Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Sikkerhedsrisikoer for selvkrypterende drev (CVE-2018-12037 og CVE-2018-12038): Afhjælpningstrin til Dell Encryption-produkter.

Summary: Sårbarhed i solid state-drev 395981, hvad de afhjælpende problemer er.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Berørte produkter:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption - BitLocker Manager
  • Dell Encryption – Selvkrypterende drevadministration

Dell er bekendt med rapporter om sårbarheder i hardwarekryptering af visse selvkrypterende solid state-drev som beskrevet i Vulnerability Note VU# 395981Dette hyperlink fører dig til et websted uden for Dell Technologies.. Vi undersøger den mulige indvirkning af disse sikkerhedsrisikoer på vores produkter og sørger for opdateringer så hurtigt som muligt. Vores førsteprioritet er at beskytte kunderne og sikre sikkerheden for deres data og computere.

Den sårbarhed, der er beskrevet i note VU#395981 definerer egenskaberne for en sikkerhedsrisiko, der kan give adgang til drev, der er beskyttet af hardware-accelererede BitLocker-implementeringer, der ofte henvises til som eDrive, sammen med mange SED'er.

Drev, der administreres af BitLocker med hardware-accelereret kryptering, er baseret på eDrive-specifikationen, hvilket ikke nødvendigvis betyder, at de er selvkrypterende drev (SED). eDrive-specifikationen kræver IEEE 1667-overholdelse , hvilket er forskelligt fra OPAL2-specifikationen for mange selvkrypterende drevstyringsteknologier.

Specifikationskravene til eDrive (Microsofts navn for hardware-accelereret BitLocker) findes her: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveDette hyperlink fører dig til et websted uden for Dell Technologies..

Denne sårbarhed påvirker også visse SED'er, hvoraf mange falder under TCG OPAL- og OPAL2-specifikationen, som er defineret her: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/Dette hyperlink fører dig til et websted uden for Dell Technologies..

Denne sårbarhed påvirker selve diskene og ikke Dell Encryption-softwaren, og ikke alle drev er berørt af denne sikkerhedsrisiko. Dell samarbejder med sine leverandører om at fastslå påvirkningen og sikre, at der er oprettet afhjælpningsplaner for berørte drev.

Cause

Ikke relevant

Resolution

Afhjælpning af sårbarheder med Dell Encryption

For kunder, der bruger Dell Self-Encrypting Drive Management-løsningen, foreslår Dell at tilføje et ekstra lag af sikkerhed til deres computere. Dette gøres ved at laglægge Dells politikbaserede kryptering på computere med drev, der er blevet identificeret som potentielt sårbare, indtil opdateret firmware til disse diske er tilgængelig.

Enheder, der kører politikbaseret kryptering på en SED, kan aktivere muligheden for at kryptere SED'erne med systemdatakrypteringsnøglen. Du kan finde flere oplysninger i: Sådan aktiveres SDE Encryption til Dell Encryption Enterprise eller Dell Encryption Personal på systemer med selvkrypterende drev.

Alternativt kan den hardwarebaserede kryptering erstattes som en softwarebaseret kryptering fra BitLocker, hvis der kræves en krypteringsløsning for hele diskenheden.

Sådan deaktiveres hardwarebaseret acceleration for BitLocker med Dell Encryption

Kunder med Dells BitLocker Manager, der er bekymret for, at de kan være sårbare over for de problemer, der er beskrevet i VU#395981 , kan mindske risikoen ved at opdatere deres politikker. Deaktivering af politikker via Dell Security Management Server of Use hardwarebaseret kryptering til faste datadrev og den samme politik for operativsystemdrev og flytbare drev (hver drevtype har en lignende politik for udnyttelse af hardwareacceleration, hvis tilgængelig) deaktiverer muligheden for at anvende hardware-accelereret kryptering på disse drev. Hvis et drev har anvendt eDrive- eller hardware-accelereret kryptering til beskyttelse, dekrypterer og genkrypterer drevet dataene med en softwarebaseret metode.

