• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Windows 10] Versuchter Einbruch? -> BitLocker Event Log

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Ich habe heute BitLocker Logfiles gesucht, aber bin nicht so recht fündig geworden.

Hintergrund: Vor einigen Wochen startete BitLocker nur mit dem Recovery Key. Leider handelt es sich nicht um meinen PC und die genaue Fehlermeldung damals ist unklar. Ich untersuche, ob sich jemand anders versucht hat Zugang zu verschaffen und z.B. zu oft das Passwort neu eingegeben hat.

Jetzt dachte ich mir 'schau einfach in die Logfiles'. Die sind allerdings nicht so aufschlussreich wie gehofft. Jedenfalls steht da nichts von "Failed Attempt / Successful Attempt" o.ä., wie ich es eigentlich erwarten würde.
Der Eventlog der letzten Wochen sieht folgendermaßen aus:

[src=powershell]

ProviderName: Microsoft-Windows-BitLocker-API

TimeCreated Id LevelDisplayName Message
----------- -- ---------------- -------
28.08.2017 10:18:00 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
28.08.2017 10:18:00 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
27.08.2017 09:12:43 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
27.08.2017 09:12:43 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
23.08.2017 18:54:58 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
23.08.2017 18:54:58 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
22.08.2017 19:15:03 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
22.08.2017 19:15:03 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
20.08.2017 08:43:17 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
20.08.2017 08:43:17 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
09.08.2017 09:33:48 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
09.08.2017 09:33:48 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
08.08.2017 07:42:08 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
08.08.2017 07:42:08 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
07.08.2017 10:37:48 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
07.08.2017 10:37:48 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
06.08.2017 07:44:50 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
06.08.2017 07:44:50 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
04.08.2017 14:31:12 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
04.08.2017 14:31:12 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
03.08.2017 09:42:08 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
03.08.2017 09:42:08 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
02.08.2017 09:21:15 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
02.08.2017 09:21:15 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...
01.08.2017 08:40:56 834 Informationen BitLocker determined that the TCG log is invalid for use of Secu...
01.08.2017 08:40:56 813 Warnung BitLocker cannot use Secure Boot for integrity because the expec...[/src]
Die Ausgabe ist von der Powershell
[src=powershell]Get-WinEvent –LogName ‘Microsoft-Windows-BitLocker/BitLocker Management’[/src]
Habe im Windows EventLog jedoch auch sonst nichts weiteres dazu gefunden.

Die komplette Fehlermeldung zu 813 lautet:
"BitLocker cannot use Secure Boot for integrity because the expected TCG Log entry for variable 'SecureBoot' is missing or invalid."

Frage 1: Gibt es irgendwo noch mehr / andere Logs dazu?
Kann ich irgendwie failed attempts sehen??

Frage 2: Interpretiere ich das korrekt, dass jedenfalls der Computer zu den jeweiligen Zeiten hochgefahren ist? Am 08.08. war die Betroffene Person nach eigener Aussage definitiv nicht am Rechner da Urlaub gehabt.

Frage 3: Was bedeutet die Meldung 813 und 834, wo kann ich die EventCodes mit Erklärungen einsehen?
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Das hat wohl mit Secure Boot zu tun und könnte mit einem Bios-Upgrade behoben werden.

Mehr Infos zur Meldung gibt es hier https://msdn.microsoft.com/library/windows/hardware/dn375855?f=255&MSPPError=-2147217396
auch wie man noch ein wenig mehr raus findet.

Sonst zum Problem hier https://technet.microsoft.com/library/dn441535 und hier https://technet.microsoft.com/library/dn479183 -

Ich würde mal die Bios-Einstellung zu Secure-boot prüfen / ein Bios-update machen.

Fehlversuche beim Login gibt es bei Bitlocker in dem Sinne nicht - da die Login-Versuche beim TPM gemacht werden.
Dieser ist ja Hardware / das OS ist zu diesem Zeitpunkt noch gar nicht geladen. Ein Logging am TPM gibt es daher meines Wissens nicht. Die Login-Versuche werden nur gezählt und insofern jemand zu oft falsch eingibt wird die Wartezeit bis zum nächsten Versuch sehr schnell sehr hoch (dann merkt man es auch das jemand dran war)
 

nextized

Neu angemeldet

Registriert
6 Sep. 2017
Beiträge
16
Ort
/opt/nextized
Du kannst natürlich, entsprechendes BIOS vorausgesetzt die Login Attempts aufzeichnen. Bei einigen PCs mit AMT / SOL gab es diese Funktion unter Advanced im BIOS. Eigentlich müsste ja Secure Boot in der Hidden Partition (100 - 350 MB), welche bei der Windows Installation erstellt wird, ein entsprechendes Log File führen. Ich bin mir aber nicht sicher, ob das auch wirklich standardmässig aktiviert ist.
 
Oben