T4xx (T400-450 ohne "T440s/T450s") T430 + SSD (Crucial M500) + welche BIOS Einstellungen für Verschlüsselung?

[derlangi]

Servus. Ich habe ein T430. Darin läuft eine SSD von Crucial (M500 mit 120 GB). Diese unterstützt hardwarebasierte Verschlüsselung mit 256 Bit, also ist Zusatzsoftware wie Truecrypt & Co. zur Verschlüsselung der Platte nicht nötig. Es reicht aus im BIOS die richtigen Einstellungen zu aktivieren und ein HDD Passwort zu vergeben.

Da ich auf Nummer Sicher gehen will und verhindern möchte dass ein Dieb an meine Daten rankommt, möchte ich die Platte verschlüsseln. Hat bei meinem T61 immer prima geklappt, jedoch mit Bitlocker und TPM-Chip. Die Verschlüsselung auf Hardwarebasis hat einen großen Vorteil: Kaum bis garkeinen Performance-Verlust.

Meine Frage ist: Welche Einstellungen im BIOS muss ich da setzen dass das mit der Verschlüsselung klappt? Reicht da einfach nur das HDD Passwort oder müssen noch TPM-Chip, Anti-Theft & Co. aktiviert sein. Vielleicht hat ja jemand schon Erfahrungen damit

 

[nikko]

Das würde mich auch interessieren, habe T530

 

[derlangi]

Dieses Video ist da recht aufschlussreich. Ab Minute 02:23 wird erklärt wie es geht. Es reicht anscheinend wirklich das HDD Passwort. Werde das mal testen sobald ich Zuhause mein T430 per WindowsImageBackup gesichert habe.

http://www.youtube.com/watch?v=DV5zuDF6MIw

 

[derlangi]

So, habe mal weiter recherchiert. Was einem niemand so direkt mal sagt:

Für den Secure Boot wird UEFI only gebootet, also nicht im BIOS bzw. Legacy Modus. UEFI Boot wiederum bedeutet dass GPT Pflicht ist. Eine Platte/SSD die also wie in guten alten Zeiten noch einen MBR hat kann man also damit nicht verwenden. Hier ein Artikel der das ganz gut erklärt:

http://www.heise.de/ct/hotline/BIOS-UEFI-und-Secure-Boot-2056492.html

Da wird auch (leider) gesagt dass man nicht von MBR in GPT konvertieren kann und somit neu installieren muss. Wenn man eine SSD mit MBR installiert hat bleibt man an dieser Stelle hängen:



Was macht man also: Man sichert all seine Daten, installiert Windows 8 neu von Anfang an mit GPT. Danach Stellt man im BIOS auf UEFI Boot Only um und aktiviert den Secure Boot. Ich überlege mir momentan ob mir das den ganzen Aufand wert ist. Am besten wäre natürlich eine zuverlässige Methode um von MBR auf GPT zu konvertieren. Sollte jemand da Erfahrung mit haben möge er sich bitte melden

 

[derlangi]

Mal wieder ein kleines Update: Aufgrund von krassem Speichermangel bin ich nun auf eine Samsung 840 Evo mSATA SSD mit 500 GB umgestiegen. Win 8.1 Pro 64 Bit ist clean (!!) neu installiert. Natürlich mit aktiviertem UEFI und der GPT Partitionierung - wie geplant. So weit also die besten Voraussetzungen um die "Class 0" HArdwareverschlüsselung zu aktivieren (nicht TCG/Opal und auch nicht Encrypted Drive). Ich habe nach T430 Benutzerhandbuch User + Master Passwort für die SSD gesetzt (muss jetzt beim Booten immer das User PW für SATA eingeben) und sämtliche Optionen aktiviert. DEnnoch sagt mir meine Magician Software von Samsung dass alle drei Verschlüsselungsvarianten deaktiviert sind.

Wo liegt hier der Fehler? Ich denke dass die "Class 0" Verschlüsselung der Full Disk Encryption (FDE) entspricht, oder sind das zwei Paar Schuhe? Lenovo sagt in der FAQ Folgendes:

Wie aktiviere ich die Verschlüsselung?
Es besteht keine Notwendigkeit die Verschlüsselung zu aktivieren. FDE-Festplatten verschlüsseln immer Daten auf der Festplatte. Kein erstmaliges Einrichten ist erforderlich. In der Tat ist nicht möglich, die Verschlüsselung auf einer FDE-Festplatte zu deaktivieren.

hier nachzulesen:
http://forums.lenovo.com/t5/Allgeme...estplatte-Häufig-gestellte-Fragen/ta-p/355023

Das würde ja bedeuten dass die Hardwareverschlüsselung auf FDA-Basis trotz gegenteiliger Meldung von Magician aktiv sein sollte wenn das stimmt. Wie kann ich das bei einer mSATA Platte noch prüfen?

