ATA-Security-Laufwerks-Passwort bei unverschlüsseltem Laufwerk sinnvoll?

[dark_rider]

Hallo zusammen,

wie in einem anderen Thread (https://thinkpad-forum.de/threads/2...lung-Bitlocker-o-auch-eDrive-OPAL-o-Ä-möglich) besprochen, ist meine SSD leider unverschlüsselt und unterstützt scheinbar keine Hardware-basierte Verschlüsselung.

Was ich mich frage: Bringt ein Laufwerks-Passwort nicht auch bei einer unverschlüsselten SSD schon eine Menge hinsichtlich Datenschutz bei Diebstahl? Denn der Dieb könnte so auf normalem Wege ohne Passwort das Laufwerk nicht auslesen - er müsste vielmehr schon den Laufwerks-Controller umgehen. Aber welcher gemeine Dieb, der es auf den Wiederverkaufswert des Notebooks und nicht auf die Daten darauf abgesehen hat, nimmt eine SSD auseinander und bringt die Chips über einen anderen Controller zum Laufen oder gibt sie zum Forensik-Unternehmen und lässt sie dort gegen horrende Kosten wiederherstellen?

Mein T460s bietet im BIOS ein Laufwerks-Passwort an:


Kann beim Setzen eines solchen etwas schiefgehen und irgendwie ein Datenverlust drohen?

 

[harpo]

b) Laufwerks-/ATA-Passwort ohne HW-Verschlüsselung: Speicherchips nicht gegen forensisches Auslesen gesichert, Zugriff über originalen Controller aber gesichert, d.h. Dieb müsste SSD auseinanderbauen und Chips an anderen Controller hängen.

Hm, ganz so einfach soll das angeblich nicht möglich sein laut eines schon älteren c't-Artikels:

Die Festplattenhersteller versichern, dass sie keine Hintertüren in Form geheimer Generalschlüssel eingebaut haben und selbst nicht in der Lage sind, passwortgeschützte Platten zu entsperren. Auch ein Tausch der Laufwerkselektronik mit der einer ungeschützten Platte hebelt den Schutz nicht aus, denn große Teile der Firmware und das Passwort werden auf der Platte selbst gespeichert und nicht etwa in einem Flash-Speicher auf der Platine.

Im gleichen Artikel steht allerdings auch, dass eine auf Datenrettung spezialisierte Firma postwendend der c't ihre "geheimen" Daten zurückgesendet hätte; und das ohne die Platte überhaupt zu öffnen.

- - - Beitrag zusammengeführt - - -

a) HW-Verschlüsselung ohne Laufwerks-/ATA-Passwort: Nur Speicherchips gegen forensisches Auslesen gesichert, originaler Controller entschlüsselt diese aber jederzeit, d.h. Dieb könnte intakte SSD jederzeit auslesen.
...
c) HW-Verschlüsselung und Laufwerks-/ATA-Passwort: Speicherchips gegen forensisches Auslesen gesichert, Zugriff über originalen Controller auch gesichert, d.h. Dieb könnte SSD weder über den originalen Controller noch per Forensik (Speicherchips an anderen Controller hängen) auslesen.

Da kommt es wohl auch darauf an, wie gut der Hersteller die HW-Verschlüsselung implementiert hat. In diesem Fall ist es einer Datenrettungsfirma gelungen, Daten von nicht mehr entschlüsselbaren Samsung-SSDs mittels eines recht simplen "Tricks" auf baugleiche Modelle zu überspielen und dort die Daten einfach auszulesen. Hier war allerdings kein HDD-PW im BIOS gesetzt, nur der im Controller immer (ob mit oder ohne PW) aktive Schlüssel war wohl nicht mehr nutzbar. Könnte es sein, dass Samsung für seine SSDs gleichen Modells bzw. gar gleicher Serie immer den gleichen Schlüssel benutzt? Wie sieht das dann mit gesetztem PW aus? Wäre die Verschlüsselung dann trotzdem auf dem gleichen Wege zu umgehen/ zu knacken oder ist dann das PW so fest mit dem Schlüssel verknüpft, dass es dann nicht so einfach möglich wäre?

 

[Mornsgrans]

Ich habe in meinen T450s das Passwort für die verbaute SSD im BIOS gesetzt und damit ist die SSD voll verschlüsselt.

