Win 7 BIOS SSD Update loop

[Pizza!]

Hi,

Problemchen auf der Arbeit.
Wir haben hier ein Lenovo ThinkPad mit Win 7
Type 20JT SORHOQ , ein paar Jahre alt, ca. 2017, kann kein genaues Modell sehen.

Ursprüngliche Ursache war ein Bluescreen. Da war dann mein Vorschlag erstmal die Updates machen bevor die Hardware in Verdacht ist.

Lenovo Update Software gestartet und dann das Updates für die Samsung SSD gestartet.

Problem jetzt, Rechner startet, BIOS erscheint und statt Windows bootet ein Mini Linux für das Firmware-Update der SSD. Update läuft anscheinend erfolgreich durch, das System beendet sich korrekt von selbst.
Nun geht der Boot wieder los und statt Windows kommt wieder das Mini Linux mit dem Firmware-Update.
Dies passiert nun endlos.

Beim BIOS Start kann ich die Enter Taste hämmern und komm mit F12 ins manuelle Boot Menü und kann dann Windows auswählen und starten.
In Windows hab ich den Bootmanager gecheckt, da ist nur Windows drin.

Wie schaffe ich es nun dieses Mini Linux zu entfernen? Irgendwo muss das doch gespeichert sein und im BIOS abgefragt werden.

Aber ich kann nirgends etwas finden, BIOS nix, Bootreihenfolge nix, Bootmanager nix.
Ich kann auch nicht einstellen dass Windows die erste Bootoption ist.

 

[Yuuji]

EasyBCD könnte helfen: https://neosmart.net/EasyBCD/
Probier doch mal.

 

[Sun_set_1]

Beim Firmware-Update der SSD fliegen idR die Encrypt-Keys raus. Außerdem ändert sich die FW der Platte.

Secure Boot wird die Partition daraufhin fürs Booten ignorieren.

Firmenrechner sind so eingestellt, dass sie nur von Laufwerken aus starten, die sie Entschlüsseln können oder aber ein signierter Boot-Loader vorliegt. Beides sichert die Integrität des Laufwerks.

Das Problem ist nun, die Keys zur Entschlüsselung sind von deiner Platte geflogen. Ergo kann der SSD-Controller sie nicht entsperren. Wenn Secure Boot aktiviert ist, überspringt das BIOS diese Partition nun zum Start, da die Integrität nicht (mehr) verifiziert werden kann.

Er wird aber weiterhin die vom Hersteller signierte Boot-Partition mit dem Linux Image gefunden, die sich auch vorher ins TPM eingetragen / signiert hat. (Wurde vor dem FW Update unter Win im Hintergrund erstellt.)
Die fliegt logischer Weise nicht während des Update raus.

Diese booted euer BIOS dann.

Eigentlich ist der Ablauf so, dass nach dem ersten Boot von der Platte in Windows, diese die andere Boot-Partition mit dem Linux löschen würde.

Du musst im BIOS aktiv sagen:
Boote von der SSD! (Alternativ mal F8 beim hochfahren probieren).
Es sollte ein Blue-Screen kommen der dich um manuelle Eingabe des Recovery-Key bittet. Dieser wiederum sollte sich in eurem AD finden. Ein-System-Admin kann den über das MS-Admin Panel in der Userverwaltung rausfischen.

Wenn irgendwie möglich: Einmalig Secure-Boot deaktivieren, damit er in den Recovery-Modus für die Platte booted. Dafür brauchst aber idR das Admin-PW vom Help-Desk. Und das werden sie dir nicht geben. Den Lappie musste wohl abgeben.

TL;DR

BIOS findet die alte Boot-Partition verändert vor. Secure Boot verweigert den Start von selbiger.
Lösung: Secure Boot deaktiveren.
Problem: Kann idr nur der Admin (Help-Desk) und nicht per Remote.
BIOS findet weiterhin die zum FW erstellte und weiterhin im TPM registrierte FW-Update partition. Da diese entschlüsselt werden kann und signiert ist: BOOT.

Ergebnis: Boot-Loop.


Allgemein:
Manchmal denkt sich das Help-Desk tatsächlich etwas dabei, wenn sie sagen das Gerät muss für ein FW-Update nunmal abgegeben werden.

Ergänzung (5. Oktober 2020)

Beim BIOS Start kann ich die Enter Taste hämmern und komm mit F12 ins manuelle Boot Menü und kann dann Windows auswählen und starten.