 

[cuco]

User und Masterpasswort klingt für mich erstmal nach den normalen BIOS-Passwörtern, nicht nach dem HDD(SSD)-Passwort.

Auf meinem T500 hab ich jenes HDD-Passwort bei meiner Samsung 840 Basic gesetzt und die Samsung-Software zeigt auch korrekt an, dass Class 0 aktiviert ist.

Du meinst auch deine 840er? Im Titel spichst du von der Crucial M500! //EDIT: Gerade gesehen, dass du den Thread reaktiviert hattest.

 

[yatpu]

der ata-standard sieht user- und master-passwort vor. durch eines oder beider passworte wird die interne verschlüsselung "aktiviert". genauergesagt der schlüssel für die permanent aktive verschlüsselung per passwort gesichert. dafür ist es nicht erforderlich ein uefi-system zu benutzen. das geht nämlich auch mit geräten, die kein uefi haben. uefi braucht man, wenn man bitlocker mit der hardwareverschlüsselung der ssd benutzen möchte (edrive, tcg opal). wobei bitlocker afaik nach einer frisch gelöschten ssd verlangt. andernfalls wird softwareverschlüsselung eingesetzt. wenn du eh nur das hdd-paswort benutzen möchtest, hättest du dir viel arbeit ersparen können

 

[derlangi]

der ata-standard sieht user- und master-passwort vor. durch eines oder beider passworte wird die interne verschlüsselung "aktiviert". genauergesagt der schlüssel für die permanent aktive verschlüsselung per passwort gesichert. dafür ist es nicht erforderlich ein uefi-system zu benutzen.

Doch

Als UEFI noch nicht aktiv war und Win 8.1 Pro im Legacy-BIOS installiert war, tauchten diese Optionen garnicht erst auf! Hab im Handbuch nachgeschaut und die Optionen an der beschriebenen Stelle vergeblich gesucht. Erst seit der Aktivierung des UEFI und der damit nötigen Neuinstallation von Win 8.1 Pro kann ich dort auch ein ATA-Passwort setzen (in dem Fall der mSATA HDD3 genannt).

Leider habe ich keinen Adapter von mSata auf Sata sonst würde ich mal schauen wie sich die mSata an einem anderen PC verhält. Von externem Datenträger booten und auf die Platte schauen bringt ja auch nichts da das Booten ja erst nach der Freischaltung durch das Festplattenpasswort stattfindet und somit alles so oder so frei ist.

Ich würde ja jetzt davon ausgehen dass die Verschlüsselung dank aktiviertem Festplattenkennwort funktioniert, wenn da nicht die Meldung von Magician 4.4 wäre, die mir sagt dass sie nicht aktiv ist.

 

[derlangi]

Habs so gemacht wie im Benutzerhandbuch beschrieben:

Festplattenkennwort festlegen1. Drucken Sie diese Anweisungen aus.
2. Speichern Sie alle geöffneten Dateien und beenden Sie alle Anwendungen.
3. Schalten Sie den Computer aus, und starten Sie ihn anschließend erneut.
4. Drücken Sie die Taste F1, wenn die Logoanzeige erscheint. Das Hauptmenü des ThinkPad
Setup-Programms wird geöffnet.
5. Wählen Sie den Menüpunkt Security aus, indem Sie mithilfe der Cursortasten im Menü nach unten
blättern.
6. Wählen Sie den Menüpunkt Password aus.
7. Wählen Sie Hard Disk 1 Password aus.
8. Daraufhin wird ein Fenster mit Einstellungen zu Kennwörtern angezeigt. Sie werden dann aufgefordert,
den Menüpunkt User oder User + Master auszuwählen. Wählen Sie User aus, wenn Sie nur ein
Festplattenkennwort festlegen möchten. Wenn Sie über Administratorberechtigung verfügen, können
Sie die Option User + Master auswählen, um zwei Kennwörter festzulegen. (Das Benutzerkennwort
kann zu einem späteren Zeitpunkt vom Benutzer geändert werden.)
• Wenn Sie User + Master auswählen, gehen Sie wie folgt vor:
a. Wenn ein Fenster für die Eingabe des neuen Festplattenkennworts geöffnet wird, geben Sie Ihr
neues Kennwort in das Feld Enter New Password ein.
b. Drücken Sie einmal die Eingabetaste, um den Cursor in die nächste Zeile zu bewegen. Geben
Sie das Kennwort zur Bestätigung erneut ein.
c. Anschließend wird eine Nachricht angezeigt, in der Sie aufgefordert werden, das
Master-Festplattenkennwort festzulegen. Klicken Sie auf Continue.
d. Ein Fenster öffnet sich, in dem Sie ein neues Master-Festplattenkennwort eingeben können.
Geben Sie Ihr neues Kennwort in das Feld Enter New Password ein.
e. Drücken Sie einmal die Eingabetaste, um den Cursor in die nächste Zeile zu bewegen. Geben
Sie das Kennwort zur Bestätigung erneut ein.
• Wenn Sie nur User auswählen, gehen Sie wie folgt vor:
a. Wenn ein Fenster für die Eingabe des neuen Kennworts geöffnet wird, geben Sie Ihr neues
Kennwort in das Feld Enter New Password ein.
Anmerkungen:
– Sie können Sie die Mindestlänge des Festplattenkennworts über das Menü Security festlegen.
– Wenn Sie ein Festplattenkennwort festlegen, das mehr als sieben Zeichen umfasst, kann das
Festplattenlaufwerk nur in einem Computer verwendet werden, der ein Festplattenkennwort mit
mehr als sieben Zeichen erkennt. Wenn Sie anschließend das Festplattenlaufwerk in einem
Computer installieren, der ein Festplattenkennwort mit mehr als sieben Zeichen nicht erkennen
kann, ist kein Zugriff auf das Laufwerk möglich.
b. Drücken Sie einmal die Eingabetaste, um den Cursor in die nächste Zeile zu bewegen. Geben
Sie das Kennwort zur Bestätigung erneut ein.
9. Speichern Sie die festgelegten Kennwörter ab.

