Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Luki w zabezpieczeniach dysków samoszyfrujących (CVE-2018-12037 i CVE-2018-12038): Czynności zapobiegawcze dla produktów Dell Encryption.

Summary: Luka w zabezpieczeniach dysku SSD 395981 – jakie są sposoby zapobiegania problemom.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Dotyczy produktów:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption — Menedżer funkcji BitLocker
  • Dell Encryption — zarządzanie dyskami samoszyfrujcy

Firma Dell wie o zgłoszeniach luk w zabezpieczeniach szyfrowania sprzętowego niektórych samoszyfrujących dysków SSD, które zostały opisane w artykule Informacja dotycząca luki VU# 395981Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.. Badamy potencjalny wpływ tych luk w zabezpieczeniach na nasze produkty i możliwie jak najszybciej dostarczamy aktualizacje. Naszym priorytetem jest ochrona klientów oraz zapewnienie bezpieczeństwa ich danych i komputerów.

Luka opisana w informacji VU#395981 definiuje cechy luki w zabezpieczeniach, która może umożliwić dostęp do dysków chronionych przez sprzętowo przyspieszane implementacje funkcji BitLocker, powszechnie określane jako eDrive oraz do wielu dysków SED.

Dyski zarządzane przez funkcję BitLocker z przyspieszonym sprzętowo szyfrowaniem są oparte na specyfikacji eDrive, co nie musi oznaczać, że są to dyski samoszyfrujące się (SED). Specyfikacja eDrive wymaga zgodności z normą IEEE 1667, która różni się od specyfikacji OPAL2 wielu technologii zarządzania dyskami samoszyfrującymi Self-Encrypting Drive Management.

Wymagania techniczne usługi eDrive (nazwa Microsoft dla funkcji BitLocker przyspieszanej sprzętem) można znaleźć tutaj: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies..

Luka ta ma również wpływ na niektóre dyski SED, z których wiele jest objętych specyfikacją TCG OPAL i OPAL2, zdefiniowaną tutaj: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies..

Ta luka wpływa na same dyski, a nie oprogramowanie Dell Encryption, nie wszystkie dyski są zagrożone przez tę lukę w zabezpieczeniach. Firma Dell współpracuje ze swoimi dostawcami w celu określenia skutków oraz zapewnienia planów naprawczych dla dysków, których dotyczy problem.

Cause

Nie dotyczy

Resolution

Zapobieganie problemom z lukami w zabezpieczeniach dzięki Dell Encryption

W przypadku klientów korzystających z rozwiązania Dell Self-Encrypting Drive Management firma Dell zaleca dodanie dodatkowej warstwy zabezpieczeń do swoich komputerów. Odbywa się to poprzez warstwowanie szyfrowania opartego na zasadach firmy Dell na komputerach z dyskami, które zostały zidentyfikowane jako potencjalnie narażone do momentu udostępnienia zaktualizowanego oprogramowania wewnętrznego tych dysków.

Urządzenia z szyfrowaniem opartym na regułach na dysku SED mogą umożliwiać szyfrowanie dysków SED kluczem szyfrowania danych systemu. Aby uzyskać więcej informacji, należy zapoznać się z artykułem: Włączanie szyfrowania SDE dla oprogramowania Dell Encryption Enterprise lub Dell Encryption Personal w systemach z dyskami samoszyfrującymi.

Alternatywnie szyfrowanie sprzętowe można zastąpić szyfrowaniem opartym na oprogramowaniu funkcji BitLocker, jeśli wymagane jest rozwiązanie szyfrowania całego woluminu.

Wyłączanie akceleracji sprzętowej dla funkcji BitLocker za pomocą Dell Encryption

Klienci z oprogramowaniem BitLocker Manager firmy Dell, którzy niepokoją się, że mogą być narażeni na problemy opisane w VU#395981 mogą ograniczyć ryzyko, aktualizując swoje zasady. Wyłączenie zasad za pośrednictwem serwera Dell Security Management Server of Use Hardware-Based Encryption for Fixed Data Drives oraz tej samej zasady dotyczącej dysków i dysków wymiennych systemu operacyjnego (każdy typ dysku ma podobną zasadę wykorzystania akceleracji sprzętowej, jeśli jest dostępna), wyłącza możliwość wykorzystania szyfrowania przyspieszającego sprzęt na tych dyskach. Jeśli dysk korzysta z szyfrowania eDrive lub szyfrowania sprzętowo przyspieszonego w celu ochrony, dysk odszyfrowuje i ponownie szyfruje dane przy użyciu metodologii opartej na oprogramowaniu.

