16
Neue TPM Notebooks Windows 8.1 - Kein USB start mehr möglich?
Ich habe hier ein Asus T100 Tablet / Netbook mit Win 8.1 64 (Welche Version ist nicht ersichtlich, wohl nen Home mit Bitlocker aktiv von Asus)
MS und die Hersteller liefern sollte Systeme ja fast nur noch mit aktiviertem TPM aus.
Sehe ich das richtig dass ich keine Möglichkeit habe ein solches System per USB zu booten zur Fehlersuche mit MS Dart oder WINPE ?
Bei mir ist auf dem Tablet TPM aktiviert und nicht nur das auch Bitlocker ist schon aktiv !!
Sofern ich versuche per USB MS Dart oder Linux oder was auch immer zu starten passiert dann natürlich nichts.
Ich kann secure Boot ausschalten im BIOS dann fragt Bitlocker allerdings nach einem Wiederherstellungsschlüssel.
Diesen kann ich , wenn ich in WIndows eingeloggt bin , z.b. ausdrucken.
Falls nun aber ein user mal sein Passwort für das Windows Login vergisst, habe ich keine(!) Möglichkeit dieses zu reseten oder an die Daten zu kommen. In diesem Fall wären alle Daten und auch Windows für immer verloren..?? Gut die NSA kann da noch ran, aber kein Otto-Normal-Admin...
Sehe ich das richtig?
Ein weiteres Problem ist das ich das TPM nicht abschalten kann, in der Snap-In-Konsole kann ich es zwar versuchen aber ich habe natürlich nicht den Besitzerschlüssel, den hat Asus,MS und NSA..
Auch Bitlocker kann ich nicht abschalten da es nur die Funktion gibt den Wiederherstellungsschlüssel zu drucken...
Windows neuinstallieren müsste gehen wenn ich secure boot abschalte oder? Das original Windows müsste dann Futsch sein und ich kann nen neues kaufen..
Stimmt das alles so?
edit: ich kann mit manage-bde -off c: das teil zumindest entschlüsseln, mal sehen ob dann ein usb start möglich ist..in der cmd steht nur "entschlüsselung wird durchgeführt" nen gui oder timer kann ich mir nicht anzeigen lassen wenn er fertig ist?
Was ja mal heftig ist wenn ein User sich nen Notebook kauft auf dem TPM und Bitlocker per defalut aktiv ist (was ja in allen neuen Geräten so ist), und sein Login vergisst, kann ich noch nicht mal die Platte formatieren, der kann das Notebook dann wegschmeißen??
MS und die Hersteller liefern sollte Systeme ja fast nur noch mit aktiviertem TPM aus.
Sehe ich das richtig dass ich keine Möglichkeit habe ein solches System per USB zu booten zur Fehlersuche mit MS Dart oder WINPE ?
Bei mir ist auf dem Tablet TPM aktiviert und nicht nur das auch Bitlocker ist schon aktiv !!
Sofern ich versuche per USB MS Dart oder Linux oder was auch immer zu starten passiert dann natürlich nichts.
Ich kann secure Boot ausschalten im BIOS dann fragt Bitlocker allerdings nach einem Wiederherstellungsschlüssel.
Diesen kann ich , wenn ich in WIndows eingeloggt bin , z.b. ausdrucken.
Falls nun aber ein user mal sein Passwort für das Windows Login vergisst, habe ich keine(!) Möglichkeit dieses zu reseten oder an die Daten zu kommen. In diesem Fall wären alle Daten und auch Windows für immer verloren..?? Gut die NSA kann da noch ran, aber kein Otto-Normal-Admin...
Sehe ich das richtig?
Ein weiteres Problem ist das ich das TPM nicht abschalten kann, in der Snap-In-Konsole kann ich es zwar versuchen aber ich habe natürlich nicht den Besitzerschlüssel, den hat Asus,MS und NSA..
Auch Bitlocker kann ich nicht abschalten da es nur die Funktion gibt den Wiederherstellungsschlüssel zu drucken...
Windows neuinstallieren müsste gehen wenn ich secure boot abschalte oder? Das original Windows müsste dann Futsch sein und ich kann nen neues kaufen..
Stimmt das alles so?
edit: ich kann mit manage-bde -off c: das teil zumindest entschlüsseln, mal sehen ob dann ein usb start möglich ist..in der cmd steht nur "entschlüsselung wird durchgeführt" nen gui oder timer kann ich mir nicht anzeigen lassen wenn er fertig ist?
Was ja mal heftig ist wenn ein User sich nen Notebook kauft auf dem TPM und Bitlocker per defalut aktiv ist (was ja in allen neuen Geräten so ist), und sein Login vergisst, kann ich noch nicht mal die Platte formatieren, der kann das Notebook dann wegschmeißen??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 245733
Url: https://administrator.de/contentid/245733
Printed on: April 24, 2024 at 15:04 o'clock
16 Comments
Latest comment
Hi.
