Chyby zabezpečení týkající se samošifrovacích jednotek (CVE-2018-12037 a CVE-2018-12038): Opatření pro zmírnění dopadů u produktů Dell Encryption
Summary: Disk SSD Chyba zabezpečení 395981 zmírňující problémy.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Dotčené produkty:
- Dell Encryption Enterprise
- Dell Encryption Personal
- Dell Endpoint Security Suite
- Dell Endpoint Security Suite Enterprise
- Dell Encryption – BitLocker Manager
- Dell Encryption – správa samošifrovací jednotky
Společnost Dell si je vědoma hlášení o chybách zabezpečení hardwarového šifrování některých samošifrovacích disků SSD, jak je popsáno v poznámce o chybě zabezpečení VU# 395981 
Chyba zabezpečení uvedená v poznámce VU#395981 definuje charakteristiky chyby zabezpečení, která může umožnit přístup k diskům chráněným hardwarově akcelerovanými implementacemi nástroje BitLocker, které se běžně nazývají eDrive, spolu s mnoha disky SED.
Disky spravované nástrojem BitLocker pomocí hardwarově akcelerovaného šifrování jsou založeny na specifikacích eDrive , což nemusí nutně znamenat, že se jedná o samošifrovací disky (SED) (specifikace eDrive vyžaduje soulad se standardem IEEE 1667 , který se liší od specifikace OPAL2 mnoha technologií pro správu samošifrovací jednotky).
Požadavky specifikace eDrive (název společnosti Microsoft pro hardwarově akcelerovaný nástroj BitLocker) najdete zde: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive
Tato chyba zabezpečení se týká také některých disků SED, z nichž mnohé spadají pod specifikaci TCG OPAL a OPAL2 , která je definována zde: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
Tato chyba zabezpečení ovlivňuje samotné disky, nikoli software Dell Encryption, a netýká se všech disků. Společnost Dell spolupracuje s výrobci na určení dopadu a zajišťuje, aby byly pro dotčené disky zavedeny plány nápravy.
Zmírnění problémů se zabezpečením nástroje Dell Encryption
Zákazníkům, kteří používají řešení Dell Self-Encrypting Drive Management, doporučuje společnost Dell přidat do počítačů další vrstvu zabezpečení. Zákazníci by měli vrstvit nástroj Dell Policy Based Encryption do počítačů s disky, které byly označeny jako potenciálně zranitelné, dokud pro tyto disky nebude k dispozici aktualizovaný firmware.
Zařízení se šifrováním disků SED založeném na zásadách mohou umožnit šifrování disků SED pomocí klíče System Data Encryption. Další informace najdete v článku: Jak povolit šifrování SDE pro aplikace Dell Encryption Enterprise nebo Dell Encryption Personal v systémech se samošifrovacími jednotkami.
Pokud je vyžadováno řešení šifrování celého svazku, může být i hardwarové šifrování nahrazeno softwarovým šifrováním pomocí nástroje BitLocker.
Jak deaktivovat hardwarovou akceleraci nástroje BitLocker s nástrojem Dell Encryption
Zákazníci s nástrojem BitLocker Manager společnosti Dell, kteří mají obavy, že se mohou setkat s problémy popsanými v rámci VU#395981, mohou snížit riziko aktualizací zásad. Zakázání zásad pomocí nástroje Dell Security Management Server of Use Hardwar-based Encryption for Fixed Data Drives a stejné zásady pro disky operačního systému a vyměnitelné jednotky (každý typ jednotky má podobné zásady pro využití hardwarové akcelerace, pokud je k dispozici) zakáže možnost využití hardwarově akcelerovaného šifrování na těchto discích. Pokud jednotka využívá pro ochranu šifrování eDrive nebo hardwarově akcelerované šifrování, disk data dešifruje a znovu zašifruje pomocí softwarové metody.
