5
TPM-Lockout bei virtuellem TPM buggy?
Moin Kollegen.
Für einen Test sollte ein Bitlocker TPM-Lockout einer Hyper-V virtualisierten Win10 Maschine (1607) als Gast auf einem ebensolchen Win10 1607 simuliert werden. Dazu wurde der virtuellen Maschine ein virtueller TPM verpasst und sie wurde mit Bitlocker verschlüsselt mit dem Protektor tpm+PIN.
Nun wurde für den Test die PIN ein paar Mal falsch eingegeben und danach korrekt. Nach dem Systemstart wurde dann mit get-tpm der TPM-Status abgefragt.
Dabei fiel auf, dass sich der Lockout-Count zwar erhöht, jedoch nach jedem Neustart des System wieder auf Null gesetzt wird. Was soll denn der Quatsch?
Auch kann man die Bitlocker-PIN beliebig lange falsch eingeben, denn nach 32 Mal (default Lockout), reicht es, einfach Enter zu drücken, damit das System neu startet und man hat wieder 32 Versuche.
Vollkommen sinnloses Verhalten. Bug?
Ist jemand bitte so freundlich, das bei sich nachzustellen?
Für einen Test sollte ein Bitlocker TPM-Lockout einer Hyper-V virtualisierten Win10 Maschine (1607) als Gast auf einem ebensolchen Win10 1607 simuliert werden. Dazu wurde der virtuellen Maschine ein virtueller TPM verpasst und sie wurde mit Bitlocker verschlüsselt mit dem Protektor tpm+PIN.
Nun wurde für den Test die PIN ein paar Mal falsch eingegeben und danach korrekt. Nach dem Systemstart wurde dann mit get-tpm der TPM-Status abgefragt.
Dabei fiel auf, dass sich der Lockout-Count zwar erhöht, jedoch nach jedem Neustart des System wieder auf Null gesetzt wird. Was soll denn der Quatsch?
Auch kann man die Bitlocker-PIN beliebig lange falsch eingeben, denn nach 32 Mal (default Lockout), reicht es, einfach Enter zu drücken, damit das System neu startet und man hat wieder 32 Versuche.
Vollkommen sinnloses Verhalten. Bug?
Ist jemand bitte so freundlich, das bei sich nachzustellen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 323704
Url: https://administrator.de/contentid/323704
Printed on: April 18, 2024 at 23:04 o'clock
5 Comments
Latest comment
Sers,
Das sehe ich jetzt nicht soooo tragisch. Nehmen wir mal an du hast die VM am Quellserver exportiert (geklaut) und möchtest nun das vTPM knacken. Bevor du sie zum ersten Mal startest wirst du ein Snapshot erzeugen, zu dem du immer wieder zurückkehren kannst, oder du importierst den Export immer wieder aufs Neue. Egal was, nach 32 Falscheingaben passiert, du wirst sie immer auf den Stand vor den Knackversuchen zurücksetzen können.
Das hat wohl auch MS erkannt, und lassen dich einfach nen Reboot machen, statt auf den älteren Stand zurück springen zu müssen. Was auch kaum länger dauert.
Sprich: Starkes & langes Passwort nehmen.
Wenn die VM erst mal exportiert ist kannst du kaum mehr Einfluss nehmen.
Grüße,
Philip
Das sehe ich jetzt nicht soooo tragisch. Nehmen wir mal an du hast die VM am Quellserver exportiert (geklaut) und möchtest nun das vTPM knacken. Bevor du sie zum ersten Mal startest wirst du ein Snapshot erzeugen, zu dem du immer wieder zurückkehren kannst, oder du importierst den Export immer wieder aufs Neue. Egal was, nach 32 Falscheingaben passiert, du wirst sie immer auf den Stand vor den Knackversuchen zurücksetzen können.
Das hat wohl auch MS erkannt, und lassen dich einfach nen Reboot machen, statt auf den älteren Stand zurück springen zu müssen. Was auch kaum länger dauert.
Sprich: Starkes & langes Passwort nehmen.
Wenn die VM erst mal exportiert ist kannst du kaum mehr Einfluss nehmen.
Grüße,
Philip
Hi.
Es mir darum, ob ich davon ausgehen kann, dass das vtpm funktioniert, oder ob es unausgereift/verbuggt ist. Teste es mal.
Es mir darum, ob ich davon ausgehen kann, dass das vtpm funktioniert, oder ob es unausgereift/verbuggt ist. Teste es mal.
Ist jemand bitte so freundlich, das bei sich nachzustellen?
Guten Abend DWW,kann das geschilderte Verhalten bestätigen. Meine Umgebung beim Test war jedoch ein aktueller Server 2016 Datacenter mit Hyper-V als Host der W10-VM mit vTPM.
Grüße Uwe
Danke Dir, Uwe.
Das ist doch stark... ich setze das morgen ins Technetforum für Hyper-V.
Das ist doch stark... ich setze das morgen ins Technetforum für Hyper-V.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/fe10a25b ... habe ich erstellt.
