Sikkerhetsproblemer med selvkrypterende disker (CVE-2018-12037 og CVE-2018-12038): Løsningstrinn for Dell Encryption-produkter.
Summary: SSD-disksårbarhet 395981 hva som er de begrensende bekymringene.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Berørte produkter:
- Dell Encryption Enterprise
- Dell Encryption Personal
- Dell Endpoint Security Suite
- Dell Endpoint Security Suite Enterprise
- Dell Encryption – BitLocker Manager
- Dell Encryption – administrasjon av selvkrypterende disk
Dell er klar over rapporter om sikkerhetsproblemer i maskinvarekryptering av visse selvkrypterende SSD-disker som beskrevet i Sikkerhetsproblemer Note VU# 395981
Sikkerhetsproblemet som er beskrevet i merknad vu#395981 definerer egenskapene til et sikkerhetsproblem som kan gi tilgang til stasjoner som er beskyttet av maskinvareakselererte BitLocker-implementeringer, ofte referert til som eDrive, sammen med mange SED-er.
Stasjoner som administreres av BitLocker med maskinvareakselerert kryptering, er basert på eDrive-spesifikasjonen, noe som kanskje ikke nødvendigvis betyr at de er selvkrypterende stasjoner (SED).) eDrive-spesifikasjonen krever IEEE 1667-samsvar , som avviker fra OPAL2-spesifikasjonen for mange teknologier for administrasjon av selvkrypterende disker.
Spesifikasjonskravene for eDrive (Microsoft-navnet for maskinvareakselererte BitLocker) finner du her: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive
Dette sikkerhetsproblemet påvirker også enkelte SED-er, og mange av disse faller inn under TCG OPAL- og OPAL2-spesifikasjonen, som er definert her: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
Dette sikkerhetsproblemet påvirker selve diskene og ikke Dell Encryption-programvaren, og ikke alle stasjoner påvirkes av dette sikkerhetsproblemet. Dell samarbeider med leverandørene for å fastslå innvirkningen og sikre at utbedringsplanene er på plass for berørte disker.
Cause
Ikke aktuelt
Resolution
Begrense sikkerhetsproblemer med Dell Encryption
For kunder som bruker Dell Self-Encrypting Drive Management-løsningen, foreslår Dell at de legger til et ekstra sikkerhetslag i datamaskinene sine. Dette gjøres ved å legge Dell policybasert kryptering på datamaskiner med stasjoner som er identifisert som potensielt sårbare til oppdatert fastvare for disse diskene er tilgjengelig.
Enheter som kjører policybasert kryptering på en SED, kan gjøre det mulig å kryptere SED-ene med nøkkelen for systemdatakryptering. Hvis du vil ha mer informasjon, kan du se: Slik aktiverer du SDE Encryption for Dell Encryption Enterprise eller Dell Encryption Personal på systemer med selvkrypterende stasjoner.
Alternativt kan maskinvarebasert kryptering erstattes som en programvarebasert kryptering fra BitLocker hvis en krypteringsløsning med hele volumet er nødvendig.
Slik deaktiverer du maskinvarebasert akselerasjon for BitLocker med Dell Encryption
Kunder med Dell BitLocker Manager som er bekymret for at de kan være sårbare for problemene som er beskrevet i VU#395981 , kan redusere risikoen ved å oppdatere policyene sine. Deaktivering av policyene via Dell Security Management Server of Use Maskinvarebasert kryptering for faste datastasjoner og samme policy for operativsystemstasjoner og flyttbare stasjoner (hver stasjonstype har en lignende policy for å utnytte maskinvareakselerasjon, hvis tilgjengelig), deaktiverer muligheten for at maskinvareakselerert kryptering kan utnyttes på disse diskene. Hvis en disk hadde utnyttet eDrive- eller maskinvareakselerert kryptering for beskyttelse, dekrypterer disken og dekrypterer dataene på nytt med en programvarebasert metodikk.
