自我加密磁碟機漏洞 (CVE-2018-12037 和 CVE-2018-12038):Dell Encryption 產品的緩解步驟
摘要: 固態硬碟漏洞 395981降低疑慮的問題。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
說明
受影響的產品:
- Dell Encryption Enterprise
- Dell Encryption Personal
- Dell Endpoint Security Suite
- Dell Endpoint Security Suite Enterprise
- Dell Encryption - BitLocker Manager
- Dell Encryption - 自我加密磁碟機管理
Dell 針對漏洞注意事項 VU# 395981 
在注意事項 VU#395981 中所概述的漏洞定義了漏洞的特性,該漏洞可能允許存取受硬體加速 BitLocker 實作所保護的磁碟機 (通常稱為 eDrive 以及許多 SED)。
由 BitLocker 硬體加速加密管理的磁碟機是以 eDrive 規格為基礎,這可能不一定代表它們是 自我加密磁碟機 (SED) (eDrive 規格要求符合 IEEE 1667 規範,這與許多自我加密磁碟機管理技術的 OPAL2 規格不同)。
eDrive 的規格要求 (硬體加速 BitLocker 的Microsoft名稱) 位於以下位置:https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive
此漏洞也會影響某些 SED,其中許多屬於 TCG OPAL 和 OPAL2 規範,定義如下: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
此漏洞會影響磁碟本身而非 Dell 加密軟體,而且此漏洞不會影響所有磁碟機。Dell 正與其廠商合作以判斷其影響,並確保已針對受影響的磁碟機制定補救方案。
透過 Dell Encryption 降低漏洞疑慮
針對使用 Dell Self-Encrypting Drive Management 解決方案的客戶,Dell 建議為其電腦增加額外的安全層。客戶應將 Dell 原則式加密分層到有已識別為可能易受攻擊的磁碟機的電腦上,直到可以取得這些磁碟的韌體更新為止。
在 SED 上執行原則式加密的裝置,可讓您使用系統資料加密金鑰加密 SED。如需詳細資訊,請參閱:如何在使用自行加密磁碟機的系統上為 Dell Encryption Enterprise 或 Dell Encryption Personal 啟用 SDE加密。
或者,如果需要整個磁碟區加密解決方案,則可將硬體加密取代為 BitLocker 的軟體加密。
如何使用 Dell Encryption 停用 BitLocker 的硬體加速
Dell 的 BitLocker Manager 客戶若擔心自己可能容易受到 VU#395981 中所述的問題影響,可藉由更新其原則來降低風險。透過對 固定資料磁碟機使用硬體式加密的 Dell Security Management Server 停用原則,並對作業系統磁碟機和抽取式磁碟機使用相同的原則 (每個磁碟機類型都有類似的原則來利用硬體加速,如果有的話),會停用在這些磁碟機上使用硬體加速加密的功能。如果磁碟機已運用 eDrive 或硬體加速加密以進行保護,則磁碟機會以軟體型方法將資料解密並重新加密。
這些原則是端點式原則,位於磁碟機類型 (作業系統磁碟區、固定資料磁碟區卸除式存放裝置) 個別類別中所設定 的 BitLocker 加密 原則中。如需在 Dell Security Management Server 中修改原則的詳細資訊,請參閱:如何修改 Dell Data Protection Server 上的原則
對於未執行 Dell Data Security Management Server 的客戶,可使用 GPO 或登錄檔項目來管理允許硬體加密的設定 (如果可在磁碟機上使用)。此資料可在 Microsoft 網站的 GPO 中找到,並依據下列原則進行:
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives
我要如何判斷端點是否可能受到影響?
若要快速找出磁碟機是否容易受到攻擊,Dell 可提供 DellOpalCheckerLite,一個可以使用的實用程式,使用腳本來識別 SED 並確定其狀態。
注意:Dell Data Security ProSupport 可以使用聊天 (僅限美國) 或透過電話提供此公用程式,網址為本文底部的連結。
可使用 DellOpalCheckerLite 可以使用命令行運行。它需要所要分析之磁碟的磁碟機編號;例如,若要分析呈現至作業系統 (通常為作業系統磁碟機) 的第一個磁碟,您可以使用語法:
DellOpalCheckerLite.exe 0
如果有額外的磁碟號碼,則可以在指令檔中提供額外的行,以輸出電腦中其他磁碟的狀態。
對於每個實例 DellOpalCheckerLite 執行時, 會更新 ERRORLEVEL 電腦變數,並可呼叫該變數來分析磁碟的狀態。
此清單包含執行 DellOpalCheckerLite:
| SUPPORTED_NOT_OWNED | 0 | 測試表示安裝會成功。 |
| NOT_SUPPORTED | 1 | 測試表示不支援此磁碟。 |
| SUPPORTED_OWNED | 2 | 測試表示支援磁碟,但已有人擁有 AdminSP。 |
| COMPATIBILITY_ERROR | 3 | 測試表示有一些相容性問題。 |
| NO_OPAL_DISK | 4 | 測試表示這不是 Opal 磁碟。 |
| LOCKINGSP_ACTIVE_NOT_OWNED | 6 | 測試表示鎖定 SP 作用中,而 AdminSP 有 SID == MSID (先前的測試可能已失敗)。 |
| LOCKINGSP_ACTIVE_OWNED_TESTSID | 7 | 測試表示鎖定 SP 作用中,但 DellOpalChecker 測試 SID 已擁有 AdminSP (先前的測試可能已失敗)。 |
| OTHER_ERROR | 50 | 其他一些未指定的錯誤 |
| PARAMETER_ERROR | 100 | 無效的參數 |
| MUST_BE_ADMINISTRATOR | 101 | 計畫執行層級必須為系統管理員才能執行測試。 |
以下為 OPAL 磁碟機且受到支援的輸出範例 (返回代碼 ERRORLEVEL = 0)。
注意:Dell Encryption 原則式加密用戶端、軟體型完整磁碟加密用戶端和 Dell Data Guardian 不會遇到這類漏洞,因為它們不會使用這些磁碟機的硬體加速加密。
如需此漏洞的詳細資訊,以及特定製造商的注意事項,請參閱:
Samsung:https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/
Crucial:http://www.crucial.com/usa/en/support-ssd
漏洞的進一步資訊:https://www.kb.cert.org/vuls/id/395981/
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
受影響的產品
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise文章屬性
文章編號: 000130689
文章類型: How To
上次修改時間: 19 4月 2026
版本: 12
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。