Du kannst die Platte von jedem Bitlocker-aware-OS manipulieren, wenn Du den Wiederherstellungsschlüssel oder das Kennwort hast.
Am besten ist ein Windows 8.1 pro/enterprise to go, welches vom USB-Stick bootet, dafür geeignet.
Du kannst die Platte von jedem Bitlocker-aware-OS manipulieren, wenn Du den Wiederherstellungsschlüssel oder das Kennwort hast.
Am besten ist ein Windows 8.1 pro/enterprise to go, welches vom USB-Stick bootet, dafür geeignet.
Ja ich weiß, aber stimmen meine Gedankengänge ? Kein user weiss das er einen wiederherstellungsschlüssel sichern muss.. Und wie ist das mit dem tpm, siehe meine fragen..
Du kannst bei win8 jederzeit auf einen anderen Protector umstellen, also entweder auf USB-Stick (ohne Anstecken kein Hochfahren), oder auf Kennwort - danach kannst Du den TPM-Protector abschalten. Dazu muss die folgende Policy zunächst aktiviert werden:
Allow Bitlocker without compatible TPM chip
Danach kannst Du weiterhin mit jedem der aktiven Protektoren und dem Wiederherstellungsschlüssel offline an die Platte.
Zu weiteren Fragen:
-Das Domain-Kennwort vergessen? Kein Problem, es kann sowieso nur am DC und nicht etwa lokal resettet werden.
-Ein lokales Kennwort vergessen und kein Domainaccount ist lokaler Admin? Kein Ding, win8togo booten, Platte aufschließen, utilman.exe gegen eine Kopie von cmd.exe tauschen usw. - ich denke der Trick ist jedem Admin bekannt
-Besitz des TPMs übernehmen sollte als lokaler Admin möglich sein über das TPM-MMC-Snapin oder Powershell
-Bitlocker loswerden: entschlüsseln über GUI, manage-bde oder Powershell für Admins möglich. Weiterhin kann man die Platten ganz simpel formatieren und ist es los.
Allow Bitlocker without compatible TPM chip
Danach kannst Du weiterhin mit jedem der aktiven Protektoren und dem Wiederherstellungsschlüssel offline an die Platte.
Zu weiteren Fragen:
-Das Domain-Kennwort vergessen? Kein Problem, es kann sowieso nur am DC und nicht etwa lokal resettet werden.
-Ein lokales Kennwort vergessen und kein Domainaccount ist lokaler Admin? Kein Ding, win8togo booten, Platte aufschließen, utilman.exe gegen eine Kopie von cmd.exe tauschen usw. - ich denke der Trick ist jedem Admin bekannt
-Besitz des TPMs übernehmen sollte als lokaler Admin möglich sein über das TPM-MMC-Snapin oder Powershell
-Bitlocker loswerden: entschlüsseln über GUI, manage-bde oder Powershell für Admins möglich. Weiterhin kann man die Platten ganz simpel formatieren und ist es los.
Also wenn ich den tpm Besitz übernehmen will dann fragt Windows mich nach dem Besitzer Schlüssel den ich natürlich nicht habe da das Tablett ja vorinstalliert ist...
Wenn ich das lokale Login des Users (admin) nicht habe kann ich nichts von usb oder cd booten,das ist ja der Sinn von bitlocker..das szenario ist ja das der Käufer einfach nichts von tpm oder Bit locker weiss und deshalb auch nie auf die Idee kommt den Schlüssel zu sichern da er ja auch nie bitlocker aktiviert hat...
auch kann ich mit deaktiviertem secure boot und WIn 8.1 Dart nicht von usb Booten (CSM gibt es nicht im bios), ne FAT 32 WIn 8 PE Version startet auch nicht...Linux schon mal gar nicht---
Startet denn eine WintoGo Version von UEFI?
Wenn ich das lokale Login des Users (admin) nicht habe kann ich nichts von usb oder cd booten,das ist ja der Sinn von bitlocker..das szenario ist ja das der Käufer einfach nichts von tpm oder Bit locker weiss und deshalb auch nie auf die Idee kommt den Schlüssel zu sichern da er ja auch nie bitlocker aktiviert hat...
auch kann ich mit deaktiviertem secure boot und WIn 8.1 Dart nicht von usb Booten (CSM gibt es nicht im bios), ne FAT 32 WIn 8 PE Version startet auch nicht...Linux schon mal gar nicht---
Startet denn eine WintoGo Version von UEFI?
In Kürze: du brauchst das tpm nicht. Sobald du einen anderen Protektor eingerichtet hast, kannst du es löschen, dafür brauchst Du kein Kennwort und danach dann den Besitz ubernehmen.
Kennwort-Reset: wie bereits beschrieben: utilman.exe. Dir nicht geläufig?
Kennwort-Reset: wie bereits beschrieben: utilman.exe. Dir nicht geläufig?
Danke schon mal für die Antworten!