Disse policyene er endepunktsbaserte policyer og befinner seg innenfor policyen for BitLocker-kryptering som er angitt i den respektive kategorien for stasjonstypen (operativsystemvolum, fast datavolum, flyttbar lagring). Hvis du vil ha mer informasjon om hvordan du endrer en policy i Dell Security Management Server, kan du se: Endre retningslinjer på Dell Data Protection Server
For kunder som ikke kjører Dell Data Security Management Server, kan innstillingene for maskinvarebasert kryptering (hvis den er tilgjengelig på stasjoner) administreres ved hjelp av GPO- eller registeroppføringer. Du finner disse dataene for gruppepolicyobjekter på Microsofts nettsted her, under policyene for:
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives
Hvordan finner jeg ut om et endepunkt kan bli påvirket?
For de som raskt ønsker å finne ut om diskene kan være sårbare, kan Dell tilby DellOpalCheckerLite, et verktøy som kan brukes, ved hjelp av et skript for å identifisere SED-er og bestemme statusen deres.
Merk: Dette verktøyet kan leveres av Dell Data Security ProSupport ved hjelp av chat (bare USA) eller via telefon, som du finner på koblingene nederst i denne artikkelen.
Informasjonen i DellOpalCheckerLite kan kjøres ved hjelp av kommandolinjen. Den trenger stasjonsnummeret for disken som man ønsker å analysere; Hvis du for eksempel vil analysere den første disken som presenteres for operativsystemet, som vanligvis er operativsystemstasjonen, kan du bruke syntaksen:
DellOpalCheckerLite.exe 0
Hvis det finnes flere disknumre, kan du angi flere linjer i et skript for å skrive ut statusen for andre disker i datamaskinen.
For hver forekomst DellOpalCheckerLite kjøres, oppdateres datamaskinvariabelen ERRORLEVEL og kan kalles til å analysere statusen til disken.
Denne listen inneholder utdataverdiene fra å kjøre DellOpalCheckerLite:
| SUPPORTED_NOT_OWNED | 0 | Testen indikerer at installasjonen vil lykkes. |
| NOT_SUPPORTED | 1 | Testen indikerer at denne disken ikke støttes. |
| SUPPORTED_OWNED | 2 | Testen indikerer at disken støttes, men adminsp allerede har eid. |
| COMPATIBILITY_ERROR | 3 | Testen indikerer et kompatibilitetsproblem. |
| NO_OPAL_DISK | 4 | Testen indikerer at dette ikke er en Opal-disk. |
| LOCKINGSP_ACTIVE_NOT_OWNED | 6 | Testen indikerer låsing av SP aktiv, og AdminSP har SID == MSID (forrige test kan ha mislyktes). |
| LOCKINGSP_ACTIVE_OWNED_TESTSID | 7 | Testen indikerer låsing av SP aktiv, men AdminSP eies allerede av DellOpalChecker-test-SID (forrige test kan ha mislyktes). |
| OTHER_ERROR | 50 | Andre uspesifiserte feil |
| PARAMETER_ERROR | 100 | Ugyldig parameter |
| MUST_BE_ADMINISTRATOR | 101 | Programmets utførelsesnivå må være administrator for å utføre testen. |
Her er et eksempel på utdata fra en stasjon som er OPAL og støttes (returkode ERRORLEVEL = 0).
Figur 1: (Bare på engelsk) Eksempel på ERRORLEVEL = 0
Merk: Dell Encryption Policy Based Encryption Client, programvarebasert full diskkrypteringsklient og Dell Data Guardian er ikke utsatt for denne typen sikkerhetsproblem, da de ikke bruker maskinvareakselerert kryptering av disse diskene.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, og merknader fra bestemte produsenter, kan du se:
Kriseberedskapsteam i USA: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities
Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/
Viktig: http://www.crucial.com/usa/en/support-ssd
Mer informasjon om sikkerhetsproblemet: https://www.kb.cert.org/vuls/id/395981/
Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.
Affected Products
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.