16
Problem: einzige Konto gesperrt + Bitlocker aktiv
Hallo zusammen,
folgendes Malheur passiert:
- System gehärtet mittels Gruppenrichtlinien, u.a. eingestellt, dass nach 3 Passworteingaben das Konto gesperrt wird
- benutzernamen nicht anzeigen im lockscreen
- letzten aktiven benutzer nicht anzeigen im lockscreen
- es gibt nur ein Konto
- Bitlocker über TPM war aktiv
gestern stress gehabt ohne ende. arbeite an dem rechner noch mit 2 anderen rechnern über rdp und virtuelle maschine. die lockscreens sehen oft alle gleich aus, weil die standard hintergrundbilder erscheinen.
was ist passiert? hab gedacht ich arbeite auf der virtuellen maschine (weil ich vorher den ganzen tag an dem system im vollbildmodus gearbeitet habe), will mich einloggen und es geht nicht. intuitiv nochmal gemacht und nochmal und schwups steht da jetzt "Das angesprochene Konto ist momentan gesperrt und kann nicht für die Anmeldung vewendet werden."
jetzt komm ich nicht mehr in den rechner. im netzwerk wird er noch angezeigt, alles läuft, aber ich komm nicht über den sperrbildschirm.
anleitungen im netz wie man nen über ne bootdisk/windows wiederherstellung einen neuen user anlegen kann geht nicht, weil trotz TPM immer nach dem wiederherstellungsschlüssel gefragt wird von bitlocker, den ich nicht mehr habe.
und nun?
für eure hilfe bin ich dankbar.
folgendes Malheur passiert:
- System gehärtet mittels Gruppenrichtlinien, u.a. eingestellt, dass nach 3 Passworteingaben das Konto gesperrt wird
- benutzernamen nicht anzeigen im lockscreen
- letzten aktiven benutzer nicht anzeigen im lockscreen
- es gibt nur ein Konto
- Bitlocker über TPM war aktiv
gestern stress gehabt ohne ende. arbeite an dem rechner noch mit 2 anderen rechnern über rdp und virtuelle maschine. die lockscreens sehen oft alle gleich aus, weil die standard hintergrundbilder erscheinen.
was ist passiert? hab gedacht ich arbeite auf der virtuellen maschine (weil ich vorher den ganzen tag an dem system im vollbildmodus gearbeitet habe), will mich einloggen und es geht nicht. intuitiv nochmal gemacht und nochmal und schwups steht da jetzt "Das angesprochene Konto ist momentan gesperrt und kann nicht für die Anmeldung vewendet werden."
jetzt komm ich nicht mehr in den rechner. im netzwerk wird er noch angezeigt, alles läuft, aber ich komm nicht über den sperrbildschirm.
anleitungen im netz wie man nen über ne bootdisk/windows wiederherstellung einen neuen user anlegen kann geht nicht, weil trotz TPM immer nach dem wiederherstellungsschlüssel gefragt wird von bitlocker, den ich nicht mehr habe.
und nun?
für eure hilfe bin ich dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322971
Url: https://administrator.de/contentid/322971
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
16 Kommentare
Neuester Kommentar
Hallo.
Welches Konto? Nicht etwa der lokale Admin, oder?
es gibt nur ein Konto
Welches Konto? Nicht etwa der lokale Admin, oder?
Im AD den User entsperren und zwei Stunden warten, bzw. rebooten.
Gruß
Gruß
@honeybee:
hab ein standardkonto das administoren rechte hatte. kommt aber immer uac abfrage.
ist das der lokale admin?
@131381:
es handelt sich um ein kleines lokales netzwerk peer to peer ohne Active directory. sind insgesamt nur 4 Rechner...
Welches Konto? Nicht etwa der lokale Admin, oder?
hab ein standardkonto das administoren rechte hatte. kommt aber immer uac abfrage.
ist das der lokale admin?
@131381:
Im AD den User entsperren und zwei Stunden warten.
Backup einspielen 
Alles andere sollte schiefgehen, wenn Du den wiederherstellungsschlüssel nicht hast und das einzige Konto gesperrt ist. Da würde nur ein Designfehler oder eine Sicherheitslücke weiterhelfen. Spätestebns beim nächsten Zwangszupgrade soltlest Du wieder zugriff bekommen.
lks
PS: Du könntest versuchen im abgesicherten Modus Dich mit dem builtin-Admin anzumelden.