Also die Verschlüsselung explizit ausgewählt oder war es ein Laufwerk, das Hardware-seitig die Verschlüsselung unterstützt?

Das Setzen eines HDD-Passworts verschlüsselt m.E. nicht automatisch.

 

[dark_rider]

Habs nun mal riskiert und im BIOS das Laufwerks-Passwort ("Hard Disk1 Password") gesetzt (nur User - man kann aber vorab bei der Vergabe im BIOS auswählen, ob man nur User oder Master+User verwenden möchte).

Nach dem folgenden Neustart fragte das BIOS nach einem Fingerprint und sprach dabei seltsamerweise von einem Power-On-Passwort, welches ich gar nicht vergeben habe:


Da ich mein T460s geschlossen im Dock liegen und daher den Fingerprintreader nicht zugänglich hatte, wechselte ich per ESC zur Passworteingabe per Tastatur. Dann erschien ein HDD-Icon (wenn ich Lenovos Bildsprache hier richtig interpretiere ;-), wie ich es auch schon vom T61p mit FDE-HDD kenne:


Das zuvor vergebene Laufwerks-Passwort funktionierte hier.

Beim Aufwachen aus dem Standby wurde das Passwort nicht abgefragt. Nach einem Neustart auch nicht. Nur nach dem Herunterfahren und einem anschließenden Kaltstart wird es abgefragt. Das kann man aber, glaube ich, im BIOS einstellen:

(Mein BIOS von gestern, vor dem Setzen des Hard Disk1 Password)

Seltsam: Nach einem Neustart erscheint das rote Lenovo-Logo des BIOS mit dem Untertitel, dass man Enter drücken soll, um ins BIOS zu gelangen, nicht mehr. Stattdessen bleibt der Bildschirm schwarz, und es erscheinen nur unten die Punkte, die sich im Kreis drehen, als Aktivitätsanzeige. Wahrscheinlich muss ich dann einfach Enter gedrückt halten und komme trotzdem noch ins BIOS? Muss man dazu eigentlich nur 1x zum richtigen Zeitpunkt Enter drücken, oder auch offiziell Enter gedrückt halten? Nicht, dass ich Enter zu lange gedrückt halte und dann versehentlich etwas im BIOS damit verstelle?

Was mir noch einfiel:
- Ich habe ja eine PCIe-NVMe-SSD - unterstützt die ATA-Security überhaupt, oder hat das BIOS vielleicht stattdessen einfach nur ein Power-On-Passwort für das System gesetzt und spricht deshalb davon (s.o.)?
- Ist die ATA-Security bei BIOS-Updates (habe derzeit das aktuelle 1.20 für das T460s) eigentlich irgendwie gefährded, ging dabei schonmal was schief?

 

[harpo]

Habs nun mal riskiert und im BIOS das Laufwerks-Passwort gesetzt (nur User)

Das sollte auch das richtige für die Zugangssperre sein. Das Masterpasswort dient meines Wissens gewöhnlich nur dazu, die Platte resetten zu können, falls das User-PW verloren gegangen ist. Also man kann damit einen Secure-Erase ausführen, bei dem die Platte in den Ausgangszustand zurück versetzt wird - also nur das User-PW zurücksetzen und den Schlüssel im Controller neu schreiben, so dass die Daten futsch sind, aber die Platte wieder frisch genutzt werden kann.

 

[Mornsgrans]

Nach dem Screenshot ist kein Passwort gesetzt. Soweit ich mich recht entsinne, wird ein HDD-Passwort nur bei gesetztem Supervisor Passwort auf die Disk geschrieben.

 

[dark_rider]

Das sollte auch das richtige für die Zugangssperre sein. Das Masterpasswort dient meines Wissens gewöhnlich nur dazu, die Platte resetten zu können, falls das User-PW verloren gegangen ist. Also man kann damit einen Secure-Erase ausführen, bei dem die Platte in den Ausgangszustand zurück versetzt wird - also nur das User-PW zurücksetzen und den Schlüssel im Controller neu schreiben, so dass die Daten futsch sind, aber die Platte wieder frisch genutzt werden kann.

