T6x Über den richtigen Umgang mit ThinkPad-Passwörtern

toby

toby

New member
Themenstarter
Registriert
9 Jan. 2013
Beiträge
1.118
Nachdem der Thread „HDD Passwort - Masterpasswort funktioniert nicht“ gründlich in die Hose gegangen ist, hier noch einmal eine sachliche Erklärung:
-
Prämissen aus Sicht des Admins:
· Es gibt auf ThinkPads kein Power-On-Passwort.
· Es gibt ein Masterpassword für den Admin, um in das BIOS zu gelangen (z.B. „masterpwd“)
· Es gibt ein Userpassword für den Benutzer, um ihn benutzen zu können. (z.B. „userpwd“)
· Es gibt HDD-Password, um die Festplatte für Fall eines Diebstahls zu verschlüsseln. (z.B. „hddpwd“)
-
Schlussfolgerungen:
a) Ist der Besitzer des ThinkPads einziger Benutzer und damit auch BIOS-Admin, kann man für alle Passwörter denselben Code verwenden. Man darf diesen nur niemandem verraten. Man muss ihn auch nur einmal eingeben, je nachdem, ob man in das BIOS will oder als Nutzer fungieren.

Ist man selbst Firmen-Admin, hat aber mehrere User, muss man genau überlegen:

b) Man vergibt für Admin und USER unterschiedliche Passwörter, die eigentliche Zuordnung der USER erfolgt ja durch das WINDOWS-Passwort. Bleiben die Geräte in der Firma und will man verhindern, dass die USER die Festplatte nach Feierabend ausbauen und zu Hause weiter nutzen, vergibt man ein drittes HDD-Passwort. Nun muss der Admin nach jedem (!) Einschalten von Hand das HDD-Passwort (und damit auch das USER-Passwort) eingeben, das ist der Nachteil dieser Methode. Niemand hat nun allerdings Zugriff auf die HDD außer dem Admin, er hat die volle Kontrolle bei jeder Form von Diebstahl, das ist der Vorteil dieser Methode.

c) Besteht keine Sorge darüber, dass der USER die Festplatte stehlen könne oder das Passwort verraten, vergibt man für USER- und HDD-Passwort denselben (!) Code bzw. dasselbe Passwort. ThinkPads erkennen automatisch die Identität von USER- und HDD-Passwort, der Benutzer muss sie nur einmal eingeben. Allerdings verliert der Admin bei dieser Methode die Kontrolle über die Festplatte, und er kann sich juristisch nur über ein tägliches Backup persönlich absichern.
-
Dass nach der Eingabe des Admin-Passwortes auch das HDD-Passwort abgefragt wird, ist übrigens völlig normal: Im BIOS wird die Festplatte ja angezeigt, sie muss also vorher entschlüsselt werden.
 
Zuletzt bearbeitet:
1. ThinkPads können ein Power-on Passwort vergeben bekommen
2. gleiche Passwörter für mehrere Schutzebenen zu vergeben, ist spätestens dann kontraproduktiv, wenn man nach Eingabe des Passworts in BIOS gelangt, ohne SVP-Rechte zu besitzen, die man in bestimmten Situationen aber benötigt
3.User Passwort und gleiches Master Passwort bei HDD ist wenig sinnvoll, dass kann man das Masterpasswort gleich weglassen und nur ein Userpasswort vergeben
4. das Userpasswort ist "flüchtig" - nach entfernen der BIOS-Batterie wird automatisch das SVP aktiv
 
CMaster schrieb:
Was steht dann hier?
http://support.lenovo.com/en_US/detail.page?LegacyDocID=MIGR-59377
Zum Vergrößern anklicken....

