Windows 10, keine PIN-Vergabe möglich nach Bios Updates wegen VPN.

[Mr.Seymour Buds]

Schöner Mist. Vor BIOS Update immer Sicherungskopie machen.

Wenn deine Daten wichtig sind, mach erst eine 1:1 Kopie des Datenträgers auf einem zweiten Datenträger, bevor Du einen Reparaturversuch startest.

Im vorliegenden Fall würde ich versuchen zu booten (zb mit Linux Live Medium) und dann den Mullvad Ordner umbenennen. Anschliessend runterfahren und versuchen in Windows zu booten.

Und recherchiere erstmal, was das für ein PIN sein soll. Der kommt ja wie aus dem Nichts.

 

[TorenAltair]

Die bekannten Tastenkombis funktionieren nicht

Welche wären das Deiner Meinung nach?

 

[prian]

Er meint vermutlich F8 für das Windows-Bootmenü, das es mal gab, aber das klappt bei W10/11 nicht mehr.

Das Problem ist hier, dass er Internet braucht um die PIN neu zu vergeben, seine VPN Software aber keine gültige Lizenz mehr hat und somit das verhindert wird.
Die für mich einzige Möglichkeit wäre, dieser Software den Hahn abzudrehen damit das Gerät ins Internet kommt, ein Smartphone hilft hier auch nicht, da es ja einzig die VPN-Software ist die sich hier blockierend davor stellt.
Ich sehe als einzige Möglichkeit ein Live-Linux oder Hiren um den Ordner der VPN-Software umzubenennen.
Gleichzeitig würde ich beginnen, Daten vom Boodatenträger zu sichern, ich sehe hier eine Neuintallation im Raum stehen.
Dahingehend würde ich mir das Konzept "dauerhaft VPN nutzen" und mit PIN-Eingabe arbeiten mal durch den Kopf gehen lassen.
Ich setze bei mir immer auf lokales Konto und PW-Eingabe bei der Anmeldung.

 

[m4c1990]

Sorry, irgendwie will der abgesicherte Modus nicht. Die bekannten Tastenkombis funktionieren nicht. Ich geb euch später Bescheid, mir fehlt etwas die Zeit, danke euch schonmal.

Wenn du auf

gehst, dann steht da u.a. "Neu starten", halte Shift gedrückt und klicke dann "Neu starten".
Dann kommst du ins Recovery Menü, um in den Abgesicherten Modus zu kommen, folgendes anklicken:

Nach dem Neustart die 4 drücken

 

[tollertyp]

Also wenn ich es richtig verstehe:

• Es ist ein Lenovo-Gerät
• Möglicherweise ist Bitlocker aktiv
• Es wurde ein UEFI-Update durchgeführt

So weit ich es weiß, wird Bitlocker während UEFI-Updates bei Lenovo aber deaktiviert, sonst würdest du ja gar nicht mehr so weit kommen ohne die Wiederherstellungskeys, da im TPM ja auch die Bitlocker-Keys hinterlegt sind.

Soll heißen: Ich würde sagen, Bitlocker ist nun nicht mehr aktiv und du solltest z.B. mit einem Live-Linux auch noch an die Daten kommen.

Vor BIOS Update immer Sicherungskopie machen.

Von solchen Tipps ("Vor XYZ immer Sicherungskopie machen") halte ich gar nichts. Das suggerieret, dass man nur dann Sicherungskopien bräuchte.
Von wichtigen Dingen hat man immer Sicherungskopien zu haben.

Wenn deine Daten wichtig sind, mach erst eine 1:1 Kopie des Datenträgers auf einem zweiten Datenträger, bevor Du einen Reparaturversuch startest.

Da stimme ich zu. Aber nur unter der Voraussetzung eben, das Bitlocker auch inaktiv ist. Wenn nicht, bringt ihm die 1:1-Kopie auch nichts. Ich finde an der Stelle wichtig, vorher die Zweifel daran auszuräumen, denn wenn Bitlocker aktiv ist und man etwas "unbedachtes" macht, dann hat man ruckzuck alles verloren, wenn man die Keys nicht mehr hat.
Warum Lenovo die Keys haben sollte - keine Ahnung. Das würde mir mehr Sorgen machen. Wenn Lenovo Bitlocker aktiviert haben sollte, ist halt auch die Frage, ob die Wiederherstellungskeys im MS Account liegen.

Aber wie gesagt: Das UEFI-Update sollte Bitlocker - falls es aktiviert war - vorübergehend deaktiviert haben. Wie seht ihr das?

