Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

SED(Self-Encrypting Drive) 취약성(CVE-2018-12037 및 CVE-2018-12038): Dell Encryption 제품의 완화 단계.

Summary: 솔리드 스테이트 드라이브 취약성 395981, 완화 문제는 무엇입니까?

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

영향을 받는 제품:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption - BitLocker Manager
  • Dell Encryption - 자체 암호화 드라이브 관리

Dell은 취약성 참고 사항 VU#395981 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.에 설명된 특정 자체 암호화 솔리드 스테이트 드라이브의 하드웨어 암호화에서 발생하는 취약성에 대한 보고를 받았습니다. Dell은 이러한 취약성이 Dell 제품에 미칠 수 있는 영향을 조사하고 있으며 최대한 신속하게 업데이트를 제공합니다. Dell의 첫 번째 우선 순위는 고객을 보호하고 데이터와 컴퓨터의 보안을 유지하는 것입니다.

참고 사항 VU #395981에 요약된 취약성은 많은 SED와 함께 일반적으로 eDrive로 참조되는 하드웨어 가속 BitLocker 구현으로 보호되는 드라이브에 액세스할 수 있는 취약성의 특성을 정의합니다.

하드웨어 가속 암호화를 사용하는 BitLocker로 관리되는 드라이브는 eDrive 사양을 기반으로 하며 반드시 SED(Self Encrypting Drives)를 의미하지는 않습니다. eDrive 사양의 경우 IEEE 1667 규정 준수가 필요하며, 이는 많은 SED(Self Encrypting Drive) 관리 기술의 OPAL2 사양과는 다릅니다.

eDrive의 사양 요구 사항(하드웨어 가속 BitLocker의 Microsoft 이름)은 https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다..

이 취약성은 일부 SED에도 영향을 미치며, 그 중 상당수는 TCG OPALOPAL2 사양에 속하며, 이 사양은 https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다..

이 취약성은 Dell Encryption 소프트웨어가 아닌 디스크 자체에 영향을 미치며, 모든 드라이브가 이 취약성의 영향을 받는 것은 아닙니다. Dell은 공급업체들과 협력하여 미치는 영향을 확인하고 영향을 받는 드라이브에 대한 개선 계획을 수립합니다.

Cause

해당 사항 없음

Resolution

Dell Encryption의 취약성 문제 완화

Dell Self-Encrypting Drive Management 솔루션을 사용하는 고객의 경우 컴퓨터에 보안 계층을 더 추가하는 것이 좋습니다. 이 작업은 이러한 디스크에 대해 업데이트된 펌웨어를 사용할 수 있을 때까지 잠재적으로 취약한 것으로 확인된 드라이브가 있는 컴퓨터에 Dell 정책 기반 암호화를 계층화함으로써 수행됩니다.

SED에서 정책 기반 암호화를 실행하는 디바이스는 시스템 데이터 암호화 키로 SED를 암호화할 수 있습니다. 자세한 내용은 다음을 참조하십시오. SED(Self-Encrypting Drive)가 있는 시스템에서 Dell Encryption Enterprise 또는 Dell Encryption Personal에 대해 SDE Encryption을 활성화하는 방법

또는 전체 볼륨 암호화 솔루션이 필요한 경우 하드웨어 기반 암호화를 BitLocker의 소프트웨어 기반 암호화로 대체할 수 있습니다.

Dell Encryption을 사용하는 BitLocker에 대한 하드웨어 기반 가속을 비활성화하는 방법

VU#395981에서 설명한 문제점에 취약할 수 있다고 우려하여 Dell의 BitLocker Manager를 사용하는 고객은 정책을 업데이트하여 위험을 완화할 수 있습니다. 고정 데이터 드라이브용 Dell Security Management Server의 하드웨어 기반 암호화와 운영 체제 드라이브 및 이동식 드라이브에 대한 동일한 정책을 통해 정책을 비활성화하면(각 드라이브 유형에 하드웨어 가속을 활용하는 것과 유사한 정책이 있음) 이러한 드라이브에서 하드웨어 가속 암호화를 활용하는 기능이 비활성화됩니다. 드라이브가 보호를 위해 eDrive 또는 하드웨어 가속 암호화를 사용한 경우 드라이브는 소프트웨어 기반 방법으로 데이터를 암호 해독하고 다시 암호화합니다.

