leofabian
Goto Top

Encrypted HDD kann nicht mit bootable Antiviren CD gecheckt werden

Hallo in die Runde,

ich habe hier ein Lenovo Thinkpad bei dem ein MA aus Versehen ein Anhang (PDF) einer Mail geöffnet hat und hier auch noch sein PW für das Win AD Login eingegeben hat.
Ein klarer phishing Fall.

Nun wollte ich das Laptop mit einer Antivir Live CD auf Viren prüfen.
Abgesehen davon das die wenigsten Anbieter von Antivir Live CDs gestartet werden konnten, konnten die, bei denen ich bis auf die Oberfläche gekommen bin, die HDD nicht scannen da sie encrypted war.
Secure Boot war deaktiviert.

Wie macht ihr das in so einem Fall?

Da ich das Laptop wieder bereit stellen muss habe ich nun einen Factory Restore gemacht..... Gnnnnnn

LG, leofabian

Content-ID: 1190222869

Url: https://administrator.de/forum/encrypted-hdd-kann-nicht-mit-bootable-antiviren-cd-gecheckt-werden-1190222869.html

Ausgedruckt am: 27.12.2024 um 07:12 Uhr

H41mSh1C0R
H41mSh1C0R 24.08.2021 um 14:41:45 Uhr
Goto Top
Laptop plattmachen und neu aufgesetzt dem Nutzer wieder bereitstellen.

VG
em-pie
em-pie 24.08.2021 um 14:49:55 Uhr
Goto Top
Zitat von @H41mSh1C0R:

Laptop plattmachen und neu aufgesetzt dem Nutzer wieder bereitstellen.

VG

dito

Und parallel unser Seuchenschutzteam auf die Server loslassen. Insbesondere auf das Profil des MAs (am besten direkt mit Neu erstellen!) loslassen. Man(n/ Frau) kann nie wissen...
DerWoWusste
DerWoWusste 24.08.2021 um 14:51:29 Uhr
Goto Top
Wenn nicht klar ist, was passiert ist (wann ist das schon 100%ig klar?), dann aus Backup wiederherstellen.
Eine mit Bitlocker verschlüsselte Platte kannst Du unter WInPE (gebootetes Windows Setup) auf der Kommandozeile mounten und dann scannen (wenn Du einen Scanner für WinPE hast).
Du kannst die Platte auch entschlüsseln bzw. die Verschlüsselung suspenden und dann deine LiveCD einsetzen - es kommt auf die Art der Verschlüsselung an, was wie möglich ist.
leofabian
leofabian 24.08.2021 um 16:17:22 Uhr
Goto Top
Vielen Dank für eure Beiträge. LG, leofabian!
erikro
erikro 24.08.2021 aktualisiert um 19:20:03 Uhr
Goto Top
Moin,

Zitat von @leofabian:
ich habe hier ein Lenovo Thinkpad bei dem ein MA aus Versehen ein Anhang (PDF) einer Mail geöffnet hat und hier auch noch sein PW für das Win AD Login eingegeben hat.

Da hat wohl als allererstes das Sicherheitskonzept versagt. Wie konnte der Anhang den User erreichen?

Nun wollte ich das Laptop mit einer Antivir Live CD auf Viren prüfen.
Abgesehen davon das die wenigsten Anbieter von Antivir Live CDs gestartet werden konnten, konnten die, bei denen ich bis auf die Oberfläche gekommen bin, die HDD nicht scannen da sie encrypted war.

Wie ist sie denn verschlüsselt? Bitlocker? EFS? Irgendwas anderes? Wenn es Bitlocker war und das PW bekannt ist, dann kann das, wenn ich mich recht erinnere, die Rescue-CD von Heise.

Wie macht ihr das in so einem Fall?

Platt machen, neu machen. Ein korrumpiertes System repariert man nicht. Und das System des Laptops muss als korrumpiert gelten. Viel mehr Sorgen würden mir meine Server und die Daten darauf machen. Wenn dadurch Daten verloren gehen, dann lernt der User zwei Dinge: "Ich darf nicht auf alles drauf klicken, ohne vorher nachzudenken." und "Ich muss meine Daten auf dem Server speichern, damit sie im Backup landen."

Und dann wird der User mindestens ein halbes Jahr wahlweise gehänselt oder mit Missachtung gestraft. face-wink

Liebe Grüße

Erik
leofabian
leofabian 27.08.2021 um 12:37:31 Uhr
Goto Top
:D Das mit dem hänseln muss ich mir noch überlegen. Es war unser CEO (Autsch!) :D:D

Und wie oben geschrieben habe ich den Rechner bereits platt gemacht. Desweiteren alle relevanten PW und VPN Zugänge neu gemacht. Es scheint auch kein unberechtigter Zugriff geschehen zu sein. Das Netzlaufwerk für unsere relevanten Dateien hat er in zwischen auch gefressen (nachdem ich ihn von Anfang an darum gebeten hatte dort zu speichern, hat ihm wohl einen Schreck eingejagt...). Er war auf jeden Fall sichtlich geknickt.

Bitlocker war es nicht. Hab die Meldung auch nicht mehr vorliegen. Muss von Lenovo bei Werksauslieferung encryptet gewesen sein.