Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Beveiligingslekken in zelfversleutelende schijven (CVE-2018-12037 en CVE-2018-12038): Risicobeperkingsstappen voor Dell Encryption producten.

Summary: Het beveiligingslek met betrekking tot de Solid State-schijf 395981 wat de beperkingsproblemen zijn.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Betreffende producten:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption - BitLocker Manager
  • Dell Encryption - Zelfversleutelend schijfbeheer

Dell is bekend met meldingen van beveiligingslekken in de hardwareversleuteling van bepaalde zelfversleutelende Solid State-schijven zoals beschreven in Beveiligingsopmerking VU# 395981Deze hyperlink brengt u naar een website buiten Dell Technologies.. We onderzoeken de mogelijke gevolgen van deze beveiligingslekken op onze producten en leveren zo snel mogelijk updates. Onze eerste prioriteit ligt bij het beschermen van klanten en het garanderen van de beveiliging van hun data en computers.

Het beveiligingslek dat wordt beschreven in opmerking VU#395981 definieert kenmerken van een beveiligingslek waarmee toegang kan worden geboden tot schijven die worden beschermd door bitLocker-implementaties met hardware- en hardwareversnelling, die vaak worden aangeduid als eDrive, samen met veel SSD's.

Schijven die worden beheerd door BitLocker met hardwareversnellingsversleuteling zijn gebaseerd op de eDrive-specificatie , wat niet noodzakelijkerwijs betekent dat ze zelfversleutelende schijven (SED) zijn. De eDrive-specificatie vereist IEEE 1667-naleving , wat afwijkt van de OPAL2-specificatie van veel zelfversleutelende schijfbeheertechnologieën.

De specificatievereisten voor eDrive (de Microsoft-naam voor de met hardware versnelde BitLocker) vindt u hier: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveDeze hyperlink brengt u naar een website buiten Dell Technologies..

Dit beveiligingslek heeft ook invloed op sommige SSD's, waarvan veel onder de TCG OPAL- en OPAL2-specificatie vallen, die hier wordt gedefinieerd: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/Deze hyperlink brengt u naar een website buiten Dell Technologies..

Dit beveiligingslek is van invloed op de schijven zelf en niet op de Dell Encryption software, en niet alle schijven worden beïnvloed door dit beveiligingslek. Dell werkt samen met zijn leveranciers om de impact te bepalen en ervoor te zorgen dat er herstelplannen zijn voor getroffen schijven.

Cause

Niet van toepassing

Resolution

Beveiligingsproblemen met Dell Encryption beperken

Voor klanten die de Dell Self-Encrypting Drive Management-oplossing gebruiken, raadt Dell aan om een extra beveiligingslaag toe te voegen aan hun computers. Dit wordt gedaan door Dell Policy Based Encryption te gelaagd op computers met schijven die zijn geïdentificeerd als mogelijk kwetsbaar totdat bijgewerkte firmware voor deze schijven beschikbaar is.

Apparaten met Policy Based Encryption op een SED kunnen de mogelijkheid inschakelen om de SSD's te versleutelen met de Sleutel voor systeemdataversleuteling. Raadpleeg voor meer informatie: SDE Encryption inschakelen voor Dell Encryption Enterprise of Dell Encryption Personal op systemen met zelfversleutelende schijven.

U kunt de op hardware gebaseerde versleuteling ook vervangen als softwarematige versleuteling van BitLocker als een versleutelingsoplossing voor het hele volume is vereist.

Hardwarematige versnelling uitschakelen voor BitLocker met Dell Encryption

Klanten met de BitLocker Manager van Dell die bang zijn dat ze kwetsbaar kunnen zijn voor de problemen die worden beschreven in VU#395981 kunnen de risico's beperken door hun beleid bij te werken. Als u het beleid uitschakelt via de Dell Security Management Server of Use Hardware-Based Encryption for Fixed Data Drives, en hetzelfde beleid voor stations van het besturingssysteem en verwisselbare schijven (elk type schijf heeft een vergelijkbaar beleid om hardwareversnelling te gebruiken, indien beschikbaar), wordt de mogelijkheid uitgeschakeld voor het gebruik van de hardwareversnellingsversleuteling op deze schijven. Als een schijf gebruik had gemaakt van eDrive of hardware-versnelde versleuteling voor bescherming, ontsleutelt en hersleutelt de schijf de data met een op software gebaseerde methodologie.

