Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Kwetsbaarheden in zelfversleutelende schijven (CVE-2018-12037 en CVE-2018-12038): Risicobeperkende stappen voor Dell Encryption producten

Summary: Beveiligingslek met betrekking tot SSD 395981 wat zijn de beperkende problemen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Betreffende producten:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption - BitLocker Manager
  • Dell Encryption - Zelfversleutelend schijfbeheer

Dell is op de hoogte van meldingen van beveiligingslekken in de hardwareversleuteling van bepaalde zelfversleutelende SSD's, zoals beschreven in Kwetsbaarheidsnota VU# 395981Deze hyperlink leidt u naar een website buiten Dell Technologies.. We onderzoeken de mogelijke impact van deze kwetsbaarheden op onze producten en zorgen zo snel mogelijk voor updates. Onze eerste prioriteit is het beschermen van onze klanten en het waarborgen van de veiligheid van hun gegevens en computers.

Het beveiligingslek dat wordt beschreven in opmerking VU#395981 definieert kenmerken van een beveiligingslek dat toegang mogelijk maakt tot schijven die worden beschermd door hardwareversnelde BitLocker-implementaties, ook wel eDrive genoemd, samen met veel SSD's.

Schijven die worden beheerd door BitLocker met hardwareversnelde versleuteling zijn gebaseerd op de eDrive-specificatie . Dit betekent niet noodzakelijkerwijs dat het zelfversleutelende schijven (SED's) zijn (de eDrive-specificatievereist IEEE 1667-compatibiliteit , wat afwijkt van de OPAL2-specificatie van veel zelfversleutelende schijfbeheertechnologieën).

De specificatievereisten voor eDrive (de Microsoft-naam voor de hardwareversnelde BitLocker) vindt u hier: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Deze hyperlink leidt u naar een website buiten Dell Technologies.

Dit beveiligingslek treft ook sommige SSD's, waarvan er vele vallen onder de TCG OPAL - en OPAL2-specificatie , die hier wordt gedefinieerd: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Deze hyperlink leidt u naar een website buiten Dell Technologies.

Dit beveiligingslek treft de schijven zelf en niet de Dell Encryption software, en dit beveiligingslek treft niet alle schijven. Dell werkt samen met zijn leveranciers om de impact te bepalen en ervoor te zorgen dat er herstelplannen zijn voor getroffen schijven.

Beveiligingsproblemen beperken met Dell Encryption

Voor klanten die de Dell Self-Encrypting Drive Management-oplossing gebruiken, raadt Dell aan een extra beveiligingslaag toe te voegen aan hun computers. Klanten dienen Dell Policy Based Encryption aan te brengen op computers met schijven die zijn geïdentificeerd als potentieel kwetsbaar totdat bijgewerkte firmware voor deze schijven beschikbaar is.

Apparaten waarop op beleid gebaseerde versleuteling op een SED wordt uitgevoerd, kunnen de mogelijkheid inschakelen om de SSD's te versleutelen met de sleutel voor systeemdataversleuteling. Raadpleeg voor meer informatie: SDE-versleuteling inschakelen voor Dell Encryption Enterprise of Dell Encryption Personal op systemen met zelfversleutelende schijven.

Als alternatief kan de hardwaregebaseerde versleuteling worden vervangen door een softwaregebaseerde versleuteling van BitLocker als een oplossing voor versleuteling van het hele volume vereist is.

Hardwaregebaseerde versnelling uitschakelen voor BitLocker met Dell Encryption

Klanten met de BitLocker Manager van Dell die bang zijn dat ze kwetsbaar zijn voor de problemen die worden beschreven in VU#395981 , kunnen risico's beperken door hun beleid bij te werken. Het uitschakelen van het beleid via de Dell Security Management Server voor het gebruik van hardwaregebaseerde versleuteling voor vaste dataschijven en hetzelfde beleid voor schijven met besturingssysteem en verwisselbare schijven (elk schijftype heeft een vergelijkbaar beleid voor het benutten van hardwareversnelling, indien beschikbaar) schakelt de mogelijkheid uit voor de hardwareversnelde versleuteling op deze schijven. Als een station eDrive of hardwareversnelde versleuteling heeft gebruikt voor bescherming, worden de data door het station versleuteld en opnieuw versleuteld met een op software gebaseerde methodologie.

