Secure Boot Unterstützung

Benjamin Kix
Beiträge: 2
Registriert: 29 Jun 2017, 14:06

Re: Secure Boot Unterstützung

Beitrag von Benjamin Kix »

Hallo allerseits.

Wie ist der Stand zu SecureBoot?

Ich vermute das Thema wird jetzt für einige dringender.
Wir haben hier eine frische Lieferung von Lenovo T470 Geräten, die mit M2-Drives und TPM 2.0 ausgeliefert werden.
Wenn man jetzt als Firma die Anforderung hat Bitlocker einsetzen zu müssen/wollen, kommt man mit opsi derzeit nicht zum Ziel, da man dank TPM 2 bei der Verwendung von Bitlocker gezwungen ist SecureBoot auch zu verwenden.

Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.

Wir hängen jetzt mit diesem speziellen Notebook-Typ in der Luft und können die so nicht mit opsi befüllen. Was wir brauchen ist ein gesignetes boot Image für opsi, so das wir in Verbindung mit UEFI die T470er deployen können.

Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?

Viele Grüße
Benjamin Kix
Benutzeravatar
wolfbardo
uib-Team
Beiträge: 1354
Registriert: 01 Jul 2008, 12:10

Re: Secure Boot Unterstützung

Beitrag von wolfbardo »

Benjamin Kix hat geschrieben: Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?

Viele Grüße
Benjamin Kix
Geht denn die UEFI-Installation ohne Secureboot und anschlissend erst Bitlocker aktivieren und dann Secureboot?

Gruss
Bardo Wolf


OPSICONF 2024
https://opsi.org/en/opsiconf/

opsi-Basisworkshops:

22. - 25. 04. 2024


opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.

http://www.uib.de
Benjamin Kix
Beiträge: 2
Registriert: 29 Jun 2017, 14:06

Re: Secure Boot Unterstützung

Beitrag von Benjamin Kix »

Im Moment hängen wir noch an der korrekten Konfiguration des UEFI-Moduls. Daher konnte das so noch nicht getestet werden.
Meine Vermutung wäre jetzt, dass das eine funktionierende Option wäre. Auch wenn das natürlich deutlich mehr Schritte erfordert und kein "unbox-and-run" mehr geht.

Ich melde mich wenn wir das testen konnten.
r4tzeblitz
Beiträge: 66
Registriert: 17 Sep 2015, 17:55

Re: Secure Boot Unterstützung

Beitrag von r4tzeblitz »

Wenn sich mal etwas Zeit ergibt würde ich mal testen ob es möglich ist, einen der signierten Bootloader in das opsi Bootimage einzubauen. Aber da fange ich bei Null an :)
Vielleicht hat da schon jemand mit experimentiert?!
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: Secure Boot Unterstützung

Beitrag von ueluekmen »

Hi,

wir werden uns die neuen Techniken noch mal genauer anschauen. Allerdings schaffen wir das nicht mehr nicht mehr vor 4.1. Es sei denn es meldet sich ein Kunde und winkt mit Geld, dann können wir noch mal versuchen einen ProofOfConcept zu starten.
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
Benutzeravatar
SisterOfMercy
Beiträge: 1522
Registriert: 22 Jun 2012, 19:18

Re: Secure Boot Unterstützung

Beitrag von SisterOfMercy »

Benjamin Kix hat geschrieben:Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.
Turn off TPM in the bios ;)
Oh wait, you wanted bitlocker to work.

Is it so hard to sign a bootimage? You can enroll your own keys in the TPM module, right?
And how would this work with netboot? Would this mean the syslinux and elilo modules have to be signed as well?
Pff, this stuff is hard.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Benutzeravatar
tobias
Beiträge: 1291
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:

Re: Secure Boot Unterstützung

Beitrag von tobias »

Benjamin Kix hat geschrieben:Hallo allerseits.

Wie ist der Stand zu SecureBoot?

Ich vermute das Thema wird jetzt für einige dringender.
Wir haben hier eine frische Lieferung von Lenovo T470 Geräten, die mit M2-Drives und TPM 2.0 ausgeliefert werden.
Wenn man jetzt als Firma die Anforderung hat Bitlocker einsetzen zu müssen/wollen, kommt man mit opsi derzeit nicht zum Ziel, da man dank TPM 2 bei der Verwendung von Bitlocker gezwungen ist SecureBoot auch zu verwenden.

Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.

Wir hängen jetzt mit diesem speziellen Notebook-Typ in der Luft und können die so nicht mit opsi befüllen. Was wir brauchen ist ein gesignetes boot Image für opsi, so das wir in Verbindung mit UEFI die T470er deployen können.

Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?

Viele Grüße
Benjamin Kix
Das ist so nicht ganz richtig, ich bin da neulich zwar auch auf die Nase gefallen. Das hatte aber nichts mit Secureboot zu tun.
Wir installieren grundsätzlich noch im Legacy Mode und haben nun neuerdings Geräte die mit TPM 2.0 ohne 1.2 "Fallback" kommen. Da verweigert Windows 10 dann die Verschlüsselung per Bitlocker.
Ich habe daraufhin eine OPSI Testlizenz für den UEFI Mode beantragt, funktioniert absolut problemlos und Secureboot ist disabled.
Wir werden daher nun zeitnah unsere Prozesse umstellen und generell auf UEFI Umsteigen.
samite58
Beiträge: 10
Registriert: 26 Jan 2018, 14:13

Re: Secure Boot Unterstützung

Beitrag von samite58 »

Hi all
don't know how do you use bitlocker without secure boort also with UEFI it doesn't work for the DELL 5480 i used

The only solution i have found is to put on the secure boot just before put on bitlocker
Benutzeravatar
tobias
Beiträge: 1291
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:

Re: Secure Boot Unterstützung

Beitrag von tobias »

samite58 hat geschrieben:Hi all
don't know how do you use bitlocker without secure boort also with UEFI it doesn't work for the DELL 5480 i used

The only solution i have found is to put on the secure boot just before put on bitlocker
mhhh maybe a group policy?
=> https://docs.microsoft.com/de-de/window ... mk-secboot
Antworten