Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Уязвимости самошифруемых дисков (CVE-2018-12037 и CVE-2018-12038). Шаги по устранению для продуктов Dell Encryption.

Summary: Уязвимость твердотельных накопителей 395981, трудности устранения.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Затронутые продукты:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption — BitLocker Manager
  • Dell Encryption — управление самошифруемыми дисками

Dell в курсе сообщений об уязвимостях в шифровании оборудования определенных самошифруемых твердотельных накопителей, как описано в примечании об уязвимости VU# 395981 Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.. Мы исследуем возможное влияние этих уязвимостей на наши продукты и предоставляем обновления как можно быстрее. Наш приоритет — защита клиентов и обеспечение безопасности их данных и компьютеров.

Уязвимость, описанная в примечании VU#395981, определяет характеристики уязвимости, которая может позволить доступ к накопителям, защищенным реализациями BitLocker с аппаратным ускорением, которые обычно называются eDrive, наряду с многими SED.

Накопители под управлением BitLocker с аппаратно-ускоренным шифрованием основаны на технических характеристиках eDrive, что не обязательно означает, что они являются самошифруемыми дисками (SED). Технические характеристики eDrive требуют комплаенса по стандарту IEEE 1667, который отличается от спецификации OPAL2 многих технологий управления самошифруемыми дисками.

Требования к спецификациям eDrive (имя Microsoft для BitLocker с аппаратным ускорением) приведены здесь: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies..

Эта уязвимость также влияет на некоторые самошифруемые диски (SD), многие из которых подпадают под спецификацию TCG OPAL и OPAL2, которая определена здесь: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies..

Эта уязвимость затрагивает сами диски, а не программное обеспечение Dell Encryption, и не все накопители подвержены этой уязвимости. Dell работает с поставщиками, чтобы определить последствия и обеспечить наличие планов по исправлению для затронутых накопителей.

Cause

Неприменимо

Resolution

Устранение уязвимости с помощью Dell Encryption

Клиентам, использующим решение Dell Self-Encrypting Drive Management, Dell предлагает добавить на компьютеры дополнительный уровень безопасности. Для этого применяется шифрование на основе политик Dell на компьютерах с накопителями, которые были определены как потенциально уязвимые до тех пор, пока не будет доступно обновление микропрограммы. для этих дисков.

Устройства, на которых используется шифрование на основе политик на основе SED, могут шифровать SED с помощью ключа шифрования системных данных. Для получения дополнительной информации см. статью: Как включить шифрование SDE для Dell Encryption Enterprise или Dell Encryption Personal в системах с самошифруемыми дисками.

Кроме того, аппаратное шифрование можно заменить программным шифрованием BitLocker, если требуется решение для шифрования всего тома.

Как отключить аппаратное ускорение для BitLocker с помощью Dell Encryption

Пользователи Dell с BitLocker Manager, обеспокоенные тем, что они могут быть уязвимы к проблемам, описанным в VU#395981, могут снизить риск, обновив свои политики. Отключение политик с помощью Dell Security Management Server of Use Hardware-Based Encryption для фиксированных накопителей данных и та же политика для накопителей операционной системы и съемных накопителей (для каждого типа накопителей используется аналогичная политика для аппаратного ускорения (при наличии) отключает возможность использования аппаратного ускоренного шифрования на этих накопителях. Если накопитель использовался для защиты с помощью eDrive или аппаратно-ускоренного шифрования, накопитель дешифрует и повторно шифрует данные с помощью программной методологии.

Эти политики являются политиками на основе конечных точек и находятся в политике шифрования BitLocker , заданной в соответствующей категории для типа накопителя (том операционной системы, фиксированный том данных, съемное хранилище). Для получения дополнительной информации об изменении политики в Dell Security Management Server см.: Изменение политик в Dell Data Protection Server

Клиенты, не использующие Dell Data Security Management Server, могут управлять параметрами аппаратного шифрования (если оно доступно на накопителях) с помощью объектов групповой политики или записей реестра. Эти данные можно найти для объектов групповой политики на сайте Microsoft в разделе политики для:

Как определить, подвержена ли конечная точка проблеме?

Для тех, кто хотите быстро определить, подвержены ли диски уязвимости, компания Dell может предоставить DellOpalCheckerLite, утилиту, которую можно использовать с помощью скрипта для идентификации SD и определения их состояния.

Примечание.: Эту утилиту может получить Dell Data Security ProSupport с помощью чата (только для США) или по телефону, указанным по ссылкам в нижней части этой статьи.

Сочетание клавиш DellOpalCheckerLite можно запустить с помощью командной строки. Утилите требуется номер диска, который нужно проанализировать; например, для анализа первого диска, который представлен операционной системе, который обычно является накопителем операционной системы, можно использовать следующий синтаксис:

DellOpalCheckerLite.exe 0

При наличии дополнительных номеров дисков в сценарии можно указать дополнительные строки для вывода состояния других дисков компьютера.

Для каждого экземпляра DellOpalCheckerLite выполняется, переменная ERRORLEVEL компьютера обновляется и может быть вызова для анализа состояния диска.

В этом списке содержатся выходные значения запуска DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Тест показывает, что установка пройдет успешно.
NOT_SUPPORTED 1. Тест показывает, что этот диск не поддерживается.
SUPPORTED_OWNED 2. Тест показывает, что диск поддерживается, но у AdminSP уже есть владелец.
COMPATIBILITY_ERROR 3. Тест указывает на проблему совместимости.
NO_OPAL_DISK 4. Тест указывает на отсутствие диска Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Тест указывает на то, что процессор СХД активирован, а у AdminSP SID = = MSID (возможно, произошел сбой предыдущего теста).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7. Тест указывает на то, что процессор СХД активирован, но AdminSP, уже принадлежащий DellOpalChecker, тестирует SID (возможно, произошел сбой предыдущего теста).
OTHER_ERROR 50. Другая неуказанная ошибка
PARAMETER_ERROR 100 Недопустимый параметр
MUST_BE_ADMINISTRATOR 101 Для выполнения теста необходимо выполнить команду с правами администратора.

Ниже приведен пример выходных данных привода OPAL, который поддерживается (значение возврата ERRORLEVEL = 0).

Пример ОШИБКИLEVEL = 0
Рис. 1. (Только на английском языке) Пример ERRORLEVEL = 0

Примечание.: Клиент Dell Encryption Policy Based Encryption, клиент полного шифрования диска на основе программного обеспечения и Dell Data Guardian не подвержены этой уязвимости, так как они не используют аппаратно-ускоренное шифрование этих накопителей.

Для получения дополнительной информации об этой уязвимости и примечаний определенных производителей см.:

Компьютерная команда экстренной готовности США: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Дополнительная информация об этой уязвимости: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.