Vulnerabilidade de substituição de política de segurança do Dell Encryption e do Dell Endpoint Security Suite Enterprise

Produtos afetados:

• Dell Encryption Enterprise - v8.4.0 a 10.0
• Dell Endpoint Security Suite Enterprise - v1.0.0 a 2.0

Detalhes:

Identificador de CVE: CVE-2018-15766

Gravidade: Média

Nota: Para obter mais informações sobre identificadores CVE, consulte https://www.cvedetails.com/cve-help.php .

Na instalação, as versões do Dell Encryption anteriores à 10.0.1 e ao Dell Endpoint Security Suite Enterprise anteriores à 2.0.1 substituem e definem manualmente o objeto de política de grupo Comprimento mínimo de senha como um valor 1 nesse dispositivo. Isso permite que os usuários ignorem qualquer política existente para o comprimento da senha e possivelmente criem senhas não seguras em seus dispositivos.

Esse valor é definido durante a instalação do Encryption Management Agent ou do aplicativo EMAgent. Não há outros valores conhecidos que sejam modificados.

A seguinte versão do Dell Data Security contém resoluções para essa vulnerabilidade:

• Dell Encryption versão 10.0.1 e posterior
• Dell Endpoint Security Suite Enterprise versão 2.0.1 e posterior

Os clientes podem fazer download do software Dell Encryption em https://www.dell.com/support/home/product-support/product/dell-data-protection-encryption/drivers.

O software Dell Endpoint Security Suite Enterprise é disponibilizado aos clientes em suas contas ddpe.credant.com, ou pode ser obtido por meio do Dell ProSupport.

Solução temporária:

No caso dos dispositivos afetados, a política de comprimento mínimo da senha deve ser alterada manualmente para o desejado no ambiente atual.

• Se o Dell Endpoint Security Suite Enterprise ou o Encryption Management Agent do Dell Encryption Enterprise estiver instalado em um controlador de domínio ou em um dispositivo que não esteja associado a um domínio, o comprimento mínimo padrão da senha deverá ser alterado no dispositivo local.
• Se o Dell Endpoint Security Suite Enterprise ou o Encryption Management Agent do Dell Encryption Enterprise estiver instalado em um dispositivo que esteja associado a um domínio, o comprimento mínimo padrão da senha deverá ser alterado no console de Gerenciamento de política de grupo da empresa.

O valor padrão dessa propriedade é 7 na maioria das configurações.

Este artigo da KB da Microsoft descreve como modificar essa configuração:
https://technet.microsoft.com/en-us/library/dd277399.aspx

A Dell Technologies recomenda que todos os usuários determinem a aplicabilidade dessas informações em suas situações individuais e tomem as medidas apropriadas. As informações são fornecidas "como estão" sem nenhum tipo de garantia. A Dell se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização, adequação a um propósito específico, título e não violação. Em nenhuma hipótese, a Dell ou seus fornecedores serão responsabilizados por quaisquer danos, inclusive diretos, indiretos, incidental, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Dell ou seus fornecedores tenham sido informados sobre a possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, por isso a limitação acima pode não se aplicar.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.