自加密驱动器漏洞（CVE-2018-12037 和 CVE-2018-12038）：Dell Encryption 产品的缓解步骤

受影响的产品：

• Dell Encryption Enterprise
• Dell Encryption Personal
• Dell Endpoint Security Suite
• Dell Endpoint Security Suite Enterprise
• Dell Encryption - BitLocker Manager
• Dell Encryption — 自加密驱动器管理

戴尔已注意到有关某些自加密固态硬盘硬件加密漏洞的报告，如 漏洞说明 VU# 395981 中所述。我们正在研究这些漏洞对我们产品可能产生的影响，并将尽快提供更新。我们的首要任务是保护我们的客户并确保他们的数据和计算机的安全。

说明 VU#395981 中介绍的漏洞定义了漏洞的特征，该漏洞可能允许访问受硬件加速的 BitLocker 实现保护的驱动器（通常称为 eDrive），以及许多 SED。

由具有硬件加速加密的 BitLocker 管理的驱动器基于 eDrive 规范，这可能并不一定意味着它们是 自加密驱动器 （SED）（eDrive 规范要求符合 IEEE 1667 ，这与许多自加密驱动器管理技术的 OPAL2 规范不同）。

eDrive（硬件加速 BitLocker 的Microsoft名称）的规格要求可在此处找到：https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive

此漏洞还会影响某些 SED，其中许多属于 TCG OPAL 和 OPAL2 规范，定义如下： https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/

此漏洞会影响磁盘本身，而不影响 Dell Encryption 软件，并且此漏洞不会影响所有驱动器。戴尔正在与其供应商合作，以确定影响并确保制定针对受影响的驱动器的修正计划。

缓解 Dell Encryption 的漏洞问题

对于使用戴尔 Self-Encrypting Drive Manager 解决方案的客户，戴尔建议为其计算机增加一层额外的保护。客户应将戴尔基于策略的加密分层到具有被确定为可能易受攻击的驱动器的计算机上，直至这些磁盘的更新固件可用。

在 SED 上运行基于策略的加密的设备支持使用系统数据加密密钥对 SED 进行加密。有关更多信息，请参阅：如何在具有自加密驱动器的系统上为 Dell Encryption Enterprise 或 Dell Encryption Personal 启用 SDE 加密。

或者，如果需要整卷加密解决方案，可以将基于硬件的加密替换为 BitLocker 基于软件的加密。

如何使用 Dell Encryption 禁用 BitLocker 基于硬件的加速

使用戴尔的 BitLocker Manager 且担心自己可能容易受到 VU#395981 中所述问题影响的客户可以通过更新策略来降低风险。通过 Dell Security Management Server禁用对 固定数据驱动器使用基于硬件的加密的策略，并对作系统驱动器和可移动驱动器禁用相同的策略（每种驱动器类型都有类似的策略来利用硬件加速，如果可用）将禁用在这些驱动器上使用硬件加速加密的功能。如果驱动器已在使用 eDrive 或硬件加速加密进行保护，则该驱动器会使用基于软件的方法解密和重新加密数据。

这些策略是基于端点的策略，位于驱动器类型（作系统卷、固定数据卷、可移动存储）的相应类别中设置的 BitLocker 加密 策略内。有关修改 Dell Security Management Server 中的策略的更多信息，请参阅：如何在 Dell Data Protection Server 上修改策略（英文版）

对于未运行 Dell Data Security Management Server 的客户，可以使用 GPO 或注册表条目管理允许基于硬件的加密（如果在驱动器上可用）的设置。可在 Microsoft 站点上找到 GPO 的此数据，在以下策略下：

• https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
• https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
• https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives

如何确定端点是否可能受到影响？

对于那些想要快速确定驱动器是否可能易受攻击的用户，戴尔可以提供 DellOpalCheckerLite，这是一个实用程序，可使用脚本来识别 SED 并确定其状态。

该 DellOpalCheckerLite 可以使用命令行运行。它需要要分析的磁盘的驱动器编号；例如，要分析操作系统中的第一个磁盘（通常是操作系统驱动器），您可以使用语法：

DellOpalCheckerLite.exe 0

如果存在其他磁盘编号，则可以在脚本中提供其他行，以输出计算机中其他磁盘的状态。

对于每个实例， DellOpalCheckerLite ，则 ERRORLEVEL 计算机变量将被更新，并可以被调用来分析磁盘的状态。

此列表包含运行 DellOpalCheckerLite：

下面是受支持的 OPAL 驱动器的示例输出（返回代码 ERRORLEVEL = 0）。

有关此漏洞的更多信息以及特定制造商提供的说明，请参阅：

美国计算机应急准备团队：https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities

Samsung：https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/

Crucial：http://www.crucial.com/usa/en/support-ssd

有关该漏洞的更多信息：https://www.kb.cert.org/vuls/id/395981/

要联系支持部门，请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect，在线生成技术支持请求。
要获得更多见解和资源，请加入戴尔安全社区论坛。