Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Zahlreiche Motherboards von MSI betroffen: Secure Boot ohne Funktion
Und Microsoft ist wie bei Browsern kein Move zu schäbig, um Alternativen rauszudrängen oder ganz zu unterbinden... natürlich alles NUR im Sinne des Users und seiner Sicherheit.
aha, was machen denn AV-Hersteller wenn die bei HTTPS dazwischeneiern... (Signaturen fä....)
Nope, Ursache, Sympomatik, Gegenwirkung wenn man was im Wirsing hat
Weil du immernoch nicht die Zusammenhänge verstehst und nicht verstehen willst
Was Quatsch ist, wenn ich n Biosupdate gemacht habe und CMOS-Clear muss ich mein MS-Konto neu einloggen, mit der Google Authenticatorapp und da steht mit rein garnichts im Wege, komisch nech ?
Siehe den Satz davor....über dieser Zeile
Ganz easy ausargumentiert, mit Fakten
So in diesem Sinne, wie schon so oft hier im Forum...
Datenschutzhinweis für Youtube
An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.
Puh, selbst wenn in den Beiträgen von Dennis was korrektes drin stehen würde, habe ich irgendwie gar keine Lust mich durch die zusammengefassten Beiträge zu wühlen.
Musst du auch nicht @Mr.Mito hat exakt das zitiert was du am besten zu tun hast und damit ist dieses Thema für dich im Alltag erledigt
Some example locations:
Settings/Advanced/Windows OS Configuration/Secure Boot
Security/Secure Boot
Then change "Always Execute" to "Deny Execute" on "Removable Media" and
"Fixed Media". Optionally you can also change "Option ROM" to "Deny
Execute", read more about Option ROMs:
n guter Freund von mir programmiert übrigens, der kann die von den ach so tollen Signaturen, Lieder singen...
Beispielweise deshalb wenn du in executables keine Signatur drin hast, dann ärgert dich nämlich Defender und jedes andere AV ganz gewaltig...
Kann jeder der Programmieren kann und dies auch tut, hier sicherlich genauso ein Lied davon singen....
Beitrag automatisch zusammengeführt:
"Und ich nenn ihn den Döner-Kebap tritt... weil ich mich dabei Drehe wie am Spiess...so richtig soo BÄM mache ne..."
So ab 1:23 etwa , da fällt der Bullshit-Blubber zweimal um wie ein nasser Sack
Datenschutzhinweis für Youtube
An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.
Wenn in einer News was von "Sicherheitsforscher" steht braucht man eigentlich nichts weiterlesen. zu 99% nichts von Wert in der News sondern eher was fürs Sommerloch in der Bild der Frau zu stopfen.
Wenn in einer News was von "Sicherheitsforscher" steht braucht man eigentlich nichts weiterlesen. zu 99% nichts von Wert in der News sondern eher was fürs Sommerloch in der Bild der Frau zu stopfen.
So kann man das durchaus auch sehen, alleine aus der Praxis heraus, das es bei so einigem absolut nicht im Wege steht, das die Kiste bootet wo es aber schon Probleme machen sollte, ich den Techlogi-Quatsch hier durch und durch wiederlege...
Selbst wenn man nun nich die beschriebenen Optionen bei aktiviertem SecureBoot auf "Custom" im Bios umstellt, wird das sicherlich nicht die Sicherheitslücke sein, wodurch man dich infiltriert von ausserhalb mit Viren, da ist dann erstmal der typische Defender-User mit dem Defender dran schuld weils ja so viel "besser" ist als alles andere.
Das mit der Kernelisolierung und der Speicherintegrität kann man dem ja lassen, bringt aber sicherlich auch nicht viel besseres wenn ansonsten nur der Phishingschutz ganz gut ist, gegen Viren, zumal es kaum noch Viren gibt, logisch schneidet ein Defender dann in einem Vergleich mit bekannten Viren gut ab
Gruss Dennis
Beitrag automatisch zusammengeführt:
Man könnte genausogut natürlich auch Schreiben "Secure Boot" war schon immer ohne sinnvolle Funktion, weil es wie die Windows-Firewall erstmal fleissig durchreichregeln erstellt anstelle zu Fragen wobei auffallen könnte das man mal was zu überprüfen hat ob das okay ist das des überhaupt läuft und denn noch Connectionpakete mit dem Internet oder dem Netzwerk austauschen will.
