自我加密磁碟機漏洞 (CVE-2018-12037 和 CVE-2018-12038)：Dell Encryption 產品的緩解步驟。

受影響的產品：

• Dell Encryption Enterprise
• Dell Encryption Personal
• Dell Endpoint Security Suite
• Dell Endpoint Security Suite Enterprise
• Dell Encryption - BitLocker Manager
• Dell 加密 - 自我加密磁片磁碟機管理

Dell 針對漏洞注意事項 VU# 395981 所述，已察覺在某些自我加密固態硬碟的硬體加密中的漏洞報告。我們正在調查這些漏洞對我們產品可能造成的影響，並會儘快提供更新。我們的第一要務是保護客戶，並確保其資料和電腦的安全性。

在注意事項 VU#395981 中所概述的漏洞定義了漏洞的特性，該漏洞可能允許存取受硬體加速 BitLocker 實作所保護的磁碟機 (通常稱為 eDrive 以及許多 SED)。

由 BitLocker 硬體加速加密管理的磁碟機是以 eDrive 規格為基礎，這可能不一定代表它們是自我加密磁碟機 (SED)。eDrive 規格需要符合 IEEE 1667 規範，這與許多自我加密磁碟機管理技術的 OPAL2 規格不同。

eDrive的規格要求 （硬體加速 BitLocker 的 Microsoft 名稱） 如下所示：HTTPs://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive 。

此漏洞也會影響某些 SED，其中許多屬於 TCG OPAL 和 OPAL2 規格，定義如下： HTTPs://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ 。

此漏洞會影響磁碟本身而非 Dell 加密軟體，且並非所有磁碟機都會受到此漏洞的影響。Dell 正與其廠商合作以判斷其影響，並確保已針對受影響的磁碟機制定補救方案。

不適用

透過 Dell Encryption 降低漏洞疑慮

針對使用 Dell Self-Encrypting Drive Management 解決方案的客戶，Dell 建議為其電腦增加額外的安全層。將 Dell 原則式加密分層到有已識別為可能易受攻擊的磁碟機的電腦上，直到可以取得這些磁碟的韌體更新為止，即可完成此作業。

在 SED 上執行原則式加密的裝置，可讓您使用系統資料加密金鑰加密 SED。如需詳細資訊，請參閱：如何在使用自行加密磁碟機的系統上為 Dell Encryption Enterprise 或 Dell Encryption Personal 啟用 SDE加密。

或者，如果需要整個磁碟區加密解決方案，則可將硬體加密取代為 BitLocker 的軟體加密。

如何使用 Dell Encryption 停用 BitLocker 的硬體加速

Dell 的 BitLocker Manager 客戶若擔心自己可能容易受到 VU#395981 中所述的問題影響，可藉由更新其原則來降低風險。透過 Dell Security Management Server of Use Hardware-Based Encryption for Fixed Data Drive停用原則，以及作業系統磁片磁碟機和抽取磁片磁碟機的相同原則 （每個磁片磁碟機類型都有類似利用硬體加速的原則 （若有的話） 會停用在這些磁片磁碟機上使用硬體加速加密的功能。如果磁碟機已運用 eDrive 或硬體加速加密以進行保護，則磁碟機會以軟體型方法將資料解密並重新加密。

這些原則是端點式原則，位於磁片磁碟機類型 （作業系統磁片區、固定資料磁片區、抽取式儲存裝置） 各自類別內的 BitLocker 加密 原則集內。如需在 Dell Security Management Server 中修改原則的詳細資訊，請參閱：如何修改 Dell Data Protection Server 上的原則

對於未執行 Dell Data Security Management Server 的客戶，可使用 GPO 或登錄檔項目來管理允許硬體加密的設定 (如果可在磁碟機上使用)。此資料可在 Microsoft 網站的 GPO 中找到，並依據下列原則進行：

• https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
• https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
• https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives

我要如何判斷端點是否可能受到影響？

如果想要快速找到磁片磁碟機可能容易受到攻擊，Dell 可以提供 DellOpalCheckerLite，一種可用的公用程式，使用腳本來識別 SED 並判斷其狀態。

可使用 DellOpalCheckerLite 可以使用命令列執行。它需要所要分析之磁碟的磁碟機編號；例如，若要分析呈現至作業系統 (通常為作業系統磁碟機) 的第一個磁碟，您可以使用語法：

DellOpalCheckerLite.exe 0

如果有額外的磁碟號碼，則可以在指令檔中提供額外的行，以輸出電腦中其他磁碟的狀態。

在每個實例中 DellOpalCheckerLite 執行時， ERRORLEVEL 電腦變數已更新，可呼叫以分析磁片狀態。

此清單包含執行 DellOpalCheckerLite：

以下為 OPAL 磁碟機且受到支援的輸出範例 (返回代碼 ERRORLEVEL = 0)。

圖 1：(僅限英文) ERRORLEVEL = 0 的範例

如需此漏洞的詳細資訊，以及特定製造商的注意事項，請參閱：

美國電腦緊急應變團隊：https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities

Samsung：https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/

Crucial：http://www.crucial.com/usa/en/support-ssd

漏洞的進一步資訊：https://www.kb.cert.org/vuls/id/395981/

如要聯絡支援部門，請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect，以線上產生技術支援要求。
如需更多深入見解與資源，請加入 Dell 安全性社群論壇。