derwowusste
Goto Top

Win 10 1703 bietet eine GPO gegen DMA-Attacken

Was vorher nur über Registrymodifikation ging, hat jetzt eine eigene GPO bekommen:
Computerconfig - administrative Templates - Windows Components - Bitlocker
Disable new DMA devices when this computer is locked

This policy setting allows you to block direct memory access (DMA) for all hot pluggable PCI downstream ports until a user logs into Windows. Once a user logs in, Windows will enumerate the PCI devices connected to the host plug PCI ports. Every time the user locks the machine, DMA will be blocked on hot plug PCI ports with no children devices, until the user logs in again. Devices which were already enumerated when the machine was unlocked will continue to function until unplugged. This policy setting is only enforced when BitLocker or device encryption is enabled.

Ohne dies zu aktivieren lief man bislang Gefahr, das Angreifer mit Zugriff auf das eingeschaltete aber gesperrte Gerät über die Firewireschnittstelle oder auch über Thunderbolt an der Kennwortabfrage vorbei ins Windows spazieren konnten. Für vorige Versionen von Windows 10, siehe Official Blog: The True Story of Windows 10 and the DMA-protection

Content-Key: 334827

Url: https://administrator.de/contentid/334827

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: XPFanUwe
XPFanUwe 13.04.2017 um 20:54:57 Uhr
Goto Top
Stehlen des Bitlockerschlüssels aus dem Arbeitsspeicher

"Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden BitLocker-Schlüssel beim Neustart des Computers aus dem Arbeitsspeicher entfernt."

Das gibt es doch schon in W7! Oder verstehe ich da etwas falsch? Das obig genannte überschreibt doch den BL Key nach dem Start, er ist also nicht mehr im RAM - oder?!
Mitglied: DerWoWusste
DerWoWusste 13.04.2017 um 23:25:11 Uhr
Goto Top
Der Schlüssel ist permanent im RAM und er muss da auch bleiben, sonst könnten die Daten nicht gelesen werden. Es geht bei der von dir genannten Policy um eine Maßnahme, die nur dann von Interesse ist, wenn Du Laufwerke hast, die du nicht permanent gemountet hast und deren Schlüssel somit auch nicht im RAM sein müssen.
Mitglied: XPFanUwe
XPFanUwe 15.04.2017 um 22:43:12 Uhr
Goto Top
Aha, Danke! Und was bedeutet das nun z.B. für eine Partition auf einer HD die explizit per PIN freigeschalten werden muss. Dummerweise gibt es ja keine Option, um BL im laufenden Windows wieder zu verschließen. Oder?
Mitglied: DerWoWusste
DerWoWusste 16.04.2017 um 11:51:13 Uhr
Goto Top
Per PIN kannst Du keine Partition freischalten. PIN wird nur für die Systempartition benutzt in Verbindung mit einem TPM. Schließt man eine Platte mit Systempartition an ein anderes System an, wird auch keine PIN abgefragt, sondern das Recoverypasswort. Auf Datenpartitionen kann man Passwörter setzen, aber keine PINs.

Aber egal. Verschließen kannst Du auf der Kommandozeile: manage-bde -lock d: Ist die Partition verschlossen, willst Du evtl. sicherstellen, dass deren Schlüssel nicht mehr im RAM rumfliegt, wenn Du den Rechner rebootest - dafür ist dann die Policy da, die Du genannt hast (per default wird der RAM überschrieben).

Auf was mein Tipp hinauswollte: wenn jemand eine DMA-Attacke ausführt, kann er Speicherinhalte manipulieren (und so in Windows ohne Kennwort reinkommen) oder auch den RAM lesen (und so auch Bitlocker-Schlüssel, die der TPM schon beim Booten freigegeben hat oder die der Nutzer beim Aufschließen weiterer Volumes in den RAM geschafft hat) - dagegen hilft die Löschung des RAMs beim nächsten Reboot nicht.
Mitglied: XPFanUwe
XPFanUwe 16.04.2017 um 23:08:14 Uhr
Goto Top
Danke! War ein Ausdrucksfehler von mir, PIN damit war ein PW gemeint.

Kommandozeile: manage-bde -lock d: Ist die Partition verschlossen

Danke!

willst Du evtl. sicherstellen, dass deren Schlüssel nicht mehr im RAM rumfliegt, wenn Du den Rechner rebootest

Nach einen Neustart kann doch der BL Key nicht mehr im RAM sein, da doch der Strom weg war! Oder?

Frohes Ostern!
Mitglied: DerWoWusste
DerWoWusste 17.04.2017 um 01:22:50 Uhr
Goto Top
Ein Neustart im eigentlichen Sinn trennt ja gerade nicht vom Strom.

Frohe Ostern auch dir.
Mitglied: XPFanUwe
XPFanUwe 17.04.2017 um 21:27:07 Uhr
Goto Top
Hm, ja, haste Recht!

Mal ne Frage, wie starte ich per BAT eine CMD mit Adminrechten? Will nämlich das Kommando manage-bde -lock d: per Bat starten. Danke!
Mitglied: DerWoWusste
DerWoWusste 18.04.2017 aktualisiert um 08:20:06 Uhr
Goto Top
Rechtsklick auf cmd.exe, "ausführen als Administrator".
Mitglied: XPFanUwe
XPFanUwe 19.04.2017 um 22:56:19 Uhr
Goto Top
Ähm, in einer BAT Datei als Kommando...

also

@echo OFF

CMD (als Admin)

manage-bde -lock d:

EXIT
Mitglied: DerWoWusste
DerWoWusste 19.04.2017 um 23:29:32 Uhr
Goto Top
Rechtsklick auf Batch, als Admin ausführen.
Oder geplanter Task, der immer hohe Rechte anfordert oder Verknüpfung zur Batch und Eigenschaften der Verknüpfung anpassen.
Mitglied: colinardo
colinardo 20.04.2017 aktualisiert um 07:28:15 Uhr
Goto Top
Zitat von @XPFanUwe:
Ähm, in einer BAT Datei als Kommando...
Servus @XPFanUwe,
nur aus der Batch heraus geht das so
:: Start elevated
net session >nul 2>&1 || (
  echo CreateObject^("Shell.Application"^).ShellExecute "%~0", "", "", "runas", 1 >"%temp%\runas.vbs"  
  "%temp%\runas.vbs"  
  exit /b
)
Startet die selbe Batch immer dann elevated neu wenn sie noch nicht elevated ausgeführt wird.

Grüße Uwe
Mitglied: DerWoWusste
DerWoWusste 20.04.2017 aktualisiert um 09:43:40 Uhr
Goto Top
Oder man arbeitet mit psexec und dem eingebauten Adminkonto, dann kommt noch nicht einmal eine UAC-Abfrage.
psexec -user administrator -p DeinPa$$Word manage-bde -lock x:
Mitglied: XPFanUwe
XPFanUwe 20.04.2017 aktualisiert um 10:44:04 Uhr
Goto Top
Danke! Kann es erst am Abend testen.

Bitte beachten: NICHT das (Haupt) Administratorkonto ist gemeint. Sondern aus einem normalen Konto mit Adminrechten die CMD mit Adminrechten.

Denn wenn sich das echte Hauptadminkonto öffnen würde wollen, käme eine PW Abfrage ... Und ich kann nicht erst 3 Unterschriften holen, um das XX stellige PW zu bekommen... Das etwa so aussieht: 2133Kklujfghklh(/6746tcv zgtfhrzt nur läääänger...

Danke!