X270 *Gelöst* X270 bootet nicht.

Oi!Olli

New member
Themenstarter
Registriert
30 Okt. 2024
Beiträge
6
Wie erkläre ich es am Besten. Hab hier ein X270 hier.

Es kann von keinem Datenträger gebootet werden, egal ob MBR oder GPT.

Kurz nach dem Start sieht man den Bootmanager, man kann die eingebaut SSD und angeschlossene Sticks auswählen, dann flackert der Bildschirm kurz aber gebootet wird nicht.

UEFI komplett frei, keinerlei Passwörter gesetzt.

Allerdings ist der Bereich Secure Boot grau. Bis auf den Punkt Reset Factory Keys.

Bios Reset hat nichts gebracht.
 

Anhänge

  • PXL_20241011_131707887.MP.jpg
    PXL_20241011_131707887.MP.jpg
    174,6 KB · Aufrufe: 34
Zuletzt bearbeitet:
Windows 10, Windows 11, Linux, egal. Es wird von keinem Datenträger gebootet.
 
Werden im BIOS auf der Startseite und unter Startup - Boot die angeschlossenen Laufwerke vollständig angezeigt (Hersteller, Modellbezeichnung)?
 
Du kannst Secure Boot nicht abwählen?
Welche Version ist drauf welche ist verfügbar?
Wie ist die Historie der Kiste?
 
Und hast du schon "Reset Factory Keys" ausprobiert, Akku ausgeschaltet, ein paar Minuten gewartet und neu probiert?
 
Ja ich hab schon Restore Factory Keys ausprobiert. Ja, Akku auch schon raus genommen.

@LZ_ Wie man auf den Bildern sehen kann, ist bis auf einen Punkt alles grau. Ist ein ehemaliges Firmennotebook komplett ohne Passwörter. Und damit meine ich, es sind keinerlei Passwörter hinterlegt.

@Mornsgrans Ja alle Datenträger werden angezeigt.
 

Anhänge

  • PXL_20241011_131734396.jpg
    PXL_20241011_131734396.jpg
    203,6 KB · Aufrufe: 28
  • PXL_20241031_102438115.jpg
    PXL_20241031_102438115.jpg
    138,6 KB · Aufrufe: 28
  • PXL_20241031_102344553.jpg
    PXL_20241031_102344553.jpg
    145,7 KB · Aufrufe: 28
Zuletzt bearbeitet:
Nur: wenn der Rechner nicht einmal vom Stick bootet, wird auch ein BIOS-Update nicht booten. - Ein Versuch wäre es jedoch wert.

Beachte die Anleitung in der README.
 
Ich weiß nicht wie umsetzbar das für dich ist, das x270 war ja von der konfiguration sehr unterschiedlich von hdd, sata ssd über m2 nvme alles möglich, aber könntest du nicht deine Crucial MX 500 die angezeigt wird rausnehmen, in einem anderen Rechner mit nem Betriebssystem versehen (Linux wärs egal), Windows wirds nicht toll finden aber denke ich booten und von da aus mal das Bios hochziehen?

Noch ne super gewagte These, er kann Secureboot nicht ausmachen, könnte es sein das die Firma welche die Geräte vorher hatte ein eigenes Enrollment mit Custom-Keys hatte und deshalb nix bootet das auch theoretisch secure-boot-booten mit MS-Keys würde, also z.b. Windows oder manche LInuxe?
Beitrag automatisch zusammengeführt:

Hier hatte ein Nutzer wohl ähnliche Probleme woraufhin sich ein anderer gemeldet hat das es wohl interne modifizierte Bios-Versionen für Regierungsbehörden geben würde die eine spezielle Secunet-Komponente drin haben und das an dem s statt w im Bios-Version-Titel zu erkennen wäre.

Vgl. https://www.red dit.com/r/thinkpad/comments/10vkua8/bought_a_used_x270_unable_to_update_bios_or/

Das korrespondiert mit dem was Lenovo für das X270 listet das sind alles Versionen ohne S sondern mit einem W hinten raus:

1730395350198.png

Jetzt ist komischerweise bei dir auch so ein S drin:

Du:
1730394968471.png
Von Reddit:
1730394908597.png
1730394921845.png

TL;DR: Aus meiner Sicht hast du evtl. bzw. warscheinlich ne Firmware-Version die du nicht hättest haben sollen und die deshalb Dinge tut die von der normalen Version abweichen. Am einfachsten und sichersten wäre dann wohl ein Umtausch des Gerätes.

Sollte das nicht gehen scheint man bei dem Reddit-Thread mit einem Überschreiben der Firmware erfolgreich gewesen sein (WinFlash64.exe).
Da wandelst du dann aber schon weit ab vom Pfad der Tugend und solltest evtl. ein BIOS Dump mittels ext. Flasher vorab ziehen falls da was schiefgeht hat man sonst schnell nen Ziegelstein und spätestens wenn du es selbst gebrickt hast ist auch der Umtausch diskussionsbelastet.
 
