derwowusste
Goto Top

TPM-Lockout bei virtuellem TPM buggy?

Moin Kollegen.

Für einen Test sollte ein Bitlocker TPM-Lockout einer Hyper-V virtualisierten Win10 Maschine (1607) als Gast auf einem ebensolchen Win10 1607 simuliert werden. Dazu wurde der virtuellen Maschine ein virtueller TPM verpasst und sie wurde mit Bitlocker verschlüsselt mit dem Protektor tpm+PIN.
Nun wurde für den Test die PIN ein paar Mal falsch eingegeben und danach korrekt. Nach dem Systemstart wurde dann mit get-tpm der TPM-Status abgefragt.

Dabei fiel auf, dass sich der Lockout-Count zwar erhöht, jedoch nach jedem Neustart des System wieder auf Null gesetzt wird. Was soll denn der Quatsch?
Auch kann man die Bitlocker-PIN beliebig lange falsch eingeben, denn nach 32 Mal (default Lockout), reicht es, einfach Enter zu drücken, damit das System neu startet und man hat wieder 32 Versuche.
Vollkommen sinnloses Verhalten. Bug?

Ist jemand bitte so freundlich, das bei sich nachzustellen?

Content-ID: 323704

Url: https://administrator.de/forum/tpm-lockout-bei-virtuellem-tpm-buggy-323704.html

Ausgedruckt am: 03.04.2025 um 17:04 Uhr

psannz
psannz 13.12.2016 um 19:04:43 Uhr
Goto Top
Sers,

Das sehe ich jetzt nicht soooo tragisch. Nehmen wir mal an du hast die VM am Quellserver exportiert (geklaut) und möchtest nun das vTPM knacken. Bevor du sie zum ersten Mal startest wirst du ein Snapshot erzeugen, zu dem du immer wieder zurückkehren kannst, oder du importierst den Export immer wieder aufs Neue. Egal was, nach 32 Falscheingaben passiert, du wirst sie immer auf den Stand vor den Knackversuchen zurücksetzen können.

Das hat wohl auch MS erkannt, und lassen dich einfach nen Reboot machen, statt auf den älteren Stand zurück springen zu müssen. Was auch kaum länger dauert.

Sprich: Starkes & langes Passwort nehmen.
Wenn die VM erst mal exportiert ist kannst du kaum mehr Einfluss nehmen.

Grüße,
Philip
DerWoWusste
DerWoWusste 13.12.2016 um 19:41:06 Uhr
Goto Top
Hi.

Es mir darum, ob ich davon ausgehen kann, dass das vtpm funktioniert, oder ob es unausgereift/verbuggt ist. Teste es mal.
colinardo
colinardo 13.12.2016 aktualisiert um 21:40:40 Uhr
Goto Top
Ist jemand bitte so freundlich, das bei sich nachzustellen?
Guten Abend DWW,
kann das geschilderte Verhalten bestätigen. Meine Umgebung beim Test war jedoch ein aktueller Server 2016 Datacenter mit Hyper-V als Host der W10-VM mit vTPM.

Grüße Uwe
DerWoWusste
DerWoWusste 13.12.2016 um 22:56:04 Uhr
Goto Top
Danke Dir, Uwe.
Das ist doch stark... ich setze das morgen ins Technetforum für Hyper-V.
DerWoWusste
DerWoWusste 14.12.2016 um 00:08:33 Uhr
Goto Top