Disse politikker er slutpunktsbaserede politikker og er placeret inden for den BitLocker-krypteringspolitik , der er angivet i den respektive kategori for drevtypen (operativsystemenhed, fast dataenhed, flytbart lager). Du kan få flere oplysninger om ændring af en politik i Dell Security Management Server ved at se: Sådan ændrer du politikker på Dell Data Protection Server

For kunder, der ikke kører Dell Data Security Management-serveren, kan indstillingerne, der tillader hardwarebaseret kryptering (hvis den er tilgængelig på drev), administreres ved hjælp af GPO eller poster i registreringsdatabasen. Disse data kan findes for GPO'er på Microsofts websted her under politikkerne for:

Hvordan finder jeg ud af, om et slutpunkt kan være berørt?

For dem, der ønsker hurtigt at finde ud af, om drev kan være sårbare, kan Dell levere DellOpalCheckerLite, et hjælpeprogram, der kan bruges, ved hjælp af et script til at identificere SED'er og bestemme deres status.

Bemærk: Dette hjælpeprogram kan leveres af Dell Data Security ProSupport via chat (kun USA) eller pr. telefon, som findes på linkene i bunden af denne artikel.

Ikonet DellOpalCheckerLite kan køres via kommandolinjen. Den skal bruge drevnummeret til den disk, som man ønsker at analysere. Hvis du f.eks. vil analysere den første disk, der præsenteres for operativsystemet, som normalt er operativsystemets drev, kan du bruge syntaksen:

DellOpalCheckerLite.exe 0

Hvis der er yderligere disknumre, kan der leveres yderligere linjer i et script for at udskrive status for andre diske i computeren.

For hver forekomst DellOpalCheckerLite køres, opdateres computervariablen ERRORLEVEL og kaldes for at analysere status for disken.

Denne liste indeholder outputværdierne fra kørsel af DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Testen indikerer, at installationen vil lykkes.
NOT_SUPPORTED 1 Testen indikerer, at denne disk ikke understøttes.
SUPPORTED_OWNED 2 Testen indikerer, at disken understøttes, men at AdminSP allerede er ejet.
COMPATIBILITY_ERROR 3 Testen indikerer et kompatibilitetsproblem.
NO_OPAL_DISK 4 Testen indikerer, at det ikke er en Opal-disk.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Testen angiver, at sp låses, og AdminSP har SID == MSID (Tidligere test mislykkedes).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Testen angiver, at sp låses aktiv, men AdminSP er allerede ejet af DellOpalChecker-test-SID (tidligere test kan være mislykkedes).
OTHER_ERROR 50 Nogle andre uspecificerede fejl
PARAMETER_ERROR 100 Ugyldigt parameter
MUST_BE_ADMINISTRATOR 101 Programudførelsesniveauet skal være administrator for at udføre testen.

Her er et eksempel på output fra et drev, der er OPAL og understøttes (returkode FEJLNIVEAU = 0).

Eksempel på FEJLNIVEAU = 0
Figur 1: (Kun på engelsk) Eksempel på FEJLNIVEAU = 0

Bemærk: Dells politikbaserede krypteringsklient, softwarebaseret Full Disk Encryption-klient og Dell Data Guardian er ikke udsat for denne type sikkerhedsrisiko, da de ikke bruger hardware-accelereret kryptering af disse drev.

Du kan få flere oplysninger om denne sikkerhedsrisiko og bemærkninger fra specifikke producenter ved at se:

Usa's Computer Emergency Readiness Team: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Dette hyperlink fører dig til et websted uden for Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Dette hyperlink fører dig til et websted uden for Dell Technologies.

Vigtigt: http://www.crucial.com/usa/en/support-ssd Dette hyperlink fører dig til et websted uden for Dell Technologies.

Yderligere oplysninger om sikkerhedsrisikoen: https://www.kb.cert.org/vuls/id/395981/ Dette hyperlink fører dig til et websted uden for Dell Technologies.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.