Deze beleidsregels zijn gebaseerd op eindpunten en bevinden zich binnen het BitLocker-versleutelingsbeleid dat is ingesteld binnen de betreffende categorie voor het schijftype (Operating System Volume, Fixed Data Volume, Removable Storage). Raadpleeg voor meer informatie over het wijzigen van een beleid in de Dell Security Management Server: Beleid wijzigen op de Dell Data Protection Server

Voor klanten die de Dell Data Security Management Server niet gebruiken, kunnen de instellingen voor hardwaregebaseerde versleuteling (als deze beschikbaar is op schijven) worden beheerd met behulp van GPO of registervermeldingen. Deze data voor GPO's vindt u hier op de site van Microsoft, onder het beleid voor:

Hoe bepaal ik of een eindpunt mogelijk wordt beïnvloed?

Voor degenen die snel willen zien of schijven kwetsbaar kunnen zijn, kan Dell het volgende bieden: DellOpalCheckerLite, een hulpprogramma dat met behulp van een script kan worden gebruikt om SED's te identificeren en hun status te bepalen.

Opmerking: Dell Data Security ProSupport kan dit hulpprogramma leveren via chat (alleen VS) of telefonisch, te vinden via de koppelingen onder aan dit artikel.

De DellOpalCheckerLite Kan worden uitgevoerd met behulp van de opdrachtregel. Het heeft het schijfnummer nodig voor de schijf die men wil analyseren; Als u bijvoorbeeld de eerste schijf wilt analyseren die aan het besturingssysteem wordt gepresenteerd, meestal de schijf van het besturingssysteem, kunt u de syntaxis gebruiken:

DellOpalCheckerLite.exe 0

Als er extra schijfnummers aanwezig zijn, kunnen extra regels in een script worden opgegeven om de status voor andere schijven in de computer weer te geven.

Voor elke instantie wordt de DellOpalCheckerLite wordt uitgevoerd, wordt de ERRORLEVEL-computervariabele bijgewerkt en kan deze worden aangeroepen om de status van de schijf te analyseren.

Deze lijst bevat de uitvoerwaarden van het uitvoeren van de DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 De test geeft aan dat de installatie is geslaagd.
NOT_SUPPORTED 1 Test geeft aan dat deze schijf niet wordt ondersteund.
SUPPORTED_OWNED 2 Test geeft aan dat de schijf wordt ondersteund, maar dat AdminSP al eigenaar is.
COMPATIBILITY_ERROR 3 Test geeft een compatibiliteitsprobleem aan.
NO_OPAL_DISK 4 De test geeft aan dat dit geen Opal-schijf is.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Test geeft aan dat SP actief is en dat AdminSP SID == MSID heeft (vorige test is mogelijk mislukt).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Test geeft aan dat SP actief is, maar AdminSP is al eigendom van de DellOpalChecker test-SID (vorige test is mogelijk mislukt).
OTHER_ERROR 50 Een andere niet-gespecificeerde fout
PARAMETER_ERROR 100 Ongeldige parameter
MUST_BE_ADMINISTRATOR 101 Het uitvoeringsniveau van het programma moet Administrator zijn om de test uit te voeren.

Hier is een voorbeeld van een uitvoer van een schijf die OPAL is en wordt ondersteund (Return code ERRORLEVEL = 0).

Voorbeeld van ERRORLEVEL = 0

Opmerking: De Dell Encryption Policy Based Encryption-client, de softwaregebaseerde Full Disk Encryption-client en Dell Data Guardian worden niet blootgesteld aan dit soort beveiligingslekken, omdat ze geen hardware-versnelde versleuteling van deze schijven gebruiken.

Raadpleeg voor meer informatie over dit beveiligingslek en opmerkingen van specifieke fabrikanten:

Computer Emergency Readiness Team van de Verenigde Staten: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Deze hyperlink leidt u naar een website buiten Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Deze hyperlink leidt u naar een website buiten Dell Technologies.

Cruciaal: http://www.crucial.com/usa/en/support-ssd Deze hyperlink leidt u naar een website buiten Dell Technologies.

Meer informatie over het beveiligingslek: https://www.kb.cert.org/vuls/id/395981/ Deze hyperlink leidt u naar een website buiten Dell Technologies.

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.