Das hängt davon ab, ob man den Security Level auf High oder Maximum setzt: Bei High gilt das Masterpasswort ersatzweise auch als User-Passwort und man kann ein vergessenes User-Passwort damit ersetzen, bei Maximum ist es so, wie Du schreibst, dass man dann bei vergessenem User-Passwort keinen Zugriff mehr auf die Daten hat, aber immerhin die Platte noch löschen und dann wieder verwenden kann.

Nach dem Screenshot ist kein Passwort gesetzt. Soweit ich mich recht entsinne, wird ein HDD-Passwort nur bei gesetztem Supervisor Passwort auf die Disk geschrieben.

Wie ergänzt (noch vor Deinem Posting ;-), ist der dritte Screenshot von gestern. Hab auch schon getestet und das TP noch einmal ganz heruntergefahren - das PW wurde dann beim Kaltstart wieder vom BIOS abgefragt, funktioniert also.

 

[harpo]

Beim Aufwachen aus dem Standby wurde das Passwort nicht abgefragt. Nach einem Neustart auch nicht. Nur nach dem Herunterfahren und einem anschließenden Kaltstart wird es abgefragt.

Das ist, glaub ich, so gewollt. Wenn ich mich recht erinnere, hab ich das mal in einem englischen Wikipedia-Artikel gelesen. Das HDD-PW wird nur bei einem Kaltstart abgefragt. Geht die Platte in den Sleepmode, wird das PW im Speicher gehalten, auch wenn die Platte ohne Strom ist, damit sie beim aufwachen schnell wieder ohne PW-Eingabe bereit ist. Macht auch halbwegs Sinn: Wenn Du den Rechner aus dem Standby holst oder neu startest, hast Du ja vorher das PW eingegeben. Der Zugriff auf Deinen Rechner sollte ja dann durch andere Schranken - wie dem OS-Passwort - gesichert sein.

Interessant wäre es, wie das mit dem Ruhezustand funktioniert, ob da das PW abgefragt wird oder nicht.

 

[dark_rider]

Den Ruhezustand (Hibernation) nutze ich nicht.

Ich denke auch, dass die Abfrage des HDD-PW nur nach einem Kaltstart schon vieles abdeckt. Aber: Normalerweise nutze ich fast immer Standby, ca. einmal die Woche Neustart (Warmstart) - und nur ganz selten echtes Herunterfahren mit späterem Kaltstart. OK, Letzteres auf Reisen oder wenn ich wirklich mal länger weg bin - da ist die Diebstahlgefahr besonders groß. Aber wenn ich das TP in den Standby schicke und es dann gestohlen wird - was könnte passieren? Beim Aufwachen wird das HDD-PW nicht abgefragt, aber das Windows-Kennwort. Das kennt der Dieb normalerweise nicht. Könnte er nun einfach ein USB-Drive anschließen, Windows ohne Passworteingabe neu (warm, nicht kalt) starten, vom USB-Drive booten und dann auch auf die interne SSD zugreifen? D.h. wäre die SSD nur dann halbwegs sinnvoll gegen Gelegenheitsdiebe mit durchschnittlichen PC-Kenntnissen geschützt, wenn man das BIOS so einstellt, dass das HDD-PW auch bei einem Neustart (Warmstart) oder gar nach dem Aufwachen aus dem Standby abgefragt wird?

 

[harpo]

Für diese Fälle gibt es ja die anderen Optionen wie PW at Restart, at unattended Boot, at PowerOn usw. Ich hab z.B. die Bootreihenfolge so geändert, dass zuerst immer von der SSD gestartet wird und sowohl das Supervisor-PW als auch das Bootdevice-PW gesetzt. So muss man immer ein Passwort eingeben, wenn man auf die Bootliste zugreifen will, um ein anderes Medium als die intern SSD zu starten.

 

[Mornsgrans]

Beim Aufwachen wird das HDD-PW nicht abgefragt, aber das Windows-Kennwort. Das kennt der Dieb normalerweise nicht. Könnte er nun einfach ein USB-Drive anschließen, Windows ohne Passworteingabe neu (warm, nicht kalt) starten, vom USB-Drive booten und dann auch auf die interne SSD zugreifen? D.h. wäre die SSD nur dann halbwegs sinnvoll gegen Gelegenheitsdiebe mit durchschnittlichen PC-Kenntnissen geschützt, wenn man das BIOS so einstellt, dass das HDD-PW auch bei einem Neustart (Warmstart) oder gar nach dem Aufwachen aus dem Standby abgefragt wird?

