Secure Boot Unterstützung
-
- Beiträge: 2
- Registriert: 29 Jun 2017, 14:06
Re: Secure Boot Unterstützung
Hallo allerseits.
Wie ist der Stand zu SecureBoot?
Ich vermute das Thema wird jetzt für einige dringender.
Wir haben hier eine frische Lieferung von Lenovo T470 Geräten, die mit M2-Drives und TPM 2.0 ausgeliefert werden.
Wenn man jetzt als Firma die Anforderung hat Bitlocker einsetzen zu müssen/wollen, kommt man mit opsi derzeit nicht zum Ziel, da man dank TPM 2 bei der Verwendung von Bitlocker gezwungen ist SecureBoot auch zu verwenden.
Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.
Wir hängen jetzt mit diesem speziellen Notebook-Typ in der Luft und können die so nicht mit opsi befüllen. Was wir brauchen ist ein gesignetes boot Image für opsi, so das wir in Verbindung mit UEFI die T470er deployen können.
Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?
Viele Grüße
Benjamin Kix
Wie ist der Stand zu SecureBoot?
Ich vermute das Thema wird jetzt für einige dringender.
Wir haben hier eine frische Lieferung von Lenovo T470 Geräten, die mit M2-Drives und TPM 2.0 ausgeliefert werden.
Wenn man jetzt als Firma die Anforderung hat Bitlocker einsetzen zu müssen/wollen, kommt man mit opsi derzeit nicht zum Ziel, da man dank TPM 2 bei der Verwendung von Bitlocker gezwungen ist SecureBoot auch zu verwenden.
Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.
Wir hängen jetzt mit diesem speziellen Notebook-Typ in der Luft und können die so nicht mit opsi befüllen. Was wir brauchen ist ein gesignetes boot Image für opsi, so das wir in Verbindung mit UEFI die T470er deployen können.
Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?
Viele Grüße
Benjamin Kix
Re: Secure Boot Unterstützung
Geht denn die UEFI-Installation ohne Secureboot und anschlissend erst Bitlocker aktivieren und dann Secureboot?Benjamin Kix hat geschrieben: Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?
Viele Grüße
Benjamin Kix
Gruss
Bardo Wolf
OPSICONF 2024
https://opsi.org/en/opsiconf/
Basisworkshop Mainz :
17. - 20. 06. 2024
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.
http://www.uib.de
-
- Beiträge: 2
- Registriert: 29 Jun 2017, 14:06
Re: Secure Boot Unterstützung
Im Moment hängen wir noch an der korrekten Konfiguration des UEFI-Moduls. Daher konnte das so noch nicht getestet werden.
Meine Vermutung wäre jetzt, dass das eine funktionierende Option wäre. Auch wenn das natürlich deutlich mehr Schritte erfordert und kein "unbox-and-run" mehr geht.
Ich melde mich wenn wir das testen konnten.
Meine Vermutung wäre jetzt, dass das eine funktionierende Option wäre. Auch wenn das natürlich deutlich mehr Schritte erfordert und kein "unbox-and-run" mehr geht.
Ich melde mich wenn wir das testen konnten.
-
- Beiträge: 66
- Registriert: 17 Sep 2015, 17:55
Re: Secure Boot Unterstützung
Wenn sich mal etwas Zeit ergibt würde ich mal testen ob es möglich ist, einen der signierten Bootloader in das opsi Bootimage einzubauen. Aber da fange ich bei Null an
Vielleicht hat da schon jemand mit experimentiert?!
Vielleicht hat da schon jemand mit experimentiert?!
Re: Secure Boot Unterstützung
Hi,
wir werden uns die neuen Techniken noch mal genauer anschauen. Allerdings schaffen wir das nicht mehr nicht mehr vor 4.1. Es sei denn es meldet sich ein Kunde und winkt mit Geld, dann können wir noch mal versuchen einen ProofOfConcept zu starten.
wir werden uns die neuen Techniken noch mal genauer anschauen. Allerdings schaffen wir das nicht mehr nicht mehr vor 4.1. Es sei denn es meldet sich ein Kunde und winkt mit Geld, dann können wir noch mal versuchen einen ProofOfConcept zu starten.
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
For productive opsi installations we recommend support contracts.
http://www.uib.de
- SisterOfMercy
- Beiträge: 1523
- Registriert: 22 Jun 2012, 19:18
Re: Secure Boot Unterstützung
Turn off TPM in the biosBenjamin Kix hat geschrieben:Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.
Oh wait, you wanted bitlocker to work.
Is it so hard to sign a bootimage? You can enroll your own keys in the TPM module, right?
And how would this work with netboot? Would this mean the syslinux and elilo modules have to be signed as well?
Pff, this stuff is hard.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Re: Secure Boot Unterstützung
Das ist so nicht ganz richtig, ich bin da neulich zwar auch auf die Nase gefallen. Das hatte aber nichts mit Secureboot zu tun.Benjamin Kix hat geschrieben:Hallo allerseits.
Wie ist der Stand zu SecureBoot?
Ich vermute das Thema wird jetzt für einige dringender.
Wir haben hier eine frische Lieferung von Lenovo T470 Geräten, die mit M2-Drives und TPM 2.0 ausgeliefert werden.
Wenn man jetzt als Firma die Anforderung hat Bitlocker einsetzen zu müssen/wollen, kommt man mit opsi derzeit nicht zum Ziel, da man dank TPM 2 bei der Verwendung von Bitlocker gezwungen ist SecureBoot auch zu verwenden.
Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.
Wir hängen jetzt mit diesem speziellen Notebook-Typ in der Luft und können die so nicht mit opsi befüllen. Was wir brauchen ist ein gesignetes boot Image für opsi, so das wir in Verbindung mit UEFI die T470er deployen können.
Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?
Viele Grüße
Benjamin Kix
Wir installieren grundsätzlich noch im Legacy Mode und haben nun neuerdings Geräte die mit TPM 2.0 ohne 1.2 "Fallback" kommen. Da verweigert Windows 10 dann die Verschlüsselung per Bitlocker.
Ich habe daraufhin eine OPSI Testlizenz für den UEFI Mode beantragt, funktioniert absolut problemlos und Secureboot ist disabled.
Wir werden daher nun zeitnah unsere Prozesse umstellen und generell auf UEFI Umsteigen.
Re: Secure Boot Unterstützung
Hi all
don't know how do you use bitlocker without secure boort also with UEFI it doesn't work for the DELL 5480 i used
The only solution i have found is to put on the secure boot just before put on bitlocker
don't know how do you use bitlocker without secure boort also with UEFI it doesn't work for the DELL 5480 i used
The only solution i have found is to put on the secure boot just before put on bitlocker
Re: Secure Boot Unterstützung
mhhh maybe a group policy?samite58 hat geschrieben:Hi all
don't know how do you use bitlocker without secure boort also with UEFI it doesn't work for the DELL 5480 i used
The only solution i have found is to put on the secure boot just before put on bitlocker
=> https://docs.microsoft.com/de-de/window ... mk-secboot