Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Chyby zabezpečení týkající se samošifrovacích jednotek (CVE-2018-12037 a CVE-2018-12038): Opatření pro zmírnění dopadů u produktů Dell Encryption

Summary: Chyba zabezpečení disku SSD 395981 zmírňující problémy.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Dotčené produkty:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption – Nástroj BitLocker Manager
  • Dell Encryption – správa samošifrovací jednotky

Společnost Dell si je vědoma hlášení o chybách zabezpečení hardwarového šifrování některých samošifrovacích disků SSD, jak je popsáno v poznámce o chybě zabezpečení VU# 395981 Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.. Prověřujeme možný dopad těchto chyb zabezpečení na naše produkty a co nejrychleji poskytujeme aktualizace. Naší první prioritou je chránit zákazníky a zajistit zabezpečení jejich dat a počítačů.

Chyba zabezpečení uvedená v poznámce VU#395981 definuje charakteristiky chyby zabezpečení, která může umožnit přístup k diskům chráněným hardwarově akcelerovanými implementacemi nástroje BitLocker, které se běžně nazývají eDrive, spolu s mnoha disky SED.

Disky spravované nástrojem BitLocker pomocí hardwarového šifrování jsou založeny na specifikacích eDrive, což nemusí nutně znamenat, že se jedná o samošifrovací disky (SED). Specifikace eDrive vyžaduje soulad se standardem IEEE 1667, který se liší od specifikace OPAL2 mnoha technologií pro správu samošifrovací jednotky.

Požadavky na specifikace služby eDrive (název Společnosti Microsoft pro hardwarově akcelerovaný nástroj BitLocker) najdete zde: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveTento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies..

Tato chyba zabezpečení se týká také některých disků SED, z nichž mnohé spadají pod specifikaci TCG OPAL a OPAL2, která je zde definována: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies..

Tato chyba zabezpečení ovlivňuje samotné disky, nikoli software Dell Encryption, a ne všechny disky jsou touto chybou zabezpečení dotčeny. Společnost Dell spolupracuje s výrobci na určení dopadu a zajišťuje, aby byly pro dotčené disky zavedeny plány nápravy.

Cause

Není k dispozici

Resolution

Zmírnění problémů se zabezpečením nástroje Dell Encryption

Zákazníkům, kteří používají řešení Dell Self-Encrypting Drive Management, doporučuje společnost Dell přidat do počítačů další vrstvu zabezpečení. To se provádí vrstvením nástroje Dell Policy Based Encryption do počítačů s disky, které byly označeny jako potenciálně zranitelné, dokud pro tyto disky nebude k dispozici aktualizovaný firmware.

Zařízení se šifrováním disků SED založeném na zásadách mohou umožnit šifrování disků SED pomocí klíče System Data Encryption. Další informace najdete v článku: Jak povolit šifrování SDE pro aplikace Dell Encryption Enterprise nebo Dell Encryption Personal v systémech se samošifrovacími jednotkami.

Pokud je vyžadováno řešení šifrování celého svazku, může být i hardwarové šifrování nahrazeno softwarovým šifrováním pomocí nástroje BitLocker.

Jak deaktivovat hardwarovou akceleraci nástroje BitLocker s nástrojem Dell Encryption

Zákazníci s nástrojem BitLocker Manager společnosti Dell, kteří mají obavy, že se mohou setkat s problémy popsanými v rámci VU#395981, mohou snížit riziko aktualizací zásad. Zakázání zásad pomocí nástroje Dell Security Management Server of Use Hardware-Based Encryption pro pevné datové disky a stejné zásady pro jednotky operačního systému a vyměnitelné jednotky (každý typ jednotky má podobnou zásadu, která využívá hardwarovou akceleraci, pokud je k dispozici), deaktivuje možnost využívat na těchto discích hardwarově akcelerované šifrování. Pokud jednotka využívá pro ochranu šifrování eDrive nebo hardwarově akcelerované šifrování, disk data dešifruje a znovu zašifruje pomocí softwarové metody.

Tyto zásady jsou založeny na koncových bodech a nacházejí se v zásadě šifrování nástroje BitLocker nastavené v příslušné kategorii pro typ jednotky (svazek operačního systému, pevný datový svazek, vyměnitelné úložiště). Další informace o změně zásad v nástroji Dell Security Management Server naleznete v článku: Jak upravit zásady nástroje Dell Data Protection Server

Pro zákazníky, kteří nepoužívají nástroj Dell Data Security Management Server, lze nastavení pro hardwarové šifrování (pokud je k dispozici na discích) spravovat pomocí objektu zásad skupiny nebo položek registru. Tato data pro objekty zásad skupiny naleznete na webu společnosti Microsoft v rámci zásad pro:

Jak určím, zda může být ovlivněn koncový bod?

Pokud chcete rychle zjistit, zda jsou disky zranitelné, společnost Dell vám může poskytnout DellOpalCheckerLite, nástroj, který lze použít, pomocí skriptu identifikovat disky SED a určit jejich stav.

Poznámka: Tento nástroj může poskytovat služba Dell Data Security ProSupport prostřednictvím chatu (pouze v USA) nebo telefonicky, která se nachází na odkazech na konci tohoto článku.

Příkaz DellOpalCheckerLite lze spustit pomocí příkazového řádku. Potřebuje číslo disku, který chcete analyzovat. Například k analýze prvního disku prezentovaného operačnímu systému, který je běžně diskem operačního systému, můžete použít syntaxi:

DellOpalCheckerLite.exe 0

Pokud jsou přítomna další čísla disků, lze ve skriptu vytvořit další řádky pro výstup stavu ostatních disků v počítači.

V každém případě se DellOpalCheckerLite po spuštění se proměnná ERRORLEVEL počítače aktualizuje a lze ji zavolat k analýze stavu disku.

Tento seznam obsahuje hodnoty výstupu ze spuštění DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Test signalizuje, že instalace proběhla úspěšně.
NOT_SUPPORTED 1 Test signalizuje, že tento disk není podporován.
SUPPORTED_OWNED 2 Test signalizuje, že disk je podporovaný, ale AdminSP je již vlastněn.
COMPATIBILITY_ERROR 3 Test značí nějaký problém s kompatibilitou.
NO_OPAL_DISK 4 Test signalizuje, že se nejedná o disk Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Test signalizuje, že je aktivní uzamčení SP a AdminSP má SID == MSID (předchozí test mohl být neúspěšný).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Test signalizuje, že je aktivní uzamčení SP, ale AdminSP je již vlastněn testovacím SID nástroje DellOpalChecker (předchozí test mohl být neúspěšný).
OTHER_ERROR 50 Jiná nespecifikovaná chyba
PARAMETER_ERROR 100 Neplatný parametr
MUST_BE_ADMINISTRATOR 101 Aby bylo možné provést test, musí být úroveň spuštění správce.

Zde je příklad výstupu disku, který je OPAL a je podporován (návratový kód ERRORLEVEL = 0).

Příklad hodnoty ERRORLEVEL = 0
Obrázek 1: (Pouze v angličtině) Příklad hodnoty ERRORLEVEL = 0

Poznámka: Klient Dell Encryption Policy Based Encryption, softwarový klient Full Disk Encryption a software Dell Data Guardian nejsou tomuto typu chyby zabezpečení vystaveny, protože nepoužívají hardwarové šifrování těchto jednotek.

Další informace o této chybě zabezpečení a poznámky konkrétních výrobců naleznete v článku:

Tým připravenosti Spojených států na nouzové situace v oblasti počítačů: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

Další informace o této chybě zabezpečení: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.