P16* Welche Sicherungsmechanismen kann ein Firmenlaptop haben?

[werkheimer]

Ich hatte gerade die Wartungsklappe offen und war auch im UEFI und habe dort irgendeine Kleinigkeit geändert.

Er lief dann wieder problemlos (er war im Ruhezustand beim Öffnen der Wartungsklappe).

Dann hab ich mich mit dem VPN der Firma verbunden, und beim Runterfahren hing er dann ewig mit "bitte warten Sie auf gpsvc", wahrscheinlich mangels gpsvc-Verbindung in die Firma.

Hab ihn dann per Powertaste gekillt, war danach beim Neustart nochmal im UEFI -- und dann kam die Meldung:
"Das Setup wurde geändert. BITLOCKER-PASSWORT EINGEBEN:"

...oder so ähnlich.

Ich schon im Schock dass ich der IT jetzt erklären muss, was ich da eigentlich mache...

Dann stattdessen Neustart probiert, und er startete wieder komplett problemlos.

Was sind bekannte oder mögliche Sicherungsmaßnahmen bei Firmenlaptops?

Wenn ich ins UEFI komme, kann ich dann dort auch schalten und walten, oder nicht?

Was kann passieren, wenn ich eine zweite SSD einbaue und wahlweise von der boote?

 

[LZ_]

Ich würde mir Gedanken machen was du überhaupt darfst und danach handeln....

 

[werkheimer]

Dürfen darf ich selbstverständlich gar nichts.
Das geht alles auf meine Kappe.
Danke für auf die Frage bezogene Infos.

 

[Phil2009]

Naja, die Festplatte kann per BitLocker verschlüsselt sein, es können BIOS-, Power-on und Festplattenpasswort gesetzt sein. Manchmal gibt es auch noch proprietäre Software, die zusätzlich eine Überwachung bzw. Sicherung des Rechners ermöglicht. Je nachdem, in welchem Sicherheitsumfeld du bzw. deine Firma unterwegs ist, belässt man es beim Setzen von einem der Passwörter oder zieht alle Register. Wenn die normale Sicherheitsrichtlinie die Nutzung der USB-Ports nicht zulässt, um Datenabfluss oder -zufluss (Schadsoftware) zu unterbinden, ist der Einbau einer eigenen SSD, deren Schnittstelle vermutlich nicht überwacht ist, vermutlich nicht im Sinne eurer IT-Abteilung.
Kurz: Möglich ist, viel, was bei deinem P16 tatsächlich aktiv ist, kann man nicht erraten.

 

[werkheimer]

Danke, wir sind da eher minimal unterwegs in der Firma. USB-Ports sind offen, es sind keine Passwörter außer dem Windows-Passwort vergeben -- ich bin natürlich nicht Admin auf dem Laptop.

Daher wunderte mich die Bitlocker-Abfrage, umsomehr als diese beim Neustart wieder weg war.

Ich muss da auch nie ein Bitlocker-Passwort eingeben, das müsste ja dann im UEFI oder irgendwo hinterlegt sein.

 

[Mornsgrans]

Daher wunderte mich die Bitlocker-Abfrage,

war auch im UEFI und habe dort irgendeine Kleinigkeit geändert.

Kommt auf die "Kleinigkeit" an.

 

[werkheimer]

Anscheinend kann TPM/Bitlocker nicht zwischen Kleinigkeit und anderen Eingriffen unterscheiden:
chatgpt.com/share/c2241b09-dc7e-4285-acb3-fe79b09f3a47

Außerdem wäre die Bitlocker-Abfrage dann ja nicht per Reboot zu umgehen gewesen.

 

[silenthill]

Ich würde sagen, das Gerät ist schon verschlüsselt mit Bitlocker, aber als einzigen Faktor zum Entsperren wird auf das Windows-Kennwort (vermutlich Active Directory basierend?) zurückgegriffen. Die Preboot-Authentication mit PIN muss man i. d. R. via Richtlinie erst erzwingen.

 

[werkheimer]

Ein weiteres Indiz wäre, dass unsere IT das Gerät ziemlich sicher einfach nimmt wie geliefert, noch unsere VPN- und AV-Tools drauf macht und fertig.

Beitrag automatisch zusammengeführt: 28 Juli 2024

Ich würde sagen, das Gerät ist schon verschlüsselt mit Bitlocker, aber als einzigen Faktor zum Entsperren wird auf das Windows-Kennwort (vermutlich Active Directory basierend?) zurückgegriffen

Bitlocker basierend auf dem Windows-Userpasswort scheint nicht möglich zu sein:
chatgpt.com/share/c2241b09-dc7e-4285-acb3-fe79b09f3a47

 

[bodu]

Übersicht über die BitLocker-Wiederherstellung

Übersicht über die BitLocker-Wiederherstellung - Windows Security

Erfahren Sie mehr über BitLocker-Wiederherstellungsszenarien, Wiederherstellungsoptionen und wie Sie die Grundursache fehlerhafter automatischer Entsperrungen ermitteln.

learn.microsoft.com

 

[Mornsgrans]

Verlasse Dich nicht auf "DeppGPT" , Mann kann es nämlich mit einem Bitlocker-Passwort versehen, das aber nichts mit dem User-Passwort zu tun haben muss. - Erfordert aber Eingriffe in Gruppenrichtlinen oder Registry plus temporärem abschalten des Security-Chips im UEFI zur Aktivierung von Bitlocker.
Das ist aber Aufgabe der Admins.