Zuletzt bearbeitet:
Umtauschen geht nicht.

Das Teil ist von einem Nachbarn bzw von einer Krankenkasse, die ihre Thinkpads ausgemustert hat.

SSD hat schon Windows drauf, wurde von einem Zweitsystem installiert. Bootet trotzdem nicht.
 
Ich würde das Teil mal für 1-2 Stunden komplett stromlos machen. Also Akku raus, CMOS-Batterie abstecken, Einschaltknopf drücken und dann nach der Zeit wieder in Betrieb nehmen. Vielleicht hängt da nur was.

Außerdem würde ich es mal ohne Quick Boot probieren. Dann werden einige Tests beim Boot nicht übersprungen, sondern durchgeführt. Evtl. bringt das Aufschluss. Einen anderen RAM hast Du vermutlich nicht zur Hand, oder?
 
Lass raten das Gerät war irgendwie besonders günstig von deinem Nachbarn :D?

Also nur um das nochmal klarzustellen, kein Bootmedium macht was? AUch nicht in anderen Konstellationen, also Festplatte raus und z.B. USB-Stick ran?


Krankenkasse als ehem. Eigentümer klingt durchaus valide nach nem Unternehmen welches den Anspruch und ggf. Schutzbedürfnis haben könnte, das da ggf. hohe Stückzahl an Geräten mit so nem speziellen Secunet-Bios bestellt wurde für Mitarbeiter die darauf personenbezogene Daten verarbeitet haben.

Und nu ist da ggf. bei deinem ausgesonderten Gerät einfach der Boot auf irgendne SSD gelockt die aber natürlich von der IT bei Aussonderung ausgebaut und vernichtet wurde. Was sicher auch der Grund ist warum du jetzt ne Crucial MX 500 drin hast die sicher nicht Standard war.

Ggf. war das Secunet-Bios angenau diese jetzt verlorene Installation auf diesr orignal SSD gebunden mit selbstsignierten PK, DB uswm. Im Endeffekt kannst du das so locken das nur das von dir gewünschte System bootet und niemals etwas anderes. wenn deine Keys und Hashes von den EFI-Variablen deiner Boot-Medien nicht in der DB sind Pustekuchen.

Wieviel Bock hast du auf Basteln? Besorg dir nen Pomona5250, nen Pi-Pico und lass mal den SOIC8-Chip auslesen und sichern. Nen X270-Dump eines Chips mit normalen Bios hab ich da tauschen wir dann lediglich die Bios-Region und ME-Region rüber und schauen obs bootet. Kann ja kaum schlimmer werden. Schaut gar ned so schlimm aus zum zerlegen wie andere:


1730406625454.jpeg
 
Zuletzt bearbeitet:
Ggf. war das Secunet-Bios angenau diese jetzt verlorene Installation auf diesr orignal SSD gebunden mit selbstsignierten PK, DB uswm. Im Endeffekt kannst du das so locken das nur das von dir gewünschte System bootet und niemals etwas anderes. wenn deine Keys und Hashes von den EFI-Variablen deiner Boot-Medien nicht in der DB sind Pustekuchen.
Von Lenovo:
Ein angepasstes Linux startet VM VirtualBoxen.
Ja, da wird wohl ein eigener Platform Key (PK) im Laptop sein, und mit vorhandenem UEFI nichts anderes booten.
 
@bodu das bringt mich zu einer letzten Idee. Wenn wir recht haben kann @Oi!Olli dann auch das Bios nicht auf Legacy-Boot umstellen weil das ja dann quasi ein exit wäre.

 
Ja, wenn wir auf der richtigen Fährte sind, nach dem du die Richtung eingeschlagen hast, danke dafür, ist legacy boot deaktiviert.

Die angedachten UEFI Änderungen sind klein, secure boot immer an, eigener PK, KEK, DB, DBX gesetzt, kein setup mode, factory reset setzt die Schlüssel von der Auslieferung.

Eine Präsentation auf uefi.org zeigt Grundlagen zu secure boot.

Das PDF Handbuch von secunet zeigt einen angepassten Grub, mit smart card reader wird früh ein Token abgefragt.
Die Festplatte ist verschlüsselt. Die Festplatten der virtuellen Maschinen sind wohl auch verschlüsselt.

Denkbar ist auch ein privater/öffentlicher Schlüsselpaar pro Geräteklasse (alle X270). Ein UEFI Update ist überschaubar ausrollbar.
Oder sogar pro einzelnen Rechner, selbst wenn der private Schlüssel abhanden kommt, betrifft das genau ein Gerät.
Der Wartungsaufwand bei einem UEFI Update wäre sehr hoch, definitionsgemäß könnte das Gerät einfacher verschrottet werden.