Stelle Dir folgendes Szenrio vor:
Du weckst den Rechner aus dem Standby und brichst die HDD-Passwortabfrage ab. Die Folge: Dateisystem und geöffnete Dateien werden inkosistent und Daten können verloren gehen.

Darum kann man nur nach Einschalten des Rechners und optional bei Reboot das Passwort anfragen, ohne befürchten zu müssen, dass das Dateisystem Schaden nimmt.

Wer seinen Rechner wochenlang nur im Standby mit sich herumschleppt, ist selbst schuld. Ist ein Benutzerpasswort in Windows gesetzt, kommt man auch nur mit tiefergreifenden Kenntnissen "rein".
Booten wiederum kann das HDD-Passwort abfragen.

 

[dark_rider]

Danke Mornsgrans,

sprich Du hältst es so, wie es ist (Windows-PW auch nach Standby und HDD-PW nur nach Kaltstart) schon für recht schwierig, als Dieb ohne Passwörter an die Daten auf der SSD zu kommen, wenn das TP im Standby gestohlen wurde, und die zusätzliche Abfrage des HDD-PW auch nach einem Neustart (Warmstart) würde nicht so viel mehr Datenschutz bringen?

 

[tptux]

Aber natürlich nur mit dem Laufwerks-Passwort, oder?

Richtig, nur nach Eingabe vom Passwort!

Vielen Dank für deine Ausführungen :thumbsup:

 

[harpo]

und die zusätzliche Abfrage des HDD-PW auch nach einem Neustart (Warmstart) würde nicht so viel mehr Datenschutz bringen?

Ich antworte mal: Wie ich weiter oben schon beschrieben hatte, müsste man für diesen Fall zumindest noch das Supervisor-PW setzten, sowie die Einstellung Passwort at Bootdevice List. Und zudem die Bootreihenfolge so ändern, dass externe Medien (USB-Sticks/Laufwerke, DVD-Laufwerke etc.) keinen Vorrang vor der internen Platte haben.

Denn sonst gingen folgende Szenarien:
Bootreihenfolge ist so eingestellt, dass z.B. USB-Sticks vor der SSD booten dürfen: Nach warmem Neustart wird kein HDD-PW abgefragt, Rechner kann einfach von externem Laufwerk gestartet, Zugriff auf interne Platte gestattet
Bootreihenfolge ist wie empfohlen eingestellt, jedoch wird kein Bootlist-PW abgefragt: Nach warmem Neustart wird kein HDD-PW abgefragt, über Bootlistauswahl kann externes Laufwerk ausgewählt und gestartet werden, Zugriff auf externe Platte gestattet

 

[dark_rider]

Bootreihenfolge ist so eingestellt, dass z.B. USB-Sticks vor der SSD booten dürfen: Nach warmem Neustart wird kein HDD-PW abgefragt, Rechner kann einfach von externem Laufwerk gestartet, Zugriff auf interne Platte gestattet

Bist Du sicher, dass das HDD-PW dann nicht erneut angefragt wird, weil nicht von der internen SSD gebootet wurde?

Booten wiederum kann das HDD-Passwort abfragen.

Wenn ich Mornsgrans richtig interpretiere, würde das HDD-PW dann doch wieder abgefragt?

 

[harpo]

Also, ich hab es jetzt auch mal gewagt und das HDD-PW gesetzt. Das Verhalten zeigt sich bei mir genau wie von Dir beschrieben, also bei warmem Neustart und Aufwachen aus dem Standby keine erneute Abfrage. (Bei Fortsetzen nach Ruhezustand erfolgt übrigens die Abfrage.)

Bei mir erscheint beim warmen Neustart jedoch für etwas weniger als 1 Sekunde der Bildschirm zur HDD-PW-Eingabe - also das Symbol mit den übereinander liegenden Scheiben (Festplatte) und der 1 - und direkt danach das "OK"-Symbol und es wird dann durch gebootet. Das heißt, wie ich es beschrieben hatte, das PW wird im Speicher gehalten und automatisch gesetzt.