Tyto zásady jsou založeny na koncových bodech a nacházejí se v zásadách BitLocker Encryption nastavených v příslušné kategorii pro typ jednotky (svazek operačního systému, pevný datový svazek, vyměnitelné úložiště). Další informace o změně zásad v nástroji Dell Security Management Server naleznete v článku: Jak upravit zásady nástroje Dell Data Protection Server
Pro zákazníky, kteří nepoužívají nástroj Dell Data Security Management Server, lze nastavení pro hardwarové šifrování (pokud je k dispozici na discích) spravovat pomocí objektu zásad skupiny nebo položek registru. Tato data pro objekty zásad skupiny naleznete na webu společnosti Microsoft v rámci zásad pro:
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives
Jak určím, zda může být ovlivněn koncový bod?
Pro uživatele, kteří chtějí rychle zjistit, zda jsou disky mohou být zranitelné, může společnost Dell poskytnout DellOpalCheckerLite, což je nástroj, který lze použít pomocí skriptu k identifikaci disků SED a určení jejich stavu.
Poznámka: Služba Dell Data Security ProSupport může tento nástroj poskytnout prostřednictvím chatu (pouze v USA) nebo telefonicky, viz odkazy na konci tohoto článku.
Skript DellOpalCheckerLite lze spustit pomocí příkazového řádku. Potřebuje číslo disku, který chcete analyzovat. Například k analýze prvního disku prezentovaného operačnímu systému, který je běžně diskem operačního systému, můžete použít syntaxi:
DellOpalCheckerLite.exe 0
Pokud jsou přítomna další čísla disků, lze ve skriptu vytvořit další řádky pro výstup stavu ostatních disků v počítači.
Pro každou instanci DellOpalCheckerLite , počítačová proměnná ERRORLEVEL je aktualizována a může být vyvolána pro analýzu stavu disku.
Tento seznam obsahuje výstupní hodnoty ze spuštění příkazu DellOpalCheckerLite:
| SUPPORTED_NOT_OWNED | 0 | Test signalizuje, že instalace proběhla úspěšně. |
| NOT_SUPPORTED | 1 | Test signalizuje, že tento disk není podporován. |
| SUPPORTED_OWNED | 2 | Test signalizuje, že disk je podporovaný, ale AdminSP je již vlastněn. |
| COMPATIBILITY_ERROR | 3 | Test značí nějaký problém s kompatibilitou. |
| NO_OPAL_DISK | 4 | Test signalizuje, že se nejedná o disk Opal. |
| LOCKINGSP_ACTIVE_NOT_OWNED | 6 | Test signalizuje, že je aktivní uzamčení SP a AdminSP má SID == MSID (předchozí test mohl být neúspěšný). |
| LOCKINGSP_ACTIVE_OWNED_TESTSID | 7 | Test signalizuje, že je aktivní uzamčení SP, ale AdminSP je již vlastněn testovacím SID nástroje DellOpalChecker (předchozí test mohl být neúspěšný). |
| OTHER_ERROR | 50 | Jiná nespecifikovaná chyba |
| PARAMETER_ERROR | 100 | Neplatný parametr |
| MUST_BE_ADMINISTRATOR | 101 | Aby bylo možné provést test, musí být úroveň spuštění správce. |
Zde je příklad výstupu disku, který je OPAL a je podporován (návratový kód ERRORLEVEL = 0).
Poznámka: Klient Dell Encryption Policy Based Encryption, softwarový klient Full Disk Encryption a software Dell Data Guardian nejsou tomuto typu chyby zabezpečení vystaveny, protože nepoužívají hardwarové šifrování těchto jednotek.
Další informace o této chybě zabezpečení a poznámky konkrétních výrobců naleznete v článku:
Tým připravenosti Spojených států na nouzové situace v oblasti počítačů: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities
Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/
Crucial: http://www.crucial.com/usa/en/support-ssd
Další informace o této chybě zabezpečení: https://www.kb.cert.org/vuls/id/395981/
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.
Affected Products
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.