Da steht, dass in der Definition von Lenovo das USER-Password als Power-On-Password bezeichnet wird. Ich mache es noch ausführlich, aber sinngemäß geht es "frei nach Lenovo" um folgendes:
  1. Power -On --> USER-Passwort vergeben?
  2. F1 gedrückt --> Supervisor-Passwort vergeben?
  3. HDD angeschlossen --> Passwort vergeben? --> wenn ja, ist es ein HDD-USER-Passwort oder ein HDD-USER + Master-Passwort?
 
Zuletzt bearbeitet:
Mornsgrans schrieb:
1. ThinkPads können ein Power-on Passwort vergeben bekommen
2. gleiche Passwörter für mehrere Schutzebenen zu vergeben, ist spätestens dann kontraproduktiv, wenn man nach Eingabe des Passworts in BIOS gelangt, ohne SVP-Rechte zu besitzen, die man in bestimmten Situationen aber benötigt
3.User Passwort und gleiches Master Passwort bei HDD ist wenig sinnvoll, dass kann man das Masterpasswort gleich weglassen und nur ein Userpasswort vergeben
4. das Userpasswort ist "flüchtig" - nach entfernen der BIOS-Batterie wird automatisch das SVP aktiv
Zum Vergrößern anklicken....
  1. Man muss sich akademisch überlegen, von wo aus man das Problem denkt: Aus Sicht der Maschine ist ein Power-On-Password, aus Sicht des Admins (und darum ging es ja in der Fragestellung) ist es ein USER-Passwort, aus Sicht des USERS ist es ein Benutzerkonto, dass den Betriebssystemen vorgeschaltet ist.
  2. Der Satz ist Blödsinn: Wenn man sie benötigt, muss man den Admin kontaktieren, dafür ist das SVP ja da.
  3. Kann man so sehen, muss man aber nicht: Bewusst mit einem Passwort in das BIOS zu gehen, ist schon sinnvoll, zumal das Symbol und der darauf folgende Bildschirm nicht das gleiche sind wie beim Start eines Betriebssystems.
  4. Das ändert aber nichts am Sachverhalt, die Maschine aus Sicht des Admins sicher zu halten...

Wir haben ein offenes System mit drei strategischen Spielern: Die Maschine, der Admin/Supervisor, der User. Alle haben Interessen, alle haben Rechte und Pflichten. Die Fragen, die ich oben beantwortet habe, erfolgten aus Sicht und den Interessen des Admins.

CMaster hat jetzt noch einen vierten Spieler eingebracht: "Lenovo". - Lenovo ist die Weltformel oder der "Systemmaster", der die Interessen von Maschine, Admin und User handeln bzw. austarieren soll. Das ist die Ausgangslage, und dagegen ist eine Schachpartie einfach...:)
 
Zuletzt bearbeitet:
toby schrieb:
Der Satz ist Blödsinn: Wenn man sie benötigt, muss man den Admin kontaktieren, dafür ist das SVP ja da.
Zum Vergrößern anklicken....
Den "Blödsinn" verbitte ich mir!! Lies mal, was Du in Beitrag 1 unter "a)" im ersten Absatz geschrieben hast - oder hast Du das schon vergessen.
 
Die Spielregeln aus Sicht des Systemmasters (Lenovo) am Beispiel des BIOS 1.40 des W520:

Hardware Password Manager (Enabled/Disabled): Der HPM ermöglicht das zentrale Mangement der Hardware-Passwörter. Bei Wahl von Enabled wird das gesamte Hardware-System auf dem Server registriert. Bei Disabled wird das System nicht registriert bzw. eine bestehende Registrierung deaktiviert.

Supervisor Password (Enabled/Disabled): Das Supervisor-Passwort schützt den Supervisor vor unauthorisiertem Zugriff von Usern, die die Bootreihenfolge, die Netzwerkadapter oder Datum und Uhrzeit ändern können.

Lock UEFI BIOS Settings (Enabled/Disabled): Schützt vor Usern, die zwar UEFI-BIOS-Einstellungen ändern dürfen, aber kein Supervisor-Passwort besitzen.

