Attestatie faalt op Windows 11 versie 23H2 - Windows clients

Vraag

donderdag 19 december 2024 05:33

Acties:

0 Henk 'm!

Topicstarter

Ik heb een tenant in beheer gekregen met een aantal eigenaardige computers met Windows 11 versie 23H2.

Het gaat om een twintigtal computers van het merk ASUS van het type "System Product Name". Alle machines op drie na hebben hetzelfde serienummer "System Serial Number", een machine heeft het serienummer "To be filled by O.E.M.", een ander "Default String" en een ander is model "All Series". Dit is echt geen grap, als je het niet gelooft wil ik wel een screenshot plaatsen. Ik heb nog nooit zoiets raars gezien.

Security processor in Settings meldt voor attestation:
Loading... (ook na een uur).

tpmtool meldt:
Ready For Attestation: False

Get-TpmEndorsementKeyInfo meldt:
ManufacturerCertificates : {} (waar is het certificaat?)
AdditionalCertificates : {}

Intune meldt dat een TPM 2.0 ontbreekt en dat er dus geen self-deploy kan worden toegewezen.

Devmgmt meldt gewoon de aanwezigheid van een TPM 2.0.

De vorige beheerder helaas is overleden dus ik kan niet vragen wat er met deze systemen aan de hand is. Ik sta eigenlijk op het punt om vervanging te regelen, maar ik wilde nog een poging wagen. Wellicht weten jullie wat er mis is? Faalt AutoPilot wellicht omdat alle systemen een gekloond serienummer hebben en dus wellicht een gekloonde TPM? Maar het belangrijkste: Is er sprake van een security incident omdat iemand aan alle TPMs heeft lopen knoeien?

Alle reacties

donderdag 19 december 2024 07:44

Acties:

+2 Henk 'm!

Blokker_1999

Full steam ahead

Hoewel het moederborden zijn van ASUS zijn het vermoedelijk borden die niet voor retail bedoeld zijn maar voor fabrikanten van volledige computers, danwel borden die gewisselt zijn bij herstelling maar waarbij de technieker enkele stappen heeft overgeslagen.

Het is dan die fabrikant of technieker die de taak heeft om deze borden af te configureren en van ASUS ook de nodige tools krijgt om o.a. het serienummer in het systeem te plaatsen en de nodige certificaten te voorzien. De fabrikant/technieker van de systemen die jij voor je hebt heeft nagelaten van dit te doen.

En inderdaad: geen certificaat --> geen attestion --> geen autopilot pre-provisioning, al zou het wel moeten werken zonder preprovisioning daar ik gevirtualiseerde systemen (die dus ook geen attestation hebben) wel zonder de pre-provisioning door autopilot krijg.

Je zal verder moeten graven naar de geschiedenis van deze toestellen om te achterhalen wat er aan de hand is.

No keyboard detected. Press F1 to continue.

donderdag 19 december 2024 18:46

Acties:

0 Henk 'm!

ibmpc

Topicstarter

Kan het zijn dat deze moederborden "van de vrachtwagen" zijn gevallen? Een beetje zoals de Windows 11 licenties voor een paar euro die eigenlijk helemaal niet voor de losse verkoop zijn bedoeld?

Ik ga het security incident in ieder geval sluiten en opdracht geven voor een garantieafhandeling bij ASUS, want er is dus duidelijk iets mis. De ASUS tech mag het juiste serienummer en de juiste certificaten in de TPM programmeren.

donderdag 19 december 2024 19:08

Acties:

+1 Henk 'm!

Dennism

ibmpc schreef op donderdag 19 december 2024 @ 18:46:
Kan het zijn dat deze moederborden "van de vrachtwagen" zijn gevallen? Een beetje zoals de Windows 11 licenties voor een paar euro die eigenlijk helemaal niet voor de losse verkoop zijn bedoeld?

Ik ga het security incident in ieder geval sluiten en opdracht geven voor een garantieafhandeling bij ASUS, want er is dus duidelijk iets mis. De ASUS tech mag het juiste serienummer en de juiste certificaten in de TPM programmeren.

Gaat het nu om moederborden of om systemen?

Bij moederborden voor de DiY markt zijn dit soort zaken niet vreemd, bij OEM systemen verwacht je dat de OEM die velden vult, bij zelfbouw moet de zelfbouwer dat doen (of niet, zal vaak niet gebeuren en is ook niet nodig).

Op de zelfbouw PC waar ik dit nu op type zie ik dit soort zaken ook, en het is geen Asus.

