja gerade nicht vom Strom.
Frohe Ostern auch dir.
Frohe Ostern auch dir.
Hm, ja, haste Recht!
Mal ne Frage, wie starte ich per BAT eine CMD mit Adminrechten? Will nämlich das Kommando manage-bde -lock d: per Bat starten. Danke!
Mal ne Frage, wie starte ich per BAT eine CMD mit Adminrechten? Will nämlich das Kommando manage-bde -lock d: per Bat starten. Danke!
Rechtsklick auf cmd.exe, "ausführen als Administrator".
Ähm, in einer BAT Datei als Kommando...
also
@echo OFF
CMD (als Admin)
manage-bde -lock d:
EXIT
also
@echo OFF
CMD (als Admin)
manage-bde -lock d:
EXIT
Rechtsklick auf Batch, als Admin ausführen.
Oder geplanter Task, der immer hohe Rechte anfordert oder Verknüpfung zur Batch und Eigenschaften der Verknüpfung anpassen.
Oder geplanter Task, der immer hohe Rechte anfordert oder Verknüpfung zur Batch und Eigenschaften der Verknüpfung anpassen.
Servus @XPFanUwe,
nur aus der Batch heraus geht das so
Startet die selbe Batch immer dann elevated neu wenn sie noch nicht elevated ausgeführt wird.
Grüße Uwe
nur aus der Batch heraus geht das so
:: Start elevated
net session >nul 2>&1 || (
echo CreateObject^("Shell.Application"^).ShellExecute "%~0", "", "", "runas", 1 >"%temp%\runas.vbs"
"%temp%\runas.vbs"
exit /b
)Grüße Uwe
Oder man arbeitet mit psexec und dem eingebauten Adminkonto, dann kommt noch nicht einmal eine UAC-Abfrage.
psexec -user administrator -p DeinPa$$Word manage-bde -lock x:
Danke! Kann es erst am Abend testen.
Bitte beachten: NICHT das (Haupt) Administratorkonto ist gemeint. Sondern aus einem normalen Konto mit Adminrechten die CMD mit Adminrechten.
Denn wenn sich das echte Hauptadminkonto öffnen würde wollen, käme eine PW Abfrage ... Und ich kann nicht erst 3 Unterschriften holen, um das XX stellige PW zu bekommen... Das etwa so aussieht: 2133Kklujfghklh(/6746tcv zgtfhrzt nur läääänger...
Danke!
Bitte beachten: NICHT das (Haupt) Administratorkonto ist gemeint. Sondern aus einem normalen Konto mit Adminrechten die CMD mit Adminrechten.
Denn wenn sich das echte Hauptadminkonto öffnen würde wollen, käme eine PW Abfrage ... Und ich kann nicht erst 3 Unterschriften holen, um das XX stellige PW zu bekommen... Das etwa so aussieht: 2133Kklujfghklh(/6746tcv zgtfhrzt nur läääänger...
Danke!
