Fingerprint / Predesktop Authentification

[tseng]

Hallo,

ich versuche per Fingerprint die Predesktop Authentification zum laufen zu bringen. Habe soweit alles in der Fingerprint Software und im Bios eingestellt. Zusätzlich zu der BIOS einstellung "Predesktop Authentification" habe ich ein PowerOn Passwort gesetzt. So kenne ich das von meinem alten T400..

Die Abfrage des Fingerabdrucks kommt auch beim Start doch leider muss ich danach noch das PowerOn Kennwort eingeben. Wenn ich das PowerOn Passwort rausnehme kommt die Fingerabdruck Abfrage nicht mehr?

Kann mir jemand helfen?


Danke

 

[thingsyoucantdo]

Hallo,

mit dem Predesktop Authentification Verfahren / Fingerprint habe ich mich lange beschäftigt.

Nach langem hin und her habe ich es so hinbekommen, dass ich mein x201 starte einen finger scanne und power on passwort -> hdd passwort -> windows passwort alles schön nacheinander eingegeben wird.

Du sollltest folgendermaßen vorgehen und es ist wichtig, dass du es genau nach dieser Reihenfolge machst.

1. Im Bios PowerOn und optionalen HDD Kennwort setzen und die pre desktop authentification aktivieren.

2. Windows booten und die ThinkVantage Fingerprint Software starten

3. in der Fingerprint Software unter Einstellungen -> Authentifizierung folgendes anhaken

• Bei der Anmeldung bei Windows Fingerabdruckscan statt Kennwort verwenden
• Wiederherstellung von Windows Kennwörtern aktivieren
• Fingerabdruckscan statt Einschalt- und Festplattenkennwort verwenden
• Single Sign-on-Funktion aktivieren

4. Jetzt scannst du deinen Finger ein und stellst sie in der Software scharf für Windows-Kennwort und ganz wichtig: Einschaltkennwort (kleine Checkbox darüber)

5. Wenn du jetzt die Software schließt sollte er dich bitten neuzustarten, das tust du jetzt auch

6. Jetzt wirst du beim booten gebeten deinen Finger einzulesen, nachdem du das getan hast wird er dich trotzdem nach dem Einschaltkennwort und ggf. auch nach dem HDD Kennwort fragen, lass dich davon nicht beirren, dies wird pro Finger einmal während der Pre Desktop Authentification benötigt als weitere Absicherung!

7. Nachdem du wieder windows gebootet hast fährst du den PC herunter und startest ihn neu, jetzt sollte es mit dem Fingerprint gehen und er sollte auch nicht mehr nach Kennwörtern fragen.

Das ganze wiederholst du nun für jeden Finger!

 

[foobar]

Mal eine Frage dazu.. evtl. würde ich die Funktion auch mal gerne testen/nutzen. Ich arbeite fast nur mit Linux, habe aber auch Windows installiert.
Sprich ich könnte den ganzen Spaß unter Windows mit der Software realisieren. Unter Linux funktioniert das ja leider nicht.
Schreibt das Teil seine Konfiguration dann irgendwo mit ins BIOS oder einen anderen Chip? Sprich würde das auch weiterhin funktionieren wenn
man Windows im Nachhinein mal runterwirft und demnach nur noch Linux installiert ist?

 

[thingsyoucantdo]

Ja sollte gehen, durch die Software unter Windows werden die Fingerprint Daten ins bios oder auf den TPM Chip geschrieben geschrieben (bin mir da nicht sicher), deshalb auch der neustart.

Im Bios gibt es daher auch eine Funktion "erase fingerprint data" oder ähnlich.

 

[independence]

Falls der Fall passieren sollte, das mein Fingerabdruck aus irgendeinem Grund nicht mehr gelesen werden kann, hab ich dann trotzdem noch die Möglichkeit, alle gesetzten Passwörter normal einzugeben? Ich würde mich nur ungerne zu 100% auf den FP Sensor verlassen.

 

[thingsyoucantdo]

ja du kannst ESC drücken und das PW eingeben.