Windows 10 Firewall Control: Ist eine einfache und vollständige Lösung, um Netzwerkaktivität von Anwendungen zu überwachen und zu kontrollieren. Es schützt vor unerwünschten Windows-Updates, ein- und ausgehenden Netzwerkaktivitäten durch Anwendungen, die lokal oder rechnerfern laufen. Darüber...
www.sphinx-soft.com
Von Ashampoo gibt es sowas auch, war auch nicht so übel zu WinXP-Zeiten jedenfalls und mit 98SE/ME war es noch die "Sygate..." irgendwas, die hatte nen Kumpel von mir
Wovon man nicht weiss, was man da ausführt, kann man nicht trauen, gehört gelöscht und wenn dann von Quellen (Server/Internetseiten) denen man vertraut/vertrauen kann (und ja dann tuts auch der Defender ohne gefühlt jeden Zweiten Tag da herumfrickeln zu müssen den rauszubekommen, besser macht den das als alles andere aber auch nicht)
Gruss Dennis
Beitrag automatisch zusammengeführt:
@Techlogi
aber mal Spass beiseite und ich mein des auf keines weges böse,
vielleicht blickst du aber auch mal das eine manipuliter executable, die vielleicht auch noch als jpg/jpeg oder bmp getarnt ist für den User, sogar wenn es richtiger Schadcode ist, eine originale Signatur enthalten kann, da brauchst du nichtmal eine Fälschen, du braucht doch bloss die richtigen Stellen inkl. Fileheader unangetastet lassen.
Deswegen der Wink auch mit dem AV-Zaunpfahl, mit den Signaturen, denn genau da geht das Problem los, Signaturen sind zu ignorieren mit einem AV, denn danach isses wie man sieht definitiv zu spät, es sei denn es ist verbessert in Verbindung mit einem viel früher fähigem TPM als es zuvor anfangen konnte zu funktionieren....
Und auch dieses TPM halte ich eher für sinnvoll so oder so, während ein OS bereits aktiv ist, nicht beim oder zum Booten des OS mit dem Bootloader, wenn es dort schon hinkam, isses zu spät und durch viele andere Baustellen schon durch Rohbauten sind die durch, die 14 Jährigen Script-Rabauken mit Stuff ausm Darknet....
Ich hab ja noch nen Funken Hoffnung und mache mir die Mühe...
Um das zu blicken muss man nämlich kein Ingenieur sein (gesunder Menschenverstand, logisches Denken und in Sachen IT wirklich sich nen richtigen Plan draufgeschafft haben)
Noch ein Tipp zum Thema Signaturen;
fuchtelt mal ein wenig mit nem Hexeditor über exedateien drüber, "Header"
Das sind Taschenspielertricks wie mit "Cheatenginge", was meint ihr wo die krassen Zeiten in SOTTR herkommen wo man da auch im Mulitplayer online mitm Kumpel im Koop durchrennen kann...?!??
Der Header legt fest, was genau von wo bis wo in der gesamten Dateigrösse drin ist, ist ähnlich wie die Container bei mp4 oder mkv, nur das da dir Codecs drinstehen und was von wo bis wo audiocodec ist und was der videocodec und von wo bist wo halt die Bilder pro sekunde sind, sowie Abtastrate und welche audioformat, sei es flac, pcm/wav-verlustfreie kompression.
Dafür muss man auch kein Ingenieur sein und ebenso auch nichtmal Programmieren können, schafft euch mal ein wenig Grundlagenwissen drauf, bevor ihr mein mit eurem Blödsinn so gewisse Konsorten wir du @Techlogi mir hier schräg kommen zu wollen
Is wie immer, die Massenverdummung greift total was, macht man nur weiter so, alles digitale Unterschriften dafür das ihr keinen Plan habt, könnt ihr eure Nicks denn bald an Nagel hängen, lernt endlich mal was
....
