Microsoft-Konto: Identität bestätigen, alte Mobilfunknummer

[qiller]

Hallo zusammen,

war grad bei nem Kunden und hatte eine merkwürdige Erfahrung mit seinem MS-Konto. Er hat einen Windows 11 Laptop, der nach nem Update einen Bitlocker Recoverykey abfragt, er aber von nix weiß (wahrscheinlich war Bitlocker vorkonfiguriert ausgeliefert worden und mit der MS-Konto-Anmeldung wurde Bitlocker aktiviert - das übliche halt) und hat auch kein Plan davon.

Den Recoverykey hat er jedenfalls nicht aufgeschrieben (bzw. er wusste gar nicht, dass sein Laufwerk verschlüsselt wurde). Also dachte ich mir, gehst halt in sein MS-Konto rein und popelst den Key da raus. Also mit seinem zweiten Laptop da eingeloggt und unter Bitlocker-Keys war auch der Rechner aufgelistet. Wenn man diesen aber nun abfragen will, kommt ne Nachfrage nach der "Bestätigung der Identität" mit einer "Textnachricht auf: yyyyyyyyyXX", wobei XX die letzten 2 Ziffern seiner alten, nicht mehr verfügbaren Mobilfunknummer sind.

Guckt man nun aber in der Profilverwaltung, ist gar keine Telefonnummer hinterlegt. Auch die 2-Faktorauthentifizierung war nicht aktiviert. Wie kann denn das sein? Der Kunde hat auch sein Emailpostfach bei hotmail und ruft mit demselben MS-Konto auch seine Emails ab, was auch problemlos funktioniert (da kommt keinerlei Identitätsbestätigungsabfrage, zumindest bisher).

Auch andere Änderungen oder Abfragen im MS-Konto erfordern diese Identitätsbestätigung. Ich wollte seine neue Handynummer hinterlegen, kommt die Abfrage. Ich wollte eine 2. Emailadresse hinterlegen, kommt die Abfrage. Also das ist schon ziemlich perfide und hatte ich bisher so noch nicht gehabt.

Da auf dem Laptop keine wichtigen Sachen drauf waren, mach ich den grade platt. Aber ich habe dem Kunden schon gesagt, dass er mit dieser 'Zwickmühle' evt. seinen Zugriff auf sein Emailpostfach verlieren könnte.

Was haltet ihr von der Sache? Was macht man da jetzt eigentlich?

 

[Mr.Zweig]

Microsoft Support anrufen

 

[Krausetablette]

Da es keine Möglichkeit gibt, die Sicherheitsmechanismen des MS-Accounts auszuhebeln, wird deinem Kunden nichts anderes übrig bleiben, den MS-Support zu kontaktieren und seine Identität anderweitig nachzuweisen. Ist das erfolgreich passiert, werden ihm anschließend neu Zugangsdaten bereitgestellt und vorübergehend die Zwei-Faktor-Authentisierung deaktiviert. So kann er alles bequem neu einrichten und mit aktueller Mail und Handynummer absichern.

 

[FR3DI]

mit einer "Textnachricht auf: yyyyyyyyyXX"

Deswegen hat man besser Zeitgleich, eine andere Sekundäre Mail Adresse.

Gruß Fred.

 

[qiller]

Microsoft Support anrufen

wird deinem Kunden nichts anderes übrig bleiben, den MS-Support zu kontaktieren und seine Identität anderweitig nachzuweisen.

Ja sowas hab ich mir schon gedacht. Finds halt nur merkwürdig, dass eine Telefonnummer und eine 2-Faktorauthentifizierung im Konto nicht hinterlegt ist.

Deswegen hat man besser Zeitgleich, eine andere Sekundäre Mail Adresse.

Ja, mir ist sowas schon klar, aber erklär das mal 0815-User. Selbst wenn ich dem das alles erkläre, hat der das längst wieder vergessen, wenns in Zukunft mal wieder relevant wird.

Ich hab gradmal auf dem Leonovo-Laptop frisch Windows 11 23H2 mitm lokalen Konto ohne Internet installiert. Keinerlei Einstellungen bis dahin vorgenommen. Es ist Windows 11 Home, also kein Pro. Und trotzdem ist hier Bitlocker vorkonfiguriert. Wenn ich das jetzt nicht manuell deaktiviere, verschlüsselt der den Laptop doch direkt wieder, wenn der Kunde sich aus Versehen irgendwo wieder mit seinem MS-Konto anmeldet.

Edit: Hab die Laufwerksverschlüsselung deaktiviert und anscheinend ist die nicht nur einfach 'vorkonfiguriert', sondern tatsächlich von Anfang an aktiviert, nur ist wahrscheinlich der Schlüssel noch nicht geschützt. Das passiert dann wohl erst automatisch mit dem Hinterlegen eines MS-Onlinekontos.

 

[FR3DI]

Und trotzdem ist hier Bitlocker vorkonfiguriert.

Ließe sich z.B.: per Rufus unterbinden, in dem die ISO zuvor angepasst wird.

wenn der Kunde sich aus Versehen irgendwo wieder mit seinem MS-Konto anmeldet.

MS-Konto hinzufügen, muss man schon "Explizit" wollen. Allein das Anmelden per Outlook z.B.:, reicht dafür nicht aus.

