Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Уязвимости самошифруемых дисков (CVE-2018-12037 и CVE-2018-12038). Шаги по устранению для продуктов Dell Encryption

Summary: Уязвимость твердотельных накопителей 395981 какие проблемы можно устранить.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Затронутые продукты:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption — BitLocker Manager
  • Dell Encryption — управление самошифруемыми дисками

Dell в курсе сообщений об уязвимостях в шифровании оборудования определенных самошифруемых твердотельных накопителей, как описано в примечании об уязвимости VU# 395981 Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.. Мы исследуем возможное влияние этих уязвимостей на наши продукты и предоставляем обновления как можно быстрее. Нашим главным приоритетом является защита наших клиентов и обеспечение безопасности их данных и компьютеров.

Уязвимость, описанная в примечании VU#395981, определяет характеристики уязвимости, которая может позволить доступ к накопителям, защищенным реализациями BitLocker с аппаратным ускорением, которые обычно называются eDrive, наряду с многими SED.

Накопители под управлением BitLocker с аппаратно-ускоренным шифрованием основаны на технических характеристиках eDrive , что не обязательно означает, что они являются самошифруемыми дисками (SED) (спецификация eDrive требует комплаенса по стандарту IEEE 1667 , который отличается от спецификации OPAL2 многих технологий управления самошифруемыми дисками).

Требования технических характеристик к eDrive (название Microsoft для технологии BitLocker с аппаратным ускорением) приведены здесь: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Эта уязвимость также затрагивает некоторые SED, многие из которых подпадают под технические характеристики TCG OPAL и OPAL2 , определенные здесь: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Эта уязвимость затрагивает сами диски, а не программное обеспечение Dell Encryption, и она затрагивает не все диски. Dell работает с поставщиками, чтобы определить последствия и обеспечить наличие планов по исправлению для затронутых накопителей.

Устранение уязвимости с помощью Dell Encryption

Клиентам, использующим решение Dell Self-Encrypting Drive Management, Dell предлагает добавить на компьютеры дополнительный уровень безопасности. Пользователи должны применять шифрование на основе политик Dell на компьютерах с накопителями, которые были определены как потенциально уязвимые, до тех пор, пока не будет доступно обновление микропрограммы для этих дисков.

Устройства, на которых используется шифрование на основе политик на основе SED, могут шифровать SED с помощью ключа шифрования системных данных. Для получения дополнительной информации см. статью: Как включить шифрование SDE для Dell Encryption Enterprise или Dell Encryption Personal в системах с самошифруемыми дисками.

Кроме того, аппаратное шифрование можно заменить программным шифрованием BitLocker, если требуется решение для шифрования всего тома.

Как отключить аппаратное ускорение для BitLocker с помощью Dell Encryption

Пользователи Dell с BitLocker Manager, обеспокоенные тем, что они могут быть уязвимы к проблемам, описанным в VU#395981, могут снизить риск, обновив свои политики. Отключение политик в Dell Security Management Server использования аппаратного шифрования для накопителей с фиксированными данными и той же политики для накопителей операционной системы и съемных накопителей (каждый тип накопителей имеет аналогичную политику для использования аппаратного ускорения, если оно доступно) отключает возможность использования аппаратно-ускоренного шифрования на этих накопителях. Если накопитель использовался для защиты с помощью eDrive или аппаратно-ускоренного шифрования, накопитель дешифрует и повторно шифрует данные с помощью программной методологии.

Эти политики основаны на конечных точках и находятся в политике шифрования BitLocker , заданной в соответствующей категории для типа накопителя (том операционной системы, том с фиксированными данными, съемное хранилище). Для получения дополнительной информации об изменении политики в Dell Security Management Server см.: Изменение политик в Dell Data Protection Server

Клиенты, не использующие Dell Data Security Management Server, могут управлять параметрами аппаратного шифрования (если оно доступно на накопителях) с помощью объектов групповой политики или записей реестра. Эти данные можно найти для объектов групповой политики на сайте Microsoft в разделе политики для:

Как определить, подвержена ли конечная точка проблеме?

Для тех, кто хочет быстро определить наличие уязвимости накопителей, Dell может предоставить DellOpalCheckerLite, утилита, которую можно использовать с помощью скрипта для идентификации SED и определения их статуса.

Примечание. Dell Data Security ProSupport может предоставить эту утилиту через Chat (только для США) или по телефону, который можно найти по ссылкам в нижней части этой статьи.

Сценарий DellOpalCheckerLite Можно запустить с помощью командной строки. Утилите требуется номер диска, который нужно проанализировать; например, для анализа первого диска, который представлен операционной системе, который обычно является накопителем операционной системы, можно использовать следующий синтаксис:

DellOpalCheckerLite.exe 0

При наличии дополнительных номеров дисков в сценарии можно указать дополнительные строки для вывода состояния других дисков компьютера.

Для каждого экземпляра DellOpalCheckerLite обновляется, компьютерная переменная ERRORLEVEL обновляется и может быть вызвана для анализа состояния диска.

Этот список содержит выходные значения, полученные при выполнении команды DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Тест показывает, что установка пройдет успешно.
NOT_SUPPORTED 1. Тест показывает, что этот диск не поддерживается.
SUPPORTED_OWNED 2. Тест показывает, что диск поддерживается, но у AdminSP уже есть владелец.
COMPATIBILITY_ERROR 3. Тест указывает на проблему совместимости.
NO_OPAL_DISK 4 Тест указывает на отсутствие диска Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Тест указывает на то, что процессор СХД активирован, а у AdminSP SID = = MSID (возможно, произошел сбой предыдущего теста).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7. Тест указывает на то, что процессор СХД активирован, но AdminSP, уже принадлежащий DellOpalChecker, тестирует SID (возможно, произошел сбой предыдущего теста).
OTHER_ERROR 50 Другая неуказанная ошибка
PARAMETER_ERROR 100 Недопустимый параметр
MUST_BE_ADMINISTRATOR 101 Для выполнения теста необходимо выполнить команду с правами администратора.

Ниже приведен пример выходных данных привода OPAL, который поддерживается (значение возврата ERRORLEVEL = 0).

Пример ERRORLEVEL = 0

Примечание. Клиент Dell Encryption Policy Based Encryption, клиент полного шифрования диска на основе программного обеспечения и Dell Data Guardian не подвержены этой уязвимости, так как они не используют аппаратно-ускоренное шифрование этих накопителей.

Для получения дополнительной информации об этой уязвимости и примечаний определенных производителей см.:

Компьютерная команда экстренной готовности США: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Дополнительная информация об этой уязвимости: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.