Sikkerhetsproblemer med disker med egenkryptering (CVE-2018-12037 og CVE-2018-12038): Begrensningstrinn for Dell Encryption-produkter
Summary: SSD-disk Sårbarhet 395981 hva er de begrensende problemene.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Berørte produkter:
- Dell Encryption Enterprise
- Dell Encryption Personal
- Dell Endpoint Security Suite
- Dell Endpoint Security Suite Enterprise
- Dell Encryption – BitLocker Manager
- Dell Encryption – diskadministrasjon med egenkryptering
Dell kjenner til rapporter om sikkerhetsproblemer i maskinvarekrypteringen til visse SSD-disker med egenkryptering, som beskrevet i Merknad om sikkerhetsproblemer VU# 395981
Sikkerhetsproblemet som er beskrevet i note VU#395981 definerer egenskapene til et sikkerhetsproblem som kan gi tilgang til stasjoner som er beskyttet av maskinvareakselererte BitLocker-implementeringer, ofte referert til som eDrive, sammen med mange SED-er.
Drivere som administreres av BitLocker med maskinvareakselerert kryptering, er basert på eDrive-spesifikasjonen , noe som ikke nødvendigvis betyr at de er SED (Self-Encrypting Drive) (eDrive-spesifikasjonenkrever IEEE 1667-samsvar , som er forskjellig fra OPAL2-spesifikasjonen for mange administrasjonsteknologier med egenkryptering).
Spesifikasjonskravene for eDrive (Microsoft-navnet på den maskinvareakselererte BitLocker) finner du her: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive
Dette sikkerhetsproblemet berører også enkelte SED-er, der mange faller inn under TCG OPAL- og OPAL2-spesifikasjonen, som er definert her: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
Dette sikkerhetsproblemet berører selve diskene og ikke Dell Encryption-programvaren, og dette sikkerhetsproblemet berører ikke alle stasjoner. Dell samarbeider med leverandørene sine for å fastslå innvirkningen og sikre at det finnes utbedringsplaner for berørte stasjoner.
Redusere sårbarhetsproblemer med Dell Encryption
For kunder som bruker løsningen Dell Self-Encrypting Drive Management anbefaler Dell å legge til et ekstra lag med sikkerhet på datamaskinene sine. Kunder bør legge Dell Policy Based Encryption på datamaskiner med stasjoner som er identifisert som potensielt sårbare, inntil oppdatert fastvare for disse diskene er tilgjengelig.
Enheter som kjører policybasert kryptering på en SED, kan gjøre det mulig å kryptere SED-ene med System Data Encryption-nøkkelen. Hvis du vil ha mer informasjon, kan du se: Slik aktiverer du SDE-kryptering for Dell Encryption Enterprise eller Dell Encryption Personal på systemer med selvkrypterende disker.
Alternativt kan den maskinvarebaserte krypteringen erstattes som en programvarebasert kryptering fra BitLocker hvis det er nødvendig med en krypteringsløsning for hele volumet.
Slik deaktiverer du maskinvarebasert akselerasjon for BitLocker med Dell Encryption
Kunder med BitLocker Manager fra Dell som er bekymret for at de kan være sårbare overfor problemene som beskrives i VU#395981 , kan redusere risikoer ved å oppdatere retningslinjene sine. Deaktivering av policyene gjennom Dell Security Management Server of Use maskinvarebasert kryptering for faste datastasjoner, og den samme policyen for operativsystemdrivere og flyttbare stasjoner (hver stasjonstype har lignende policy for å utnytte maskinvareakselerasjon, hvis tilgjengelig), deaktiverer muligheten for maskinvareakselerert kryptering på disse stasjonene. Hvis en disk hadde brukt eDrive eller maskinvareakselerert kryptering for beskyttelse, dekrypterer og krypterer stasjonen dataene på nytt ved hjelp av en programvarebasert metodikk.