Zasady te są zasadami opartymi na punktach końcowych i znajdują się w zasadach szyfrowania BitLocker ustawionych w odpowiedniej kategorii dla typu dysku (wolumin systemu operacyjnego, stały wolumen danych, wymienna pamięć masowa). Aby uzyskać więcej informacji na temat modyfikowania zasady na serwerze Dell Security Management Server, należy zapoznać się z tematem: Modyfikowanie zasad na serwerze Dell Data Protection

W przypadku klientów, którzy nie korzystają z serwera Dell Data Security Management Server, ustawienia umożliwiające szyfrowanie sprzętowe (jeśli są dostępne na dyskach) można zarządzać za pomocą obiektu GPO lub wpisów rejestru. Te dane dla obiektów GPO można znaleźć w witrynie firmy Microsoft w tym miejscu, w sekcji zasad:

Jak sprawdzić, czy problem może dotyczyć punktu końcowego?

W przypadku osób, które chcą szybko sprawdzić, czy dyski twarde mogą być narażone, firma Dell może zapewnić DellOpalCheckerLite, narzędzie, którego można użyć przy użyciu skryptu do identyfikacji identyfikatorów SED i określania ich stanu.

Uwaga: To narzędzie może być dostarczone przez usługę Dell Data Security ProSupport za pomocą czatu (tylko USA) lub przez telefon, które znajdują się pod łączami w dolnej części tego artykułu.

Polecenie DellOpalCheckerLite można uruchomić za pomocą wiersza poleceń. Wymaga to numeru dysku, który chcesz przeanalizować; na przykład, aby przeanalizować pierwszy dysk przedstawiony systemowi operacyjnemu, który zwykle jest dyskiem z systemem operacyjnym, można użyć składni:

DellOpalCheckerLite.exe 0

Jeśli są dostępne dodatkowe numery dysków, dodatkowe wiersze można wpisać w skrypcie, aby wyświetlić stan dla innych dysków w komputerze.

W każdym wystąpieniu DellOpalCheckerLite jest uruchamiana, zmienna komputera ERRORLEVEL jest aktualizowana i może zostać wywołana w celu przeanalizowania stanu dysku.

Ta lista zawiera wartości wyjściowe z uruchomienia DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Test wskazuje, że instalacja zakończy się pomyślnie.
NOT_SUPPORTED 1 Test wskazuje, że ten dysk nie jest obsługiwany.
SUPPORTED_OWNED 2 Test wskazuje, że dysk jest obsługiwany, ale AdminSP jest już posiadany.
COMPATIBILITY_ERROR 3 Test wskazuje pewien problem ze zgodnością.
NO_OPAL_DISK 4 Test wskazuje, że nie jest to dysk Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Test wskazuje, że blokada SP jest aktywna, a AdminSP ma SID == MSID (poprzedni test mógł zakończyć się niepowodzeniem).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Test wskazuje, że blokada SP jest aktywna, ale AdminSP jest już posiadany przez SID testowania DellOpalChecker (poprzedni test mógł zakończyć się niepowodzeniem).
OTHER_ERROR 50 Inny nieokreślony błąd
PARAMETER_ERROR 100 Nieprawidłowy parametr
MUST_BE_ADMINISTRATOR 101 Aby przeprowadzić test, poziomem wykonywania programu musi być administrator.

Poniżej przedstawiono przykładowy wynik dla dysku, który jest dyskiem OPAL i jest obsługiwany (kod błędu ERRORLEVEL = 0).

Przykład błędu ERRORLEVEL = 0
Rysunek 1. (Tylko w języku angielskim) Przykład błędu ERRORLEVEL = 0

Uwaga: Klient szyfrowania opartego na zasadach Dell,Encryption klient opary na oprogramowaniu Full Disk Encryption i program Dell Data Guardian nie są narażone na tego rodzaju lukę w zabezpieczeniach, ponieważ nie korzystają one ze sprzętowo przyspieszonego szyfrowania tych dysków.

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i uwag określonych producentów, należy zapoznać się z publikacjami:

Organizacji United States Computer Emergency Readiness Team: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

Więcej informacji na temat luki w zabezpieczeniach: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.