Itsesalaavien asemien haavoittuvuudet (CVE-2018-12037 ja CVE-2018-12038): Dell Encryption -tuotteiden lievennystoimet
Summary: SSD-levyn haavoittuvuus 395981 lieventävät huolenaiheet.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Tuotteet, joita asia koskee:
- Dell Encryption Enterprise
- Dell Encryption Personal
- Dell Endpoint Security Suite
- Dell Endpoint Security Suite Enterprise
- Dell Encryption – BitLocker Manager
- Dell Encryption – Itsesalaavien asemien hallinta
Dellin tiedossa on tiettyjen itsesalaavien SSD-levyjen laitteistosalauksen haavoittuvuusilmoituksia, jotka on kuvattu kohdassa Vulnerability Note VU# 395981
Huomautuksessa VU#395981 kuvattu haavoittuvuus määrittää sellaisen haavoittuvuuden ominaisuudet, joka saattaa sallia pääsyn asemiin, jotka on suojattu laitteistokiihdytetyillä BitLocker-toteutuksilla, joihin viitataan yleisesti nimellä eDrive, monien SED-asemien ohella.
BitLockerilla laitteistokiihdytetyllä salauksella hallittavat asemat perustuvat eDrive-määritykseen , mikä ei välttämättä tarkoita, että kyse on itsesalaavista asemista (SED) (eDrive-määritysedellyttää IEEE 1667 -vaatimustenmukaisuutta, joka poikkeaa monien itsesalaavien asemien hallintatekniikoiden OPAL2-määrityksestä).
eDriven (laitteistokiihdytetyn BitLockerin Microsoft-nimi) tekniset vaatimukset ovat täällä: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive
Tämä haavoittuvuus vaikuttaa myös joihinkin SED-ratkaisuihin, joista monet kuuluvat TCG OPAL- ja OPAL2-spesifikaation piiriin, joka on määritelty tässä: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
Tämä haavoittuvuus koskee itse levyjä, ei Dell Encryption -ohjelmistoa, eikä tämä haavoittuvuus koske kaikkia asemia. Dell selvittää parhaillaan toimittajiensa kanssa vaikutusta ja varmistaa, että ongelman ratkaiseville asemille on laadittu korjaussuunnitelmat.
Haavoittuvuuksien vähentäminen Dell Encryptionin avulla
Dell suosittelee asiakkaille, jotka käyttävät Dell Self-Encrypting Drive Management -ratkaisua, ylimääräisen suojauskerroksen lisäämistä tietokoneisiin. Asiakkaiden tulisi kerrostaa Dellin käytäntöpohjainen salaus tietokoneisiin, joiden asemat on tunnistettu mahdollisesti haavoittuviksi, kunnes kyseisten levyjen laiteohjelmistopäivitys on saatavilla.
Laitteet, joissa on käytäntöpohjainen salaus SED:ssä, voivat mahdollistaa SED:ien salaamisen System Data Encryption -avaimella. Lisätietoja on seuraavissa: SDE-salauksen ottaminen käyttöön Dell Encryption Enterprise- tai Dell Encryption Personal -järjestelmille järjestelmissä, joissa on itsesalaavat asemat.
Vaihtoehtoisesti laitteistopohjainen salaus voidaan korvata ohjelmistopohjaisena BitLocker-salauksena, jos tarvitaan koko aseman salausratkaisu.
BitLockerin laitteistopohjaisen kiihdytyksen poistaminen käytöstä Dell Encryptionilla
Dellin BitLocker Manageria käyttävät asiakkaat, jotka ovat huolissaan haavoittuvuudesta versiossa VU#395981 kuvatuille ongelmille, voivat vähentää riskejä päivittämällä käytäntönsä. Jos käytännöt poistetaan käytöstä Dell Security Management Server of Use Laitteistopohjaisessa salauksessa kiinteille data-asemille ja sama käytäntö käyttöjärjestelmäasemille ja siirrettäville asemille (kullakin asematyypillä on samanlainen käytäntö laitteistokiihdytyksen hyödyntämiseksi, jos käytettävissä), laitteistokiihdytettyä salausta ei voida hyödyntää näissä asemissa. Jos asema on käyttänyt eDrive- tai laitteistokiihdytettyä salausta suojaukseen, asema purkaa salauksen ja salaa tiedot uudelleen ohjelmistopohjaisella menetelmällä.