Voorbeeld:

System Sku:

Afbeeldingslocatie: https://i.imgur.com/krKgEmG.png

Afbeeldingslocatie: https://i.imgur.com/krKgEmG.png

Serienummer:

Afbeeldingslocatie: https://i.imgur.com/4Y1Oqah.png

Zit er wel een dedicated TPM2.0 module geïnstalleerd op het moederbord (deze zijn bij DiY moederborden nooit standaard, en moet je apart bestellen) of wordt de fTPM (AMD), PPT (Intel) van de CPU gebruikt? Dit laatste is tegenwoordig de standaard.

Deze kan je normaliter via de bion enablen of resetten (als ze al enabled zijn), voorbeeld:

https://help.maingear.com...rds-for-amd-intel-systems

[ Voor 5% gewijzigd door Dennism op 19-12-2024 19:10 ]

donderdag 19 december 2024 19:22

Acties:

0 Henk 'm!

Dennism

Over dit probleem, kijk eens hier: https://call4cloud.nl/test-tpm-attestation-script/

Hier: https://call4cloud.nl/tpm-attestation-time-out-0x800705b4/
hier: https://call4cloud.nl/the...m-intel-happyness-part-2/

Reddit thread: https://www.reddit.com/r/...still_looking_at_invalid/

MS document: https://learn.microsoft.c...d-platforms-with-asp-ftpm

Zowel Intel als AMD hebben in het verleden problemen gehad met hun firmware TPM's en o.a. Intune. Ik meende dat alles in principe nu wel gefixed was op systemen die de bios correct hebben in gesteld en waarbij de systemen volledig geupdate (OS en Bios) zijn, maar mogelijk kan je in bovenstaande vinden waar bij jou de fout zit.

donderdag 19 december 2024 19:23

Acties:

0 Henk 'm!

ibmpc

Topicstarter

Dennism schreef op donderdag 19 december 2024 @ 19:08:
[...]

Gaat het nu om moederborden of om systemen?

Weet ik nog niet. Ik vlieg er binnenkort een dag naartoe. Ze zitten een aantal staten verderop. Ik heb inmiddels wat meer context, het zijn geen computers die door gebruikers worden ingelogd, maar computers voor de aansturing van iets industrieel. Er zitten in de tenant een aantal Intune Device licenses, die mogelijk voor deze computers zijn (Intune Device License wordt niet aan iets gekoppeld).

Bij moederborden voor de DiY markt zijn dit soort zaken niet vreemd, bij OEM systemen verwacht je dat de OEM die velden vult, bij zelfbouw moet de zelfbouwer dat doen (of niet, zal vaak niet gebeuren en is ook niet nodig).

Op de zelfbouw PC waar ik dit nu op type zie ik dit soort zaken ook, en het is geen Asus.

Voorbeeld:

System Sku:

[Afbeelding]

Serienummer:

[Afbeelding]

Zit er wel een dedicated TPM2.0 module geïnstalleerd op het moederbord (deze zijn bij DiY moederborden nooit standaard, en moet je apart bestellen) of wordt de fTPM (AMD), PPT (Intel) van de CPU gebruikt? Dit laatste is tegenwoordig de standaard.

Deze kan je normaliter via de bion enablen of resetten (als ze al enabled zijn), voorbeeld:

https://help.maingear.com...rds-for-amd-intel-systems

[YouTube: How to enable TPM in BIOS on Motherboard | ASUS SUPPORT]

Interessant. Aan de hand van je info en van wat ik leer over deze organisatie, denk ik dus dat het serienummer van het industriele apparaat in het moederbord moet worden geprogrammeerd. Zit een TPM niet vastgesoldeerd op een moederbord?

Ik ga een tech opdracht geven om samen met ASUS support uit te zoeken hoe het serienummer kan worden geprogrammeerd. Blijkbaar bestaat er een "Commercial BIOS kit" waarmee dit kan. Wellicht kan ik de TPM daarmee ook van certificaat voorzien (of, als de TPM vervangbaar is, een nieuwe TPM bestellen met juiste certificaten).

donderdag 19 december 2024 19:29

Acties:

+1 Henk 'm!

Dennism

ibmpc schreef op donderdag 19 december 2024 @ 19:23:
[...]
Weet ik nog niet. Ik vlieg er binnenkort een dag naartoe. Ze zitten een aantal staten verderop. Ik heb inmiddels wat meer context, het zijn geen computers die door gebruikers worden ingelogd, maar computers voor de aansturing van iets industrieel. Er zitten in de tenant een aantal Intune Device licenses, die mogelijk voor deze computers zijn (Intune Device License wordt niet aan iets gekoppeld).

[...]

Interessant. Aan de hand van je info en van wat ik leer over deze organisatie, denk ik dus dat het serienummer van het industriele apparaat in het moederbord moet worden geprogrammeerd. Zit een TPM niet vastgesoldeerd op een moederbord?

Ik ga een tech opdracht geven om samen met ASUS support uit te zoeken hoe het serienummer kan worden geprogrammeerd. Blijkbaar bestaat er een "Commercial BIOS kit" waarmee dit kan. Wellicht kan ik de TPM daarmee ook van certificaat voorzien (of, als de TPM vervangbaar is, een nieuwe TPM bestellen met juiste certificaten).

Zie ook mijn post hierboven. Of een TPM gesoldeerd is, hangt van het systeem af. Bij zakelijke systemen 'vroeger' vaak wel, tegenwoordig hebben soms alleen duurdere systemem nog maar een dedicated TPM, en vallen goedkopere systemen terug op firmware TPM's van AMD / Intel (fTPM en PPT).

Maar als er DiY moederborden zijn gebruikt, die hebben bijvoorbeeld vaak alleen fTP/PPT en / of een TPM insteek slot. Daar kan dan zo'n TPM op: https://www.asus.com/za/m...s/accessories/tpm-m-r2-0/ en die zit dan dus niet gesoldeerd.

Ik zou eerst eens kijken of ze de TPM niet in orde kunnen maken met bios updates en het correct instellen van de TPM via de links hierboven. Als deze hiervoor niet gebruikt is kan het best zijn dat deze niet of niet goed geinitialiseerd is.

[ Voor 7% gewijzigd door Dennism op 19-12-2024 19:31 ]

donderdag 19 december 2024 19:30

Acties:

0 Henk 'm!

ibmpc

Topicstarter

Dennism schreef op donderdag 19 december 2024 @ 19:22:
Over dit probleem, kijk eens hier: https://call4cloud.nl/test-tpm-attestation-script/

Hier: https://call4cloud.nl/tpm-attestation-time-out-0x800705b4/
hier: https://call4cloud.nl/the...m-intel-happyness-part-2/

Reddit thread: https://www.reddit.com/r/...still_looking_at_invalid/

MS document: https://learn.microsoft.c...d-platforms-with-asp-ftpm

Zowel Intel als AMD hebben in het verleden problemen gehad met hun firmware TPM's en o.a. Intune. Ik meende dat alles in principe nu wel gefixed was op systemen die de bios correct hebben in gesteld en waarbij de systemen volledig geupdate (OS en Bios) zijn, maar mogelijk kan je in bovenstaande vinden waar bij jou de fout zit.

Thanks. Dit is de culprit denk ik:
"Firmware TPM devices, which are only provided by Intel, AMD, or Qualcomm, don’t include all needed certificates at boot time and must be able to retrieve them from the manufacturer on first use."
En blijkbaar is er een "Autopilottestattestation" script. Dit is ergens wel heel interessant, ik begin de hele attestation flow langzamerhand te begrijpen. En dus waarom je dus voorzichtig moet zijn met zelfbouw, want je moet wel alle taken afronden voor een goede zelfbouw.

donderdag 19 december 2024 19:53

Acties:

+1 Henk 'm!

Dennism

@ibmpc een van de redenen inderdaad waarom wij voor zakelijke klanten, tenzij het het niet anders kan (denk aan een computer die in een package deal mee komt bij een industrieel apparaat voor in bijvoorbeeld een fabriek), eigenlijk alleen werken met apparatuur van OEMs waarvan we weten dat het 'werkt'.

donderdag 19 december 2024 19:58

Acties:

+1 Henk 'm!

jeroen3

Wellicht een open deur, maar als het voor machines is, hoort er dan niet Windows 10 of 11 IoT (ltsc) op te staan?

Mogelijk hebben ze deze bemachtigd bij een industrial pc vendor die het niet helemaal weet?

donderdag 19 december 2024 19:59

Acties:

0 Henk 'm!

ibmpc

Topicstarter

Dennism schreef op donderdag 19 december 2024 @ 19:53:
@ibmpc een van de redenen inderdaad waarom wij voor zakelijke klanten, tenzij het het niet anders kan (denk aan een computer die in een package deal mee komt bij een industrieel apparaat voor in bijvoorbeeld een fabriek), eigenlijk alleen werken met apparatuur van OEMs waarvan we weten dat het 'werkt'.

Wij doen normaliter alleen Dell, HP en Lenovo, dus ik had dit nog niet eerder gezien. Het gaat hier inderdaad om industriele apparaten, maar ik ga wel aansturen op een beleidswijziging. Ik wil dat de TPM eis wordt uitgebreid naar een TPM met certificate en attestatiemogelijkheid voor apparatuur door de klant aangeschaft. Blijkbaar is en TPM 2.0 niet de enige eis voor Windows 11.

jeroen3 schreef op donderdag 19 december 2024 @ 19:58:
Wellicht een open deur, maar als het voor machines is, hoort er dan niet Windows 10 of 11 IoT (ltsc) op te staan?

Mogelijk hebben ze deze bemachtigd bij een industrial pc vendor die het niet helemaal weet?

Klopt mogelijk. De beheerder is overleden, ik kan het dus niet meer vragen.

[ Voor 19% gewijzigd door ibmpc op 19-12-2024 20:00 ]

donderdag 19 december 2024 21:55

Acties:

+1 Henk 'm!

Dennism

ibmpc schreef op donderdag 19 december 2024 @ 19:59:
[...]

Wij doen normaliter alleen Dell, HP en Lenovo, dus ik had dit nog niet eerder gezien. Het gaat hier inderdaad om industriele apparaten, maar ik ga wel aansturen op een beleidswijziging. Ik wil dat de TPM eis wordt uitgebreid naar een TPM met certificate en attestatiemogelijkheid voor apparatuur door de klant aangeschaft. Blijkbaar is en TPM 2.0 niet de enige eis voor Windows 11.

Punt is dat je daar niet altijd iets mee kan, als een klant een onderdeel koopt voor een productie lijn van enkele honderdduizenden euro's en die komt met een verplichte PC omdat ze niet anders willen supporten van hun kant die toevallig fTPM gebruikt dan heb je vaak als IT zijnde niet veel te willen, dan is het 'hun way or the highway' helaas.

donderdag 19 december 2024 22:00

Acties:

0 Henk 'm!

ibmpc

Topicstarter

Dennism schreef op donderdag 19 december 2024 @ 21:55:
[...]

Punt is dat je daar niet altijd iets mee kan, als een klant een onderdeel koopt voor een productie lijn van enkele honderdduizenden euro's en die komt met een verplichte PC omdat ze niet anders willen supporten van hun kant die toevallig fTPM gebruikt dan heb je vaak als IT zijnde niet veel te willen, dan is het 'hun way or the highway' helaas.

Das prima, daar hebben we exclusions voor in onze standaarden, maar onze standaarden hebben nooit rekening gehouden met afwijkende TPMs omdat ik simpelweg niet wist dat er TPMs bestonden zonder certificaten. Ik ging er ten onrechte vanuit dat je een TPM kunt vertrouwen.

Dus er is voor mij werk aan de winkel om een standaard te schrijven, maar tegelijkertijd gaan we proberen deze systemen wel veilig te maken. Als dat niet kan, dan is het niet anders, het zijn geen user assigned machines.

donderdag 19 december 2024 22:28

Acties:

0 Henk 'm!

Dennism

ibmpc schreef op donderdag 19 december 2024 @ 22:00:
[...]

Das prima, daar hebben we exclusions voor in onze standaarden, maar onze standaarden hebben nooit rekening gehouden met afwijkende TPMs omdat ik simpelweg niet wist dat er TPMs bestonden zonder certificaten. Ik ging er ten onrechte vanuit dat je een TPM kunt vertrouwen.

Dus er is voor mij werk aan de winkel om een standaard te schrijven, maar tegelijkertijd gaan we proberen deze systemen wel veilig te maken. Als dat niet kan, dan is het niet anders, het zijn geen user assigned machines.

Volgens mij is het trouwens niet zo dat deze TPM's geen certificaten hebben, maar dat deze worden opgehaald bij initialisatie. Als het is zodra je dat meeneemt in je processen zal je vermoed ik een stuk minder tegen dit soort zaken aanlopen ook

donderdag 19 december 2024 22:36

Acties:

+1 Henk 'm!

ibmpc

Topicstarter

Dennism schreef op donderdag 19 december 2024 @ 22:28:
[...]

Volgens mij is het trouwens niet zo dat deze TPM's geen certificaten hebben, maar dat deze worden opgehaald bij initialisatie. Als het is zodra je dat meeneemt in je processen zal je vermoed ik een stuk minder tegen dit soort zaken aanlopen ook

Ik ga denk ik twee dagen inplannen voor deze klant en deze machines zelf uitzoeken. Het is rustig gedurende de winter dus kan de helft van deze machines buiten gebruik. Maar het wordt pas na kerst tegen een weekend aan. De grootste pyramide buiten Egypte staat er in de buurt. De queeste naar een aparte TPM wordt dus gecombineerd met een queeste naar de grootste pyramide van de VS.