 

[Mr.Seymour Buds]

Keine Ahnung. Hab ja keine Glaskugel, die mir sagt ob Bitlocker aktiviert ist oder nicht.

 

[Status]

Ich hab das Problem jetzt leicht lösen können, ich hab wieder Zugang zu meinem PC. Ich konnte meinen Mullvad über eine dritte Person wieder aufladen (die Nummer hatte ich mir physisch notiert, was ich vergessen hatte) und dann konnte ich tatsächlich den "PIN" neu vergeben (damit war der Windows Hello PIN gemeint, wobei ich nicht nachvollziehen kann, wieso der bei mir nach einem BIOS-Update nicht ohne Internet eingegeben werden kann geschweige denn überhaupt neu eingerichtet werden muss). Der vermutete Bug, dass ich bei der Pin-Vergabe nicht weiterkomme, existiert bei mir anscheinend nicht. Allerdings fehlt mir immernoch die Möglichkeit, mich alternativ (statt PIN) mit meinem Microsoft-Passwort anzumelden.

Danke für eure Hilfe, auch wenn ich das Problem jetzt sehr banal lösen konnte.

Bitlocker war übrigens aktiviert, damit habe ich auch so meine Probleme gehabt. Ich bin mir allerdings nicht sicher, ob Bitlocker dieses Problem verursacht hat (wie gesagt, ich musste nur den Windows Hello Pin neu einrichten und der Bitlocker-Schlüssel im Konto hätte mir nicht weitergeholfen). Bitlocker wird jetzt von mir deaktiviert.

 

[Mr.Seymour Buds]

Nur nochmal zum Verständnis: BitLocker war also schon VOR dem Malheur aktiviert und aktiv?

 

[tollertyp]

Die spannende Frage wäre an der Stelle noch: War Bitlocker aktiviert, oder wurde Bitlocker danach wieder aktiviert?
Bei Lenovo-Laptops kenne ich es wie gesagt, dass Bitlocker im Zweifel vor dem Update deaktiviert und nach dem Update dann später in Windows nach Anmeldung wieder aktiviert wird.

 

[Mr.Seymour Buds]

@tollertyp , deswegen frage ich auch. Mit BitLocker sollte man nicht spassen, sonst wird man ausgesperrt. =) Ich hatte zB BIOS Updates, dort muss zwangsweise die Intel Mangement Engine - vor dem BIOS Update - geupdated werden laut Asus. Sonst kann es zu Problemen mit dem TPM/Bitlocker kommen. Außerdem stand in den Anweisungen, dass man vorher schon den Bitlocker Entschlüsselungsphrase/-datei bereithalten soll!

Bei Bitlocker+BIOS Update muss man etwas vorausplanen, damit es keine bösen Überraschungen gibt.

 

[Status]

Es kann natürlich sein, dass mein System mit dem Update des BIOS gleichzeitig auch Bitlocker deaktiviert hat, ich hab nicht drauf geachtet. Jedenfalls war Bitlocker vor dem BIOS-Update aktiviert. Da ich den Bitlocker-Schlüssel aus dem MC-Konto nach dem BIOS Update nicht wieder eingeben musste, nehme ich an das es deaktiviert war (und sich dann wieder aktiviert hat?)

Da ich Bitlocker nicht selbst aktiviert hatte (sondern Lenovo im Rahmen der Garantieabwicklung), habe ich mich bis jetzt nie mit Bitlocker auseinandergesetzt, eigene Dummheit natürlich.

Ich hab die "Geräteverschlüsselung" jetzt unter Einstellungen deaktiviert, ist Bitlocker damit deaktiviert? Bitlocker wird in meinen Einstellungen nirgends explizit erwähnt.

 

[TorenAltair]

Ich konnte meinen Mullvad über eine dritte Person wieder aufladen

Entspricht ja der Definition von Ransomware.

 

[cumulonimbus8]

Glück gehabt mit der wiedergefundenen PIN.
(Allerdings hätte da auch ein Systemimage nix g’nützt!)

Was BitLocker angeht - wenn du, Pluribus, nicht diesen Code hast um BitLocker zu entschlüsseln dann würde ich alles dransetzen den loszuwerden oder mir irgendwie den Code ausgeben zu lassen (und so warm und sicher zu hinterlegen wie die PIN).

Persönlich frage ich mich warum eine BIOS-Update diese PIN aushebeln könnte indem es TPM-Daten einfach so verändert. Darf denn so was passieren?