Ja utilman kenne ich. Ich nehme halt Dart 8.1 ist schneller. Ich muss mich wohl mal mehr mit tpm beschäftigen. Protektor sagt mir nichts.. Ich sehe nur die Optionen löschen usw. Aber immer wird der Besitzer Schlüssel verlangt.. Egal
Ja utilman kenne ich. Ich nehme halt Dart 8.1 ist schneller. Ich muss mich wohl mal mehr mit tpm beschäftigen. Protektor sagt mir nichts.. Ich sehe nur die Optionen löschen usw. Aber immer wird der Besitzer Schlüssel verlangt.. Egal
"Protektoren" sind Schutzmechanismen. Bei Bitlocker gibt es
-tpm
-tpm + PIN
-Kennwort
-Recovery Key
-usb startup key
Sobald Du einen anderen als den TPM-Protektor hinzugefügt hast, kannst Du den TPM-Protektor entfernen und danach natürlich auch das TPM löschen. http://technet.microsoft.com/de-de/library/cc753694.aspx
-tpm
-tpm + PIN
-Kennwort
-Recovery Key
-usb startup key
Sobald Du einen anderen als den TPM-Protektor hinzugefügt hast, kannst Du den TPM-Protektor entfernen und danach natürlich auch das TPM löschen. http://technet.microsoft.com/de-de/library/cc753694.aspx
Verstehe, eine Sache ist noch interessant. Nach dem ich bei dem Tablet Asus T100 bitlocker Power Konsole entschlüsselt habe mit manage-bde -off kann ich nun nicht wieder aktivieren. Manage-bde -on sagt mir das kein verschlüsseln möglich ist..
Ist ja auch eine win8.1 32 von asus vermutlich kann diese das nur im auslieferungszustand,oder ich mussmanuel in den sicherheitsrichtlimien wieder an schalten...
Ist ja auch eine win8.1 32 von asus vermutlich kann diese das nur im auslieferungszustand,oder ich mussmanuel in den sicherheitsrichtlimien wieder an schalten...
Die defaults sagen: nur tpm. Und Davon hast Du keine Beseitzrechte derzeit, deswegen. Änderst Du die GPO https://www.google.com/search?q=Allow+Bitlocker+without+compatible+TPM+c ... dann kannst Du sofort auch verschlüsseln mit Kennwort/USB-Stick.
Ich habe keine GPO`s da dies eine Home-Version von Windows 8.1 ist.
Bitlocker wurde wohl von asus aktiviert installiert, aber einmal deaktiviert gibt es wohl keine Möglichkeit wieder zu aktivieren
Bitlocker wurde wohl von asus aktiviert installiert, aber einmal deaktiviert gibt es wohl keine Möglichkeit wieder zu aktivieren
Die Homeversion hat kein Bitlocker - irgendetwas an Deiner Aussage stimmt nicht.
Hallo,
wieder aktiviert werden.
Es sei denn man hat eine andere Verschlüsselungssoftware die das TPM Modul
verwendet.
Gruß
Dobby
Bitlocker wurde wohl von asus aktiviert installiert,
Von ASUS ist wenn überhaupt das TPM Modul!aber einmal deaktiviert gibt es wohl keine Möglichkeit wieder zu aktivieren
Da die Home Version hat ja gar kein Bitlocker und somit kann es gar nichtwieder aktiviert werden.
Es sei denn man hat eine andere Verschlüsselungssoftware die das TPM Modul
verwendet.
Gruß
Dobby
Also ich konnte die Win 8.1 32 Version wieder aktivieren, aber nicht per CMD manage -bde auch nicht unterm normalen windows systemsterungsmenü, sondern über die win 8 charm einstellungen.
http://www.asus.com/in-search-of-incredible/de-de/asus-transformer-book ...
hier ist das teil. Windows 8.1 32 keine Pro und Bitlocker ist definitiv aktiv bei mir. (Und wurde auch schon aktiv ausgeliefert!! Finde ich krass)
http://img5.fotos-hochladen.net/uploads/wp201408251786j0gf4aop.jpg
http://www.asus.com/in-search-of-incredible/de-de/asus-transformer-book ...
hier ist das teil. Windows 8.1 32 keine Pro und Bitlocker ist definitiv aktiv bei mir. (Und wurde auch schon aktiv ausgeliefert!! Finde ich krass)
http://img5.fotos-hochladen.net/uploads/wp201408251786j0gf4aop.jpg
Ok, dann hat das Ding aber nicht das normale windows drauf, sondern windows RT - richtig, dort gibt es keine GPOs. Setz' Dich bitte mal mit dem Händler auseinander, er wird Dich sicher nicht ignorieren, da die Frage ja berechtigt ist.
Nein es ist win8.1 full
Ok, ich hatte etwas darüber gelesen, es aber falsch erinnert. Es gibt diese auch bei "8.1", richtig, siehe http://windows.microsoft.com/de-de/windows-8/using-device-encryption
Frag den Hersteller.
Frag den Hersteller.
