Search



        You need to register or login in order to post new threads or replies.
HomeHomeDiskussionsDiskussionsGeneral Questio...General Questio...FDE Meldung Disk Interrupt Handler changedFDE Meldung Disk Interrupt Handler changed
Previous
 
Next
New Post
2/18/2012 2:06 PM
 
christoph.nagl@schenker.at
No Ranking

Joined: 8/19/2011
Posts: 1
Agent Version: 7.0.9.9718
FDE Version: 7.1.0

Auf 2 Notebooks wurde folgende Meldung beim Start der PBA und beim Windows-Start angezeigt: The disk interrupt handler has changed since installation. This may be the result of a virus infection, a hardware configuration change or a BIOS change.
Laut der lokalen IT wurde auf beiden Geräten kein BIOS-Update oder Hardware-Änderungen durchgeführt und Virus wurde ebenfalls keiner gefunden. Ein Gerät ist schon länger in Betrieb (User ohne Admin-Rechte) und wurde vor ca. 1,5 Wochen auf den neuesten Agent upgedatet, das 2. Gerät wurde gerade installiert und eingerichtet und die Meldung danach sofort angezeigt und bei jedem Neustart.

In den Einstellungen der Gruppenrichtlinie unter "CenterTools Drivelock - Erweiterte Konfiguration - Verschlüsselung - Full Disk Encryption - Einstellungen für die Verschlüsselung" gibt es den Punkt "System-Schutz - Festplatten-Interrupt ändern (schützen)". Den habe ich jetzt aktiviert und werde Montag feststellen, ob die Meldung damit nicht mehr auf den Clients erscheint.

Trotzdem wäre es aus Sicherheitsgründen wichtig, aus welchem Grund die Meldung angezeigt wurde. Kann es einen anderen Grund als die genannten geben oder lässt sich das in Logfiles prüfen (in den an den DES übertragenen Events der Geräte habe ich keine Meldung diesbezüglich gefunden)?
 
New Post
2/20/2012 10:17 AM
 
Stefan Hönel
No Ranking


Joined: 3/25/2011
Posts: 42

Die DriveLock FDE verwaltet einen Speicher für manche BIOS Interrupt-Vektor-Adressen. Das erlaubt es der DriveLock FDE, potenzielle Angriffe zu erkennen, die durch das Ändern der Interrupt-Vektor-Adressen gestartet werden können. Wird ein Unterschied zwischen der BIOS Interrupt-Vektor-Adresse und der zuvor gespeicherten Kopie erkannt, wird die angezeigte Fehlermeldung angezeigt. Wählen Sie die entsprechenden Checkboxen um die zusätzliche Systemsicherheit zu aktivieren.

Wenn sich die Interrupt-Vektor-Adresse ändert (z.B. durch ein BIOS Update oder ÄNnderung), wird der Fehler weiterhin angezeigt. Die System-Schutz Gruppe stellt einen Mechanismus zur Verfügung um berechtigte Änderungen, durch Aktualisierung der DriveLock FDE’s Kopie der Festplatte, Tastatur und Clock-Tick Interrupt-Vektor-Adressen, zu akzeptieren.

Ein BIOS Upodate ist nur eine Möglichkeit, die eine Änderung der genannten Adressen bewirken können. Es kann durachaus noch weitere Gründe, auch harmlose geben (z. B. BIOS Änderung, die evtl. auch vom gestarteten Betriebssystem bzw. einem Programm initiert wird).

Mit freundlichen Grüßen
Stefan Hönel
 
 Page 1 of 1
Previous
 
Next
HomeHomeDiskussionsDiskussionsGeneral Questio...General Questio...FDE Meldung Disk Interrupt Handler changedFDE Meldung Disk Interrupt Handler changed


Assistance

You can give our support team remote access to your computer for troubleshooting by using our remote access tool. To start the remote access tool, click here and run the program inside your browser or download it as a ZIP File. No installation is necessary. Our support team will provide you with the required Session ID.

Phone Support

Telephone support is available during regular business hours by calling one of the following numbers: 

 +1 (503) 214-2887 (US, PST)
 +49 (180) 4374835 (Germany, CET)

E-Mail Support

You can send your questions to our CenterTools support team at support@centertools.com. We will do our best to reply as quickly as possible.

Terms Of Use | Privacy Statement

Copyright 2012 by CenterTools