Das genannte Beispiel betrifft eine Krankenkasse, potentiell meine eigenen Gesundheitsdaten. Und andere Dienste.
Wie tief denke ich öffentlich über die Geschichte nach?
Nach meiner Meinung kommen wir im Bereich unbekanntes BIOS/UEFI Passwort umgehen, dazu haben wir Forenregeln.
Nach meiner Meinung sollte ein UEFI vom Original-Hersteller Lenovo einspielen angemessen sein.
Nach einigen Jahren wird die Hardware ausgemustert, eventuell mit einem angepassten UEFI bei Inbetriebnahme.

Annahme: Der Rechner ist mit vorhandenem UEFI als Schrott anzusehen.
Ein UEFI vom Original-Hardware-Hersteller ermöglicht einen allgemein funktionierenden Rechner.
 
Lösungsansätze wurden hier vernünftig aufgezeigt. Mal sehen was der Ersteller sagt.

Den SOIC8-Chip ist mit flashrom/flashprog bearbeiten. Sehe kein Problem das in ner Stunde bootfähig zu machen. Je nachdem wie schnell ich beim zerlegen bin vielleicht auch weniger, lt. den Github Dokumentationen ist das ja eher einfach gemacht auf der Rückseite. Da ich wahrlich keine große Leuchte bin in dem Bereich können das andere sicher noch schneller.

War selbst schon in Unternehmen mit fünfstellig Mitarbeitern in der dortigen IT tätig und kenne solche Prozesse wenn alle 3-5 Jahre plötzlich größere Posten an Hardware wie Laptop getauscht werden. In der Regel kaufst du die Geräte mit einem 3-5 Jährigen Wartungsvertrag wo sich der Anbieter verpflichtet in der Zeit im Zeitraum X für Austausch bei defekt zu sorgen und du ihm defektes Zeug ohne Festplatte schicken kannst zum Austausch. Nach den 3-5 Jahre ist das Zeug dann auszusondern. Da wird einfach nur noch von den Rücklauf-Geräten stupide die Festplatte rausgerissen und zur Vernichtung gegeben und der Rest geht in Container oder ggf. an irgendwelche Postenaufkäufer wenns kein Leasing war. Das sind immer die Geräte wo man froh sein muss wenn nicht noch der Port mit abgerissen is aber der Rahmen und Befestigungsmaterial sicher fehlen werden weil da keiner mehr drauf achtet das es schön aussieht. So Spezialbios-Versionen werden tatsächlich auch schon vorher beim Hersteller aufgebracht wir hatten mal was ähnliches von HP wo quasi schon diverse Voreinstellungen für uns fix gesetzt waren im Bereich der Sicherheit und Netzwerkboot damit wir das Zeug einfach massenhaft über PXEBoot installieren konnten remote. Da machst du dann z.B. 1000mal nix anderes als das über die MAC-Adresse in ein Enrollment zu packen damit alle gleich installiert werden genauso wie du vorher mit deinem Azubi 1000mal irgendwo die Festplatte rausgerissen hast und jedes Gerät aus der Datenbank ausbuchst ne Woche lang :D.

Mir würde in dem Fall deshalb nicht im Traum einfallen das wir hier über irgendein Zugangsproblem oder Passwortumgehung reden würden. Der Threadstarter sagt ja selbst da ist nichts gesetzt. Auf dem alten ausgesonderten Teil ist eben ein Bios das keine normale Nutzung zulässt. Ganz einfach weils keiner für nötig befand das zu ändern weils eh Schrott ist für die abgebende Firma, das Zeuch hat dann seine 3-5 Jahre überstanden und das wars.

- Selber lösen (flashen)
- Nachbar lösen lassen (Rückgabe)
- als defekt Teileträger weiterverkaufen
- wegschmeißen
 
Zuletzt bearbeitet:
das BIOS zu ersetzen ist hier sicherlich eine mögliche Lösung. Aber es kann sein, dass das nicht ausreicht. Ich habe schon zwei Mal Laptops von einem großen deutschen Versicherungsunternehmen gehabt, da liess Windows 11 bei der Installation nur eine einzige Anmeldeoption zu: mit einer Mailadresse dieser Firma. Das ganze in einem Fenster mit Firmenlogo. Ich vermute, dass hier die Seriennummer eine Rolle spielt.
Zu prüfen wäre auch, ob nicht auch Computrace aktiv ist, dann müsste man den EC neu initialisieren.
 
Computrace ist laut UEFI nicht aktiv.

Ich hab die Erkenntnisse an meinen Nachbarn weiter gegeben. Muss er gucken, wie er weiter verfährt und ob ein einfacher Flash Sinn ergibt.
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben