[English]Heute ist Türchen Nummer 15 im Sicherheits-Adventskalender dran. Ich kippe mal eine kurze Information hier in den Blog, weil das Thema in den kommenden Monaten und Jahren vermutlich mehr und mehr Administratoren von Windows 10/11-Systemen tangiert. Wir sichern die Systeme mehr und mehr, u.a. mit TPM ab. Was passiert aber, wenn ein Mainboard defekt wird und getauscht werden muss? Das kann dazu führen, dass das Gerät für Azure Active Directory, Windows AutoPilot etc. nicht mehr erkannt werden kann.
Anzeige
Ich bin auf Twitter auf den Post von JOYMALYA BASU ROY (MVP) und Senior Consultant/Architect – Microsoft Intune – gestoßen.
In diesem Artikel befasst sich der Autor mit den Auswirkungen des Austauschs der Systemplatine für ein Gerät, das von Intune verwaltet wird. Die Botschaft: Wenn ein TPM 2.0-aktiviertes MEM Intune-verwaltetes Gerät eine größere Hardware-Änderung erfährt, wie z. B. den Austausch eines Systemboards, führt dies dazu, dass das Gerät für den Verwaltungsdienst – Azure AD, Intune und den Autopilot-Dienst – nicht mehr erkennbar ist.
Falls die Bitlocker-Geräte-/Laufwerksverschlüsselung auf dem Gerät aktiviert war und vor dem Austausch der Systemplatine nicht ausgesetzt wurde, wird das Gerät nach dem Austausch beim Versuch zu booten immer in den Bitlocker-Wiederherstellungsmodus wechseln.
Das ist bekannt. Administratoren sollten vor dem Austausch der Systemplatine sicherstellen, dass sie entweder den Bitlocker-Schutz ausschalten oder den funktionierenden Wiederherstellungsschlüssel speichern. Wenn der Bitlocker-Schutz vor dem Austausch nicht deaktiviert wurde, wird das Gerät nach dem Austausch garantiert in den Wiederherstellungsbildschirm booten. Ist der Wiederherstellungsschlüssel nicht zur Hand, kann das System nicht mehr benutzt werden.
Anzeige
Aber auch in den Fällen, wo Windows 10/11 aus dem Wiederherstellungsbildschirm erfolgreich gebootet werden kann, tun sich eventuell Abgründe auf, weil das geänderte TPM-Modul zu diversen Problemen führt. Im Blog-Beitrag werden eine Reihe von Fehlerszenarien und deren Recovery angerissen. Vielleicht für Administratoren in diesem Umfeld von Interesse – oder ist das alles bestens bekannt?
PS: Wird Zeit, dass der 24.12. kommt – mir gehen die Sicherheitsthemen aus – einfach nichts mehr los auf der Gass ;-).
Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte
Anzeige
" PS: Wird Zeit, dass der 24.12. kommt – mir gehen die Sicherheitsthemen aus – einfach nichts mehr los auf der Gass ;-). "
Das wäre ja zur Abwechslung mal eine gute Nachricht. Aber ich glaube erstens nicht daran, und zweitens werden wir mit den bestehenden Lücken und Problemen die nächste Zeit noch genug Arbeit und Stress haben. Ich hoffe, glaube aber nicht daran, dass wenigstens der heutige Patchday keine Probleme bereiten wird und endlich die Druckerfehler mal beseitigt sind, das wäre ja mal fast schon ein schönes Weihnachtsfest seitens Microsoft.
"Administratoren sollten vor dem Austausch der Systemplatine sicherstellen, dass sie entweder den Bitlocker-Schutz ausschalten"
Moment mal! Das heißt doch das wen man diesen Bitlocker-Schutz ausschaltet, mit "Manage-bde –Protectors –Disable C:" wird der verschlüsselungs key im plaintext auf die SSD geschrieben, das ist doch massiv gemein gefärlich den kann man danach dank wear leveling sicher aus den flash speicher direkt auslesen wen man glück hat.
Man kann den Bitlocker-Schutz auch für 1-X Systemneutsrats pausieren, danach ist er automatisch wieder an.
Das ist aber die schöne Theorie, in der Praxis kann es auch mal sein, dass einem das Mainboard, Netzteil usw. mitten im Betrieb abraucht und so schnell kann man garnicht sein, da eben noch Bitlocker zu pausieren oder sich den Wiederherstellungsschlüssel auszudrucken klappt da dann nicht mehr. Privat meide ich daher Bitlocker, den Stress tue ich mir da nicht an. Wer es haben muss, kann es auch ohne TPM einrichten, ist immer noch besser als nichts., und man läuft nicht in diese Falle.
Achtung auch bei MB Tauschs von seiten HP und Lenovo!
Wir haben gerade einen Fall, dass das Motherboard getauscht und die Seriennummer vom Techniker nicht angepasst wurde. Da es ein Wiederaufbereitetes MB war, wurde das Gerät nach der Zurücksetzung automatisch einer Organisation hinzugefügt, welche unbekannt ist.
Wenn jemand einen Tipp hat, wie wir das Gerät da rausbekommen, immer her damit :)