IBM/Lenovo Notebook

Diese Seite ist nicht nicht mehr aktuell und nur noch aus historischen Gründen vorhanden. Zwischenzeitlich nutzte ich ein IBM T61 (Modell 8892-78G) und aktuell ein T510. Allerdings ebenfalls mit den unten erwähnten Keyboard-Anpassungen.

Seit April 2003 habe ich mein altes Toshiba Satellite 4080XCDT nach vier Jahren treuen Diensten in Rente geschickt. Als P366 mit 192 Megabyte RAM und mit einem immer schlechter werdenden Akku musste etwas Neues her. Nach etwas suchen war klar, dass die Preise für Centrino Notebooks noch zu hoch waren und die Ausstattung nicht stimmte. Ich bin dann günstig an ein IBM ThinkPad R40 gekommen, welches mit einem bestechend guten 1400x1050 Pixel Display daher kam. Noch etwas Speicher und ne WiFi Karte rein und fertig.

Das Ding hatte alles, was ich so für die tägliche Arbeit brauche aber auch einige Dinge, die es nicht hat, sind mir negativ aufgefallen.

  • 5 GB Plattenplatz fehlen
    Das IBM Easy Recovery kann mit einem Tastendruck den PC in den Status versetzen, den er bei der Auslieferung hatte. Faktisch wird dabei ein Image der Festplatte zurückgespielt, welche in einer verborgenen 5 GB Partition liegt. Zum einen will ich nicht, dass jeder per "Access IBM" meinen Notebook "zurücksetzt" und zum anderen sind 5 GB bei einer 40 GB Platte auch nicht zur vernachlässigen. Ich hab das Image daher auf eine andere Festplatte geklont und dann entfernt. Schade eigentlich, dass IBM diese Daten nicht auf einer DVD einfach mitliefert. So muss ich das mit einem Imageprogramm wohl selbst machen.
  • COM-Port wo bist du ?
    Erst später habe ich gemerkt, dass kein COM-Port mehr da ist. Das ist bitter, wenn man keine Router mehr konfigurieren kann und das serielle Kabel des Nokia nicht anschließen kann. Allerdings ist der Anschluss wohl nur mit der Docking Unit nach außen geführt, denn im Bios und Betriebssystem wird eine COM1 angezeigt. Mit Infrarot liegt man recht verkrampft vor dem Notebook. Bluetooth ist leider nicht on Board. Na ja ein USB2COM-Kabel hat auch das beseitigt.
  • Windows Tasten
    Was halten Sie von einem Notebook, der keine Windowstasten hat ?. Ich bin kein Mausartist und brauche diese Tasten !!!. Aber zum Glück hat IBM zwei andere Tasten auf dem Keyboard, die ich nicht braucht. Rechts bei den Cursortasten gibt es zwei Tasten für "Browser vor" und "Browser zurück", die man zweckentfremden kann. Leider reicht dazu das IBM Tool für die Tastaturbelegung nicht aus.

So spätestens jetzt wissen Sie, mit welchem System ich diese Webseite pflege.

Keyboard Remapping

Seit Windows 2000 gibt es eine Möglichkeit, direkt im Kernel die Tastatur Scancodes zu ändern. Der folgende Registry Key ist dafür zuständig:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout\Scancode Map:REG_BINARY=xx,xx,xx,....

Dieses Binärfeld ist nach einer einfachen Methode mit HEX-Werten zu füllen, die den alten und neuen Scancode vorgeben. Die wesentliche Aufgabe ist die Bestimmung der richtigen Scancodes und deren Codierung, da die Reihenfolge HI/LO gedreht wird und zudem einige andere Felder passen müssen.

Bytes Beschreibung

00,00,00,00

Header muss immer 4x 00 sein

00,00,00,00

Version muss immer 4x 00 sein

03,00,00,00

Index: Es folgen 3 weitere Blöcke

5d,e0,69,e0

WebForward (e0 69-> LeftWin (e0 5d)

5b,e0,6a,e0,

WebBack (e0 5d) -> WinContext (e0 6a)

00,00,00,00

Terminator muss immer 4x 00 sein

Dieses Muster habe ich für meinen IBM Notebook gemacht, kann aber sicher für alle anderen Computer mit "Sondertasten" angepasst werden. Bitte fragen Sie mich aber nicht, wie man zuverlässig die "richtigen" ScanCodes heraus findet:

ibmr40.key.reg.txt
Registry Datei für IBM Keyboard Remapping. Nach dem Download als REG-Datei speichern und importieren.

