Passwort - nach Deckel schliessen

[Casiofx82]

Hallo zusammen,

irgendwie stehe ich gerade im Wald und komme nicht auf eine "sinnvolle" Lösung zum Thema Passwort + Datenschutz auf "Dienstreisen"

Szenario:

a) zu 90% wird der Rechner privat in "sicherer" Umgebung genutzt (zuhause in den eigenen 4 Wänden, unbefugter Zugang ist ausgeschlossen) - aus diesem Grund habe ich bisher auch auf eine Verschlüsselung bzw. Passwortschutz verzichtet (weil es da mehr stört bzw. "lästig" ist = ich nicht bei jedem Start ein Passwort eingeben möchte

b) ab und an (in letzter Zeit immer mal wieder) mus der Rechner aber mit auf Dienstreise - Bahn, Hotel, Meeting, Sitzung

für die unter b) genannten Dienstreisen würde ich jetzt gerne etwas mehr Sicherheit (Passwort) einrichten... mir behagt es einfach nicht, wenn mein Rechner mit sämtlichen Mail-Accounts und Daten so komplett ungeschützt unterwegs ist, im Hotelzimmer liegt oder auch während des Meetings (Pausen) in keinster Weise gesichert/ gesperrt ist

"Wunsch" wäre folgende Lösung:

in Szenario a) ist mein Rechner so wie jetzt auch = ich brauche an keiner Stelle ein Passwort eingeben, Rechner startet einfach und kann verwendet werden

für Szenario b) auf Dienstreise kann ich meinen Rechner "scharf" schalten (dann ggf neu starten) und ab dann ist ein Passwort erforderlichen wenn der Rechner gestartet wird und (mindestens) dann wenn er z.B. aus dem Ruhemodus (Deckel zuklappen/ Deckel öffnen) nach einer Pause aufgeweckt wird

dieses "scharf" schalten zur Aktivierung des Passwortschutzes sollte natürlich möglichst unkompliziert erfolgen

wie kann das am einfachsten realisiert werden - Benutzerkontensteuerung.... Zusatzsoftware?
(Betriebssystem Windows 7 prof. 64 bit))

hat jemand eine Idee ? bin für alles dankbar!



(Traum wäre ja, wenn es beim "scharf" schalten auch die Festplatte verschlüsselt würde.... ggf. Programm welches die Platte immer verschlüsselt, jedoch auch ein "leeres" (kein) Passwort akzeptiert - mir aber auch erlaubt jederzeit ein Passwort zu vergeben bzw. wegzunehmen um den Rechner damit von "scharf" auf "ungesichert" umzustellen) -> gute Software muss nichts kosten, aber sie darf es ruhig

 

[Mornsgrans]

Hast Du Master+User Passwort für die HDD vergeben, gib das User-Passwort ein.

Da Du eine SSD besitzt, würde ich das HDD-Passwort erst einmal entfernen und Dich zu diesem Thema etwas einlesen.

 

[toby]

P.S. es wird eine SSD verwendet, was aber eigentlich ja nichts mit dem "Hard Disk1" Passwort zu tun haben kann, oder wird da noch wieder zwischen klassischer HD und SSD unterschieden ???

Also meine Version läuft so, und die SSD ist eine Samsung 830. Power-On und HDD-User(!)-Passwort sind identisch.
Ich bin als Lösung auch für BIOS-Update oder SSD-Firmware-Update; bis dahin kann man sich damit behelfen, die Platte mit Bitlocker zu verschlüsseln.

 

[Casiofx82]

ja - ich hatte user+Master Passwort gesetzt -> und jetzt erstmal beides wieder entfernt (was auch ohne Probleme geklappt hat: als Supervisor im Bios anmelden und dann Hard Disk1 Passwort auch "leer" setzen)

Hard Disk1 somit wieder "ohne" Passwort... lediglich "Power-on" Passwort ist gesetzt (und halt das Supervisor welches Änderungen im Bios verhindert)

zur Zeit also Power-on und Windows-Benutzerkonto Passwort aktiv
= Rechner kann nur mit Passwort gestartet werden.... zusätzlich halt Windows-Benutzerkonto (Passwort bei Win-Start bzw. "Deckel schliessen")
-> jedoch keine "weitere" Scierheit gegeben = wird die Platte (SSD) ausgebaut kann sie an jedem x-beliebigen Rechner ausgelesen werden - korrekt?