Alles andere sollte schiefgehen, wenn Du den wiederherstellungsschlüssel nicht hast und das einzige Konto gesperrt ist. Da würde nur ein Designfehler oder eine Sicherheitslücke weiterhelfen. Spätestebns beim nächsten Zwangszupgrade soltlest Du wieder zugriff bekommen.
lks
PS: Du könntest versuchen im abgesicherten Modus Dich mit dem builtin-Admin anzumelden.
@Lochkartenstanzer:
Mit der Tastenkombination SHIFT + F8 komm ich da nicht mehr rein im Bootvorgang.
@alle:
Ich habe gehofft, da der Rechner ja korrekt hochbootet, dass man übers Netzwerk irgndwie die Sperrung aufheben kann. Oder kann man aus dem BIOS den Schlüssel für Bitlocker irgndwie auslesen, deaktivieren? Ich habe die Zugangsdaten zum BIOS, zum Rechner auch, er hängt korrekt im Netz, ich Demel hab mich "nur" 3 mal falsch eingeloggt und steht jetzt dumm da.
(
PS: Du könntest versuchen im abgesicherten Modus Dich mit dem builtin-Admin anzumelden.
Mit der Tastenkombination SHIFT + F8 komm ich da nicht mehr rein im Bootvorgang.
@alle:
Ich habe gehofft, da der Rechner ja korrekt hochbootet, dass man übers Netzwerk irgndwie die Sperrung aufheben kann. Oder kann man aus dem BIOS den Schlüssel für Bitlocker irgndwie auslesen, deaktivieren? Ich habe die Zugangsdaten zum BIOS, zum Rechner auch, er hängt korrekt im Netz, ich Demel hab mich "nur" 3 mal falsch eingeloggt und steht jetzt dumm da.
(hab ein standardkonto das administoren rechte hatte. kommt aber immer uac abfrage.
ist das der lokale admin?
ist das der lokale admin?
Nein, es gibt einen vordefinierten Administrator, der ist aber deaktiviert. Im abgesicherten Modus kann man sich trotzdem anmelden, wenn man das Passwort für dieses Konto kennt.
Zitat von @Windows11:
@alle:
Ich habe gehofft, da der Rechner ja korrekt hochbootet, dass man übers Netzwerk irgndwie die Sperrung aufheben kann.
@alle:
Ich habe gehofft, da der Rechner ja korrekt hochbootet, dass man übers Netzwerk irgndwie die Sperrung aufheben kann.
Du meinst jemand postet hier einen remote exploit dafür? Denn wenn Du nicht mit einem Account Dich an der Kiste anmelden kannst, muß0t Du eine Sicherheitslücke nutzen. Das ist der Sinn von Benutzerkonten.
Oder kann man aus dem BIOS den Schlüssel für Bitlocker irgndwie auslesen, deaktivieren?
Du meinst, jemand hie rpostet wie man bitlocker außer Gefecht setzen kann statt das für viel Geld an Dreibuchstabenorganisationen zu verkaufen?
Ich habe die Zugangsdaten zum BIOS, zum Rechner auch, er hängt korrekt im Netz, ich Demel hab mich "nur" 3 mal falsch eingeloggt und steht jetzt dumm da. (
(Deswegen macht man Backups, legt zusätzliche Admins für Notfälle an und sichert die Wiederherstellungsschlüssel.
Da hilft wohl nur lang genug warten, bis MS das nächste Win10-Upgrade auf den Weg schickt, vermutlich im Sommer nächsten Jahres. Dann kanst Du den Zwangsreboot nutzen, um über Shift-F10 eine Administrative Konsole zu starten und alles zurechtzurücken.
lks
@Lochkartenstanzer:
Schon klar. Murphys Law. Jetzt ist es wie es ist.
Was ich meinte sind Ansätze wie: ich habe ja Zugang über das Netzwerk. Kann den Rechner anpingen, er wird in der Netzwerkumgebung angezeigt etc.. Nur jedes Mal wenn die Abfragen kommen wenn ich den Rechner anklicke kommt die Passwortabfrage und dann nimmt er dort meinen Accoubt auch nicht an. Ich habe gehört vom Konto built in Admin, habe selber aber nie proaktiv ein passwort gesetzt oder diesen user sonstigrendwie benutzt.
