Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Уразливості дисків із самошифруванням (CVE-2018-12037 і CVE-2018-12038): Заходи щодо пом'якшення наслідків для продуктів Dell Encryption

Summary: Вразливість твердотільного накопичувача 395981 які є пом'якшувальні проблеми.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Продукти, на які вплинули:

  • Підприємство з шифруванням Dell
  • Особисте шифрування Dell
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Шифрування Dell - менеджер BitLocker
  • Dell Encryption - Керування дисками з самошифруванням

Dell відомо про повідомлення про вразливості в апаратному шифруванні певних твердотільних накопичувачів із самошифруванням, як описано в Vulnerability Note VU# 395981Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.. Ми досліджуємо можливий вплив цих вразливостей на наші продукти та надаємо оновлення якомога швидше. Нашим першочерговим завданням є захист наших клієнтів і забезпечення безпеки їхніх даних і комп'ютерів.

Уразливість, описана в примітці VU#395981 визначає характеристики вразливості, яка може дозволити доступ до дисків, захищених програмно-прискореними реалізаціями BitLocker, які зазвичай згадуються як eDrive, разом з багатьма SED.

Диски, керовані BitLocker із апаратним прискоренням шифрування, базуються на специфікації eDrive , що не обов'язково означає, що вони є самозашифрованими дисками (SED) (специфікаціяeDrive вимагає відповідності стандарту IEEE 1667 , що відрізняється від специфікації OPAL2 багатьох технологій керування самозашифрованими дисками).

Вимоги до технічних характеристик eDrive (назва Microsoft для засобу BitLocker з апаратним прискоренням) можна знайти тут: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.

Ця вразливість також впливає на деякі SED, багато з яких підпадають під специфікацію TCG OPAL і OPAL2 , яка визначена тут: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.

Ця вразливість зачіпає самі диски, а не програмне забезпечення Dell Encryption, і ця вразливість стосується не всіх дисків. Dell співпрацює зі своїми постачальниками, щоб визначити наслідки та забезпечити наявність планів виправлення для постраждалих дисків.

Пом'якшення проблем із вразливостями за допомогою Dell Encryption

Для клієнтів, які використовують рішення Dell Self-Encrypting Drive Management, Dell пропонує додати додатковий рівень безпеки до своїх комп'ютерів. Клієнти повинні накладати шифрування на політику Dell на комп'ютери з дисками, які були визначені як потенційно вразливі, доки не з'явиться оновлена прошивка для цих дисків.

На пристроях, які використовують шифрування на основі політик у файлі SED, можна ввімкнути можливість шифрування SED за допомогою ключа шифрування системних даних. За додатковою інформацією звертайтесь за посиланням: Як увімкнути шифрування SDE для Dell Encryption Enterprise або Dell Encryption Personal на системах із самозашифрованими дисками.

Крім того, апаратне шифрування можна замінити на програмне шифрування з BitLocker, якщо потрібне рішення для шифрування всього обсягу.

Як вимкнути апаратне прискорення для BitLocker за допомогою Dell Encryption

Клієнти з BitLocker Manager від Dell, які стурбовані тим, що вони можуть бути вразливими до проблем, описаних у VU#395981 , можуть зменшити ризики, оновивши свої політики. Вимкнення політик за допомогою сервера Dell Security Management Use Hardware-Based Encryption for Fixed Data Drives, а також такої ж політики для дисків операційної системи та знімних дисків (кожен тип дисків має схожу політику використання апаратного прискорення, якщо така є) вимикає можливість використання апаратно-прискореного шифрування на цих дисках. Якщо для захисту диск використовується шифрування eDrive або апаратне прискорення, він розшифровує та повторно шифрує дані за допомогою методології на основі програмного забезпечення.

Ці політики базуються на кінцевих точках і містяться в політиці шифрування BitLocker , установленій у відповідній категорії для типу диска (том операційної системи, фіксований обсяг даних, знімний носій). Для отримання додаткових відомостей про зміну політики на сервері керування безпекою Dell перейдіть за посиланням: Як змінити політики на сервері захисту даних Dell

Для клієнтів, які не використовують сервер керування безпекою даних Dell, налаштуваннями, що дозволяють апаратне шифрування (якщо воно доступне на дисках), можна керувати за допомогою GPO або записів реєстру. Ці дані для GPO можна знайти на сайті Microsoft тут, у політиці для:

Як визначити, чи може бути порушена кінцева точка?

Для тих, хто хоче швидко з'ясувати, чи можуть диски бути вразливими, Dell може надати DellOpalCheckerLite, утиліта, яку можна використовувати, використовуючи скрипт для ідентифікації SED і визначення їх статусу.

Примітка: Dell Data Security ProSupport може надати цю утиліту, використовуючи чат (тільки для США) або по телефону, які можна знайти за посиланнями внизу цієї статті.

Об'єкт DellOpalCheckerLite можна запустити за допомогою командного рядка. Йому потрібен номер диска для диска, який ви хочете проаналізувати; Наприклад, для аналізу першого диска, який представлений операційній системі, який зазвичай є диском операційної системи, можна використовувати синтаксис:

DellOpalCheckerLite.exe 0

Якщо присутні додаткові номери дисків, у сценарії можуть бути передбачені додаткові рядки для виведення стану для інших дисків комп'ютера.

Для кожного екземпляра DellOpalCheckerLite запускається, змінна комп'ютера ERRORLEVEL оновлюється і може бути викликана для аналізу стану диска.

Цей список містить вихідні значення з запущеного файлу DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Тест показує, що установка буде успішною.
NOT_SUPPORTED 1 Тест показує, що цей диск не підтримується.
SUPPORTED_OWNED 2 Тест показує, що диск підтримується, але AdminSP вже належить.
COMPATIBILITY_ERROR 3 Тест вказує на якусь проблему сумісності.
NO_OPAL_DISK 4 Тест показав, що це не диск Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Тест вказує на активну блокування SP, а в AdminSP SID == MSID (попередній тест міг не вдатися).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Тест вказує на блокування SP активною, але AdminSP вже належить DellOpalChecker тестує SID (попередній тест міг не вдатися).
OTHER_ERROR 50 Якась інша невизначена помилка
PARAMETER_ERROR 100 Невірний параметр
MUST_BE_ADMINISTRATOR 101 Рівень виконання програми повинен бути Адміністратор для виконання тесту.

Ось приклад виведення диска, який є OPAL і підтримується (код повернення ERRORLEVEL = 0).

Приклад ERRORLEVEL = 0

Примітка: Клієнт Dell Encryption Policy Based Encryption, програмний клієнт із повним шифруванням диска та Dell Data Guardian не схильні до такого роду вразливостей, оскільки вони не використовують апаратне шифрування цих дисків.

Для отримання додаткової інформації про цю вразливість та приміток конкретних виробників звертайтесь за посиланням:

Група готовності до комп'ютерних надзвичайних ситуацій США: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.

Критично важливі: http://www.crucial.com/usa/en/support-ssd Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.

Додаткова інформація про вразливість: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.

Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.