Win 10 1703 bietet eine GPO gegen DMA-Attacken
Was vorher nur über Registrymodifikation ging, hat jetzt eine eigene GPO bekommen:
Computerconfig - administrative Templates - Windows Components - Bitlocker
Disable new DMA devices when this computer is locked
This policy setting allows you to block direct memory access (DMA) for all hot pluggable PCI downstream ports until a user logs into Windows. Once a user logs in, Windows will enumerate the PCI devices connected to the host plug PCI ports. Every time the user locks the machine, DMA will be blocked on hot plug PCI ports with no children devices, until the user logs in again. Devices which were already enumerated when the machine was unlocked will continue to function until unplugged. This policy setting is only enforced when BitLocker or device encryption is enabled.
Ohne dies zu aktivieren lief man bislang Gefahr, das Angreifer mit Zugriff auf das eingeschaltete aber gesperrte Gerät über die Firewireschnittstelle oder auch über Thunderbolt an der Kennwortabfrage vorbei ins Windows spazieren konnten. Für vorige Versionen von Windows 10, siehe Official Blog: The True Story of Windows 10 and the DMA-protection
Computerconfig - administrative Templates - Windows Components - Bitlocker
Disable new DMA devices when this computer is locked
This policy setting allows you to block direct memory access (DMA) for all hot pluggable PCI downstream ports until a user logs into Windows. Once a user logs in, Windows will enumerate the PCI devices connected to the host plug PCI ports. Every time the user locks the machine, DMA will be blocked on hot plug PCI ports with no children devices, until the user logs in again. Devices which were already enumerated when the machine was unlocked will continue to function until unplugged. This policy setting is only enforced when BitLocker or device encryption is enabled.
Ohne dies zu aktivieren lief man bislang Gefahr, das Angreifer mit Zugriff auf das eingeschaltete aber gesperrte Gerät über die Firewireschnittstelle oder auch über Thunderbolt an der Kennwortabfrage vorbei ins Windows spazieren konnten. Für vorige Versionen von Windows 10, siehe Official Blog: The True Story of Windows 10 and the DMA-protection
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 334827
Url: https://administrator.de/knowledge/win-10-1703-bietet-eine-gpo-gegen-dma-attacken-334827.html
Ausgedruckt am: 23.12.2024 um 00:12 Uhr
13 Kommentare
Neuester Kommentar
Stehlen des Bitlockerschlüssels aus dem Arbeitsspeicher
"Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden BitLocker-Schlüssel beim Neustart des Computers aus dem Arbeitsspeicher entfernt."
Das gibt es doch schon in W7! Oder verstehe ich da etwas falsch? Das obig genannte überschreibt doch den BL Key nach dem Start, er ist also nicht mehr im RAM - oder?!
"Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden BitLocker-Schlüssel beim Neustart des Computers aus dem Arbeitsspeicher entfernt."
Das gibt es doch schon in W7! Oder verstehe ich da etwas falsch? Das obig genannte überschreibt doch den BL Key nach dem Start, er ist also nicht mehr im RAM - oder?!
Danke! War ein Ausdrucksfehler von mir, PIN damit war ein PW gemeint.
Kommandozeile: manage-bde -lock d: Ist die Partition verschlossen
Danke!
willst Du evtl. sicherstellen, dass deren Schlüssel nicht mehr im RAM rumfliegt, wenn Du den Rechner rebootest
Nach einen Neustart kann doch der BL Key nicht mehr im RAM sein, da doch der Strom weg war! Oder?
Frohes Ostern!
Kommandozeile: manage-bde -lock d: Ist die Partition verschlossen
Danke!
willst Du evtl. sicherstellen, dass deren Schlüssel nicht mehr im RAM rumfliegt, wenn Du den Rechner rebootest
Nach einen Neustart kann doch der BL Key nicht mehr im RAM sein, da doch der Strom weg war! Oder?
Frohes Ostern!
Servus @XPFanUwe,
nur aus der Batch heraus geht das so
Startet die selbe Batch immer dann elevated neu wenn sie noch nicht elevated ausgeführt wird.
Grüße Uwe
nur aus der Batch heraus geht das so
:: Start elevated
net session >nul 2>&1 || (
echo CreateObject^("Shell.Application"^).ShellExecute "%~0", "", "", "runas", 1 >"%temp%\runas.vbs"
"%temp%\runas.vbs"
exit /b
)
Grüße Uwe
Danke! Kann es erst am Abend testen.
Bitte beachten: NICHT das (Haupt) Administratorkonto ist gemeint. Sondern aus einem normalen Konto mit Adminrechten die CMD mit Adminrechten.
Denn wenn sich das echte Hauptadminkonto öffnen würde wollen, käme eine PW Abfrage ... Und ich kann nicht erst 3 Unterschriften holen, um das XX stellige PW zu bekommen... Das etwa so aussieht: 2133Kklujfghklh(/6746tcv zgtfhrzt nur läääänger...
Danke!
Bitte beachten: NICHT das (Haupt) Administratorkonto ist gemeint. Sondern aus einem normalen Konto mit Adminrechten die CMD mit Adminrechten.
Denn wenn sich das echte Hauptadminkonto öffnen würde wollen, käme eine PW Abfrage ... Und ich kann nicht erst 3 Unterschriften holen, um das XX stellige PW zu bekommen... Das etwa so aussieht: 2133Kklujfghklh(/6746tcv zgtfhrzt nur läääänger...
Danke!