forum.opsi.org

Hallo allerseits.

Wie ist der Stand zu SecureBoot?

Ich vermute das Thema wird jetzt für einige dringender.
Wir haben hier eine frische Lieferung von Lenovo T470 Geräten, die mit M2-Drives und TPM 2.0 ausgeliefert werden.
Wenn man jetzt als Firma die Anforderung hat Bitlocker einsetzen zu müssen/wollen, kommt man mit opsi derzeit nicht zum Ziel, da man dank TPM 2 bei der Verwendung von Bitlocker gezwungen ist SecureBoot auch zu verwenden.

Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.

Wir hängen jetzt mit diesem speziellen Notebook-Typ in der Luft und können die so nicht mit opsi befüllen. Was wir brauchen ist ein gesignetes boot Image für opsi, so das wir in Verbindung mit UEFI die T470er deployen können.

Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?

Viele Grüße
Benjamin Kix

Benjamin Kix hat geschrieben: Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?

Viele Grüße
Benjamin Kix

Geht denn die UEFI-Installation ohne Secureboot und anschlissend erst Bitlocker aktivieren und dann Secureboot?

Gruss
Bardo Wolf

Im Moment hängen wir noch an der korrekten Konfiguration des UEFI-Moduls. Daher konnte das so noch nicht getestet werden.
Meine Vermutung wäre jetzt, dass das eine funktionierende Option wäre. Auch wenn das natürlich deutlich mehr Schritte erfordert und kein "unbox-and-run" mehr geht.

Ich melde mich wenn wir das testen konnten.

Wenn sich mal etwas Zeit ergibt würde ich mal testen ob es möglich ist, einen der signierten Bootloader in das opsi Bootimage einzubauen. Aber da fange ich bei Null an
Vielleicht hat da schon jemand mit experimentiert?!

Hi,

wir werden uns die neuen Techniken noch mal genauer anschauen. Allerdings schaffen wir das nicht mehr nicht mehr vor 4.1. Es sei denn es meldet sich ein Kunde und winkt mit Geld, dann können wir noch mal versuchen einen ProofOfConcept zu starten.

Benjamin Kix hat geschrieben:Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.

Turn off TPM in the bios
Oh wait, you wanted bitlocker to work.

Is it so hard to sign a bootimage? You can enroll your own keys in the TPM module, right?
And how would this work with netboot? Would this mean the syslinux and elilo modules have to be signed as well?
Pff, this stuff is hard.

Benjamin Kix hat geschrieben:Hallo allerseits.

Wie ist der Stand zu SecureBoot?

Ich vermute das Thema wird jetzt für einige dringender.
Wir haben hier eine frische Lieferung von Lenovo T470 Geräten, die mit M2-Drives und TPM 2.0 ausgeliefert werden.
Wenn man jetzt als Firma die Anforderung hat Bitlocker einsetzen zu müssen/wollen, kommt man mit opsi derzeit nicht zum Ziel, da man dank TPM 2 bei der Verwendung von Bitlocker gezwungen ist SecureBoot auch zu verwenden.

Bitlocker erfordert hart SecureBoot bei der Anwesenheit von TPM2, da sonst bei jedem bootup der Rettungsschlüssel eingegeben werden muss.

Wir hängen jetzt mit diesem speziellen Notebook-Typ in der Luft und können die so nicht mit opsi befüllen. Was wir brauchen ist ein gesignetes boot Image für opsi, so das wir in Verbindung mit UEFI die T470er deployen können.

Oder hat jemand einen funktionierenden Workaround, oder gibt es eine richtige Lösung die wir übersehen haben?

Viele Grüße
Benjamin Kix

Das ist so nicht ganz richtig, ich bin da neulich zwar auch auf die Nase gefallen. Das hatte aber nichts mit Secureboot zu tun.
Wir installieren grundsätzlich noch im Legacy Mode und haben nun neuerdings Geräte die mit TPM 2.0 ohne 1.2 "Fallback" kommen. Da verweigert Windows 10 dann die Verschlüsselung per Bitlocker.
Ich habe daraufhin eine OPSI Testlizenz für den UEFI Mode beantragt, funktioniert absolut problemlos und Secureboot ist disabled.
Wir werden daher nun zeitnah unsere Prozesse umstellen und generell auf UEFI Umsteigen.

Hi all
don't know how do you use bitlocker without secure boort also with UEFI it doesn't work for the DELL 5480 i used

The only solution i have found is to put on the secure boot just before put on bitlocker

samite58 hat geschrieben:Hi all
don't know how do you use bitlocker without secure boort also with UEFI it doesn't work for the DELL 5480 i used

The only solution i have found is to put on the secure boot just before put on bitlocker

mhhh maybe a group policy?
=> https://docs.microsoft.com/de-de/window ... mk-secboot