Das Ganze passiert BEVOR der Lenovo-Screen kommt, wo man die F-Tasten oder Enter drücken kann, um ins BIOS oder die Bootlist zu kommen. Die Platte wird also noch davor frei gegeben/entschlüsselt und dürfte in dem Fall lesbar für von externen Medien gestartete Systeme sein.

Ich hab jetzt gerade kein Live-Linux o. ä. auf Stick zur Hand, kann es also nicht eindeutig verifizieren. Mache ich vielleicht später noch, interessiert mich ja auch. Aber aufgrund des gerade Beschriebenen müsste es so sein!

Ein weitere Indiz, dass das PW im Speicher gehalten und automatisch eingegeben wird: Bei mir dauert unter Linux das Aufwachen aus dem Standby ein ganz klein wenig länger, also bis der Screen zur PW-Eingabe kommt. (Unter Win hab ich's noch nicht getestet.)

Edit: Alternativ zu den vorhin beschriebenen Absicherungsmaßnahmen kann man natürlich auch einfach die Option "Password at Restart" setzen, dann muss man es aber natürlich auch bei jedem Neustart eingeben.

Nochmal zur Edith: Morns bezog sich ja auf den Fall, dass man seinen Rechner ewig im Standby lässt. Mit Booten meinte er wahrscheinlich "kalt" booten, also nach Herunterfahren oder Ruhezustand. Beim Standby ist es ja wie beim warmen Neustart: Das System muss zwingend am Strom hängen.

- - - Beitrag zusammengeführt - - -

So, nun habe ich es doch ausprobiert und muss mich in einem kleinen Punkt revidieren, in der Hauptsache jedoch bestätigen:

Das HDD-OK-Symbol nach Warm-Restart kommt nicht VOR, sondern direkt NACH dem Lenovo-Screen. Das spielt allerdings keine Rolle, denn egal, was man dann vorhat (BIOS-Setup, Lenovo Diagnostics, Bootlist, oder direkt booten), das PW wird automatisch gesetzt und die HDD freigegeben. Ich konnte dann einfach von einem Live-Linux vom Stick starten und hatte von da aus vollen Zugriff auf die SSD.

Man sollte also zumindest eine der zusätzlichen Absicherungsvarianten wählen, wenn man dies verhindern will!

 

[dark_rider]

So, nun habe ich es doch ausprobiert und muss mich in einem kleinen Punkt revidieren, in der Hauptsache jedoch bestätigen:

Das HDD-OK-Symbol nach Warm-Restart kommt nicht VOR, sondern direkt NACH dem Lenovo-Screen. Das spielt allerdings keine Rolle, denn egal, was man dann vorhat (BIOS-Setup, Lenovo Diagnostics, Bootlist, oder direkt booten), das PW wird automatisch gesetzt und die HDD freigegeben. Ich konnte dann einfach von einem Live-Linux vom Stick starten und hatte von da aus vollen Zugriff auf die SSD.

Man sollte also zumindest eine der zusätzlichen Absicherungsvarianten wählen, wenn man dies verhindern will!

Also wenn man das HDD-Passwort so einfach umgehen kann, sofern das TP nicht ganz ausgeschaltet ist, musste ich die beiden Optionen "Password at Restart" und "Password at Boot Device List" nun auch aktivieren:



Das mit der Boot-Device-List via F12 habe ich noch nie getestet, aber bei einem Neustart (Warmstart) wird das HDD-PW nun auch abgefragt. Beim Aufwachen aus dem Standby dagegen weiterhin nicht, aber dann wäre ein Dieb ja durch das Windows-Passwort ausgesperrt, und wenn er dann neu bootet, wird das HDD-PW doch wieder abgefragt.

So ganz verstanden habe ich die zusätzliche Option mit der Boot Device List noch nicht: Wenn man "Password at Restart" setzt und "Passwort at Boot Device List" nicht, was kann dann passieren? Kann man dann von einem externen Laufwerk booten und hätte ohne HDD-PW Zugriff auf die interne SSD, was ich aber nicht glaube, da man ja für diese bei jedem Restart das HDD-PW eingeben muss? Oder verbaut man sich so nicht eventuell die Möglichkeit, bei einer defekten internen SSD selbst von einem externen Laufwerk zu booten?

