Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Sikkerhedsrisici i forbindelse med selvkrypterende drev (CVE-2018-12037 og CVE-2018-12038): Afbødningstrin for Dell Encryption-produkter

Summary: Sårbarhed i forbindelse med solid state-drev 395981 hvad er de afhjælpende problemer.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Berørte produkter:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell-kryptering – BitLocker Manager
  • Dell Encryption – Administration af selvkrypterende drev

Dell er opmærksom på rapporter om sårbarheder i hardwarekrypteringen på visse selvkrypterende solid state-drev som beskrevet i Vulnerability Note VU# 395981Dette hyperlink fører dig til et websted uden for Dell Technologies.. Vi undersøger den mulige indvirkning af disse sårbarheder på vores produkter og leverer opdateringer så hurtigt som muligt. Vores første prioritet er at beskytte vores kunder og sikre deres data og computere.

Den sårbarhed, der er beskrevet i note VU#395981 , definerer egenskaberne ved en sikkerhedsrisiko, der kan give adgang til drev, der er beskyttet af hardwareaccelererede BitLocker-implementeringer, almindeligvis kaldet eDrive, sammen med mange SED'er.

Drev, der administreres af BitLocker med hardwareaccelereret kryptering, er baseret på eDrive-specifikationen , hvilket ikke nødvendigvis betyder, at de er selvkrypterende drev (SED) (eDrive-specifikationenkræver IEEE 1667-overholdelse , hvilket adskiller sig fra OPAL2-specifikationen for mange administrationsteknologier til selvkrypterende drev).

Specifikationskravene til eDrive (Microsoft-navnet for den hardwareaccelererede BitLocker) findes her: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Dette hyperlink fører dig til et websted uden for Dell Technologies.

Denne sårbarhed påvirker også nogle SED'er, hvoraf mange falder ind under TCG OPAL- og OPAL2-specifikationen, som er defineret her: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Dette hyperlink fører dig til et websted uden for Dell Technologies.

Denne sårbarhed påvirker selve diskene og ikke Dell Encryption-softwaren, og denne sårbarhed påvirker ikke alle drev. Dell arbejder sammen med sine leverandører for at fastslå virkningen og sikre, at der er planer for afhjælpning af de berørte drev.

Afhjælp sårbarhedsproblemer med Dell Encryption

Kunder, der bruger Dell Self-Encrypting Drive Management-løsningen, foreslår Dell, at de tilføjer et ekstra lag sikkerhed til deres computere. Kunder bør lægge Dells politikbaserede kryptering i lag på computere med drev, der er blevet identificeret som potentielt sårbare, indtil opdateret firmware til disse diske er tilgængelig.

Enheder, der kører politikbaseret kryptering på en SED, kan aktivere muligheden for at kryptere SED'er med systemdatakrypteringsnøglen. Du kan finde flere oplysninger i: Sådan aktiverer du SDE-kryptering for Dell Encryption Enterprise eller Dell Encryption Personal på systemer med selvkrypterende drev.

Alternativt kan den hardwarebaserede kryptering erstattes som en softwarebaseret kryptering fra BitLocker, hvis der kræves en samlet krypteringsløsning.

Sådan deaktiverer du hardwarebaseret acceleration for BitLocker med Dell Encryption

Kunder med Dells BitLocker Manager, som er bekymrede for, at de kan være sårbare over for de problemer, der er beskrevet i VU#395981 kan mindske risikoen ved at opdatere deres politikker. Deaktivering af politikker via Dell Security Management Server of Use hardwarebaseret kryptering for faste datadrev og den samme politik for operativsystemdrev og flytbare drev (hver drevtype har en lignende politik for udnyttelse af hardwareacceleration, hvis tilgængelig) deaktiverer muligheden for, at den hardwareaccelererede kryptering kan udnyttes på disse drev. Hvis et drev har udnyttet eDrive eller hardwareaccelereret kryptering til beskyttelse, dekrypterer og krypterer drevet dataene igen med en softwarebaseret metode.