Disse policyene er endepunktsbaserte policyer og finnes i BitLocker-krypteringspolicyen som er angitt i den respektive kategorien for stasjonstypen (operativsystemvolum, fast datavolum, flyttbare lagringsmedier). Hvis du vil ha mer informasjon om hvordan du endrer en policy i Dell Security Management Server, kan du se: Endre retningslinjer på Dell Data Protection Server
For kunder som ikke kjører Dell Data Security Management Server, kan innstillingene for å tillate maskinvarebasert kryptering (hvis den er tilgjengelig på disker) administreres ved hjelp av GPO- eller registeroppføringer. Du finner disse dataene for gruppepolicyobjekter på Microsofts nettsted her, under retningslinjene for:
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives
Hvordan finner jeg ut om et endepunkt kan være berørt?
For de som raskt vil finne ut om stasjoner kan være sårbare, kan Dell tilby DellOpalCheckerLite, et verktøy som kan brukes, ved hjelp av et skript for å identifisere SED-er og bestemme statusen deres.
Merk: Dell Data Security ProSupport kan tilby dette verktøyet via chat (bare i USA) eller via telefon, som du finner nederst i denne artikkelen.
Informasjonen i DellOpalCheckerLite kan kjøres ved hjelp av kommandolinjen. Den trenger stasjonsnummeret for disken som man ønsker å analysere; Hvis du for eksempel vil analysere den første disken som presenteres for operativsystemet, som vanligvis er operativsystemstasjonen, kan du bruke syntaksen:
DellOpalCheckerLite.exe 0
Hvis det finnes flere disknumre, kan du angi flere linjer i et skript for å skrive ut statusen for andre disker på datamaskinen.
For hvert tilfelle vil DellOpalCheckerLite kjøres, oppdateres ERRORLEVEL-datamaskinvariabelen og kan kalles for å analysere statusen til disken.
Denne listen inneholder utdataverdiene fra kjøring av DellOpalCheckerLite:
| SUPPORTED_NOT_OWNED | 0 | Testen indikerer at installasjonen var vellykket. |
| NOT_SUPPORTED | 1 | Test indikerer at denne disken ikke støttes. |
| SUPPORTED_OWNED | 2 | Test indikerer at disk støttes, men AdminSP allerede eid. |
| COMPATIBILITY_ERROR | 3 | Test indikerer noe kompatibilitetsproblem. |
| NO_OPAL_DISK | 4 | Test indikerer at dette ikke er en Opal-disk. |
| LOCKINGSP_ACTIVE_NOT_OWNED | 6 | Test angir at SP er aktiv, og at AdminSP har SID == MSID (forrige test kan ha mislyktes). |
| LOCKINGSP_ACTIVE_OWNED_TESTSID | 7 | Testen indikerer at SP er aktiv, men at AdminSP allerede er eid av DellOpalChecker-test-SID (forrige test kan ha mislyktes). |
| OTHER_ERROR | 50 | En annen uspesifisert feil |
| PARAMETER_ERROR | 100 | Ugyldig parameter |
| MUST_BE_ADMINISTRATOR | 101 | Programutførelsesnivå må være administrator for å utføre testen. |
Her er et eksempel på utdata fra en stasjon som er OPAL og støttes (returkode ERRORLEVEL = 0).
Merk: Dell Encryption Policy Based Encryption-klienten, programvarebasert Full Disk Encryption-klient og Dell Data Guardian utsettes ikke for denne typen sikkerhetsproblemer siden de ikke bruker den maskinvareakselererte krypteringen til disse stasjonene.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og merknader fra bestemte produsenter, kan du se:
USAs kriseberedskapsteam for datamaskiner: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities
Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/
Avgjørende: http://www.crucial.com/usa/en/support-ssd
Mer informasjon om sikkerhetsproblemet: https://www.kb.cert.org/vuls/id/395981/
Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.
Affected Products
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.