Deze policy's zijn policyregels op basis van eindpunten en bevinden zich binnen het BitLocker-versleutelingsbeleid dat is ingesteld in de betreffende categorie voor het schijftype (volume van het besturingssysteem, vast datavolume, verwisselbare storage). Raadpleeg voor meer informatie over het wijzigen van een beleid binnen de Dell Security Management Server: Beleid wijzigen op de Dell Data Protection Server

Voor klanten die de Dell Data Security Management Server niet uitvoeren, kunnen de instellingen voor hardwaregebaseerde versleuteling (als deze beschikbaar is op stations) worden beheerd met behulp van GPO- of registervermeldingen. Deze data zijn hier te vinden voor GPO's op de website van Microsoft, onder het beleid voor:

Hoe kan ik bepalen of een eindpunt kan worden beïnvloed?

Voor degenen die snel willen ontdekken of schijven kwetsbaar kunnen zijn, kan Dell de DellOpalCheckerLite, een hulpprogramma dat kan worden gebruikt, met behulp van een script om SSD's te identificeren en hun status te bepalen.

Opmerking: Dit hulpprogramma kan worden geleverd door Dell Data Security ProSupport via chat (alleen VS) of telefonisch, te vinden op de koppelingen onder aan dit artikel.

De DellOpalCheckerLite kan worden uitgevoerd met behulp van de opdrachtregel. Het heeft het schijfnummer nodig voor de schijf die u wilt analyseren; Als u bijvoorbeeld de eerste schijf wilt analyseren die aan het besturingssysteem wordt gepresenteerd, wat meestal het station van het besturingssysteem is, kunt u de syntaxis gebruiken:

DellOpalCheckerLite.exe 0

Als er extra schijfnummers aanwezig zijn, kunnen in een script extra regels worden gegeven om de status voor andere schijven in de computer uit te voeren.

Voor elke instantie DellOpalCheckerLite wordt uitgevoerd, wordt de errorlevel-computervariabele bijgewerkt en kan worden aangeroepen om de status van de schijf te analyseren.

Deze lijst bevat de uitvoerwaarden van het uitvoeren van de DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 De test geeft aan dat de installatie zou slagen.
NOT_SUPPORTED 1 De test geeft aan dat deze schijf niet wordt ondersteund.
SUPPORTED_OWNED 2 De test geeft aan dat de schijf wordt ondersteund, maar dat AdminSP al eigenaar is.
COMPATIBILITY_ERROR 3 De test geeft een compatibiliteitsprobleem aan.
NO_OPAL_DISK 4 De test geeft aan dat dit geen Opal-schijf is.
LOCKINGSP_ACTIVE_NOT_OWNED 6 De test geeft aan dat de SP is vergrendeld en AdminSP heeft SID == MSID (vorige test is mogelijk mislukt).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 De test geeft aan dat de SP is vergrendeld, maar adminSP al in het bezit is van de DellOpalChecker test-SID (vorige test is mogelijk mislukt).
OTHER_ERROR 50 Een andere niet-gespecificeerde fout
PARAMETER_ERROR 100 Ongeldige parameter
MUST_BE_ADMINISTRATOR 101 Het uitvoeringsniveau van het programma moet administrator zijn om de test uit te voeren.

Hier volgt een voorbeeld van een schijf die OPAL is en wordt ondersteund (Return code ERRORLEVEL = 0).

Voorbeeld van ERRORLEVEL = 0
Afbeelding 1: (Alleen In het Engels) Voorbeeld van ERRORLEVEL = 0

Opmerking: Dell Encryption Policy Based Encryption client, softwarematige Full Disk Encryption client en Dell Data Guardian worden niet blootgesteld aan dit soort beveiligingslekken omdat ze de hardwareversnelling van deze schijven niet gebruiken.

Raadpleeg voor meer informatie over dit beveiligingslek en opmerkingen van specifieke fabrikanten:

Computerhulpverleners in de Verenigde Staten: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Deze hyperlink brengt u naar een website buiten Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Deze hyperlink brengt u naar een website buiten Dell Technologies.

Cruciaal: http://www.crucial.com/usa/en/support-ssd Deze hyperlink brengt u naar een website buiten Dell Technologies.

Meer informatie over het beveiligingslek: https://www.kb.cert.org/vuls/id/395981/ Deze hyperlink brengt u naar een website buiten Dell Technologies.

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.