(wenn TP + Samsung SSD sicht nicht wirklich vertragen, würde ich das nicht unbedingt für mich in Erwägung ziehen wollen - Gefahr eines totalen Verlusts bzw. "unwiederbringliche" Datensperre zu gross ?!
will heissen: selbst wenn das Thinkpad mal warum auch immer den Geist aufgeben sollte, würde ich schon gerne noch die Möglichkeit haben die Daten von meiner SSD mit einem anderen Rechner (+Passwort) auslesen zu können... "ewige" Verbindung zwischen TP und dem Passwort bzw. Entsperrung der SSD wäre nicht wirklich gut)
oder sehe ich da jetzt was falsch ?

 

[yatpu]

solange du das passwort kennst, kannst die ssd auch in einem anderen thinkpad entsperren. in einem anderen pc funktioniert das leider nicht, da das passwort, das du eingibst, mit einem nicht bekannten algorithmus verändert wird, bevor es an die hdd/ssd geschickt wird.

vor datenverlust schützt ein aktuelles backup. ob verschlüsselt oder nicht, von wichtigen daten sollte immer ein funktionierendes und aktuelles backup existieren.

 

[toby]

solange du das passwort kennst, kannst die ssd auch in einem anderen thinkpad entsperren. in einem anderen pc funktioniert das leider nicht, da das passwort, das du eingibst, mit einem nicht bekannten algorithmus verändert wird, bevor es an die hdd/ssd geschickt wird. vor datenverlust schützt ein aktuelles backup. ob verschlüsselt oder nicht, von wichtigen daten sollte immer ein funktionierendes und aktuelles backup existieren.

Stimme zu und möchte auch, dass ein aktuelles BIOS aufgespielt wird, dass sich mit der Samsung verträgt. Denn dann gäbe es das Problem nicht...

 

[Casiofx82]

solange du das passwort kennst, kannst die ssd auch in einem anderen thinkpad entsperren. in einem anderen pc funktioniert das leider nicht, da das passwort, das du eingibst, mit einem nicht bekannten algorithmus verändert wird, bevor es an die hdd/ssd geschickt wird.

vor datenverlust schützt ein aktuelles backup. ob verschlüsselt oder nicht, von wichtigen daten sollte immer ein funktionierendes und aktuelles backup existieren.

Stimme zu und möchte auch, dass ein aktuelles BIOS aufgespielt wird, dass sich mit der Samsung verträgt. Denn dann gäbe es das Problem nicht...

ich höre schon - Wochenende ist gerettet: Bios-Update inch:

wollte ich "eigentlich" immer vermeiden, "never change a running system"

 

[toby]

ich höre schon - Wochenende ist gerettet: Bios-Update inch:
wollte ich "eigentlich" immer vermeiden, "never change a running system"

Das dauert fünf Minuten: Man kann nicht Auto fahren, wenn man keinen Kraftstoff einfüllt.

 

[yatpu]

http://thinkpad-forum.de/threads/139340-W500-und-Samsung-830-SSD-Probleme-mit-dem-Festplatten-PW
im letzten beitrag steht, dass bei den modellen 640 und 840 pro ein fw-update das problem behebt. vielleicht ist es bei der 830 auch so. check das mal!

 

[toby]

im letzten beitrag steht, dass bei den modellen 640 und 840 pro ein fw-update das problem behebt. vielleicht ist es bei der 830 auch so. check das mal!