Bitlocker.... Weiß nicht ab wann es in Mode gekommen ist, jenes zu nutzen (mitunter Ungewollt?). Schließlich gibt es das ja schon seit Vista!

Wer natürlich Wert auf Schutz seiner Daten legt (welche auch immer), wird neben das auch alle anderen Schutzmechanismen aktiviert haben.

Gruß Fred.

 

[qiller]

Ließe sich z.B.: per Rufus unterbinden, in dem die ISO zuvor angepasst wird.

Der Stick ist sogar mit Rufus erstellt (wegen der Erstellung eines lokalen Kontos), aber das mit der Bitlocker-Deaktivierung hab ich wohl übersehen. Aber danke für den Hinweis.

Heißt aber auch im Umkehrschluss, dass das Windows 11 Setup nach irgendwelchen Kriterien ja entscheidet, wann Bitlocker voraktiviert wird und wann nicht. Meine letzten Desktop-PCs wurden mit demselben Installationsstick jedenfalls nicht Bitlocker-verschlüsselt.

 

[FR3DI]

Aber danke für den Hinweis.

jedenfalls nicht Bitlocker-verschlüsselt.

Dafür braucht es jenes TPM (Trusted Platform Module);

Ein TPM (Trusted Platform Module) wird verwendet, um die Sicherheit Ihres PCs zu verbessern. Es wird von Diensten wie BitLocker-Laufwerkverschlüsselung, Windows Hello und anderen verwendet, um Kryptografieschlüssel sicher zu erstellen und zu speichern und zu bestätigen, dass das Betriebssystem und die Firmware auf Ihrem Gerät das sind, was sie sein sollen und nicht manipuliert wurden.

Jener Chip (wenn Vorhanden), ließe sich im BIOS deaktivieren. Damit könnte man der automatisierten Verschlüsselung, ebenfalls entgegenwirken.

Gruß Fred.

 

[qiller]

Ne das muss noch was anderes sein, weil da war überall TPM aktiviert.

 

[AGB-Leser]

Das kommt auf den Hersteller an, mittlerweile ist das standard. Aufpassen, wenn man von einem fremden Medium startet, dann sperrt Bitlocker Windows automatisch und man muss den Wiederherstellungsschlüssel eingeben

 

[qiller]

So, hab mir jetzt mal die unattend.xml von meinem Installationsstick angeschaut und musste feststellen, dass ich die Autoencryption bei der Erstellung des Sticks mit rufus doch deaktiviert hatte.

Nu bin ich noch mehr verwirrt :x.

Ergänzung (2. Mai 2024)

Achso, vlt nicht uninteressant: Der Laptop ist ein Lenovo Ideapad 3 17IAU7. Wieso wird der bitlockerverschlüsselt, ignoriert also die Rufus-Settings zur Deaktivierung von Bitlocker und andere Desktop-PCs (ebenfalls mit aktiviertem TPM, Secureboot etc.) werden nicht bitlockerverschlüsselt? Was das denn fürn Müll.

 

[FR3DI]

Nu bin ich noch mehr verwirrt :x.

Ich mitunter auch.

Bisher hat die Modifikation seitens Rufus gegriffen. Was jetzt diese wiederum umgehen sollte, ist mir tatsächlich auch ein Rätsel.

Gruß Fred.

 

[FR3DI]

@areiland
Eventuell selbiges schon beobachten können?

Gruß Fred.

 

[qiller]

Was mir noch einfällt, beim Laptop war das Windows sofort nach der Installation aktiviert, ohne Internet (Key wahrscheinlich im BIOS hinterlegt). Die Desktop PCs mussten erst noch übers Internet aktiviert werden. Glaub aber nicht, dass das relevant für die Entscheidung pro oder contra Bitlocker ist.

Oder das Setup erkennt einfach, dass Windows auf ein Laptop installiert werden soll und aktiviert da einfach Bitlocker, no matter what. Dann stellt sich mir die Frage, woran macht das Setup das eigt. fest? Am Akku? CPU? ACPI-Tables? 🤔

Achso, die Systeme, wo ich mit dem Stick Windows 11 installiert hatte und keine Bitlockerverschlüsselung vorfand, waren die hier:

1. https://geizhals.de/gigabyte-brix-extreme-gb-ber3-5400-a2832399.html?hloc=at&hloc=de
+ 2x8GB RAM + 500GB NVMe-SSD
2. https://geizhals.de/asrock-n100m-90-mxbk80-a0uayz-a2953079.html?hloc=at&hloc=de
+ 1x16GB RAM + 500GB NVMe-SSD + Gehäuse/NT

 

[AGB-Leser]

Mein Windows denkt auch immer, dass es ein Laptop ist, weil eine usv am System hängt, das scheint schon zu reichen

 

[qiller]

Aha.

Hat ein Hersteller von Laptops oder Tablets im UEFI eine Flag integriert, dass die Laufwerke bei der Installation verschlüsselt werden sollen, dann führt Windows dies bei der Neuinstallation im Hintergrund aus.

https://www.deskmodder.de/blog/2024...utomatisch-bei-der-neuinstallation-aktiviert/

Ist halt auch schon so mit Win11 23H2...

 

[AGB-Leser]

Also doch Herstellersache, gut zu wissen