Seltsam: Nach einem Neustart erscheint das rote Lenovo-Logo des BIOS mit dem Untertitel, dass man Enter drücken soll, um ins BIOS zu gelangen, nicht mehr. Stattdessen bleibt der Bildschirm schwarz, und es erscheinen nur unten die Punkte, die sich im Kreis drehen, als Aktivitätsanzeige. Wahrscheinlich muss ich dann einfach Enter gedrückt halten und komme trotzdem noch ins BIOS? Muss man dazu eigentlich nur 1x zum richtigen Zeitpunkt Enter drücken, oder auch offiziell Enter gedrückt halten? Nicht, dass ich Enter zu lange gedrückt halte und dann versehentlich etwas im BIOS damit verstelle?

Übrigens komme ich Gott sei Dank natürlich doch weiterhin ins BIOS, auch wenn das rote Lenovo-Logo beim Hochfahren seit dem Setzen des HDD-PW nicht mehr erscheint - man muss halt nur irgendwie den richtigen Moment für "Enter" abpassen und die Taste am besten gedrückt halten, bis es kurz piept und dann danach das BIOS erscheint.

 

[harpo]

Deshalb schrieb ich ja, entweder - oder: Wenn Du das Boot-Device-PW setzt und zusätzlich im BIOS die Bootreihenfolge dahingehend änderst, dass die interne SSD ganz vorne steht - oder besser noch: alle externen Boot-Möglichkeiten von der Liste ausschließt, dann reicht das völlig aus und Du brauchst PW at Restart nicht unbedingt. Dann wird beim warmen Restart kein HDD-PW abgefragt, aber wenn Du auf die Boot-Auswahl per F12 zugreifen willst, das das nötige Passwort. Das Supervisor-PW sollte aber auch gesetzt sein, denn sonst kann jeder einfach so ins BIOS und das alles wieder ändern!

 

[dark_rider]

Vorab: Das Thema ist, finde ich, leider hochgradig komplex!

Deshalb schrieb ich ja, entweder - oder: Wenn Du das Boot-Device-PW setzt und zusätzlich im BIOS die Bootreihenfolge dahingehend änderst, dass die interne SSD ganz vorne steht - oder besser noch: alle externen Boot-Möglichkeiten von der Liste ausschließt, dann reicht das völlig aus und Du brauchst PW at Restart nicht unbedingt. Dann wird beim warmen Restart kein HDD-PW abgefragt, aber wenn Du auf die Boot-Auswahl per F12 zugreifen willst, das das nötige Passwort.

Ich finde es nicht so schlimm, auch bei jedem Neustart (warm) das HDD-PW eingeben zu müssen.

Braucht man mit aktiviertem "Password at Restart" die zusätzliche Option "Password at Boot Device List" dann eventuell gar nicht bzw. schadet/behindert diese dann sogar eher?

Das Supervisor-PW sollte aber auch gesetzt sein, denn sonst kann jeder einfach so ins BIOS und das alles wieder ändern!

Ist das wirklich so? Für das BIOS benötigt man ja einen Neustart. Dabei wird bei aktivem "Password at Restart" das HDD-PW abgefragt - wirklich erst nach dem BIOS, d.h. man kann dann vorher ins BIOS gehen, "Password at Restart" deaktivieren und dann ohne HDD-PW booten? D.h. speichert das BIOS das HDD-PW generell vorsorglich für den nächsten Neustart, oder nur dann, wenn "Password at Restart" nicht aktiviert ist?

Edit 3: Das Thinkwiki schildert es so, dass man erst das HDD-PW eingeben muss und ohne scheinbar gar nicht erst ins BIOS kommt:
http://thinkwiki.de/HDD_Passwort_zurücksetzen

Edit: Das "Supervisor Password" sperrt das BIOS scheinbar nicht generell, sondern nur die Punkte "Boot Priority Lists", "Network related items" und "Date & Time", d.h. "Password at Restart" lässt sich ggf. trotz Supervisor Password auch ohne dieses deaktivieren?



