6
Encrypted HDD kann nicht mit bootable Antiviren CD gecheckt werden
Hallo in die Runde,
ich habe hier ein Lenovo Thinkpad bei dem ein MA aus Versehen ein Anhang (PDF) einer Mail geöffnet hat und hier auch noch sein PW für das Win AD Login eingegeben hat.
Ein klarer phishing Fall.
Nun wollte ich das Laptop mit einer Antivir Live CD auf Viren prüfen.
Abgesehen davon das die wenigsten Anbieter von Antivir Live CDs gestartet werden konnten, konnten die, bei denen ich bis auf die Oberfläche gekommen bin, die HDD nicht scannen da sie encrypted war.
Secure Boot war deaktiviert.
Wie macht ihr das in so einem Fall?
Da ich das Laptop wieder bereit stellen muss habe ich nun einen Factory Restore gemacht..... Gnnnnnn
LG, leofabian
ich habe hier ein Lenovo Thinkpad bei dem ein MA aus Versehen ein Anhang (PDF) einer Mail geöffnet hat und hier auch noch sein PW für das Win AD Login eingegeben hat.
Ein klarer phishing Fall.
Nun wollte ich das Laptop mit einer Antivir Live CD auf Viren prüfen.
Abgesehen davon das die wenigsten Anbieter von Antivir Live CDs gestartet werden konnten, konnten die, bei denen ich bis auf die Oberfläche gekommen bin, die HDD nicht scannen da sie encrypted war.
Secure Boot war deaktiviert.
Wie macht ihr das in so einem Fall?
Da ich das Laptop wieder bereit stellen muss habe ich nun einen Factory Restore gemacht..... Gnnnnnn
LG, leofabian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1190222869
Url: https://administrator.de/contentid/1190222869
Printed on: April 26, 2024 at 21:04 o'clock
6 Comments
Latest comment
Laptop plattmachen und neu aufgesetzt dem Nutzer wieder bereitstellen.
VG
VG
dito
Und parallel unser Seuchenschutzteam auf die Server loslassen. Insbesondere auf das Profil des MAs (am besten direkt mit Neu erstellen!) loslassen. Man(n/ Frau) kann nie wissen...
Wenn nicht klar ist, was passiert ist (wann ist das schon 100%ig klar?), dann aus Backup wiederherstellen.
Eine mit Bitlocker verschlüsselte Platte kannst Du unter WInPE (gebootetes Windows Setup) auf der Kommandozeile mounten und dann scannen (wenn Du einen Scanner für WinPE hast).
Du kannst die Platte auch entschlüsseln bzw. die Verschlüsselung suspenden und dann deine LiveCD einsetzen - es kommt auf die Art der Verschlüsselung an, was wie möglich ist.
Eine mit Bitlocker verschlüsselte Platte kannst Du unter WInPE (gebootetes Windows Setup) auf der Kommandozeile mounten und dann scannen (wenn Du einen Scanner für WinPE hast).
Du kannst die Platte auch entschlüsseln bzw. die Verschlüsselung suspenden und dann deine LiveCD einsetzen - es kommt auf die Art der Verschlüsselung an, was wie möglich ist.
Vielen Dank für eure Beiträge. LG, leofabian!
Moin,
Da hat wohl als allererstes das Sicherheitskonzept versagt. Wie konnte der Anhang den User erreichen?
Wie ist sie denn verschlüsselt? Bitlocker? EFS? Irgendwas anderes? Wenn es Bitlocker war und das PW bekannt ist, dann kann das, wenn ich mich recht erinnere, die Rescue-CD von Heise.
Platt machen, neu machen. Ein korrumpiertes System repariert man nicht. Und das System des Laptops muss als korrumpiert gelten. Viel mehr Sorgen würden mir meine Server und die Daten darauf machen. Wenn dadurch Daten verloren gehen, dann lernt der User zwei Dinge: "Ich darf nicht auf alles drauf klicken, ohne vorher nachzudenken." und "Ich muss meine Daten auf dem Server speichern, damit sie im Backup landen."
Und dann wird der User mindestens ein halbes Jahr wahlweise gehänselt oder mit Missachtung gestraft.
Liebe Grüße
Erik
Zitat von @leofabian:
ich habe hier ein Lenovo Thinkpad bei dem ein MA aus Versehen ein Anhang (PDF) einer Mail geöffnet hat und hier auch noch sein PW für das Win AD Login eingegeben hat.
ich habe hier ein Lenovo Thinkpad bei dem ein MA aus Versehen ein Anhang (PDF) einer Mail geöffnet hat und hier auch noch sein PW für das Win AD Login eingegeben hat.
Da hat wohl als allererstes das Sicherheitskonzept versagt. Wie konnte der Anhang den User erreichen?
Nun wollte ich das Laptop mit einer Antivir Live CD auf Viren prüfen.
Abgesehen davon das die wenigsten Anbieter von Antivir Live CDs gestartet werden konnten, konnten die, bei denen ich bis auf die Oberfläche gekommen bin, die HDD nicht scannen da sie encrypted war.
Abgesehen davon das die wenigsten Anbieter von Antivir Live CDs gestartet werden konnten, konnten die, bei denen ich bis auf die Oberfläche gekommen bin, die HDD nicht scannen da sie encrypted war.
Wie ist sie denn verschlüsselt? Bitlocker? EFS? Irgendwas anderes? Wenn es Bitlocker war und das PW bekannt ist, dann kann das, wenn ich mich recht erinnere, die Rescue-CD von Heise.
Wie macht ihr das in so einem Fall?
Platt machen, neu machen. Ein korrumpiertes System repariert man nicht. Und das System des Laptops muss als korrumpiert gelten. Viel mehr Sorgen würden mir meine Server und die Daten darauf machen. Wenn dadurch Daten verloren gehen, dann lernt der User zwei Dinge: "Ich darf nicht auf alles drauf klicken, ohne vorher nachzudenken." und "Ich muss meine Daten auf dem Server speichern, damit sie im Backup landen."
Und dann wird der User mindestens ein halbes Jahr wahlweise gehänselt oder mit Missachtung gestraft.
Liebe Grüße
Erik
:D Das mit dem hänseln muss ich mir noch überlegen. Es war unser CEO (Autsch!) :D:D
Und wie oben geschrieben habe ich den Rechner bereits platt gemacht. Desweiteren alle relevanten PW und VPN Zugänge neu gemacht. Es scheint auch kein unberechtigter Zugriff geschehen zu sein. Das Netzlaufwerk für unsere relevanten Dateien hat er in zwischen auch gefressen (nachdem ich ihn von Anfang an darum gebeten hatte dort zu speichern, hat ihm wohl einen Schreck eingejagt...). Er war auf jeden Fall sichtlich geknickt.
Bitlocker war es nicht. Hab die Meldung auch nicht mehr vorliegen. Muss von Lenovo bei Werksauslieferung encryptet gewesen sein.
Und wie oben geschrieben habe ich den Rechner bereits platt gemacht. Desweiteren alle relevanten PW und VPN Zugänge neu gemacht. Es scheint auch kein unberechtigter Zugriff geschehen zu sein. Das Netzlaufwerk für unsere relevanten Dateien hat er in zwischen auch gefressen (nachdem ich ihn von Anfang an darum gebeten hatte dort zu speichern, hat ihm wohl einen Schreck eingejagt...). Er war auf jeden Fall sichtlich geknickt.
Bitlocker war es nicht. Hab die Meldung auch nicht mehr vorliegen. Muss von Lenovo bei Werksauslieferung encryptet gewesen sein.