Man muss eine Signatur halt also nichtmal "fälschen", man kann die einfach unberührt lassen.
Genau aus diesem Grund kann man auch einem Biosfile, BIN, also binär und somit 1:1 einfach nur ausgeführt, einem Mainboard unter dem allerwertesten, dem Bios halt den Microcode auch selber austauschen.
Was das hier möglich macht/e
Datenschutzhinweis für Youtube
An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.
Youtube Videos ab jetzt direkt anzeigen
Und 100% kann man das mit aktuelleren Boards mit (U)EFI immernoch machen wenn die EOL sind, nur vielleicht einfach mit anderen Tools, die die Hersteller bzw. deren Mitarbeiter halt selber nutzen, oder eben welche die aber dasselbe praktisch halt machen.
Weil das mit etwas Workflow halt richtig schnell und einfach geht und nich so wie ich der das mal macht und zum ersten mal in seinem Leben, fast ne halbe Stunde braucht und weil er auf Nummer sicher geht, Zeit dabei vertrödelt, man sieht es halt im Video wenn man aufmerksam zuschaut, denn erklärt hab ich es ja auch
Da wird auch nur die Position von wo, bis wo identifiziert, durch n Abgleich und dann halt ausgetauscht, Bumms, aktueller CPU-Mikrocode im Biosfile, ohne da Bios auch nur ansatzweise zu verändern und jetz kommt ihr mit eurem Secure Boot....
Wenn jemand böswillig in einem Unternehmen vor der Schicht was vorbereitet hat und das irgendwie hinbekommt, das es niemand mitbekommt, dann gibts den nächsten Valve-Leak
Auf Reddit hat MSI Stellung genommen. Demnach sei die bemängelte Standardeinstellung von Secure Boot nach dem Aspekt der Anwenderfreundlichkeit und Kompatibilität gewählt worden. Nutzer, die auf Sicherheit bedacht sind, könnten die Ausführungsrichtlinien entsprechend anpassen.
MSI wolle aber neue BIOS-Versionen bereitstellen, bei denen die Einstellung „Deny Execute“ standardmäßig ausgewählt ist.
@nebulus1 @Mr.Mito
Wie nennst du es dann, wenn man ein Security Feature aktiviert und dann die Einstellungen soweit verändert, dass es ad absurdum führt?
Wer Linux betreiben will, wird schon eine Lösung finden und Secure Boot selbstständig ausmachen. Damit sind aber potentiell Tausende wenn nicht Millionen Kunden ungeschützt unterwegs.
Secure Boot funktioniert bei 99% aller Boards und Notebooks wenn es aktiviert ist. Für die Consumer Boards (was MSI nunmal ist) wurde es eben in den ""Image Execution Policy" Modus gesetzt. Nicht schön aber für den User schöner als dass man Windows 11 nicht installieren kann. Schuld hat hier auch ein wenig MS!
Wenn der User es im Bios/Uefi ausschalten darf, dann bringt der Schutz eben nichts. Darauf war meine Passwort Bemerkung gemeint. Wir setzen Lenovo Notebooks ein und ein UEFI Passwort ist gesetzt. Ebenfalls verwenden wir eigene Secure Boot Schlüssel im UEFI. So ist es gar nicht mehr möglich ein anderes Medium zu booten, als unser eigenes.
Das Secure Boot in keinster Weise vor irgend was schützt ist auch nicht schwierig zu verstehen. 80% aller Trojaner kommen über Outlook rein und nisten sich trotz Virenscanner im OS fest. Dafür hat Windows einfach zu viele Exploits. Schon für $500 gibt es exploits zu kaufen, die alles mögliche auf deinem Rechner installieren. Da waren die heimlichen Cryptominer die im Hintergrund liefen noch harmlos gegen.
Manipuliert ein Angreifer den Bootloader, kann der Anwender auch dem Kernel nicht trauen, den dieser Bootloader lädt. Steckt in der Firmware selbst eine Backdoor, gibt es keine Möglichkeit, die korrekte Funktion von Secure Boot zu überprüfen. In diesem Fall hilft es auch nicht, dass Secure Boot es der Firmware erlaubt, einen Bootloader vor dem Ausführen zu validieren.
