Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Säkerhetsproblem med självkrypterande enheter (CVE-2018-12037 och CVE-2018-12038): Riskbegränsningssteg för Dell Encryption-produkter.

Summary: SSD-diskens sårbarhet 395981 de minskande problemen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Berörda produkter:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption – BitLocker Manager
  • Dell Encryption – självkrypterande enhetshantering

Dell känner till rapporter om sårbarheter i maskinvarukryptering för vissa självkrypterande SSD-enheter enligt beskrivningen i Vulnerability Note VU# 395981Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.. Vi undersöker den möjliga effekten av dessa säkerhetsproblem på våra produkter och tillhandahåller uppdateringar så snabbt som möjligt. Vår första prioritet är att skydda kunderna och säkerställa säkerheten för deras data och datorer.

Det säkerhetsproblem som beskrivs i anmärkning VU#395981 definierar egenskaper för ett säkerhetsproblem som kan ge åtkomst till enheter som skyddas av maskinvaruaccelererade BitLocker-implementeringar, som ofta kallas eDrive, tillsammans med många SED:er.

Enheter som hanteras av BitLocker med maskinvaruaccelererad kryptering baseras på eDrive-specifikationen, vilket kanske inte nödvändigtvis betyder att de är självkrypterande enheter (SED). eDrive-specifikationen kräver överensstämmelse med IEEE 1667 , som skiljer sig från OPAL2-specifikationen för många självkrypterande drivenhetshanteringstekniker.

Specifikationskraven för eDrive (Microsoft-namnet för maskinvaruaccelererade BitLocker) finns här: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveDen här hyperlänken tar dig till en webbplats utanför Dell Technologies..

Det här säkerhetsproblemet påverkar även vissa SED:er, varav många överensstämmer med TCG OPAL- och OPAL2-specifikationen, som definieras här: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/Den här hyperlänken tar dig till en webbplats utanför Dell Technologies..

Det här säkerhetsproblemet påverkar själva diskarna och inte Dell Encryption-programvaran, och inte alla enheter påverkas av det här säkerhetsproblemet. Dell arbetar med sina leverantörer för att fastställa vilken effekt och vilka åtgärdsplaner som finns för berörda enheter.

Cause

Gäller ej

Resolution

Minska sårbarhetsproblem med Dell Encryption

För kunder som använder Dell Self-Encrypting Drive Management-lösningen föreslår Dell att man lägger till ett extra säkerhetslager för deras datorer. Detta görs genom att lägga Dells policybaserade kryptering i lager på datorer med enheter som har identifierats som potentiellt sårbara tills uppdaterad fast programvara för dessa diskar är tillgänglig.

Enheter som kör policybaserad kryptering på en SED kan göra det möjligt att kryptera SED:er med systemdatakrypteringsnyckeln. Mer information finns i: Aktivera SDE-kryptering för Dell Encryption Enterprise eller Dell Encryption Personal på system med självkrypterande enheter.

Alternativt kan den maskinvarubaserade krypteringen bytas ut som en programvarubaserad kryptering från BitLocker om det krävs en krypteringslösning för hela volymen.

Avaktivera maskinvarubaserad acceleration för BitLocker med Dell Encryption

Kunder med Dells BitLocker Manager som är intresserade av att de kan vara sårbara för de problem som beskrivs i VU#395981 kan minska riskerna genom att uppdatera sina policyer. Om du inaktiverar policyerna via Dell Security Management Server för användning av maskinvarubaserad kryptering för fasta dataenheter, och samma policy för operativsystemenheter och flyttbara enheter (varje enhetstyp har en liknande policy för att utnyttja maskinvaruacceleration, om tillgängligt) inaktiveras möjligheten för maskinvaruaccelererad kryptering att användas på dessa enheter. Om en enhet har använt eDrive- eller maskinvaruaccelererad kryptering för skydd dekrypteras enheten och dekrypteras på nytt med en programvarubaserad metod.

De här principerna är slutpunktsbaserade principer och finns i den BitLocker-krypteringspolicy som angetts inom respektive kategori för enhetstypen (operativsystemvolym, fast datavolym, flyttbar lagring). Mer information om hur du ändrar en policy i Dell Security Management Server finns i: Så här ändrar du policyer i Dell Data Protection Server

För kunder som inte kör Dell Data Security Management Server kan inställningarna för maskinvarubaserad kryptering (om den är tillgänglig på enheter) hanteras med hjälp av grupprincipobjekt eller registerposter. Dessa data finns för grupprincipobjekt på Microsofts webbplats här, under policyer för:

Hur tar jag reda på om en slutpunkt kan påverkas?

För dem som snabbt vill hitta om enheter kan vara sårbara kan Dell tillhandahålla DellOpalCheckerLite, ett verktyg som kan användas med hjälp av ett skript för att identifiera SAR och fastställa deras status.

Obs! Verktyget kan tillhandahållas av Dell Data Security ProSupport via chatt (endast USA) eller per telefon, som finns på länkarna längst ned i den här artikeln.

Informationen DellOpalCheckerLite kan köras via kommandoraden. Den behöver enhetsnumret för den disk som du vill analysera; Om du till exempel vill analysera den första disken som presenteras för operativsystemet, som vanligtvis är operativsystemets enhet, kan du använda syntaxen:

DellOpalCheckerLite.exe 0

Om det finns ytterligare disknummer kan du ange ytterligare rader i ett skript för att visa status för andra diskar i datorn.

För varje instans DellOpalCheckerLite körs uppdateras errorLEVEL-datorvariabeln och kan anropas för att analysera diskens status.

Den här listan innehåller utdatavärdena från körning av DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Testet indikerar att installationen skulle lyckas.
NOT_SUPPORTED 1 Testet indikerar att disken inte stöds.
SUPPORTED_OWNED 2 Testet indikerar att disken stöds, men AdminSP ägs redan.
COMPATIBILITY_ERROR 3 Testet indikerar ett visst kompatibilitetsproblem.
NO_OPAL_DISK 4 Testet visar att detta inte är någon Opal-disk.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Testet indikerar aktiv låsning av lagringsprocessorn och AdminSP har SID == MSID (föregående test kan ha misslyckats).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Testet visar att lagringsprocessorn är aktiv, men AdminSP ägs redan av DellOpalChecker-testnings-SID (tidigare test kan ha misslyckats).
OTHER_ERROR 50 Några andra ospecificerade fel
PARAMETER_ERROR 100 Ogiltig parameter
MUST_BE_ADMINISTRATOR 101 Programmets körningsnivå måste vara administratör för att utföra testet.

Här är ett exempel på utdata från en enhet som är OPAL och som stöds (Returkod ERRORLEVEL = 0).

Exempel på ERRORLEVEL = 0
Bild 1: (Endast på engelska) Exempel på ERRORLEVEL = 0

Obs! Dell Encryption Policy Based Encryption-klienten, programvarubaserade Full Disk Encryption-klienten och Dell Data Guardian utsätts inte för den här typen av säkerhetsproblem eftersom de inte använder maskinvaruaccelererad kryptering av dessa enheter.

Mer information om det här säkerhetsproblemet och anteckningar från specifika tillverkare finns i:

U.s. Computer Emergency Readiness Team: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Avgörande: http://www.crucial.com/usa/en/support-ssd Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Mer information om säkerhetsproblemet: https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.