Secure Boot Unterstützung

Benjamin Kix
Beiträge: 2
Registriert: 29 Jun 2017, 14:06

Re: Secure Boot Unterstützung

Beitragvon Benjamin Kix » 29 Jun 2017, 14:16

Hallo allerseits.

Wie ist der Stand zu SecureBoot?

Ich vermute das Thema wird jetzt für einige dringender.
Wir haben hier eine frische Lieferung von Lenovo T470 Geräten, die mit M2-Drives und TPM 2.0 ausgeliefert werden.
Wenn man jetzt als Firma die Anforderung hat Bitlocker einsetzen zu müssen/wollen, kommt man mit opsi derzeit nicht zum Ziel, da man dank TPM 2 bei der Verwendung von Bitlocker gezwungen ist SecureBoot auch zu verwenden.

Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.

Wir hängen jetzt mit diesem speziellen Notebook-Typ in der Luft und können die so nicht mit opsi befüllen. Was wir brauchen ist ein gesignetes boot Image für opsi, so das wir in Verbindung mit UEFI die T470er deployen können.

Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?

Viele Grüße
Benjamin Kix

Benutzeravatar
wolfbardo
Beiträge: 1084
Registriert: 01 Jul 2008, 12:10

Re: Secure Boot Unterstützung

Beitragvon wolfbardo » 29 Jun 2017, 14:40

Benjamin Kix hat geschrieben:Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?

Viele Grüße
Benjamin Kix


Geht denn die UEFI-Installation ohne Secureboot und anschlissend erst Bitlocker aktivieren und dann Secureboot?

Gruss
Bardo Wolf


opsi workshops in Mainz

Basis 3.-6.12.2018


opsi support by uib gmbh

http://www.uib.de

Benjamin Kix
Beiträge: 2
Registriert: 29 Jun 2017, 14:06

Re: Secure Boot Unterstützung

Beitragvon Benjamin Kix » 29 Jun 2017, 14:48

Im Moment hängen wir noch an der korrekten Konfiguration des UEFI-Moduls. Daher konnte das so noch nicht getestet werden.
Meine Vermutung wäre jetzt, dass das eine funktionierende Option wäre. Auch wenn das natürlich deutlich mehr Schritte erfordert und kein "unbox-and-run" mehr geht.

Ich melde mich wenn wir das testen konnten.

r4tzeblitz
Beiträge: 47
Registriert: 17 Sep 2015, 17:55

Re: Secure Boot Unterstützung

Beitragvon r4tzeblitz » 03 Jul 2017, 11:16

Wenn sich mal etwas Zeit ergibt würde ich mal testen ob es möglich ist, einen der signierten Bootloader in das opsi Bootimage einzubauen. Aber da fange ich bei Null an :)
Vielleicht hat da schon jemand mit experimentiert?!

Benutzeravatar
ueluekmen
Beiträge: 1877
Registriert: 28 Mai 2008, 10:53

Re: Secure Boot Unterstützung

Beitragvon ueluekmen » 03 Jul 2017, 12:14

Hi,

wir werden uns die neuen Techniken noch mal genauer anschauen. Allerdings schaffen wir das nicht mehr nicht mehr vor 4.1. Es sei denn es meldet sich ein Kunde und winkt mit Geld, dann können wir noch mal versuchen einen ProofOfConcept zu starten.
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de

Benutzeravatar
SisterOfMercy
Beiträge: 917
Registriert: 22 Jun 2012, 19:18

Re: Secure Boot Unterstützung

Beitragvon SisterOfMercy » 04 Jul 2017, 21:11

Benjamin Kix hat geschrieben:Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.


Turn off TPM in the bios ;)
Oh wait, you wanted bitlocker to work.

Is it so hard to sign a bootimage? You can enroll your own keys in the TPM module, right?
And how would this work with netboot? Would this mean the syslinux and elilo modules have to be signed as well?
Pff, this stuff is hard.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!

Benutzeravatar
tobias
Beiträge: 1176
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:

Re: Secure Boot Unterstützung

Beitragvon tobias » 23 Okt 2017, 15:41

Benjamin Kix hat geschrieben:Hallo allerseits.

Wie ist der Stand zu SecureBoot?

Ich vermute das Thema wird jetzt für einige dringender.
Wir haben hier eine frische Lieferung von Lenovo T470 Geräten, die mit M2-Drives und TPM 2.0 ausgeliefert werden.
Wenn man jetzt als Firma die Anforderung hat Bitlocker einsetzen zu müssen/wollen, kommt man mit opsi derzeit nicht zum Ziel, da man dank TPM 2 bei der Verwendung von Bitlocker gezwungen ist SecureBoot auch zu verwenden.

Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.

Wir hängen jetzt mit diesem speziellen Notebook-Typ in der Luft und können die so nicht mit opsi befüllen. Was wir brauchen ist ein gesignetes boot Image für opsi, so das wir in Verbindung mit UEFI die T470er deployen können.

Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?

Viele Grüße
Benjamin Kix


Das ist so nicht ganz richtig, ich bin da neulich zwar auch auf die Nase gefallen. Das hatte aber nichts mit Secureboot zu tun.
Wir installieren grundsätzlich noch im Legacy Mode und haben nun neuerdings Geräte die mit TPM 2.0 ohne 1.2 "Fallback" kommen. Da verweigert Windows 10 dann die Verschlüsselung per Bitlocker.
Ich habe daraufhin eine OPSI Testlizenz für den UEFI Mode beantragt, funktioniert absolut problemlos und Secureboot ist disabled.
Wir werden daher nun zeitnah unsere Prozesse umstellen und generell auf UEFI Umsteigen.
Veröffentliche deine WINST Scripte im OPSI Wiki und leiste so einen wertvollen Beitrag für die Community !!!
https://forum.opsi.org/wiki/

samite58
Beiträge: 4
Registriert: 26 Jan 2018, 14:13

Re: Secure Boot Unterstützung

Beitragvon samite58 » 31 Okt 2018, 13:13

Hi all
don't know how do you use bitlocker without secure boort also with UEFI it doesn't work for the DELL 5480 i used

The only solution i have found is to put on the secure boot just before put on bitlocker