Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Sicherheitslücken bei selbstverschlüsselnden Laufwerken (CVE-2018-12037 und CVE-2018-12038): Schritte zur Risikominderung für Dell Encryption-Produkte

Summary: Solid-State-Laufwerk Sicherheitslücke 395981 welche Bedenken gibt es bei der Entschärfung?

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Betroffene Produkte:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption – BitLocker Manager
  • Dell Encryption – Self-Encrypting Drive Management

Dell sind gemeldete Sicherheitslücken bei der Hardwareverschlüsselung bestimmter selbstverschlüsselnder Solid-State-Laufwerke bekannt, wie im Sicherheitslückenhinweis VU# 395981 Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies. beschrieben. Wir untersuchen die möglichen Auswirkungen dieser Sicherheitslücken auf unsere Produkte und stellen so schnell wie möglich Updates bereit. Unsere oberste Priorität ist es, unsere Kunden zu schützen und die Sicherheit ihrer Daten und Computer zu gewährleisten.

Die in Hinweis VU#395981 beschriebene Sicherheitslücke definiert Merkmale einer Schwachstelle, die den Zugriff auf Laufwerke ermöglichen kann, die durch hardwarebeschleunigte BitLocker-Implementierungen geschützt sind, die häufig als eDrive bezeichnet werden, zusammen mit vielen SEDs.

Laufwerke, die von BitLocker mit hardwarebeschleunigter Verschlüsselung verwaltet werden, basieren auf der eDrive-Spezifikation , was nicht unbedingt bedeutet, dass sie selbstverschlüsselnde Laufwerke (SED) sind (d ie eDrive-Spezifikationerfordert IEEE 1667-Compliance , die sich von der OPAL2-Spezifikation vieler selbstverschlüsselnder Laufwerksmanagementtechnologien unterscheidet).

Die Spezifikationsanforderungen für eDrive (der Microsoft-Name für das hardwarebeschleunigte BitLocker) finden Sie hier: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Diese Sicherheitslücke betrifft auch einige SEDs, von denen viele unter die TCG OPAL- und OPAL2-Spezifikation fallen, die hier definiert ist: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Diese Sicherheitslücke betrifft die Festplatten selbst und nicht die Dell Encryption-Software. Diese Sicherheitslücke betrifft nicht alle Laufwerke. Dell arbeitet mit seinen Anbietern zusammen, um die Auswirkungen zu ermitteln und sicherzustellen, dass Korrekturpläne für betroffene Laufwerke vorhanden sind.

Abschwächen von Sicherheitslücken mit Dell Encryption

Für Kunden, die die Dell Self-Encrypting Drive Management-Lösung verwenden, empfiehlt Dell, ihren Computern eine zusätzliche Sicherheitsebene hinzuzufügen. Kunden sollten Computer mit Laufwerken, die als potenziell anfällig identifiziert wurden, mit Dell Policy-basierter Verschlüsselung versehen, bis eine aktualisierte Firmware für diese Festplatten verfügbar ist.

Geräte, auf denen Policy-basierte Verschlüsselung auf einem SED ausgeführt wird, können die SEDs mit dem Systemdatenverschlüsselungsschlüssel verschlüsseln. Weitere Informationen finden Sie unter: So aktivieren Sie die SED-Verschlüsselung für Dell Encryption Enterprise oder Dell Encryption Personal auf Systemen mit selbstverschlüsselnden Festplatten.

Alternativ kann die hardwarebasierte Verschlüsselung als softwarebasierte Verschlüsselung von BitLocker ersetzt werden, wenn eine Verschlüsselungslösung für das vollständige Volume erforderlich ist.

Deaktivieren der hardwarebasierten Beschleunigung für BitLocker mit Dell Encryption

Kunden mit BitLocker Manager von Dell, die besorgt sind, dass sie anfällig für die in VU#395981 beschriebenen Probleme sind, können das Risiko durch das Update ihrer Policys minimieren. Das Deaktivieren der Policies über den Dell Security Management Server von "Hardwarebasierte Verschlüsselung für feste Datenlaufwerke" und die gleiche Richtlinie für Betriebssystemlaufwerke und Wechseldatenträger (jeder Laufwerkstyp verfügt über eine ähnliche Richtlinie zur Nutzung der Hardwarebeschleunigung, falls verfügbar) deaktiviert die Möglichkeit, die hardwarebeschleunigte Verschlüsselung auf diesen Laufwerken zu nutzen. Wenn ein Laufwerk eDrive oder hardwarebeschleunigte Verschlüsselung zum Schutz genutzt hat, entschlüsselt und verschlüsselt das Laufwerk die Daten mit einer softwarebasierten Methode erneut.