Wenn bei sowas der Defender sowie andere AV's nicht anspringen dann ist halt definitiv was falsch
Ich hab jetz nicht den Masterplan wo genau bei Dateien diese Datum-Daten drinstehen, ich vermute aber mal den Header, das ist das eine.
Das andere ist, sowas selbst geschriebenes, wenn man den Plan für sowas schon hat, dann ist man von gewissen anderen Sachen nicht mehr weit
beispielsweise dir was nicht ganz koscha an Dateien unterzujubeln.
Dazu braucht man nämlich ähnliches Wissen bzw teilweise dasselbe und ebenso das KnowHow
Ich will denjenigen nicht Bezichtigen, aber Fakt ist mal das er davon sowas zu können nicht weit weg ist.
Mal ganz davon ab wozu man sowas dann schon brauchen sollte...
Der "Professor Lustig" schreibt, dass ab dieser Version der Standard geändert wurde und dein Changelog wiederlegt das auch nicht, sondern sagt nur, dass der Standard geändert wurde. Es ist seit dem also per default an, aber scheinbar eben mit gesetztem "always execute" für unsignierte Bootloader.
Du weißt doch gar nicht, was MSI für ein Setting als Standard Mode im UEFI Code hinterlegt hat. "Standard" kann MSI auch Settings wie z.b. Allow Execute, Deny Execute, Defer Execute usw. hinterlegt haben.
Standard Mode muss also nicht dem default Mode entsprechen, wo dann wirklich alles auf Allways Execute stehen dürfte.
Aber ich schaue mir das heute mal inkl. eines Bios vor der gecancelten E7D25IMS.143 Beta Version an und vergleiche die zb. ältere E7D25IMS.130 Rom mit der neuesten E7D25IMS.1A0 Rom.
....
edit: So, ich habe mir das mal anhand der aktuellsten UEFI FW. E7D25IMS.1A0 vom 11.01.2023 angeschaut und es stimmt schon, wenn man Secure Boot von Standard auf Custom umstellt (vorher hat man keinen Zugriff auf die Untermenüs Key Management, Image Execution Policy usw.) dann ist das interne Firmware Volume @ Always Execute gesetzt:
..kann man aber mit wenigen Klicks ändern und abspeichern:
..dann passt's. Also alles kein Hexenwerk und wer Wert auf Safe legt, der schaut sich eh im UEFI vorher schon an ob die Settings passen und ändert die entsprechend.
Also mal wieder viel Tamtam um nix. Newstime Winterloch!
Du weißt doch gar nicht, was MSI für ein Setting als Standard Mode im UEFI Code hinterlegt hat. "Standard" kann MSI auch Settings wie z.b. Allow Execute, Deny Execute, Defer Execute usw. hinterlegt haben.
Standard Mode muss also nicht dem default Mode entsprechen, wo dann wirklich alles auf Allways Execute stehen dürfte.
Aber ich schaue mir das heute mal inkl. eines Bios vor der gecancelten E7D25IMS.143 Beta Version an und vergleiche die zb. ältere E7D25IMS.130 Rom mit der neuesten E7D25IMS.1A0 Rom.
....
edit: So, ich habe mir das mal anhand der aktuellsten UEFI FW. E7D25IMS.1A0 vom 11.01.2023 angeschaut und es stimmt schon, wenn man Secure Boot von Standard auf Custom umstellt (vorher hat man keinen Zugriff auf die Untermenüs Key Management, Image Execution Policy usw.) dann ist das interne Firmware Volume @ Always Execute gesetzt:
..dann passt's. Also alles kein Hexenwerk und wer Wert auf Safe legt, der schaut sich eh im UEFI vorher schon an ob die Settings passen und ändert die entsprechend.
Also mal wieder viel Tamtam um nix. Newstime Winterloch!
Ich hatte gerade mal just for Fun das ältere UEFI E7D25IMS.130 geflasht, dort gibt es das Untermenü Image Execution Policy überhaupt gar nicht.