Und zwar hiermit, die zeigt die Firmware an: http://www.samsung.com/de/support/model/MZ-7PD256BW-downloads

...Anhang anzeigen 78054 ... Anhang anzeigen 78055

 

[Casiofx82]

jep - Samsung Magician ist installiert - in der Version 4.1 (aktuelle) und er sagt auch, dass die Firmware die aktuelle ist/ es keine neuere gibt

verwende eine Samsung 830 SSD 128 GB

Bios-Update klappt schon "prächtig" - ich bekomme im Thinkpad System Update zwar eine neue aktuellere Bios-Version angezeigt, aber die kann ich (mit TSU) noch nichtmal herunterladen :cursing:

die in TSU angebotene version ist 3.22 - Änderungen sollen irgendwas mit den Einstellungen des Akku sein
zur Zeit ist BIOS-Version/-Datum LENOVO 6DET71WW (3.21 ), 13.12.2011 auf dem x200 installiert

"sollte" also eigentlich in Ordnung sein (wenn man von der "Neuerung" in Bios 3.22 in Sachen Akku mal absehen mag

Bitlocker kann ich leider nicht verwenden, nur Windows 7 prof. (Bitlocker ist glaube ich erst ab Ultimate o. Enterprise dabei)

 

[toby]

[TABLE="class: mytable filterTable categoryTable, width: 680"]
[TR]
[TD]BIOS Update Bootable CD for Windows 7 (32-bit, 64-bit), Vista (32-bit, 64-bit), XP - ThinkPad X200, X200s ... Learn more

Version
: 3.22-1.07

BIOS Update Bootable CD
Read me

[/TD]
[TD]Windows 7 32bit
Windows 7 64-bit
Windows Vista 32-bit
Windows Vista 64-bit
Windows XP
[/TD]
[TD]10 Jul 2013
[/TD]
[/TR]
[/TABLE]

 

[yatpu]

mach das update lieber von cd/usbstick aus! das ist weniger fehleranfällig als das flashen unter windows.
bitlocker btw teil von win8pro

 

[Casiofx82]

werde morgen mal (frisch und ausgeruht) versuchen ein Bios-Update durchzuführen.... wenn es dann mit dem Hard Disk1 Passwort klappt wäre es ja wirklich die einfachste und beste Lösung

----
ja, bitlocker ist auch in Win 8 pro vorhanden - wäre dann ja (fast) schon eine Überlegung Wert das hier zum Anlass zu nehmen um von Win7 pro auf Win8 pro umzusteigen.... wobei ich eigentlich mit meinem Win7 ganz zufrieden bin und mir die Arbeit ersparen wollte

 

[egot42p]

@ Toby:
hab mich wohl nicht klar ausgedrückt. Besitze die SW "WaterGuide" zu der ein Rockey4 USB-Dongle gehört. Der Dongle ist gedacht die SW auf mehreren PC einzusetzen aber immer nur auf einem mittels Dongle zu nutzen.
Mit einem Tool das zur SW gehört kann ich den Dongle auslesen.
Da ich nicht genug von solchen Dingen verstehe hab ich mich gefragt ob ich den Dongle auch dazu verwenden kann den TP zuhause ohne Passwort zu starten und unterwegs mittels PW oder FPR.
Wenn das geht brauch ich nich noch nen USB-Stick preparieren.
Is ja evtl. auch ne Überlegung für Casiofx82 Wert.

Schöne Nachtschicht noch wünscht :Oldtimer: Edward

@ Casiofx82 P.S.: bin mir nicht sicher ob Bitlocker bei 7pro incl. könnte aber sein.
Ausserdem entschuldige bitte das ich mit meinem Dongle sone Aufregung in Deinem Thema
verursacht habe

@ Toby "P.S. Edward? - Etwa der Edward...?" Wen/wie meinst Du ???

 

[toby]

@ Toby: hab mich wohl nicht klar ausgedrückt. Besitze die SW "WaterGuide" zu der ein Rockey4 USB-Dongle gehört. ...
@ Toby "P.S. Edward? - Etwa der Edward...?" Wen/wie meinst Du ???

