{"id":987,"date":"2017-05-02T19:23:36","date_gmt":"2017-05-02T17:23:36","guid":{"rendered":"https:\/\/hitco.at\/blog\/?p=987"},"modified":"2017-05-02T19:50:20","modified_gmt":"2017-05-02T17:50:20","slug":"bitlocker-gegen-dma-angriffe-absichern-win10-creators-update-v1703","status":"publish","type":"post","link":"https:\/\/hitco.at\/blog\/bitlocker-gegen-dma-angriffe-absichern-win10-creators-update-v1703\/","title":{"rendered":"Bitlocker gegen DMA-Angriffe absichern (Win10 Creators Update v1703)"},"content":{"rendered":"<p>Mit dem Creators Update von Windows 10 (Release 1703) ist erstmals die lange ersehnte M\u00f6glichkeit verf\u00fcgbar, Bitlocker gegen DMA-Angriffe abzusichern. Die zugrunde liegende Problematik hat <a href=\"http:\/\/blog.win-fu.com\/2017\/02\/the-true-story-of-windows-10-and-dma.html\" target=\"_blank\" rel=\"noopener noreferrer\">Sami Laiho in seinem Blog<\/a> ausf\u00fchrlichst beschrieben. Das Feature wurde seit geraumer Zeit (also auch in den vorherigen Releases 1511 und 1607) von Microsoft als &#8222;umgesetzt&#8220; beworben, tats\u00e4chlich konnte man es jedoch nur mittels Mobile-Device-Management-L\u00f6sungen (MDM) wie z.B. Intune aktivieren &#8211; somit war es de-fakto nicht nutzbar.<\/p>\n<p>Die gesuchte Policy nennt sich <span style=\"color: #000080;\"><em>Disable new DMA devices when this computer is locked<\/em><\/span>&nbsp;oder zu deutsch <span style=\"color: #000080;\"><em>Neue DMA-Ger\u00e4te deaktivieren, wenn dieser Computer gesperrt wird<\/em><\/span>, und findet sich ab dem Windows 10 Creators Update (Release 1703) unter den Gruppenrichtlinien bei den <span style=\"color: #000080;\">Windows-Komponenten<\/span> -&gt; <span style=\"color: #000080;\">Bitlocker-Laufwerksverschl\u00fcsselung<\/span>:<\/p>\n<p><span style=\"color: #000080;\"><em>Mit dieser Richtlinieneinstellung k\u00f6nnen Sie den direkten Speicherzugriff (Direct Memory Access, DMA) f\u00fcr alle Hot-Plug-PCI Downstream-Anschl\u00fcsse blockieren, bis sich ein Benutzer bei Windows anmeldet. Sobald sich ein Benutzer anmeldet, werden die an die Hot-Plug-PCI-Anschl\u00fcsse angeschlossenen PCI-Ger\u00e4te von Windows aufgez\u00e4hlt. Jedes Mal, wenn der Benutzer den Computer sperrt, wird DMA an Hot-Plug-PCI-Anschl\u00fcssen ohne untergeordnete Ger\u00e4te blockiert, bis sich der Benutzer erneut anmeldet. Ger\u00e4te, die vor dem Entsperren des Computers bereits aufgez\u00e4hlt wurden, sind weiterhin funktionsf\u00e4hig, bis sie entfernt werden. Die Richtlinieneinstellung wird nur erzwungen, wenn BitLocker oder die Ger\u00e4teverschl\u00fcsselung aktiviert ist.<\/em><\/span><\/p>\n<p>Der korrespondierende Registry-Key lautet:<\/p>\n<pre>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\PnP\\Pci\r\n DisableExternalDMAUnderLock REG_DWORD 0x1\r\n\r\n<\/pre>\n<figure id=\"attachment_993\" aria-describedby=\"caption-attachment-993\" style=\"width: 1021px\" class=\"wp-caption alignleft\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-993\" src=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/BitLocker-DMA-Policy.png\" alt=\"BitLocker DMA-Policy\" width=\"1021\" height=\"466\" srcset=\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/BitLocker-DMA-Policy.png 1021w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/BitLocker-DMA-Policy-300x137.png 300w, https:\/\/hitco.at\/blog\/wp-content\/uploads\/BitLocker-DMA-Policy-768x351.png 768w\" sizes=\"auto, (max-width: 1021px) 100vw, 1021px\" \/><figcaption id=\"caption-attachment-993\" class=\"wp-caption-text\">BitLocker DMA-Policy<\/figcaption><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>Mit dem Creators Update von Windows 10 (Release 1703) ist erstmals die lange ersehnte M\u00f6glichkeit verf\u00fcgbar, Bitlocker gegen DMA-Angriffe abzusichern. Die zugrunde liegende Problematik hat Sami Laiho in seinem Blog ausf\u00fchrlichst beschrieben. Das Feature wurde seit geraumer Zeit (also auch in den vorherigen Releases 1511 und 1607) von Microsoft als &#8222;umgesetzt&#8220; beworben, tats\u00e4chlich konnte man es jedoch nur mittels Mobile-Device-Management-L\u00f6sungen&#8230; <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[4,23],"tags":[171,135,170,166,167,169,168,105],"class_list":["post-987","post","type-post","status-publish","format-standard","hentry","category-security","category-windows","tag-171","tag-bitlocker","tag-creators-update","tag-dma","tag-grouppolicy","tag-lock","tag-logon","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/987","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/comments?post=987"}],"version-history":[{"count":11,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/987\/revisions"}],"predecessor-version":[{"id":1000,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/987\/revisions\/1000"}],"wp:attachment":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media?parent=987"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/categories?post=987"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/tags?post=987"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}