Edit 2: Lenovo selbst schreibt übrigens:
https://support.lenovo.com/de/de/solutions/ht036206

Festplattenkennwort

Es gibt zwei Festplattenkennwörter: ein Festplattenkennwort für den Benutzer und ein Festplatten-Masterkennwort für den Systemadministrator. Der Administrator kann das Masterkennwort zum Zugriff auf die Festplatte benutzen, selbst wenn ein Benutzer das Festplatten-Benutzerkennwort geändert hat. Im Folgenden sehen Sie das Symbol, das in der oberen, linken Ecke angezeigt wird, wenn ein Festplatten-Kennwort festgelegt wurde: 59377_hdpasswrd.gif

Normalbetrieb

Es gibt zwei Modi für das Festplattenkennwort: nur Benutzer sowie Master + Benutzer. Der Modus Master + Benutzer erfordert zwei Festplattenkennwörter. Der Systemadministrator gibt beide im gleichen Schritt ein und gibt das Festplatten-Benutzerkennwort an den Systembenutzer weiter. Wenn das Kennwort für Master + Benutzer oder nur das Benutzer-Kennwort festgelegt werden, wird die Kennwort-Eingabeaufforderung während des Startvorgangs angezeigt und es muss entweder das Master- oder das Benutzer-Festplattenkennwort eingegeben werden, bevor das Betriebssystem gestartet werden kann.

Festplattenkennwort vergessen

Wurde das Benutzer-Festplattenkennwort vergessen, prüfen Sie, ob ein Master-Festplattenkennwort festgelegt wurde. Wenn dies der Fall ist, kann es für den Zugriff auf die Festplatte genutzt werden. Ist kein Master-Festplattenkennwort vorhanden oder hat der Administrator das Master-Festplattenpasswort vergessen, muss die Festplatte ausgetauscht werden. Der Festplattenaustausch ist nicht von der Garantie abgedeckt.

 

[harpo]

Das "Supervisor Password" sperrt das BIOS scheinbar nicht generell, sondern nur die Punkte "Boot Priority Lists", "Network related items" und "Date & Time", d.h. "Password at Restart" lässt sich ggf. trotz Supervisor Password auch ohne dieses deaktivieren?

Nun, ich weiß nicht, welches Modell Du hast und ob es da evtl. anders ist, aber bei mir - und auch allen sonstigen Systemen, ob TP oder nicht - ist es so, dass man bei gesetztem Supervisor-PW nur nach Eingabe von diesem zu den Einstellungen gelangt, also wie beim Thinkpad, nach Drücken von F1 oder der Auswahl des Setup nach Drücken von Enter man das PW eingeben muss, um jegliche Einstellungen zu verändern. Es kann sein, dass gemeint ist, dass man ohne PW an die Lenovo Diagnostics kommt.

Ist das wirklich so? Für das BIOS benötigt man ja einen Neustart. Dabei wird bei aktivem "Password at Restart" das HDD-PW abgefragt - wirklich erst nach dem BIOS, d.h. man kann dann vorher ins BIOS gehen, "Password at Restart" deaktivieren und dann ohne HDD-PW booten? D.h. speichert das BIOS das HDD-PW generell vorsorglich für den nächsten Neustart, oder nur dann, wenn "Password at Restart" nicht aktiviert ist?

Das kannst Du doch ganz einfach selbst ausprobieren: Versuche doch ohne gesetztes Supervisorpasswort einmal nach einem Kaltstart und einmal nach einem Neustart ins BIOS-Setup zu kommen. D.h. beim Lenovo-Screen F1 drücken. Dann wirst Du ja sehen, ob Du ohne PW-Eingabe da rein kommst oder nicht. Ich habe gerade keine Lust, mein Supervisor-PW zu löschen, das habe ich sowieso immer bei jedem System gesetzt, um Manipulationen im BIOS zu vermeiden.

Braucht man mit aktiviertem "Password at Restart" die zusätzliche Option "Password at Boot Device List" dann eventuell gar nicht bzw. schadet/behindert diese dann sogar eher?

Schaden kann die in keinem Fall. Das bedeutet ja lediglich, dass Du das PW eingeben musst, wenn Du manuell die Boot Device List aufrufst (mit F12 oder über das Auswahlmenü nach Enter). Auch hier kann es sein, dass PW at Restart nicht reicht, evtl. kommt man ohne Boot-Device-PW nach einem Kaltstart an die Liste?

