Windows HPET gegen 2FE Diebe

Windows HPET gegen 2FE Diebe

Ihr könnt mit Windows HPET gegen 2FE Diebe vorgehen bzw. das System „härten“. Für moderne Zwei-Faktor Authentifizierung (2FE) ist die genaue Zeit entscheidend. Bitte beachtet das in Verbindung mit machen Intel basierenden Systemen mit alten ME sowie FW es zu Leistungseibussen kommen kann.

Die Gefahr: 2FE Diebe

Manchmal ist man auf einer Seite und muss über die 2FA einen Code aus dem Handy/PC usw. eintragen. Diese Codes sind genau Zeit-synchronisiert und erstellen sich neu z.B. alle 30 Sekunden. Gefährlich wird es, wenn einer der Rechner einen Zeitunterschied von mehr wie 30 Sekunden aufweist. Dann funktionieren die Codes nicht mehr. Wenn dann jemand diesen Code abfängt, um ihn zeitverzögert einzugeben, wird es kritisch! 

In der freien Wildbahn kursieren Exploits, die sich zum Ziel gemacht haben, durch „Zeitmanipulation“ 2FA Codes abzugreifen. Diese kleinen Manipulationen können durch Bugs wie USB Verbindungssteuerung, UEFI Manipulation oder OS Manipulation ausgelöst werden. Es sind auch Nebenerzeugnisse von BUGs wie zuletzt bei VMWare mit CVE-2021-22050 und USB Controller BUG oder Ransomware, die gezielt Zwei-Wege-Authentifizierung abgreift. Diese Gefahr ist nicht neu aber immer mehr im Kommen vor allem auf mobilen Geräten.

Damit ein 2FE Dieb Erfolg hat, müssen zwei Voraussetzungen erfüllt sein:

  1. Der Dieb hat Zugriff entweder auf die Quelle oder das Ziel des 2FA Vorgangs
  2. Der Dieb hat den Zeitgeber manipuliert – dies ist notwendig, damit er den abgefangenen Code schnell selbst nutzen kann

Windows HPET gegen 2FE Diebe: wie beuge ich Zeitmanipulation vor

Selbstverständlich synchronisiert sich Windows mit einem NTP Server. Dies funktioniert jedoch nur temporär und kann einfach manipuliert werden. Wenn die BIOS/UEFI Hardware-Uhr nicht stimmt, da z.B. die Batterie auf dem Motherboard leicht unter 3V ist oder weil eine Manipulation vorliegt, ist das System „aus der Zeit“ gefallen. Zum Nachteil kommt dazu, dass Windows 7 bis 10 eher der internen BIOS-Uhr als dem NTP Server vertrauen. Erst in Windows 11 sieht es für mich besser aus (mit Luft für Verbesserungen).

Lösung in Windows: HPET gegen 2FE Diebe aktivieren bzw. tunen.

Windows HPET bedeutet High Precision Event Timer (HPET). Das ist ein hochpräziser Zeitgeber in modernen Computern. Dieser Zeitgeber arbeitet mit einer sehr hohen zeitlichen Auflösung durch Quantelung (Zerteilung einer Einheit).

Windows HPET aktivieren

Starte PowerShell als Administrator (wie man das macht erfährst du hier)

Gebe Folgendes ein:

bcdedit /set useplatformclock yes

Um es wieder zu deaktivieren gebe folgenden Code ein:

bcdedit /set useplatformclock no

In Windows HPET eigenen Taktgeber aktivieren

Bei Problemen mit dem Taktgeber bzw. bei einem infizierten UEFI erscheint die Zeit trotz HPET falsch. Ist der Taktgeber in UEFI falsch, dann wird auch HPET nicht richtig funktionieren. Um dich abzusichern, verändere die Richtlinie „tscsyncpolicy“ für den Takt sowie Synchronisation des Zeitgebers. Stelle sie von Legacy (der Zeitgeber „vertraut“ der Systemuhr auch wenn diese falsch ist) auf Enhanced (Zeitgeber hat eigenen Taktgeber) um.

Gebe in der PowerShell Folgendes ein

bcdedit /set tscsyncpolicy Enhanced

Abschalten kannst du es mit dem Befehl „Default“ alternativ „Legacy“:

bcdedit /set tscsyncpolicy Default

Dynamic Ticking deaktivieren

Dynamic Ticking sorgt für eine bessere Last/Energieverteilung des CPUs. Dafür wird der Taktgeber des HPETs automatisch aktiviert oder deaktiviert. Wenn aktiviert und der Taktgeber abgeschaltet wird, wird die Hardwareuhr als alleiniger Zeitgeber genutzt. Dies ist eine potenzielle Fehlerquelle, die abgeschaltet werden kann.

Gebe in PowerShell Folgendes ein

bcdedit /set disabledynamictick yes

Um die Funktion wieder zu aktivieren gebe dies ein

bcdedit /set disabledynamictick no

Links zum Beitrag

Andere Beiträge

  • Beheben von Aktivierungsfehlern bei Windows Evaluation Edition
    Beheben von Aktivierungsfehlern bei Windows Evaluation. Solltet Ihr eine Windows Server 2019 Standard oder Datacenter Edition installiert haben als Evaluierungsversion. Kommt bei einem Produkt-Key Wechsel ein Fehler meistens 0xc004f050. Auch wenn der Produkt-Key identisch ist mit der installierten Version.
  • NFS Speicher als Repository bei Cisco Prime
    Heute einen NFS Speicher als Backup Repository bei Cisco Prime einbinden in neun Schritten. Es gibt viele Beschreibungen, doch leider ist die bei Cisco nicht ganz logisch – deshalb hier eine „Schritt für Schritt“ Anleitung wie man das tut.
  • HP Z420 flüsterleise: Teil 4 Netzteillüfter
    HP Z420 flüsterleise: Teil 4 Netzteillüfter. Die hier beschriebene Lösung ist eine Machbarkeitsstudie und somit nicht optimal für den normalen Einsatz. Ein HP Z420 kann viel mehr, wenn man das Original 650W Netzteil gegen einen modernes mi z.B. 800W ersetzt. Trotz der notwendigen Anpassungen an der Rückseite des PCs ist diese Option vorzuziehen.
  • HP Z420 flüsterleise: Teil 3 CPU-Lüfter
    HP Z420 flüsterleise: Teil 3 CPU-Lüfter. Dabei tausche ich de Lüfter des Z420 gegen hochwertigere Lüfter der Marke Noctua.
  • HP Z420 flüsterleise: Teil 2 hinterer Abluftkühler
    HP Z420 flüsterleise: Teil 2 hinterer Abluftkühler. Der Halter für den Kühler verfügt ebenfalls (wie beim RAM-Kühlerhalter) über eine Erhebung jedoch ist die Kerbe an dem Lüfter so positioniert das es praktisch unmöglich ist einen anderen Kühler einzubauen. ABER zum Glück gibt es die Noctua NF-A9 PWM Dieser Kühler ist 1 CM Dünner als das Original mit viel weniger Lautstärke. Zusätzlich zu der PIN/Kerbe ist natürlich ein anderer Stecker beim HP im Einsatz

Ähnlich...

Popular Posts