 

[cuco]

HardDisk1-Passwort -> Du hast aber schon das für die mSATA gesetzt und nicht für die HDD im normalen HDD-Schacht oder?

 

[derlangi]

HardDisk1-Passwort -> Du hast aber schon das für die mSATA gesetzt und nicht für die HDD im normalen HDD-Schacht oder?

Ich kann dort nur ein Festplattenkennwort auswählen und das ist das HD3. Ich gehe mal davon aus dass das auch die mSata Platte ist, denn eine andere Platte ist nicht verbaut. Der Sata Port dürfte dann HDD1 sein und eine Platte im Bay würde dann vermutlich HD2 benannt werden. Ich mache auch gerne noch mal nen Screenshot wenn ich mein TP wieder vor mir habe.

Mir fällt nur noch eines ein... Bei de Bootreihenfolge steht der Windows Bootloader an erster Stelle. Ob hier die HD3 nach oben geschoben werden muss? Noch was fällt mir da ein... UEFI Bootreihenfolge ist:

1. Windows Bootloader (genaue Bezeichnung ist anders)
2. HD3
3. DVD-Laufwerk

Bei den ausgeschlossenen Boot-Quellen steht allerdings die mSata noch mal mit Klarnamen. Das hat mich beim Herumprobieren schon sehr gewundert...

Ich glaube das ist jetzt etwas verwirrend und ich sollte mal ein zwei Fotos nachreichen...

Wie ist denn bei Dir die Bootreihenfolge eingestellt? Kommt der Windows Bootloader da auch an erster Stelle?

 

[cuco]

Mein T500 kann leider kein UEFI. Daher gibt es sowas wie den Windows Bootloader nicht in der Bootreihenfolge. Da wird direkt mit dem Eintrag meiner SSD gebootet.

In meinem Rechner hab ich dagegen auch den Windows Bootloader in der Bootreihenfolge ganz oben bzw. sogar als einziges da drin stehen. Da nutze ich aber eDrive, kein SATA/HDD/SSD-Passwort.

 

[yatpu]

meine recner haben kein uefi und trotzdem kann ich das ata-passwort setzen. ==> kein uefi erforderlich
sollte bei neueren modellen im bios-modus diese option nicht verfügbar sein, hat lenovo sch*** gebaut.

 

[derlangi]

Vorab: Ich habe das aktuelle BIOS / UEFI drauf. So hier mal die Fotos:


Hier sieht man dass UEFI mir das HD3 PW anbietet zu setzen.


Hier seht ihr die Bootreihenfolge wie sie die ganze Zeit war


Hier kommt der Brüller: Die eigentliche Samsung SSD wir 1. separat aufgeführt und 2. ist sie nicht in der Bootreihenfolge sondern exkludiert! Booten funktioniert aber so.


Hab eben mal an der Bootreihenfolge herumgespielt und zum Beispiel den Windows Bootmanager mal ganz rausgenommen. Immer mit diesem Ergebnis

EDIT: Fakt ist:
1. Die mSata ist eigentlich die HD2, aber ich kann nur ein HD3 Passwort setzen. Merkwürdig daran ist aber dass ich von der HD3 booten kann - allerdings NUR wenn der Windows Bootmanager an erster (!!) Stelle in der Bootreihenfolge steht. ALleine nur von HD3 bootet mein System nicht.