- - - Beitrag zusammengeführt - - -

Hach, weil es mir selbst keine Ruhe gelassen hat, habe ich es jetzt selbst noch schnell ausprobiert. Da ich bisher nie mit HDD-PWs gearbeitet hatte, war das auch Neuland für mich.

Also, anscheinend übernimmt ein gesetztes HDD-PW auch alle Funktionen eines Supervisor-PWs. Also wenn man nur das HDD-PW gesetzt hat, aber kein Supervisor-PW, wird immer das HDD-PW bei den jeweils gesetzten Optionen "Password at..." abgefragt. Also auch beim Zugriff auf BIOS-Einstellungen etc. Da jedoch, wie schon berichtet, beim warmen Neustart das HDD-PW gespeichert bleibt, sollte man hier zusätzliche Optionen setzen.

Wie dark_rider schon vermutet hatte, reicht es hierfür, "PW at restart" zu setzen und es sollte für alle Eventualitäten gesorgt sein. Vorausgesetzt natürlich, die Bootreihenfolge stimmt soweit, dass sie keinen externen Medien (auch über Wake-On-LAN) Vorrang vor den internen Speichermedien gibt.

Wem das zu unkomfortabel ist, bei jedem Restart ein PW einzugeben, der setzt eben noch mindestens die Option "PW at Boot Device List" (ebenfalls unter Beachtung der Bootreihenfolge) UND das Supervisor-Passwort. Denn sonst wird beim Aufruf des BIOS nach einem warmen Neustart kein PW abgefragt!

Ansonsten ersetzt wie gesagt das HDD-PW das Supervisor-PW. Ein zusätzliches Supervisor-PW macht dann im Grunde nur Sinn, wenn Systemadministrator und Nutzer verschiedene Personen sind und dann natürlich auch verschiedene Passwörter hierfür vergeben werden.

Wem die PW-Abfrage

 

[dark_rider]

Hallo Harpo,

habe soeben zwischenzeitlich auch getestet: Ohne das HDD-PW kam ich nicht ins BIOS, d.h. auch ohne Supervisor-PW und nur mit HDD-PW ist das BIOS geschützt.

Blöd ist bei mir nur gewesen, dass das rote Lenovo-BIOS-Logo seit der HDD-PW-Vergabe nicht mehr erscheint und man deshalb nicht genau weiß, wann man Enter bzw. F1 drücken soll. Habe daher einen Neustart veranlasst und Enter gedrückt gehalten, sobald die rote Power-LED im ThinkPad-Logo auf dem Displaydeckel leuchtete - irgendwann kam dann der Piepton, der das BIOS signalisiert - statt des BIOS erschien dann aber zuerst die HDD-PW-Eingabe, und erst nach Eingabe des PW dann das BIOS.

Habe bisher nur Enter zum Betreten des BIOS probiert, bei F1 dürfte es aber vermutlich wohl genauso sein. Und bei F12 (Boot Device List) müsste ja lt. aktivierter Option im BIOS auch erst die HDD-PW-Abfrage erscheinen.

Somit scheint es so zu sein, wie Du auch vermutest: Setzt man kein Supervisor-PW, aber ein HDD-PW, fungiert dieses offenbar nicht nur als Zutrittsperre für die HDD, sondern gleichzeitig auch für das BIOS - also scheinbar als Supervisor-Passwort-Ersatz.

Letzte Unklarheit: Brauche ich bei aktiviertem HDD-PW und gesetzter Option "Password at Restart", womit ja nun auch der Zugang zum BIOS gesichert ist, die zusätzliche Option "Password at Boot Device List" überhaupt, d.h. kommt man ohne diese Option als Dieb nach einem Warmstart mit F12 auch ohne HDD-PW in die Boot Device List, könnte dann von einem externen Laufwerk booten und dann die interne SSD lesen? Kann doch eigentlich nicht sein, weil dafür ja immer das HDD-PW abgefragt wird. D.h. ist diese Option nicht eigentlich überflüssig, und man versperrt sich damit nur die Möglichkeit, das TP von extern zu booten, falls die interne SSD einmal defekt sein sollte und das HDD-PW nicht mehr funktioniert?