Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Säkerhetsproblem med självkrypterande enheter (CVE-2018-12037 och CVE-2018-12038): Riskreducerande steg för Dell Encryption-produkter

Summary: SSD-diskens sårbarhet 395981 vilka är de förmildrande problemen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Berörda produkter:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption – BitLocker Manager
  • Dell Encryption – självkrypterande enhetshantering

Dell har fått rapporter om sårbarheter i krypteringen av maskinvara i vissa självkrypterande SSD-hårddiskar enligt beskrivningen i sårbarhetsmeddelande VU# 395981Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.. Vi undersöker hur dessa sårbarheter kan påverka våra produkter och tillhandahåller uppdateringar så snart som möjligt. Vår första prioritet är att skydda våra kunder och garantera säkerheten för deras data och datorer.

Sårbarheten som beskrivs i anmärkning VU#395981 definierar egenskaperna för en säkerhetsrisk som kan ge åtkomst till enheter som skyddas av maskinvaruaccelererade BitLocker-implementeringar, som vanligtvis kallas eDrive, tillsammans med många SED:er.

Enheter som hanteras av BitLocker med hårdvaruaccelererad kryptering baseras på eDrive-specifikationen , vilket inte nödvändigtvis betyder att de är självkrypterande enheter (SED) (eDrive-specifikationen kräver IEEE 1667-överensstämmelse , som skiljer sig från OPAL2-specifikationen för många hanteringstekniker för självkrypterande enheter).

Specifikationskraven för eDrive (Microsoft-namnet på den maskinvaruaccelererade BitLocker) finns här: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Denna sårbarhet påverkar även vissa SED:er, av vilka många faller under TCG OPAL- och OPAL2-specifikationen, som definieras här: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Det här säkerhetsproblemet påverkar själva diskarna och inte Dell Encryption-programvaran, och det här säkerhetsproblemet påverkar inte alla enheter. Dell samarbetar med sina leverantörer för att fastställa effekterna och se till att det finns åtgärdsplaner för de enheter som påverkas.

Minska sårbarhetsproblem med Dell Encryption

För kunder som använder Dells lösning för självkrypterande enhetshantering föreslår Dell att de lägger till ett extra säkerhetslager till sina datorer. Kunder bör lagra Dell policybaserad kryptering på datorer med enheter som har identifierats som potentiellt sårbara tills uppdaterad fast programvara för dessa diskar finns tillgänglig.

Enheter som kör policybaserad kryptering på ett SED kan göra det möjligt att kryptera SED:erna med systemdatakrypteringsnyckeln. Mer information finns i: Aktivera SDE-kryptering för Dell Encryption Enterprise eller Dell Encryption Personal på system med självkrypterande enheter.

Alternativt kan den maskinvarubaserade krypteringen ersättas som en programvarubaserad kryptering från BitLocker om en lösning för kryptering av hela volymen krävs.

Så avaktiverar du hårdvarubaserad acceleration för BitLocker med Dell Encryption

Kunder med Dells BitLocker Manager som är oroliga för att de kan vara sårbara för de problem som beskrivs i VU#395981 kan minska riskerna genom att uppdatera sina policyer. Om du avaktiverar policyerna via Dell Security Management Server för användning av hårdvarubaserad kryptering för fasta dataenheter och samma policy för operativsystemsenheter och flyttbara enheter (varje enhetstyp har en liknande policy för hårdvaruacceleration, om tillgängligt) inaktiveras möjligheten för hårdvaruaccelererad kryptering att användas på dessa enheter. Om en enhet tidigare hade använt eDrive eller hårdvaruaccelererad kryptering för skydd dekrypterar och krypterar enheten om data med en programvarubaserad metod.

Dessa policyer är slutpunktsbaserade och finns i den BitLocker-krypteringspolicy som har ställts in i respektive kategori för enhetstypen (operativsystemvolym, fast datavolym, flyttbar lagring). Mer information om hur du ändrar en policy i Dell Security Management Server finns i: Så här ändrar du policyer i Dell Data Protection Server

För kunder som inte kör Dell Data Security Management Server kan inställningarna för att tillåta maskinvarubaserad kryptering (om den är tillgänglig på enheter) hanteras med hjälp av GPO- eller registerposter. Dessa data finns för grupprincipobjekt på Microsofts webbplats här, under principerna för:

Hur gör jag för att avgöra om en slutpunkt kan påverkas?

För dem som snabbt vill ta reda på om enheter kan vara sårbara kan Dell tillhandahålla DellOpalCheckerLite, ett verktyg som kan användas med hjälp av ett skript för att identifiera SED-diskar och fastställa deras status.

Obs! Dell Data Security ProSupport kan tillhandahålla det här verktyget via chatt (endast USA) eller via telefon. Du hittar länkarna längst ned i den här artikeln.

Informationen DellOpalCheckerLite Kan köras med hjälp av kommandoraden. Den behöver enhetsnumret för disken som man vill analysera; Om du till exempel vill analysera den första disken som presenteras för operativsystemet, vilket vanligtvis är operativsystemenheten, kan du använda syntaxen:

DellOpalCheckerLite.exe 0

Om det finns ytterligare disknummer kan ytterligare rader anges i ett skript för att mata ut status för andra diskar i datorn.

För varje instans ska DellOpalCheckerLite körs, uppdateras ERRORLEVEL-datorvariabeln och kan anropas för att analysera diskens status.

Den här listan innehåller utdatavärdena från körning av DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Testet visar att installationen lyckas.
NOT_SUPPORTED 1 Testet visar att den här disken inte stöds.
SUPPORTED_OWNED 2 Testet visar att disken stöds, men att AdminSP redan är ägt.
COMPATIBILITY_ERROR 3 Testet indikerar ett kompatibilitetsproblem.
NO_OPAL_DISK 4 Testet visar att det inte är någon Opal-disk.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Testet visar att SP har låsts aktivt och AdminSP har SID == MSID (tidigare test kan ha misslyckats).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Testet visar att SP har låsts aktivt, men AdminSP ägs redan av DellOpalChecker-test-SID (tidigare test kan ha misslyckats).
OTHER_ERROR 50 Ett annat ospecificerat fel
PARAMETER_ERROR 100 Ogiltig parameter
MUST_BE_ADMINISTRATOR 101 Programkörningsnivån måste vara Administratör för att testet ska kunna utföras.

Här är ett exempel på utdata från en enhet som är OPAL och stöds (returkod ERRORLEVEL = 0).

Exempel på ERRORLEVEL = 0

Obs! Dell Encryption Policy Based Encryption-klienten, programvarubaserade Full Disk Encryption-klienten och Dell Data Guardian är inte exponerade för den här typen av sårbarhet eftersom de inte använder den hårdvaruaccelererade krypteringen av dessa enheter.

Mer information om den här säkerhetsrisken och kommentarer från specifika tillverkare finns i:

USA:s beredskapsgrupp för datornödsituationer: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Avgörande: http://www.crucial.com/usa/en/support-ssd Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Mer information om sårbarheten: https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.