自加密驱动器漏洞（CVE-2018-12037 和 CVE-2018-12038）：Dell Encryption 产品的缓解步骤。

受影响的产品：

• Dell Encryption Enterprise
• Dell Encryption Personal
• Dell Endpoint Security Suite
• Dell Endpoint Security Suite Enterprise
• Dell Encryption - BitLocker Manager
• Dell Encryption - 自加密驱动器管理

戴尔已注意到有关某些自加密固态硬盘硬件加密漏洞的报告，如 漏洞说明 VU# 395981 中所述。我们正在研究这些漏洞对我们产品可能产生的影响，并将尽快提供更新。我们的首要任务是保护客户并确保客户数据和计算机的安全。

说明 VU#395981 中介绍的漏洞定义了漏洞的特征，该漏洞可能允许访问受硬件加速的 BitLocker 实现保护的驱动器（通常称为 eDrive），以及许多 SED。

由具有硬件加速加密的 BitLocker 管理的驱动器基于 eDrive 规范，这可能并不一定意味着它们是自加密驱动器 (SED)。eDrive 规范要求符合 IEEE 1667，这与许多自加密驱动器管理技术的 OPAL2 规范不同。

eDrive 的规格要求（硬件加速 BitLocker 的 Microsoft 名称）位于此处： https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive。

此漏洞还会影响一些 SED，其中许多 SED 属于 TCG OPAL 和 OPAL2 规范，在此处定义：https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/。

此漏洞会影响磁盘本身，而不影响 Dell Encryption 软件，并非所有驱动器都受此漏洞的影响。戴尔正在与其供应商合作，以确定影响并确保制定针对受影响的驱动器的修正计划。

不适用

缓解 Dell Encryption 的漏洞问题

对于使用戴尔 Self-Encrypting Drive Manager 解决方案的客户，戴尔建议为其计算机增加一层额外的保护。具体做法是，在可能易受影响的磁盘有更新的固件可用之前，将戴尔基于策略的加密添加到具有这些驱动器的计算机上。

在 SED 上运行基于策略的加密的设备支持使用系统数据加密密钥对 SED 进行加密。有关更多信息，请参阅：如何在具有自加密驱动器的系统上为 Dell Encryption Enterprise 或 Dell Encryption Personal 启用 SDE 加密。

或者，如果需要整卷加密解决方案，可以将基于硬件的加密替换为 BitLocker 基于软件的加密。

如何使用 Dell Encryption 禁用 BitLocker 基于硬件的加速

使用戴尔的 BitLocker Manager 且担心自己可能容易受到 VU#395981 中所述问题影响的客户可以通过更新策略来降低风险。通过戴尔安全管理服务器禁用固定 数据驱动器的基于硬件的加密策略，以及操作系统驱动器和可移动驱动器的相同策略（每种驱动器类型都有类似的策略来利用硬件加速（如果可用）将禁用在这些驱动器上利用硬件加速加密的功能。如果驱动器已在使用 eDrive 或硬件加速加密进行保护，则该驱动器会使用基于软件的方法解密和重新加密数据。

这些策略是基于端点的策略，位于驱动器类型（操作系统卷、固定数据卷、可移动存储）的相应类别内的 BitLocker 加密 策略集内。有关修改 Dell Security Management Server 中的策略的更多信息，请参阅：如何在 Dell Data Protection Server 上修改策略（英文版）

对于未运行 Dell Data Security Management Server 的客户，可以使用 GPO 或注册表条目管理允许基于硬件的加密（如果在驱动器上可用）的设置。可在 Microsoft 站点上找到 GPO 的此数据，在以下策略下：

• https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
• https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
• https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives

如何确定端点是否可能受到影响？

对于那些希望快速查找驱动器是否易受攻击的用户，戴尔可以提供 DellOpalCheckerLite，一个可以使用的实用程序，使用脚本来识别 SED 并确定其状态。

该 DellOpalCheckerLite 可以使用命令行运行。它需要要分析的磁盘的驱动器编号；例如，要分析操作系统中的第一个磁盘（通常是操作系统驱动器），您可以使用语法：

DellOpalCheckerLite.exe 0

如果存在其他磁盘编号，则可以在脚本中提供其他行，以输出计算机中其他磁盘的状态。

对于每个实例， DellOpalCheckerLite 运行时， ERRORLEVEL 计算机变量已更新，可以调用以分析磁盘的状态。

此列表包含运行 的输出值 DellOpalCheckerLite:

下面是受支持的 OPAL 驱动器的示例输出（返回代码 ERRORLEVEL = 0）。

图 1：（仅英文）ERRORLEVEL = 0 的示例

有关此漏洞的更多信息以及特定制造商提供的说明，请参阅：

美国计算机应急准备团队：https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities

Samsung：https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/

Crucial：http://www.crucial.com/usa/en/support-ssd

有关该漏洞的更多信息：https://www.kb.cert.org/vuls/id/395981/

要联系支持部门，请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect，在线生成技术支持请求。
要获得更多见解和资源，请加入戴尔安全社区论坛。