CN8

 

[tollertyp]

Was wurde hier ausgehebelt?

Weißt du, wie leicht sich das Kennwort eines lokalen Kontos auf einer unverschlüselten Partition ändern lässt?

Ergänzung (3. Januar 2024)

Ich hab die "Geräteverschlüsselung" jetzt unter Einstellungen deaktiviert, ist Bitlocker damit deaktiviert? Bitlocker wird in meinen Einstellungen nirgends explizit erwähnt.

Ja, ist es. Ich nehme an, du hast eine Home-Version.
Auch wenn das bei cumulonimbus8 noch nicht angekommen ist, dass du es deaktiviert hast.

 

[Mr.Seymour Buds]

Such mal bei Youtube, da gibt es unzählige Anleitungen zum Abschalten von Bitlocker.

Die meisten laufen drauf hinaus, dass man 2,3 Befehle in die Windows Powershell eingibt und das wars.

 

[BFF]

Bitlocker ist doch bereits deaktiviert. @Mr.Seymour Buds
Siehe Post #31.

 

[Mr.Seymour Buds]

In #31 war die Deaktivierung doch noch als Frage gestellt. Deswegen der YT Hinweis für weitere Informationen.

Ich hab die "Geräteverschlüsselung" jetzt unter Einstellungen deaktiviert, ist Bitlocker damit deaktiviert?

@BFF

 

[cumulonimbus8]

Was wurde hier ausgehebelt?

Das BIOS hebelt WIN aus (per TPM) - oder eben nicht, was ja m.M.n. auch nicht sein sollte.

Auch wenn das bei @cumulonimbus8 noch nicht angekommen ist, dass du es deaktiviert hast.

Es war und ist mir nicht klar was von wem aktiviert wurde oder nicht oder deaktiviert wurde. → #31

Aber wenns dich stört, dass ich drauf hinweise, dass man diesen BitLocker-Schlüssel warm und sicher aufbewahren soll… Nun denn…

CN8

 

[Janami25]

Im Normalfall verlangt Windows das Kennwort für den Benutzerzugang für Windows, sollte Windows Hello (bspw die Pin Abfrage) aus irgendeinem Grund nicht funktionieren.

Voraussetzung ist, das man auch ein lokales Kennwort vergeben hat.

Bei mir ist das Pflicht bzw. Voraussetzung, wenn ich versuche eine PIN bei Windows Hello einzurichten. Die Daten werden nicht bei Microsoft gespeichert.

Ich denke aber, das Problem ist in dem Fall das Microsoft Online Konto. Das erfordert nun mal Online Zugang.

Also, man hat ein System mit Microsoft Online Konto eingerichtet, und auch mittels PIN bei Windows Hello. Die PIN wird im TPM Chip gespeichert. Nun erfolgt ein BIOS Update, dabei muss der TPM zurück gesetzt werden.

Nun kann man sich aber mit der PIN nicht mehr anmelden, da TPM zurück gesetzt wurde.
Da man nun - in diesem Fall - auch kein Internet hatte, um sich an sein Microsoft Konto zu verbinden, stockt der Vorgang hier.

Ich habe hier etliche Rechner mit BIOS Updates versehen, wo regelmäßig der TPM mit zurück gesetzt wird. Und jedesmal muss auch die Windows Hello PIN neu eingerichtet werden.
Der Unterschied ist, wir benutzen lokale Accounts, und da kann man auch die Kennwort Abfrage benutzen, die wird auf dem Anmeldeschirm mit angezeigt, falls es Probleme mit der PIN gibt.

Und man benötigt auch keinen Online Zugang für das ganze. Auch nicht für das setzen einer neuen PIN.

Ich würde mir deshalb wenigstens einen zweiten lokalen Account mit Kennwort einrichten, wenn das MS Konto unbedingt sein muss. So kommt man wenigstens schneller und problemloser an sein Gerät bzw. die Daten.

Offenbar ist das wohl ein Bug bei Windows 11, das habe ich schon mehrfach gehört. Eben deswegen würde ich auf Nummer sicher gehen.

Backups empfehle ich erst gar nicht, das sollte eine Selbstverständlichkeit sein.

 

[tollertyp]

Persönlich frage ich mich warum eine BIOS-Update diese PIN aushebeln könnte indem es TPM-Daten einfach so verändert. Darf denn so was passieren?

Ich verstehe halt die Fragestellung nicht. Du schreibst "warum" und "aushebeln könnte".
Das "warum" klingt, als wäre es möglich und sogar passiert.