이러한 정책은 엔드포인트 기반 정책이며 드라이브 유형(운영 체제 볼륨, 고정 데이터 볼륨, 이동식 스토리지)의 해당 범주 내에 설정된 BitLocker 암호화 정책 내에 있습니다. Dell Security Management Server 내의 정책 수정에 대한 자세한 내용은 다음을 참조하십시오. Dell Data Protection Server에서 정책을 수정하는 방법

Dell Data Security Management Server를 실행하지 않는 고객의 경우 GPO 또는 레지스트리 항목을 사용하여 하드웨어 기반 암호화(드라이브에서 사용 가능한 경우)를 허용하는 설정을 관리할 수 있습니다. 이 데이터는 Microsoft 사이트의 다음 정책에 있는 GPO에서 찾을 수 있습니다.

엔드포인트가 영향을 받는지 어떻게 확인할 수 있습니까?

드라이브가 취약할 수 있는지 신속하게 찾고자 하는 고객을 위해 Dell은 DellOpalCheckerLite스크립트를 사용하여 SED를 식별하고 상태를 결정하는 데 사용할 수 있는 유틸리티입니다.

참고: 이 유틸리티는 채팅(미국만 해당)을 사용하는 Dell Data Security ProSupport 또는 전화로 제공될 수 있습니다. 이 문서의 하단에 있는 링크에서 찾을 수 있습니다.

비디오 DellOpalCheckerLite 명령줄을 사용하여 실행할 수 있습니다. 분석하려는 디스크의 드라이브 번호가 필요합니다. 예를 들어 운영 체제에 표시되는 첫 번째 디스크(일반적으로 운영 체제 드라이브)를 분석하려면 다음 구문을 사용하면 됩니다.

DellOpalCheckerLite.exe 0

추가 디스크 번호가 있는 경우 스크립트에 추가 줄을 입력하여 컴퓨터의 다른 디스크에 대한 상태를 출력할 수 있습니다.

각 인스턴스에 대해 DellOpalCheckerLite 는 실행되고 ERRORLEVEL 컴퓨터 변수가 업데이트되며 디스크 상태를 분석하기 위해 호출할 수 있습니다.

이 목록에는 다음을 실행하는 출력 값이 포함되어 있습니다. DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 테스트 결과 설치가 성공했음을 나타냅니다.
NOT_SUPPORTED 1 테스트 결과 이 디스크가 지원되지 않음을 나타냅니다.
SUPPORTED_OWNED 2 테스트 결과 디스크는 지원되지만 AdminSP를 이미 소유하고 있음을 나타냅니다.
COMPATIBILITY_ERROR 3 테스트 결과 일부 호환성 문제가 있습니다.
NO_OPAL_DISK 4 테스트 결과 Opal 디스크가 없는 것으로 나타납니다.
LOCKINGSP_ACTIVE_NOT_OWNED 6 테스트 결과 잠금 SP가 활성 상태이고 AdminSP의 SID == MSID임을 나타냅니다(이전 테스트에서 실패했을 수 있음).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 테스트 결과 잠금 SP가 활성 상태이지만 DellOpalChecker 테스트 SID가 AdminSP를 이미 소유하고 있음을 나타냅니다(이전 테스트에 실패했을 수 있음).
OTHER_ERROR 50 지정되지 않은 기타 오류
PARAMETER_ERROR 100 유효하지 않은 매개변수
MUST_BE_ADMINISTRATOR 101 테스트를 수행하려면 프로그램 실행 수준이 관리자여야 합니다.

다음은 OPAL이며 지원되는 드라이브의 출력 예입니다(반환 코드 ERRORLEVEL = 0).

ERRORLEVEL의 예 = 0
그림 1: (영어로만 제공) ERRORLEVEL = 0의 예

참고: Dell 암호화 정책 기반 암호화 클라이언트, 소프트웨어 기반 전체 디스크 암호화 클라이언트 및 Dell Data Guardian은 이러한 드라이브의 하드웨어 가속 암호화를 사용하지 않기 때문에 이러한 종류의 취약성에 노출되지 않습니다.

이 취약성에 대한 자세한 내용 및 특정 제조업체의 참고 사항은 다음을 참조하십시오.

US-CERT(United States Computer Emergency Readiness Team): https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

Crucial: http://www.crucial.com/usa/en/support-ssd 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

취약성에 대한 자세한 내용은 https://www.kb.cert.org/vuls/id/395981/을 참조하십시오. 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.


지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.