Set Minimum Length (Enabled/Disabled): Zwingt User zu einer Mindesanzahl an Zeichen bei der Vergabe von User- und HDD-Passwörtern.

Password at unattended boot (Enabled/Disabled): Beim unbeaufsichtigten (morgendlichen) Booten nach dem (abendlichen) Herunterfahren oder aus dem Hibernate wird das System für ein Passwort gestoppt. Zum Schutz vor unautorisiertem Zugriff auf das System ist zusätzlich mindestens ein User-Passwort im Betriebsystem erforderlich.

Password at restart (Enabled/Disabled): Das Passwort wird erforderlich, wenn das System neu gestartet wird. Zum Schutz vor unautorisiertem Zugriff auf das System ist zusätzlich mindestens ein User-Passwort im Betriebsystem erforderlich.

Power-On Password (Password Status Enabled/Disabled): Das Power-On-Passwort schützt vor unautorisiertem Zugriff auf den Computer. Ältere Betriebssysteme erfordern das Passwort auch bei der Wiederaufnahme des Betriebs. (Restart)

Harddisk 1 Password (Passwort Status User/User+Master): Das Harddisk-Passwort schützt vor unautorisierten Usern und ihrem Zugriff auf die Daten der Harddisk. Zusätzlich zum User-Passwort kann auch noch ein Administrator-Kennwort (nicht identisch mit dem Supervisor) vergeben werden, das nur dem Administrator im Beisein des Users den Zugriff gestattet.

Harddisk 2 Password (Passwort Status User/User+Master): siehe oben
 
Zuletzt bearbeitet:
Mornsgrans schrieb:
Den "Blödsinn" verbitte ich mir!! Lies mal, was Du in Beitrag 1 unter "a)" im ersten Absatz geschrieben hast - oder hast Du das schon vergessen.
Zum Vergrößern anklicken....
War nicht so gemeint... :)

Wie gesagt, aus Sicht des Admins ist es kein Power-On-Passwort, sondern ein User-Passwort. Der Admin steht steht in der Hierarchie eine Ebene höher. Das "System" steht noch eine Stufe höher und unterscheidet nur die Arten von Passwörtern und leitet daraus Aktionen und Rechte ab. "Es gibt auf ThinkPads kein Power-On-Passwort." ist also ein rhetorischer Kunstgriff, um zu sagen, dass es aus System- und Admin-Sicht ein User-Passwort ist.

Aus der Sicht des Users ist es ein Power-On-Passwort, und in Zukunft muss man wohl angeben, als welcher Spieler des Systems man das Passwort und seine Funktion sieht. Dazu kommt noch, dass die BIOS' ja geupdatet werden und ständig neue Funktionen und Spielarten von Passwörtern dazukommen.

Wenn ich mal richtig feinsinnig werden darf: Wenn ich mich als Admin in das BIOS einwähle und dann den Passwort-Reiter wähle, wie kann da ein Power-On-Password vergeben werden, ob wohl der Computer schon läuft? Es ist ein User-Password, was falsch benannt worden ist, denn derjenige, der dieses Passwort vergibt, ist bereits power-on! (Aber jetzt wollen wir mal nach Mornsgrans nicht auch noch Lenovo verärgern...)

Schließlich: Bleiben die Computer in der Firma oder nehmen die Angestellten sie abends mit nach Hause? Werden sie unbeaufsichtigt gestartet oder im Beisein eines Admins? Gibt es ein tägliches oder wöchentliches Backup?

Warum verschlüsselt man die Festplatten eigentlich nicht besser mit Bitlocker oder Truecrypt? Der Effekt ist derselbe, doch mit einem HDD-Passwort werden die Platten praktisch auch materiell wertlos. Eigentlich wäre es aber doch im Interesse des Bestohlenen, wenn der Dieb die verschlüsselte Platte neu formatiert und die verschlüsselten, brisanten Daten damit für immer löscht?
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben