Anzeige
Fragen zu MDM (Mobile-Device-Management)
- Ersteller g-force
- Erstellt am
-
- Schlagworte
- mdm mobile-device-management
Anzeige
Nur eine Anmerkung: ein iPhone kannst Du auch nicht verwenden und auf einen neuen Benuitzer einrichten, wenn Du die alten Benutzerinformationen nicht kennst.
Es geht eben nicht nur um die Daten, sondern auch um die Hardware.
Also wenn Dir jemand etwas verkauft ohne Dir die Informationen zum Löschen der MDM-Verknüpfung zu geben, kannst Du nicht sicher sein, daß das Gerät rechtmäßig vom Verkäufer erworben wurde.
Es geht eben nicht nur um die Daten, sondern auch um die Hardware.
Also wenn Dir jemand etwas verkauft ohne Dir die Informationen zum Löschen der MDM-Verknüpfung zu geben, kannst Du nicht sicher sein, daß das Gerät rechtmäßig vom Verkäufer erworben wurde.
Webwatcher
https://www
ot:
ein Auto ohne Zündschlüssel wäre auch ein schlechter Handel
wobei man das bei älteren Fahrzeugen noch "pfriemeln" könnte.
Bei heutigen glaube ich nicht mehr
ein Auto ohne Zündschlüssel wäre auch ein schlechter Handel
wobei man das bei älteren Fahrzeugen noch "pfriemeln" könnte.
Bei heutigen glaube ich nicht mehr
Das ist schlicht falsch. Da wird nichts installiert und da ist auch nichts speziell im BIOS enthalten.
Beides hat rein gar nichts miteinander zu tun. Keine Idee, wie du darauf kommst, aber MDM funktioniert so nicht.
Nein. Eigentlich dient es dazu, potenziellen Dieben zu sagen, dass es schwierig wird, so ein Gerät zu stehlen, weil sie es eben nicht einfach weiterverwenden können. Wenn alle Firmengeräte auf diese Weise abgesichert sind, überlegt sich manch ein Dieb halt, doch andere Dinge zu klauen.
Zumindest ist das die Theorie. In der Praxis klauen die Leute weiterhin z.B. iPhones, obwohl man die ohne ihren Besitzer nicht vom Konto wegbekommt. Dann werden die Geräte halt zerlegt und in Einzelteilen verkauft.
g-force
Inventar
Wie kann ich auf die Schnelle (beim Ankauf) feststellen, ob ein Gerät in MDM registriert ist? Momentan zeigt sich der Fehler erst, wenn ich Windows installiert habe und dann in die Benutzereinrichtung (OOBE) komme. Das ist ziemlich zeitaufwändig und beim Kauf nicht wirklich möglich. Ein schneller Check über ein WinPE von USB wäre meine Idee, aber WinPE selber hat natürlich kein OOBE. Könnte man den Zustand über ein Script abfragen?
Nein. Meines Wissens klappt das erst durch den Anmeldeversuch beim OOBE. Es muss ein vollständiges Windows laufen, welches versucht, sich in seinem heimischen Tenant anzumelden.
Letztlich kannst du dir nur vom Händler schriftlich zusichern lassen, dass das Gerät nicht entsprechend registriert ist und es zurückgeben, wenn es das doch sein sollte.
Letztlich kannst du dir nur vom Händler schriftlich zusichern lassen, dass das Gerät nicht entsprechend registriert ist und es zurückgeben, wenn es das doch sein sollte.
g-force
Inventar
Ich komme nochmal auf meine obige Frage zurück.
Eine neue Erkenntnis ist, daß ich mit einer "Autounattend.xml" einen Benutzer voreinstellen kann, womit das OOBE umgangen wird und MDM-Geräte einwandfrei installiert werden. Das kann aber nicht die endgültige Lösung sein, denn spätestens bei einer Neuinstallation durch den Kunden würde es wieder in die OOBE-Sperre laufen. Ein Powershell-Script ( PowerShell Gallery | Functions/Get-MDMEnrollmentStatus.ps1 0.1.11 ) gibt bei einem solchen Windows "Device ist not enrolled to MDM" aus - es wird ja nur die Registry ausgelesen.
Was genau liest OOBE aus? Und wie könnte ich diese Abfrage aus Windows heraus durchführen?
corvus
gehört zum Inventar
Die Daten könnten auf einer unsichtbaren HPA(Host Protected Area) auf der HDD/SSD sein, dann müsste man bloß die ausbauen.
Oder richtiger CMOS Clear durch Rausnehmen der Batterie.
Sonst ist es in nem Bereich im Flash oder sogar im Chipset abgespeichert und die IME (Management Engine bei Intel) ist verantwortlich. Da gibt es ja Versionen mit Remote Management. Früher hieß es große ME Firmware(5 statt 1,5mbyte wie bei Consumer/Gaming Geräten, daran erkennt man den Aufwand), dann AMT und vPRO.
Fernandos Win Raid Forum (Win-Raid Forum) war mal das Kompetenzzentrum der Welt bzgl HD-Treiber und später Manipulation an der ME Firmware.
Hat sich aber über die Jahre seit dem Rückzug des Gründers(Fernando war auch mal als Gast hier) und Umzug zu neuem Hoster und neuer Forensoft SEHR zum Nachteil verändert, ich komme mit dem Konzept und Konvolut gar nicht mehr klar.
Die Daten von MDM dürften aber zu nahe 100% manipulatiionssicher sein, und wenn, dann wissen die im Forum was, denn ums Abschalten von ME Funktionen(ganz deaktivieren geht gar nicht) geht es den Aktiven.