Der Fingerabdruck löst nichts anderes als das PW aus.

 

[independence]

dann wäre das ganze sehr praktisch..ich probiere das ganze jetzt einfach mal nach der anleitung aus^^

 

[foobar]

Ja stimmt.. erinnere mich das im BIOS mal gesehen zu haben mit dem "erase fingerprint data".
Dann werde ich das bei nächster Gelegenheit einfach mal ausprobieren Danke.

 

[foobar]

So, habs vorhin mal probiert.. funktioniert alles so wie gewollt
Danke auch für deine Beschreibung thingsyoucantdo, hat das ganze noch etwas beschleunigt
Bei Punkt 5 hat er nicht dazu aufgefordert neu zu starten, aber ansonsten
läufts genauso ab wie du es beschrieben hast!http://thinkpad-forum.de/members/52155-thingsyoucantdo

 

[independence]

Bei mir läuft auch alles einwandfrei, aber ein paar Fragen hab ich noch.
Was soll ich im BIOS mit der Einstellung für den Security Chip machen? Active/Inactive/Deactive?
Dann kann ich noch eine Einstellung im BIOS für den FP Reader machen und zwar entweder High oder Normal..was empfiehlt sich da?

 

[foobar]

Ich weiß jetzt auch nicht mehr aus dem Kopf ob ich den Security Chip aktiv hab.
Normalerweise deaktiviere ich sowas. Wenn es jetzt auch Active steht schau doch einfach was
passiert wenn du ihn deaktivierst. Es sollte ja eine Warnung/Hinweis kommen ob dadurch irgendwas
anderes in Mitleidenschaft gezogen wird.

Beim FP Reader kannst du auf High stellen wenn du auch ein Supervisor-Passwort gesetzt hast.
Normal nimmst du wenn du nur Power-On verwendest.

 

[thingsyoucantdo]

Security Chip kannst du auf inactive setzen, wenn du kein Thinkvantage Client Side Security nutzt, um deine Passwörter auf dem security chip zu speichern.

die 2. Einstellung, von der du sprichst bezieht sich auf den Fall, wenn du keinen Fingerprint für das Power On Passwort verwendest (zb. durch drücken von ESC oder weil es zu viele Fehlversuche gab)

normal bedeutet, dass du dann das PowerOn Passwort oder das Supervisor Passwort eingeben kannst.

High bedeutet, dass du dann das SuperVisor Passwort eingeben MUSST.

Unterschied zwischen Supervisor und Bootpasswort ist folgender:

Bootpasswort kann nur zum booten verwendet werden.

Supervisor passwort kann zum booten und für das Bios verwendet werden.

Wenn du also nur ein Bootpasswort gesetzt hast könnte Jemand ins Bios gehen und das Boot Passwort ändern.

 

[Mornsgrans]

Wir dann langsam Zeit, den Beitrag 2 in unser Thinkpad-Wiki zu packen

 

[yatpu]

um es noch mal klarzustellen:
nach der aktivierung ist kein windows mehr nötig. man kann auch die platte mit windows entfernen und eine andere mit linux einsetzen (so mach ich es beim x61). das ganze funktioniert ohne tpm (bei mir deaktiviert). das löschen der fingerabdrücke geht per bios.

 

[foobar]

Wenn du also nur ein Bootpasswort gesetzt hast könnte Jemand ins Bios gehen und das Boot Passwort ändern.

Das sollte aber nur bei einem warmen Reboot funktionieren oder? Wenn die Kiste komplett heruntergefahren ist kommt man ja ohne das Power-On Passwort nicht ins BIOS.

 

[yatpu]

so isses

 

[AltonBrown]

Danke für die hervorragende Anleitung, thingsyoucantdo! Hab es genau wie beschrieben gemacht und es läuft perfekt... :thumbup:

 

[roman]

Bei mir läuft es nicht. Auf dem T400 geht alles, aber auf dem X61s finde ich die Einstellung nicht.

 

[roman]

push

 

[Mornsgrans]

Was geht nicht und welche Einstellung findest Du nicht?