Nämä käytännöt ovat päätepistepohjaisia käytäntöjä, ja ne sisältyvät BitLocker-salaukseen , joka kuuluu asematyypin vastaavaan luokkaan (Käyttöjärjestelmäasema, Kiinteä tietomäärä, Siirrettävä tallennuslaite). Lisätietoja käytännön muokkaamisesta Dell Security Management Serverissä on seuraavissa artikkeleissa: Dell Data Protection Server -palvelimen käytäntöjen muuttaminen
Jos asiakkaalla ei ole käytössä Dell Data Security Management Serveriä, laitteistopohjaisen salauksen (jos se on käytettävissä asemissa) sallivia asetuksia voidaan hallita ryhmäkäytäntöobjektilla tai rekisterimerkinnöillä. Nämä tiedot löytyvät ryhmäkäytäntöobjekteista Microsoftin sivustossa täältä seuraavien käytäntöjen kohdasta:
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives
Miten voin määrittää, voiko ongelma vaikuttaa päätepisteeseen?
Niille, jotka haluavat nopeasti selvittää, voivatko asemat olla haavoittuvia, Dell voi tarjota DellOpalCheckerLite, apuohjelma, jota voidaan käyttää komentosarjan avulla SED: ien tunnistamiseen ja niiden tilan määrittämiseen.
Huomautus: Dell Data Security ProSupport voi tarjota tämän apuohjelman chatissa (vain Yhdysvallat) tai puhelimitse, jotka löytyvät tämän artikkelin lopussa olevista linkeistä.
pikanäppäimellä DellOpalCheckerLite Voidaan suorittaa komentorivillä. Se tarvitsee analysoitavan levyn aseman numeron; Jos haluat esimerkiksi analysoida ensimmäisen käyttöjärjestelmälle esitetyn levyn, joka on yleensä käyttöjärjestelmän asema, voit käyttää syntaksia:
DellOpalCheckerLite.exe 0
Jos ylimääräisiä levynumeroita on, komentosarjassa voi olla lisärivejä, jotka tuottavat tietokoneen muiden levyjen tilan.
Kussakin tapauksessa DellOpalCheckerLite suoritetaan, tietokone ERRORLEVEL-muuttuja päivitetään ja sitä voidaan kutsua analysoimaan levyn tilaa.
Luettelo sisältää DellOpalCheckerLite:
| SUPPORTED_NOT_OWNED | 0 | Testi osoittaa, että asennus onnistui. |
| NOT_SUPPORTED | 1 | Testi osoittaa, että tätä levyä ei tueta. |
| SUPPORTED_OWNED | 2 | Testi osoittaa, että levyä tuetaan, mutta AdminSP on jo omistettu. |
| COMPATIBILITY_ERROR | 3 | Testi osoittaa yhteensopivuusongelman. |
| NO_OPAL_DISK | 4 | Testi osoittaa, että kyseessä ei ole Opal-levy. |
| LOCKINGSP_ACTIVE_NOT_OWNED | 6 | Testi osoittaa, että lukitseva SP on aktiivinen, ja AdminSP:llä on SID == MSID (edellinen testi on saattanut epäonnistua). |
| LOCKINGSP_ACTIVE_OWNED_TESTSID | 7 | Testi osoittaa, että lukitseva SP on aktiivinen, mutta AdminSP on jo DellOpalChecker-testaustunnuksen omistuksessa (edellinen testi on saattanut epäonnistua). |
| OTHER_ERROR | 50 | Jokin muu määrittelemätön virhe |
| PARAMETER_ERROR | 100 | Virheellinen parametri |
| MUST_BE_ADMINISTRATOR | 101 | Ohjelman suoritustason on oltava järjestelmänvalvoja, jotta testi voidaan suorittaa. |
Tässä on esimerkki tuetusta asemasta, joka on OPAL (paluukoodi ERRORLEVEL = 0).
Huomautus: Dell Encryption Policy Based Encryption Client, ohjelmistopohjainen Full Disk Encryption Client ja Dell Data Guardian eivät altistu tällaisille haavoittuvuuksille, koska ne eivät käytä näiden asemien laitteistokiihdytettyä salausta.
Lisätietoja tästä heikkoudesta ja tiettyjen valmistajien huomautuksia on seuraavissa artikkeleissa:
Yhdysvaltain tietotekniikan hätävalmiusryhmä: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities
Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/
Ratkaiseva: http://www.crucial.com/usa/en/support-ssd
Lisätietoja haavoittuvuudesta: https://www.kb.cert.org/vuls/id/395981/
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.
Affected Products
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.