Mit dem Wechsel zum T510 war dieser Kniff nicht mehr erforderlich. Aber mit dem nächsten Wechsel auf einen T430s mit der neuen "Chiclet"-Tastatur wurde der Kniff wieder notwendig. Lenovo hat hier nämlich die Windows Menü-Taste entfallen lassen:

Die hätte ich gerne wieder. Die Druckfaste brauche ich auch aber die rechte STRG-Taste nutze ich eigentlich nicht. Leider wurde die "BildVor" und "BildZurück"-Taste auch nach unten gesetzt, so dass es keine "WebVor/WebRück"-Taste gibt. Ich habe dann folgendes umgestellt

Bytes Beschreibung

00,00,00,00

Header muss immer 4x 00 sein

00,00,00,00

Version muss immer 4x 00 sein

01,00,00,00

Index: Es folgen 1 weiterer Block

1d,e0,6a,e0

Rechte STRG-Taste 1D E0 -WinContext (e0 6a)

00,00,00,00

Terminator muss immer 4x 00 sein

Darauf wurde dann die folgende REG-Datei:

ibmt430.key.reg.txt

Eigentlich fehlt dann nur noch eine passende Tastaturkappe.

Achtung:
Es gibt Windows Security Updates, wie z.B. 2686509, die auch Keyboards oder die Layouts betreffen. Wenn diese den hier beschriebenen Registry-Key finden, dann verweigern Sie die Installation.

Die Änderungen werden immer erst durch einen Neustart des Systems aktiv, da der Kerneltreiber die Daten ausliest und umsetzt.

Achtung: Diese Änderungen greifen auch schon im Windows Anmeldedialog. Wenn ein Schreibfehler eine Taste verändert, die Sie für das Kennwort benötigen, können Sie sich nicht mehr anmelden.

In diesem Fall kann z.B. über das Netzwerk der Wert wieder angepasst werden. Einige Kurztasten hat Lenovo aber selbst in die Chicklet-Treiber eingebaut:

<Fn+K> Scroll Lock
<Fn+B> Break key
<Fn+P> Pause key
<Fn+S> SysRq key

Stromsparen

Wie jeder Notebook unterstützt auch der IBM den "Suspend2Disk" und "Suspend2Ram" Betrieb, um Pausenzeiten stromsparend zu überbrücken. Während bei Suspend2Ram der Hauptspeicher weiter mit Strom betrieben wird, wird beim Suspend2Disk alles auf die Festplatte in eine Hibernation-Datei gespeichert. Trotzdem habe ich festgestellt, dass dabei weiter Strom verbraucht wird und der Akku letztlich immer ein Stück weit entladen wird. Diese dauernde kleine Entladung und Nachladung ist natürlich nicht der Lebensdauer des Akkus zuträglich. Nur warum braucht mein IBM Strom, wo er doch "ausgeschaltet" ist. Eine Boxbox zeigt mir die Verbraucher schnell an, die meinen PC aufwecken dürfen

powercfg -devicequery wake_armed

Die hier angezeigten Geräten sind alle auch im ausgeschalteten Zustand "unter Strom", um bei Bedarf den Notebook wieder aufzuwecken. bei mir waren das die Netzwerkkarte (für Wakeup on LAN) und das IBM Modem (Wakeup on Ring). Zugegeben habe ich das Modem noch nie benötigt, weswegen das Deaktivieren über die Systemsteuerung die logische Folge war.

Auch die Netzwerkkarte habe ich entsprechend umgestellt, was aber in Netzwerken mit aktivem Softwaremanagement vielleicht nicht immer sinnvoll ist.

IBM und Lenovo Password Recovery

IBM bzw. Lenovo investieren viel in die "Sicherheit" der Systeme. So können Sie drei Kennworte auf Gerätelevel vergeben und natürlich das Windows Kennwort. Und da Menschen und Mitarbeiter vergesslich sind oder auch mal das unternehmen verlassen, steht man schon mal mit einem Notebook da, welcher "gesperrt" ist. Besonders in Verbindung mit dem Fingerprint-Reader ist es wohl einmal passiert, dass die Reader-Software ein System.

Daher habe ich mir hier ein paar Links gesammelt. Ich kann nicht garantieren, dass diese Links und Hinweise später noch gültig sind.