Secure Boot lief @ default schon im Custom Mode, manuelle Eingaben wurden aber nicht übernommen. Im Grunde gab es da auch nur die Key Management Konsole.
Ich hätte gerne einen Screen via F12 auf Stick gemacht aber auch das war in dieser UEFI Version noch nicht möglich und verbugt (No USB Media Storage detected).
Wie vieles andere halt, was nachgefixt wurde.
Das Problem ist doch aber eher, dass man nicht damit rechnet, dass unsigned code trotz aktivem Secureboot gestartet wird. Mal ganz vereinfacht ausgedrückt: Wenn ich ne Firewall installiere und die sagt "protected" dann rechne man ja auch nicht damit, dass standardmäßig alles ungeprüft durchgelassen wird.
Ja klar, es ist nicht wirklich ein Bug (works as intended), eher ne fehlerhafte Grundkonfiguration, aber es läuft ja am Ende aufs gleiche hinaus.
Naja, wenn es danach geht dürftest du dir als Intel Hardware Nutzer auch nie die Intel ME Firmware aufspielen.
Denn irgendwo wird es schon seinen Grund haben, warum Intel sich bis heute weigert, den QC dafür offen zu legen.
Und wenn man sich einmal überlegt, worauf die ME hardwareseitig im UEFI alles Zugriff hat (eigentlich auf alles) und auch die Boardpartner daran nichts machen können da sich die FW. in den geschützten Bereich (Area 1-3) brutzelt und auch nicht von einen UEFI bzw MC Update überschrieben wird, dann dürfte dieser Secure Boot Bug eher Mumpitz dagegen sein. Denn das kann man ja mit wenigen Einstellungen aus der Welt schaffen. ME aber nicht. Das war schon immer da und bleibt auch immer da.
Die ME ist nicht vollständig dokumentiert, die Firmware teilweise geheim. Daher ist der genaue Funktionsumfang unklar. Gleichzeitig läuft die ME jedoch unabhängig vom eigentlichen System und hat dabei Zugriff auf das gesamte RAM, sämtliche Schnittstellen und Bussysteme (PCI Express, USB, SATA, …), auch auf das Netzwerk. Ein unkontrollierbares System mit unklarem Funktionsumfang, das Zugriff auf sämtliche Daten hat, stellt ein potenzielles Sicherheitsrisiko dar, weil es Sicherheitslücken oder Hintertüren enthalten könnte.
Die ME führt außerdem nur Code aus, der kryptografische Signaturen von Intel enthält. Da die ME wiederum zur Sicherung des UEFI-BIOS-Code sowie damit auch für Secure Boot verwendet werden kann, bestimmt letztlich Intel, welche Firmware und welches Betriebssystem ein PC ausführen darf. Das ist eine Entmachtung des Nutzers und hebelt etwa auch die vollständige Systemkontrolle aus, die der Gesetzgeber für kritische Infrastrukturen (KRITIS) vorschreibt.
Bzgl. der Intel ME hast du natürlich Recht, allerdings ändert das ja nichts an der Problematik der falschen SB-Konfiguration durch MSI. SB soll dafür sorgen, dass nur signed Code gestartet wird, genau das wird aber durch die (bisherige?) Standardkonfiguration von MSI außer Kraft gesetzt.
Anderes Beispiel: Wenn man im OS ein PW zum Login setzt, dann geht man ja auch davon aus, dass eben nur dieses PW akzeptiert wird und man nicht erst in den Einstellungen von "akzeptiere jedes PW" auf "akzeptiere nur das gesetzte PW" stellen muss.
Die Sicherheitsinteressen z.b von M$ sind nicht unbedingt die selben des Benutzers wie oben schon erwähnt bzgl Defender.Deswegen finde ich solche berichte von unabhängigen experten schon sehr nützlich.Wenn schwachstellen Public gemacht werden ist das besser als wenn die Jahre unerkannt bleiben.
(Signaturen fä....)
(gesunder Menschenverstand, logisches Denken und in Sachen IT wirklich sich nen richtigen Plan draufgeschafft haben)