Disse politikker er slutpunktsbaserede politikker og findes inden for den BitLocker-krypteringspolitik , der er angivet i den respektive kategori for drevtypen (operativsystemdiskenhed, fast datavolumen, flytbart lager). Du kan finde flere oplysninger om ændring af en politik i Dell Security Management Server i: Sådan ændrer du politikker på Dell Data Protection Server

For kunder, der ikke kører Dell Data Security Management Server, kan indstillingerne for hardwarebaseret kryptering (hvis den findes på drev) administreres ved hjælp af GPO- eller registreringsdatabaseposter. Disse data kan findes for GPO'er på Microsofts websted her under politikkerne for:

Hvordan finder jeg ud af, om et slutpunkt kan blive påvirket?

Dell kan levere følgende til dem, der hurtigt vil finde ud af, om drevene kan være sårbare. DellOpalCheckerLite, et værktøj, der kan bruges ved hjælp af et script til at identificere SED'er og bestemme deres status.

Bemærk: Dell Data Security ProSupport kan levere dette hjælpeprogram via chat (kun USA) eller telefonisk, som findes via linkene nederst i denne artikel.

Ikonet DellOpalCheckerLite Kan køres ved hjælp af kommandolinjen. Det har brug for drevnummeret til den disk, man ønsker at analysere; Hvis du f.eks. vil analysere den første disk, der præsenteres for operativsystemet, som normalt er operativsystemdrevet, kan du bruge syntaksen:

DellOpalCheckerLite.exe 0

Hvis der findes flere disknumre, kan der angives yderligere linjer i et script til output af status for andre diske i computeren.

For hvert tilfælde DellOpalCheckerLite køres, opdateres computervariablen ERRORLEVEL og kan kaldes for at analysere diskens status.

Denne liste indeholder outputværdierne fra kørsel af DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Test indikerer, at installationen vil lykkes.
NOT_SUPPORTED 1 Test indikerer, at denne disk ikke er understøttet.
SUPPORTED_OWNED 2 Test angiver, at disken er understøttet, men at AdminSP allerede er ejet.
COMPATIBILITY_ERROR 3 Test indikerer et kompatibilitetsproblem.
NO_OPAL_DISK 4 Test viser, at dette ikke er nogen Opal-disk.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Test indikerer låsning af SP aktiv, og AdminSP har SID == MSID (forrige test mislykkedes muligvis).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Test indikerer, at SP låses aktiv, men AdminSP ejes allerede af DellOpalChecker-test-SID (tidligere test mislykkedes muligvis).
OTHER_ERROR 50 En anden uspecificeret fejl
PARAMETER_ERROR 100 Ugyldigt parameter
MUST_BE_ADMINISTRATOR 101 Programudførelsesniveauet skal være Administrator for at udføre testen.

Her er et eksempel på output for et drev, der er OPAL og understøttes (returkode ERRORLEVEL = 0).

Eksempel på ERRORLEVEL = 0

Bemærk: Dell Encryption Policy Based Encryption-klient, softwarebaseret Full Disk Encryption-klient og Dell Data Guardian er ikke udsat for denne form for sårbarhed, da de ikke bruger den hardwareaccelererede kryptering af disse drev.

Du kan finde flere oplysninger om denne sårbarhed og bemærkninger fra specifikke producenter i:

United States Computer Emergency Readiness Team: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Dette hyperlink fører dig til et websted uden for Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Dette hyperlink fører dig til et websted uden for Dell Technologies.

Afgørende: http://www.crucial.com/usa/en/support-ssd Dette hyperlink fører dig til et websted uden for Dell Technologies.

Yderligere oplysninger om sårbarheden: https://www.kb.cert.org/vuls/id/395981/ Dette hyperlink fører dig til et websted uden for Dell Technologies.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.