Kannst Du hier nochmal 2 sätze mehr schreiben? Ich komme nie in den abgesicherten Modus am Anfang. echt nervig. Wie kann ich mich mit dem built in admin anmelden?
Schon klar. Murphys Law. Jetzt ist es wie es ist.
Was ich meinte sind Ansätze wie: ich habe ja Zugang über das Netzwerk. Kann den Rechner anpingen, er wird in der Netzwerkumgebung angezeigt etc.. Nur jedes Mal wenn die Abfragen kommen wenn ich den Rechner anklicke kommt die Passwortabfrage und dann nimmt er dort meinen Accoubt auch nicht an. Ich habe gehört vom Konto built in Admin, habe selber aber nie proaktiv ein passwort gesetzt oder diesen user sonstigrendwie benutzt.
PS: Du könntest versuchen im abgesicherten Modus Dich mit dem builtin-Admin anzumelden.
Kannst Du hier nochmal 2 sätze mehr schreiben? Ich komme nie in den abgesicherten Modus am Anfang. echt nervig. Wie kann ich mich mit dem built in admin anmelden?
Moin,
lks
- Starten von Windows 10-PCs im abgesicherten Modus
- Einfach den Administrator wählen beim Anmelden. Es soltle das Passwort funktionieren, daß Du auch für den User hast.
lks
ich kriege diesen abgesicherten Modus einfach nicht an den start.
beim Booten über die tastenkombinationen.
der im artikel beschriebene weg geht bei mir nicht. hab ja schließlich gewissenhaft in den gruppenrichtlinien unter sicherheitsaspekten andere sachen ausgestellt wie zb booten nur wenn man angemeldet ist, oder strg+alt+entf immer drücken und wie eingangs beschrieben letzer nutzer wird nicht angezeigt.
komme ich in den abgesicherten modus rein ohne sicherheitsschlüssel eingabe von bitlocker? weil das wär ja dann der weg. kann ich mir gar nicht vorstellen....
beim Booten über die tastenkombinationen.
der im artikel beschriebene weg geht bei mir nicht. hab ja schließlich gewissenhaft in den gruppenrichtlinien unter sicherheitsaspekten andere sachen ausgestellt wie zb booten nur wenn man angemeldet ist, oder strg+alt+entf immer drücken und wie eingangs beschrieben letzer nutzer wird nicht angezeigt.
komme ich in den abgesicherten modus rein ohne sicherheitsschlüssel eingabe von bitlocker? weil das wär ja dann der weg. kann ich mir gar nicht vorstellen....
Eins hast Du noch gar nicht erzählt - wie ist denn die Dauer bis zum automatischen Entsperren des Kontos eingestellt? Doch nicht etwa...? Default liegt glaube ich bei 30 Minuten.
Moin,
sorry wenn ich das sage - aber was erwartest du? Du möchtest dein System absichern so das niemand unbefugtes dran kommt. Das ist ein guter Ansatz - und jetzt hast du selbst durch das falsche PW gezeigt das du unbefugt bist (in dem Fall ggf. einfach nur unkonzentriert, is aber für das System nich erkennbar).
Wenn dein Konto sich also nicht automatisch entsperrt dann hilft nur das letzte Backup. Wenn du einfach über die Wiederherstellungskonsole gehen kannst wäre es ja völlig sinnbefreit. Das würde $angreiffer dann auch machen und hätte dann den Zugang zum Netzwerk bzw. eine einfache Brute-Force-Methode.
Ich würde es als Lehrgeld sehen und positiv vermerken das du deine Sicherheitseinstellungen jetzt schon mal erfolgreich getestet hast. Und fürs nächste Mal noch mitnehmen das es aus gutem Grund da steht das man den Wiederherstellungsschlüssel irgendwo speichern soll wo man auch wieder dran kommt (dir hätte z.B. ein Bios-Update ebenfalls das Genick gebrochen wenn du den nicht hast). Druck den aus und klebe den notfalls zuhause auf die Klorolle (da guckt eher kein Einbrecher nach nem Code ;) ) oder sende dir den z.B. an einen Firmen-Email-Account. Jetzt musst du schon min. 2 Stellen haben um da ranzukommen. Für dich als legitimer Anwender kein Problem (für entsprechende Behörden auch nicht, aber ich geh davon aus das du nicht in Dinge verwickelt bist die das verursachen), ein Angreifer hat da eher schlechte Karten.
sorry wenn ich das sage - aber was erwartest du? Du möchtest dein System absichern so das niemand unbefugtes dran kommt. Das ist ein guter Ansatz - und jetzt hast du selbst durch das falsche PW gezeigt das du unbefugt bist (in dem Fall ggf. einfach nur unkonzentriert, is aber für das System nich erkennbar).