 

[werkheimer]

Mann kann es nämlich mit einem Bitlocker-Passwort versehen, das aber nichts mit dem User-Passwort zu tun haben muss

Ja, und das ist dann im TPM gespeichert, wie gerade von Chatty erklärt. Oder nicht?

 

[Mornsgrans]

Ja, und das ist dann im TPM gespeichert,

Nein, glaube ich nicht, denn sonst wäre die SSD nach Austausch des Boards unbrauchbar. Außerdem ist der Security-Chip bei der Bitlocker-Aktivierung ja abgeschaltet. - Wo es abgelegt wird, weiß ich nicht.

 

[werkheimer]

Unbrauchbar wäre die SSD wohl nicht, nur der Inhalt wäre verloren.

Beitrag automatisch zusammengeführt: 28 Juli 2024

Laptop lässt sich soeben ohne weiteres via USB-Stick booten. Die C-Partition der SSD präsentiert sich dann als "BitLocker Encrypted".

 

[Picard87]

Ich weiß nicht ganz was eigentlich dein Anliegen ist. Ohne den Bitlocker Schlüssel kommst du nicht mehr an die Daten/Lizenzen/Zugänge. Den Schlüssel hat die IT. Wende dich an sie. Alles andere ist doch eh akademisch, weil du sicherlich nicht selbst eine (neue) SSD einbauen wirst und alle Programme und VPN etc. wieder einrichten kannst, mangels entsprechender Infos zur Konfiguration.
Wenn es kein UEFI Passwort gibt, ist die IT selbst Schuld. Es gibt immer einen DAU (in diesem Fall dich ), der daran rum fummelt. Also ists für dich auch nicht problematisch. Weniger gut wird bei der IT kommen, das Ding aufzuschrauben und eine eigene SSD einzubauen.

Beitrag automatisch zusammengeführt: 28 Juli 2024

Die C-Partition der SSD präsentiert sich dann als "BitLocker Encrypted".

So wie es sein soll.

 

[werkheimer]

Es geht darum zu schauen was geht, und was nicht geht. Dass die SSD mit BitLocker verschlüsselt ist, ist a) interessant und b) zu erwarten.

Obwohl wir bisher noch nicht ermittelt haben, wo das Passwort gespeichert ist, falls wir nicht das annehmen wollen, was ChatGPT erklärt hat.

Es geht auch nicht darum, eine andere SSD anstelle der ersten einzubauen, sondern eine zweite SSD, auf die ein anderes OS kommt, was mit der Firma nichts zu tun hat.

Das erspart mir, zwei Laptops in die Firma zu schleppen.

Beitrag automatisch zusammengeführt: 28 Juli 2024

Es wird noch interessanter.

Die Bitlocker-Verschlüsselung stammt gar nicht von der Firma, sondern wird einfach standardmäßig von Microsoft eingerichtet, wie Perplexity erklärt.

Ich habe das gerade verifiziert und konnte meinen Bitlocker-Schlüssel im Klartext in meinem Microsoft-Firmenkonto einsehen und entnehmen

 

[fb1996]

Es geht auch nicht darum, eine andere SSD anstelle der ersten einzubauen, sondern eine zweite SSD, auf die ein anderes OS kommt, was mit der Firma nichts zu tun hat.

Und dafür hast Du das Einverständnis der IT-Abteilung Deines Unternehmens?

 

[werkheimer]

Vielen Dank für diese bereits beantwortete rhetorische Frage

 

[cyrax]

An deiner Stelle würde ich aufhören an deinem Arbeitsnotebook rumzufricklen und dir fürs erkunden der Technik lieber ein privates Notebook zulegen. Wenn durch ein zweites OS auf einer anderen SSD was passiert und sich das ggf.auch auf die Firma auswirkt kann das ganz schnell ganz schön unangenehm werden. Du hast ja selbst schon erkannt, dass du eigentlich nichts davon darfst bzw die Zustimmung des AG dafür fehlt. Der Sinn dieses Beitrags erschließt sich mir auch nicht wirklich?

 

[bodu]

meinen Bitlocker-Schlüssel im Klartext

Ok, damit gibt es eine Möglichkeit für die Wiederherstellung.

Wie wäre es mit USB-SSD boot (nVME im USB-C Gehäuse)? Das wäre der minimale Eingriff bei einem Firmengerät.

Sicherheitstechnisch immer noch zweifelhaft.

Bei interner zweiter SSD ist ein/zwei \efi boot Partitionen zu überlegen. Bootauswahl über F12?
Ein Windows Feature Upgrade und UEFI Upgrade ist nicht getestet, unterstützt der lokalen IT.