Ik zal dit topic updaten zodra ik deze TPMs heb kunnen laten attesteren

[ Voor 4% gewijzigd door ibmpc op 19-12-2024 22:38 ]

dinsdag 31 december 2024 00:11

Acties:

0 Henk 'm!

ibmpc

Topicstarter

Update:
De oplossing is een herinstallatie vanaf USB. Dan faalt attestatie en tijdens de Self Deploy gebruik je Shift F10 en

code:

1	start ms-settings:

En dan Reset this PC. Belangrijk is dat Wipe is aangevinkt, omdat Wipe de TPM includeert (Clear vanuit tpm.msc is niet voldoende). Een Dell, Lenovo of HP machine zou dan een F12 confirmation vragen om de TPM te wipen, maar deze machines vragen er niet naar en clearen gewoon de TPM. Daarna slaagt de attestatie en doorloopt de machine het self deploy proces gewoon.

In plaats van bovenstaande commando kun je ook systemreset gebruiken, maar dit lijkt vanaf 24H2 niet meer te werken.

tpmtool getdeviceinformation meldt nu:
-Ready For Attestation: True

Get-TpmEndorsementKeyInfo laat nu ook certificaten zien.

Als je de Autopilot hash decodeert dan staat er gek genoeg nog steeds:

code:

                <p n="SmbiosSystemManufacturer" v="System manufacturer" />
                <p n="SmbiosSystemProductName" v="System Product Name" />
                <p n="SmbiosSystemSerialNumber" v="System Serial Number" />
                <p n="SmbiosSkuNumber" v="ASUS_MB_CNL" />
                <p n="SmbiosSystemFamily" v="To be filled by O.E.M." />
                <p n="SmbiosSystemVersion" v="System Version" />
                <p n="SmbiosBoardManufacturer" v="ASUSTeK COMPUTER INC." />

Maar ik denk wel voldoende andere informatie om dit specifieke syteem te herkennen. Autopilot attesteert en de self deploy doorloopt volledig. Ik heb zelfs vanuit Intune een lokaal account gepusht met de dedicated applicatie, dus een vervangende machine kan binnen 30 minuten up and running zijn, mits het een machine is met correct werkende TPM.

Belangrijk is dus om de machine vanuit een draaiende Windows een wipe te geven, dus in feite herinstalleer je twee keer.

En ik wil niet zeiken, maar ik ga het toch doen. Zo'n firmware TPM sucks.

Hopelijk heeft iemand hier wat aan.

dinsdag 31 december 2024 11:03

Acties:

0 Henk 'm!

akimosan

@ibmpc
Je kunt de informatie in een AMI BIOS ook aanpassen.
Je vendor heeft als OEM geen aanpassingen gedaan in BIOS om het "whitelabel" moederbord te voorzien van specifieke informatie.

Je kunt dit ook zelf (be your own OEM

) doen middels een tool als DMI Edit en op die manier de manufacturer, productname, serialnumber etc instellen.

In onderstaande link vind je een download naar BIOS Modifier.zip

https://www.techpowerup.c...prime-motherboard.277748/

NB: als je BIOS information gaat aanpassen en je hebt je disks met Bitlocker versleuteld, pauzeer dan eerst Bitlocker, anders moet je de recovery key invullen bij starten!

Unzip, browse en start DMIEDIT als admin
Noteer/copy paste de groene velden onder Type 002 -- Base Board/Module Information naar kladblok
Pas de groene velden aan in Type 001 -- System Information, gebruik hiervoor de informatie uit je kladblok. Let op! Typ de informatie, paste werkt niet.
Bij serialnumber kun je invullen wat je wilt, je kunt je eigen serials genereren (gebruik een GUID creator of random UID generator)
Indien Base Board/Module information al een serial bevat kun je uiteraard die gebruiken
Gebruik Update/Update ALL om de waarden in de BIOS te schrijven
Reboot
check gewijzigde info in een commandprompt met wmic: wmic bios get serialnumber

Op deze manier kun je de industrial PC's/ whitelabel moederborden toch voorzien van de informatie zoals Autopilot die uitleest en kun je ze ook remote door een autopilot reset krijgen. Dikke kans dat je TPM attestation het gewoon doet.

Pagina: 1

Reageer