Mir ist nicht bekannt, dass ein ThinkPad-BIOS einen USB-Stick erkennt und von ihm ein Passwort ausliest, mit dem man das Gerät starten kann. Dafür gibt es aber Smart-Cards und entsprechende Lesegeräte. Es widerspräche auch der "Reinen Lehre vom autonomen Gerät", aber nur aus User-Sicht. Ich bin mir sicher, dass Lenovo und diverse angeschlossene Anstalten einen solchen Masterstick besitzen. Das Betriebssystem ist dem BIOS untergeordnet und die Water-Software dem Betriebssystem, also nein: Geht nicht.

Mit Edward meinte ich den hier...Ich dachte, Dein Beitrag wäre eine Art verkappter Intelligenztest, und den wollte ich unbedingt bestehen!

 

[Mornsgrans]

Finger weg vom BIOS- Update, wenn etwas von Battery- enhancement o.ä. dabei steht! !!
Nach Update auf diese Version werden Nachbau-
Akkus i.d.R. nicht mehr akzeptiert.

Nimm die Version davor und zwar die bootable CD-
Version.

 

[yatpu]

@ toby:
augen auf beim lesen!
egot42p bezieht sich auf beitrag 8, geschrieben von M3ph15t. dieser wiederum spricht von der verwendung eines usbsticks als passwort/schlüssel für truecrypt, nicht fürs bios!
"truecrypt" könnte man auch durch "bitlocker" ersetzen, denn der kann das usbsticks anstelle des tpm verwenden.

@ mornsgrans:
danke für diesen wichtigen hinweis! :thumbup:

 

[Mornsgrans]

"truecrypt" könnte man auch durch "bitlocker" ersetzen, denn der kann das usbsticks anstelle des tpm verwenden.

Davon rate ich ab. - Spätestens bei einem Boardwechsel, der immer mal vorkommen kann, sind alle Daten futsch. Das ist das Risiko bei Verwendung des TPM.

Truecrypt dürfte in allen Fällen die beste Variante sein. Wenn z.B. ein Container für die Daten als Laufwerk eingebunden angelegt wird, muss man lediglich bei Reboot das Containerpasswort eingeben. Bei Resume aus Hibernation bleibt der Container offen.

 

[yatpu]

bitlocker erstellt einen langen code, mit dem man die daten wieder entschlüsseln kann. daher sehe ich in dieser hinsicht kein problem mit bitlocker.

aus https://en.wikipedia.org/wiki/BitLocker_Drive_Encryption:

Recovery-Funktionalität

Bitlocker Drive Encryption (auch BDE abgekürzt) speichert die Recovery-Daten zur Entschlüsselung der Partition ohne Passwort während des Verschlüsselungsprozesses im Klartext auf einen Datenträger und zusätzlich (in gemanagten Umgebungen) in das Active Directory Computerobjekt. Hier wird pro Partition ein Key angelegt. Wenn ein TPM Chip verwendet wird, so wird dessen Recovery-Passwort ebenfalls abgelegt. Für eine Datenentschlüsselung ist also entweder das originäre Passwort oder das Recovery-Passwort notwendig, eine Challenge-Response-Authentifizierung ist derzeit nicht vorgesehen.

die englische version ist etwas ausführlicher.

 

[Casiofx82]

Finger weg vom BIOS- Update, wenn etwas von Battery- enhancement o.ä. dabei steht! !!
Nach Update auf diese Version werden Nachbau-
Akkus i.d.R. nicht mehr akzeptiert.

Nimm die Version davor und zwar die bootable CD-
Version.

wo auf der Lenovo Homepage finde ich denn eine "vor-aktuelle" Version zum Download (oder befinden sich auf der bootable CD-Version mehr wie nur eine Bios-version und ich auswählen welche ich installieren will ?

"aktuelle" Bios = 3.22-1.07 (ECP 1.07) = (New) Embedded Controller update will modify battery charge algorithms to balance battery charging and lifespan.
Vorgänger-Version = 3.22 (ECP 1.06) = "(New) Added support for the function to disable & unconfigure AMT via WMI. "
auf meinem x200 = 3.21 (ECP 1.06) = (New) Added support for new microcode of CPU.