Diese Richtlinien sind endpunktbasierte Richtlinien und befinden sich innerhalb der BitLocker-Verschlüsselungsrichtlinie , die in der entsprechenden Kategorie für den Laufwerkstyp (Betriebssystem-Volume, Volume mit feststehenden Daten, Wechselmedien) festgelegt ist. Weitere Informationen zum Ändern einer Policy im Dell Security Management Server finden Sie unter: So ändern Sie Richtlinien auf dem Dell Data Protection Server

Kunden, die den Dell Data Security Management Server nicht ausführen, können die Einstellungen für die Hardware-basierte Verschlüsselung (falls auf Laufwerken verfügbar) mithilfe von Gruppenpolicy- oder Registrierungseinträgen managen. Diese Daten finden Sie für Gruppenpolicys auf der Website von Microsoft unter den Policys für:

Wie kann ich feststellen, ob ein Endpunkt betroffen ist?

Für alle, die schnell herausfinden möchten, ob Laufwerke anfällig sind, bietet Dell die DellOpalCheckerLite, ein Dienstprogramm, das verwendet werden kann, um SEDs mithilfe eines Skripts zu identifizieren und ihren Status zu bestimmen.

Hinweis: Dell Data Security ProSupport kann dieses Dienstprogramm über den Chat (nur USA) oder per Telefon bereitstellen, die Sie unter den Links am Ende dieses Artikels finden.

Das Skript DellOpalCheckerLite kann über die Befehlszeile ausgeführt werden. Es benötigt die Laufwerksnummer für die Festplatte, die analysiert werden soll. Um beispielsweise die erste Festplatte zu analysieren, die dem Betriebssystem angezeigt wird, was üblicherweise das Betriebssystemlaufwerk ist, können Sie die folgende Syntax verwenden:

DellOpalCheckerLite.exe 0

Wenn zusätzliche Festplattennummern vorhanden sind, können zusätzliche Zeilen in einem Skript angegeben werden, um den Status für andere Festplatten im Computer auszugeben.

Für jede Instanz wird die DellOpalCheckerLite ausgeführt wird, wird die Computervariable ERRORLEVEL aktualisiert und kann aufgerufen werden, um den Status der Festplatte zu analysieren.

Diese Liste enthält die Ausgabewerte der Ausführung des DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Der Test weist darauf hin, dass die Installation erfolgreich wäre.
NOT_SUPPORTED 1 Der Test zeigt an, dass diese Festplatte nicht unterstützt wird.
SUPPORTED_OWNED 2 Der Test zeigt an, dass die Festplatte unterstützt wird, aber AdminSP bereits im Besitz vorhanden ist.
COMPATIBILITY_ERROR 3 Der Test weist auf ein Kompatibilitätsproblem hin.
NO_OPAL_DISK 4 Der Test zeigt an, dass es sich nicht um eine Opal-Festplatte handelt.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Der Test weist darauf hin, dass das Sperren von SP aktiv ist, und AdminSP hat SID == MSID (vorheriger Test ist möglicherweise fehlgeschlagen).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Der Test weist darauf hin, dass das Sperren von SP aktiv ist, aber AdminSP bereits im Besitz der von DellOpalChecker getesteten SID vorhanden ist (vorheriger Test ist möglicherweise fehlgeschlagen).
OTHER_ERROR 50 Ein anderer nicht spezifizierte Fehler
PARAMETER_ERROR 100 Ungültiger Parameter
MUST_BE_ADMINISTRATOR 101 Die Programmausführungsstufe muss „Administrator“ sein, um den Test durchführen zu können.

Hier ist eine Beispielausgabe eines Laufwerks, das OPAL ist und unterstützt wird (Rückgabecode ERRORLEVEL = 0).

Beispiel für ERRORLEVEL = 0

Hinweis: Der Dell Encryption Policy Based Encryption Client, der softwarebasierte Client für die vollständige Datenträgerverschlüsselung und Dell Data Guardian sind dieser Art von Sicherheitslücke nicht ausgesetzt, da sie die hardwarebeschleunigte Verschlüsselung dieser Laufwerke nicht einsetzen.

Weitere Informationen zu dieser Sicherheitslücke und Hinweise von bestimmten Herstellern finden Sie unter:

United States Computer Emergency Readiness Team: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Weitere Informationen zu dieser Sicherheitslücke: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.