2. ATA HDD2 Samsung SSD (...) kann alleine OHNE Windows Bootmanager booten.

Mein Verdacht: Mit dem Lenovo T430 mit aktuellem BIOS / UEFI (Stand April 2014) kann man keine mSATA auf Hardwarebasis (Class 0) verschlüsseln. Was sagt ihr dazu? Gibt es jemanden der ein T430 oder ein T530 mit mSATA erfolgraich Class 0 verschlüsselt hat?

 

[cuco]

Hier sieht man dass UEFI mir das HD3 PW anbietet zu setzen.

Das sieht auch soweit korrekt aus.

Hier seht ihr die Bootreihenfolge wie sie die ganze Zeit war

Passt auch für UEFI.

Hier kommt der Brüller: Die eigentliche Samsung SSD wir 1. separat aufgeführt und 2. ist sie nicht in der Bootreihenfolge sondern exkludiert! Booten funktioniert aber so.

Das liegt an UEFI. Der "Windows Boot Manager" sorgt dafür, dass per UEFI eben Windows gestartet wird. Wenn stattdessen die SSD ausgewählt würde, wird nach einem "normalen" Bootloader (non-UEFI) auf der SSD selbst gesucht. Ist vielleicht ein bisschen verwirrend und überschneidet sich auch, ist aber korrekt

Anhang anzeigen 94620

Da haben wir es doch. Schau mal oben: "Auf dem ausgewählten Laufwerk konnte der Vorgang nicht ausgeführt werden." Damit sind die Angaben unten doch gar nicht aussagekräftig, wenn die Software oben meckert, dass das Auslesen des aktuellen Modus' fehlgeschlagen ist.

 

[yatpu]

"falscher" sata-trteiber?

 

[derlangi]

"falscher" sata-trteiber?

Hier wird die SSD zumindest als korrekt installiert angezeigt.


Hier noch mal zu sehen die aktuelle BIOS / UEFI Version und die Tatsache dass die Verschlüsselung im BIOS nicht aktiviert ist (OFF)


Magician sagt mir auch übrigens dass die Authentifizierung schon fehlgeschlagen ist. Woran kann das denn bitteschön liegen?

 

[supertux]

Authentifizierung schon fehlgeschlagen

Dumme Anmerkung: Aber du hast auf den roten Button schon mal draufgecklickt?
Aber ansonsten spricht viel dafür, dass der Magician einfach nicht auf die erforderlichen Daten zugreifen kann (kann auch an fehlender msata Unterstützung oder falschem Treiber liegen)

und die Tatsache dass die Verschlüsselung im BIOS nicht aktiviert ist (OFF)

das ist blos der Microsoft secure-Boot: Das sollte sich bei Logischem Überlegen nicht auf die SSD-Verschlüsselung auswirken,
du kannst es aber mal probehalber (unter Security oder Startup, wo genau weiß ich grad nicht auswendig)

 

[derlangi]

Dumme Anmerkung: Aber du hast auf den roten Button schon mal draufgecklickt?

Der ist erst grau. Wenn ich draufklicke dauert es kurz und dann schlägt die Aktion fehl. Das "fehlgeschlagen" passt nur nicht mehr in den Button rein, steht aber im Mousover-Text.

Ich befürchte dass vermutlich ein neues BIOS / UEFI Update her muss bevor das funktioniert. Im Handbuch wird auch nicht erwähnt dass die Verschlüsselung einer mSATA SSD unterstützt wird. Ob da in naher Zukunft noch was kommt was diese Einstellung anpasst?

Übrigens muss bei der Bootreihenfolge nur de Windows Bootloader drin stehen. Alles andere kann man exkludieren und trotzdem wird gebootet. Auch mal gut zu wissen.

 

[derlangi]

Kleines Update...

Für die Full Disk Encryption ist ein funktionierender TPM-Chip (der "Security Chip" im UEFI / BIOS???) wohl Voraussetzung. DAnn habe ich vermutlich schon die Quelle allen Übels gefunden oder zumindest einen weiteren Ansatzpunkt:

Ich habe bemerkt wenn ich in Win 8.1 per Snap-In an den TPM Chip möchte (vorbereiten, PW ändern, deaktivieren, etc.) nimmt er kein mir bekanntes Passwort an. Ich bin mir jetzt nicht mehr sicher dass ich überhaupt jemals ein Passwort vergeben habe. Wenn hier nun noch das Passwort vom Vorbesitzer drin ist bleibt mir ja nichts anderes übrig als den TPM Chip zurück zu setzen, richtig? Das bedeutet den darin gespeicherten Schlüssel (darin steckt doch der private key zum Entschlüsseln, oder?) zu löschen.

Das Zurücksetzen des TPM sollte ja eigentlich kein Problem sein, da ja keine Verschlüsselung greift und BitLocker auch nicht in irgendeiner Form aktiv ist, oder? Die Full Disk Encryption der mSata ist ja nicht aktiv. Hat damit jemand Erfahrung?