Oder richtiger CMOS Clear durch Rausnehmen der Batterie.
Sonst ist es in nem Bereich im Flash oder sogar im Chipset abgespeichert und die IME (Management Engine bei Intel) ist verantwortlich. Da gibt es ja Versionen mit Remote Management. Früher hieß es große ME Firmware(5 statt 1,5mbyte wie bei Consumer/Gaming Geräten, daran erkennt man den Aufwand), dann AMT und vPRO.
Fernandos Win Raid Forum (Win-Raid Forum) war mal das Kompetenzzentrum der Welt bzgl HD-Treiber und später Manipulation an der ME Firmware.
Hat sich aber über die Jahre seit dem Rückzug des Gründers(Fernando war auch mal als Gast hier) und Umzug zu neuem Hoster und neuer Forensoft SEHR zum Nachteil verändert, ich komme mit dem Konzept und Konvolut gar nicht mehr klar.
Die Daten von MDM dürften aber zu nahe 100% manipulatiionssicher sein, und wenn, dann wissen die im Forum was, denn ums Abschalten von ME Funktionen(ganz deaktivieren geht gar nicht) geht es den Aktiven.
Steht in #12, welche Daten genutzt werden.
Die Daten sollten sich per Powershell auslesen lassen. Hilft dir nur nichts, denn damit weißt du ja weiterhin nicht, ob das Gerät noch in irgendeinem Intune Tenant registriert ist.
Ich hatte eigentlich gedacht, dass im Thread zumindest klar geworden ist, dass auf den Geräten rein gar nichts gespeichert wird. Weder öffentlich noch irgendwo versteckt. Demzufolge kann man auf dem Gerät auch rein gar nichts machen.
g-force
Inventar
@IngoBingo hat schon recht: Es sind keine Daten in der Hardware oder im BIOS/UEFI gespeichert.
Beim ersten Start in OOBE nimmt der PC mit dem Internet Kontakt auf und meldet seinen Hardware-Hash hoch. Ist der Hardware-Hash bei "Intune" o.ä bekannt, werden die entsprechenden Daten an den PC übermittelt und in die Registry geschrieben (genaue Daten findet man in HKLM\SOFTWARE\Microsoft\Provisioning\Diagnostics\Autopilot).
Diese Daten bekommt man nur durch OOBE - ein PC im AUDIT-Modus oder mit voreingestelltem Benutzer hat diese Registry-Einträge nicht.
Meine Versuche, diese Daten manuell im laufenden AUDIT-Modus zu bekommen, sind bisher gescheitert.
Beim ersten Start in OOBE nimmt der PC mit dem Internet Kontakt auf und meldet seinen Hardware-Hash hoch. Ist der Hardware-Hash bei "Intune" o.ä bekannt, werden die entsprechenden Daten an den PC übermittelt und in die Registry geschrieben (genaue Daten findet man in HKLM\SOFTWARE\Microsoft\Provisioning\Diagnostics\Autopilot).
Diese Daten bekommt man nur durch OOBE - ein PC im AUDIT-Modus oder mit voreingestelltem Benutzer hat diese Registry-Einträge nicht.
Meine Versuche, diese Daten manuell im laufenden AUDIT-Modus zu bekommen, sind bisher gescheitert.
In #12 stehen ja die Daten, die als Basis herangezogen werden. Die Änderung eines Wertes reicht dabei nicht, damit das Gerät von Intune nicht mehr als solches erkannt wird. Du müsstest Daten ändern, die du so einfach nicht ändern kannst.
Die Änderung ist halt auch gar nicht das Problem. Es müsste halt eine Möglichkeit geschaffen werden, möglichst von einem Boot-Stick aus genau das zu prüfen, was beim OOBE auch passiert: ist dieser Rechner irgendwo bei MS in einem Tenant als Autopilot Gerät registriert. Bevor man erst ein Windows installiert und dann bei der Anmeldung feststellt, dass es das ist.
Die Änderung ist halt auch gar nicht das Problem. Es müsste halt eine Möglichkeit geschaffen werden, möglichst von einem Boot-Stick aus genau das zu prüfen, was beim OOBE auch passiert: ist dieser Rechner irgendwo bei MS in einem Tenant als Autopilot Gerät registriert. Bevor man erst ein Windows installiert und dann bei der Anmeldung feststellt, dass es das ist.
g-force
Inventar
@IngoBingo hat schon verstanden, was ich will. Ich will garnichts an Hardware oder Hash ändern - ich möchte den Kontakt zu Intune/Azure erzwingen, damit die Registry-Einträge geladen werden. Diese wiederum kann ich per Script auslesen - um damit festzustellen, daß dieser PC (noch) nicht vom Vorbesitzer freigegeben wurde.
Was sollte dabei mehr passieren als was bei einer Neuinstallation des Systems passiert?
Das Gerät wird hinterher immer noch im Tenant des Vorbesitzers gelistet sein.
Vielleicht hat ja jemand mal eine sinnvolle Idee, der zumindest die Begriffe "Intune" und "Autopilot" schon mal gehört hat. Hilft ja nichts, wenn an sich schon lange klar ist, dass das Problem nicht am Client liegt, aber manche weiterhin irgendwas am Client suchen wollen.
Das Gerät wird hinterher immer noch im Tenant des Vorbesitzers gelistet sein.
Vielleicht hat ja jemand mal eine sinnvolle Idee, der zumindest die Begriffe "Intune" und "Autopilot" schon mal gehört hat. Hilft ja nichts, wenn an sich schon lange klar ist, dass das Problem nicht am Client liegt, aber manche weiterhin irgendwas am Client suchen wollen.
Anzeige