-> Wann und Wo musst Du hier zum ersten mal ein PW eingeben?
-> F12 und manuelle Auswahl deaktiviert dir höchst-wahrscheinlich Secure-Boot, daher booted er dann.

-> Ist eine Verschlüsselung bei euch aktiv? (muss eigentlich lt. DSGVO). Wenn nein, gut. Kannst den Schritt mit TPM unten überspringen.
-> Wenn ja: Dann hat er die Keys wohl doch behalten, aber das BIOS erkennt die veränderte FW und Secure Boot verweigert daher trotzdem den Start. Hier hilft dann nur TPM löschen, damit er die Platte einmal mit den aktuellen Settings neu einliest.

Windows - Systemsteuerung - Gerätesicherheit - TPM löschen. Neustarten. Ab ins BIOS, Boot-Reihenfolge auf die Win-Partition ändern. Boot ins OS, Festplattendienstprogramm aufmachen: Linux-Partitionen manuell löschen.

 

[Pizza!]

@Yuuji
Bereits probiert, dort ist nur Win 7 zu finden.

@Sun_set_1
Danke für die vielen Infos, da muss ich mich mal durcharbeiten.

Wenn der Rechner startet kommt als erstes ein schickes Lenovo Logo mit der Info, drücke Enter für diverse Optionen. Da kann ich dann auswählen ob ich Windows normal starten will, ins BIOS gehen usw. Eine der Optionen ist dann F12 für Alles was man booten kann, dort kann ich dann Windows Bootmanager auswählen.

Im BIOS kann ich die Bootoptionen sehen, die Liste aber nicht verändern. Ich kann Windows nicht an erste Stelle setzen.

Falls es Passwörter gibt, weiß ich die nicht. Wir haben hier auch keinen Admin, es geht glaub alles über Indische Supportfirmen.

 

[Sun_set_1]

Im BIOS kann ich die Bootoptionen sehen, die Liste aber nicht verändern. Ich kann Windows nicht an erste Stelle setzen.

Versuche es mal mit den Plus und Minus Tasten aka F5 und F6 aufm Lenovo

 

[Pizza!]

Geht auch nicht Hab das alles schon durchprobiert. Ich werde zwar nach einem Passwort gefragt, komme aber ohne rein. Könnte natürlich sein, dass mit Passwort was geht.

Dieser Eintrag mit diesem Linux Firmware muss doch irgendwo sein, damit man den entfernen kann.

TPM und Secure Boot wird schwer, jetzt aktuell gibt's keine Linux Partition zu sehen die man löschen könnte.
Da hat's Win 7 und Recovery und 100mb ohne Name, wahrscheinlich der Bootmanager von Windows.

Ich lade später ein paar Bilder hoch.

Wir haben noch einen Holländer den wir supportmäßig morgen direkt antexten können.

 

[Sun_set_1]

Geht auch nicht Hab das alles schon durchprobiert. Ich werde zwar nach einem Passwort gefragt, komme aber ohne rein. Könnte natürlich sein, dass mit Passwort was geht.

Dann bist Du in der Tat im Read-Only. Da kannst nichts ändern.

Dieser Eintrag mit diesem Linux Firmware muss doch irgendwo sein, damit man den entfernen kann.

Unter Windows in der Datenträgerverwaltung.

TPM und Secure Boot wird schwer,

TPM kannst mal versuchen via Windows zurückzusetzen. Brauchst aber glaub ich auch Admin-Rechte für.

Wir haben noch einen Holländer den wir supportmäßig morgen direkt antexten können.

Wollt grad sagen, normalerweise gibts bei Firmen wie HCL einen Field-Support.

Ich hatte beim alten AG selbst schon mit HCL zu tun.

Du kannst versuchen ein Ticket zu eröffnen und klipp und klar reinschreiben, dass Du nen Remote-Admin brauchst um dein TPM zurückzusetzen. Und auch für das Festplattendienstprogramm. Dann melden die sich idR auch.

Schalten sich per Remote drauf und machen es, bzw geben ihr Admin-PW ein und Du kannst es selbst machen während die zuschauen.

Mit dem Admin-Zugang kannst Du unter der Datenträgerverwaltung die Linux-Part löschen sowie Bit Locker deaktivieren unter den Geräteeinstellungen die TPM löschen. Neustarten. BitLocker wieder aktivieren.