Wenn dein Konto sich also nicht automatisch entsperrt dann hilft nur das letzte Backup. Wenn du einfach über die Wiederherstellungskonsole gehen kannst wäre es ja völlig sinnbefreit. Das würde $angreiffer dann auch machen und hätte dann den Zugang zum Netzwerk bzw. eine einfache Brute-Force-Methode.
Ich würde es als Lehrgeld sehen und positiv vermerken das du deine Sicherheitseinstellungen jetzt schon mal erfolgreich getestet hast. Und fürs nächste Mal noch mitnehmen das es aus gutem Grund da steht das man den Wiederherstellungsschlüssel irgendwo speichern soll wo man auch wieder dran kommt (dir hätte z.B. ein Bios-Update ebenfalls das Genick gebrochen wenn du den nicht hast). Druck den aus und klebe den notfalls zuhause auf die Klorolle (da guckt eher kein Einbrecher nach nem Code ;) ) oder sende dir den z.B. an einen Firmen-Email-Account. Jetzt musst du schon min. 2 Stellen haben um da ranzukommen. Für dich als legitimer Anwender kein Problem (für entsprechende Behörden auch nicht, aber ich geh davon aus das du nicht in Dinge verwickelt bist die das verursachen), ein Angreifer hat da eher schlechte Karten.
Es wäre doch nett, wenn Du antworten würdest.
Selbst wenn Du Entsperren auf "nie" gestellt hast, gibt es noch Möglichkeiten. Da Du TPM-only benutzt, gerät der Schlüssel automatisch in den RAM und kann von begabten Personen ausgelesen werden. Jede Datenrettungsfirma hat solche Tricks in Petto. Du kannst Dich auch selbst daran versuchen, nennt sich cold boot attack.
Selbst wenn Du Entsperren auf "nie" gestellt hast, gibt es noch Möglichkeiten. Da Du TPM-only benutzt, gerät der Schlüssel automatisch in den RAM und kann von begabten Personen ausgelesen werden. Jede Datenrettungsfirma hat solche Tricks in Petto. Du kannst Dich auch selbst daran versuchen, nennt sich cold boot attack.
Zitat von @DerWoWusste:
Jede Datenrettungsfirma hat solche Tricks in Petto. Du kannst Dich auch selbst daran versuchen, nennt sich cold boot attack.
Jede Datenrettungsfirma hat solche Tricks in Petto. Du kannst Dich auch selbst daran versuchen, nennt sich cold boot attack.
Backup einspielen dürfte einfacher und billiger sein.
Und außerdem wollen wir die Leute doch nicht auf die dunkle Seite der Macht schubsen. Wie sgate einst Sheldon zu Penny:. Mit großer Macht erwächst große Verantwortung!
lks
Hallo zusammen,
ich habe einfach die komplette Maschine neu aufgesetzt. Selber schuld gewesen, Lehrgeld bezahlt, abgehakt!
Danke für Eure Anregungen. Sorry dass ich erst jetzt Feedback gebe!
VG
ich habe einfach die komplette Maschine neu aufgesetzt. Selber schuld gewesen, Lehrgeld bezahlt, abgehakt!
Danke für Eure Anregungen. Sorry dass ich erst jetzt Feedback gebe!
VG
Der Key wird als Standard im RAM überschrieben. Irgendeine GPO.
Warum soll das nächste große Update das Problem beheben? Dann könnte man ja eine Vorversion (die MS ständig rausknallt) per USB einspielen wollen, was ja auch nicht geht. Uwe
Warum soll das nächste große Update das Problem beheben? Dann könnte man ja eine Vorversion (die MS ständig rausknallt) per USB einspielen wollen, was ja auch nicht geht. Uwe
