P16* Welche Sicherungsmechanismen kann ein Firmenlaptop haben?

[werkheimer]

Ich hatte gerade die Wartungsklappe offen und war auch im UEFI und habe dort irgendeine Kleinigkeit geändert.

Er lief dann wieder problemlos (er war im Ruhezustand beim Öffnen der Wartungsklappe).

Dann hab ich mich mit dem VPN der Firma verbunden, und beim Runterfahren hing er dann ewig mit "bitte warten Sie auf gpsvc", wahrscheinlich mangels gpsvc-Verbindung in die Firma.

Hab ihn dann per Powertaste gekillt, war danach beim Neustart nochmal im UEFI -- und dann kam die Meldung:
"Das Setup wurde geändert. BITLOCKER-PASSWORT EINGEBEN:"

...oder so ähnlich.

Ich schon im Schock dass ich der IT jetzt erklären muss, was ich da eigentlich mache...

Dann stattdessen Neustart probiert, und er startete wieder komplett problemlos.

Was sind bekannte oder mögliche Sicherungsmaßnahmen bei Firmenlaptops?

Wenn ich ins UEFI komme, kann ich dann dort auch schalten und walten, oder nicht?

Was kann passieren, wenn ich eine zweite SSD einbaue und wahlweise von der boote?

 

[werkheimer]

Wie wäre es mit USB-SSD boot (nVME im USB-C Gehäuse)? Das wäre der minimale Eingriff bei einem Firmengerät.

Das war ursprünglich auch mein Gedanke, aber interne SSD ist halt sauberer, schneller und bequemer.

Bezüglich Bootmanager will ich erstmal gar nichts auf die SSDs machen, sondern das übers BIOS/F12 auswählen.

Später vielleicht Boot-US auf die zweite SSD für besseren Komfort.

 

[bodu]

Mist, dann misten wir weiter.

Damit UEFI/F12 funktioniert muß ein zweiter Bootmanager auf die zweite SSD.

Vorteil von Bitlocker mit Wiederherstellungschlüssel, nutze den Schlüssel sehr bewusst. Geplant nicht von der zweiten SSD aus.
Die \uefi Paritition der ab Werk verbauten SSD ist nicht verschlüsselt, da kann das Firmennetzwerk kompromitiert werden.

Ist aktuell Windows 11 auf der internen SSD installiert? Standardmäßig ist Fastboot aktiv, das passt nicht zu einer Multiboot-Umgebung.
Deaktiviere Fastboot mit Admin Rechten...
Nehmen wir mal den theoretischen Fall, Fastboot wurde im multi boot kompromitiert, boote von einer Installations DVD, Shift F10, öffne die Windows partittion mit manage-bde und dem Wiederherstellungschlüssel , lösche \hiberfile.sys. Windows bootet wieder. Das könnte ein Vorabtest sein.

 

[werkheimer]

Damit UEFI/F12 funktioniert muß ein zweiter Bootmanager auf die zweite SSD.

Wieso denn? Mit UEFI/F12 brauche ich doch gar keinen Bootmanager.

Deaktiviere Fastboot mit Admin Rechten...

Fastboot ist zum Glück bereits deaktiviert.

 

[Fabian2602]

Lass es, du handelst dir nur Probleme ein. Das Unternehmen müsste verrückt sein, sowas freizugeben.

 

[Korfox]

Wieso denn? Mit UEFI/F12 brauche ich doch gar keinen Bootmanager.

Du brauchst zumindest eine EFI-Partition mit einem Eintrag darin.

 

[werkheimer]

Ich habe natürlich auf jeder SSD eine EFI-Partition, die voneinander unabhängig sind und ebenfalls keinen Bootmanager zur Auswahl der beiden alternativen Systeme enthalten.

 

[Korfox]

Und wo verweist der Eintrag hin? Zumindest Linux kann man über Umwege so installieren, dass der Kernel direkt vom UEFI-Bootmanager geladen wird und kein weiterer Bootloader notwendig ist. Bei Windows ist das AFAIR nicht möglich

 

[werkheimer]

Jede der beiden SSDs ist vollkommen eigenständig und vollkommen unabhängig von der anderen, und könnte auch ohne die jeweils andere betrieben werden. Boot-Auswahl wird wie gesagt über UEFI/F12 gemacht, oder dann später über den MBR einer der beiden Platten per Boot-US.

 

[hoday]

Zum Booten muss 1. die Festplatte eine Bootmarkierung haben und 2. dort dann das bootbare Medium liegen. Bei Linux ist das eventuell z.B Grub und das Kernelimage, bei Windows der Windowsbootmanager. Aber Beides erreicht man doch über F12 Bootmenu booten(?)

 

[werkheimer]

Bei Boot-Auswahl über UEFI/F12 benötigt man keinerlei weiteren "Bootmanager" irgendwo.

"Bootmanager" im Sinne von Boot-Auswahl.

 

[hoday]

"Bootmanager" im Sinne von Boot-Auswahl.

Ja, wenn du das so definierst. Aber unter einem Bootmanger/loader versteht man ja generell die Software die das OS bootet. Und genau genommen wird beim booten von z.b. Windows ja immer der Weg über den Manager gegangen, nur wird er dir halt nicht angezeigt, wenns nicht zwingend was zum Auswählen gibt.

 

[werkheimer]

Genau, wir hatten hier nur ein Definitionsproblem in der Unterscheidung zwischen einem "Boot-Auswahl-Manager" zwischen zwei unabhängigen SSDs, und dem auf jeder der beiden SSDs nach wie vor vorhandenen "Boot-Manager", der das jeweilige OS der jeweiligen Festplatte startet.

 

[Korfox]

Auch Bootloader genannt.

 

[werkheimer]

Wie auch immer genannt, jedenfalls geht es hier um einen Boot-Auswahl-Manager, welchen wir nicht brauchen, solange wir über UEFI/F12 eine SSD auswählen, von der gebootet werden soll.