Kennwort Lösung

Power On Password

Bei meinen Notebooks konnte man das Power On Password dadurch entfernen, dass die Hauptbatterie und die Backupbatterie entfernt wurden und dann der PC eingeschaltet und den POST-Test durchlaufen hat. Dann sollte das Kennwort wieder weg sein. Insofern ist dies auch kein richtig guter Schutz

Supervisor Password

Kniffliger ist schon das Supervisor-Kennwort, welches im einem EEPROM (Atmel 24fr08) mit anderen Daten (Seriennummer etc.) hinterlegt ist. Offiziell schreibt Lenovo dazu, dass dazu ein Austausch des Motherboards (500€ und mehr) erforderlich sei. Wer aber etwas rumstöbert, findet entsprechende Hinweise, wie man das EEPROM auslesen und das verschlüsselte Kennwort sichtbar machen oder setzen kann.

Das ist einem Kollegen von mir passiert: Ein T510 hatte nach der Deinstallation der Fingerprint-Software plötzlich ein Supervisor-Kennwort. Wir haben dann mit einer Lüsterklemmenleiste, zwei Widerständen (2,2k), zwei Zehnerdioden (5,1V)., etwas Draht und einem seriellen Port mit der Freeware "r24rf08" und "ibmpass21" den Inhalt des EPROM ausgelesen.

Die Lösungen funktionieren aber nicht, wenn das Bios noch per TPM-Chip gesichert ist. Es gibt mittlerweile auch programmierte Chips zu kaufen, die man mit Löterfahrung selbst tauschen kann. (Achtung: SMD-Technik mit 1mm Rastermaß !)

Harddisk Password

Das Festplattenkennwort ist eine weitere Hürde, die aber wohl nicht so einfach zu nehmen ist. Meist ist der Kauf einer neuen (größeren, schnelleren) Festplatte daher billiger und besser. Schade nur, wenn Sie Daten darauf haben, die sie bislang nichts gesichert hatten. Ich hatte bislang noch keine Erfahrung mit dem Recovery von Festplattenkennworten, so dass die Links hier keine Empfehlung darstellen sollen.

Bitlocker

Wer die richtige Windows Vista/7 Version hat, kann natürlich Bitlocker einsetzen. Das mache ich persönlich und nutze den TPM-Chip. Sobald natürlich etwas am Gerät verändert wird (z.B. Bios-update) darf ich den 64-stelligen Code eingeben oder den USB-Key als Backup einstecken, wenn ich vorher Bitlocker nicht "angehalten" habe. Normal sehen Sie das Kennwort aber nicht und es verhindert auch nicht, dass Sie den PC einfach "frisch" installieren.

Bislang ist mir nicht bekannt geworden, dass ein Zugriff auf die Daten ohne den Recovery Schlüssel möglich ist. Theoretisch Ansätze (z.B. mit tiefgekühlten RAMs, aus denen der Key ausgelesen wird oder BUS-Schnüfflern, die etwas erhaschen) wurden noch nicht praktisch belegt.

Windows Kennwort

Das Windows Kennwort kann besonders im Active Directory natürlich einfach zurück gesetzt werden. Wobei dann natürlich im "Tresor" gespeicherte Kennwort und Schlüssel nicht mehr verfügbar sind. Das gilt auch für private Schlüssel von Zertifikaten.
Interessant ist hier natürlich das "lokale Administratorkennwort", wenn ein System gar nicht mehr in die Domäne kommt und das lokale Kennwort nicht bekannt ist. Da nutze ich die NT Password Recovery BootCD, welche auf Linux basiert, die NTFS-Partition samt der SAM öffnet und das Kennwort setzen kann.

Sicher gibt es auch andere Tools, die z.B. ein Windows booten (z.B. ERDCommander etc.)

Mit all den Erfahrungen kann man sagen, dass ein Schutz von Daten nie allein durch den Zugangsschutz mit Kennwort nicht ausreichend ist, sondern immer auch eine Verschlüsselung der schützenswerten Daten erforderlich ist. Das kann mittels Bitlocker oder anderen Programmen wie Truecrypt erfolgen. Gegen den "Verlust" der Hardware gibt es jedoch keinen echten Schutz, d.h. ein Dieb wird mit relativ vertretbarem Aufwand auch einen gesperrten PC wieder brauchbar machen können. Ohne Datenverschlüsselung sogar inklusive der Daten und installierten Programme.

Weitere Links