Wenn wir neue Computer erhalten, setzen wir jeweils ein Bios resp. UEFI Passwort. Ansonsten könnte ein Schüler dies machen und uns aus den Bios Einstellungen “aussperren”. Ausserdem deaktivieren wir in den Einstellungen das Starten von anderen Bootmedien als der lokalen Festplatte und dem Netzwerk. Wenn jemand einen Computer z.B. von einem USB-Stick starten kann, hat er vollen Zugriff auf die (unverschlüsselten) Bereiche der Festplatte. So ist es ein leichtes, z.B. das lokale Administratorpasswort zurückzusetzen, was wir natürlich nicht wollen.

Bei Lenovo Geräten kann man BIOS Einstellungen über WMI verwalten, aber das erste Setzen eines Passwortes kann aus Sicherheitsgründen nur am Gerät selber vorgenommen werden. Bei ganz grossen Projekten kann man bei Lenovo Geräte mit einem aktivierten Bios Passwort bestellen, dann lässt sich alles vollautomatisieren. Für solche Wünsche sind aber unsere Bestellungen zu klein. Da aber sowieso alle Computer bei mir neu aufgesetzt werden, ist das auch nicht notwendig. Ich wollte nur die zeitaufwändigen und fehleranfälligen Schritte automatisieren. Gemäss diesem Forumsbeitrag kann man dazu einen USB Stick (ähnlich wie für AMT) erstellen, von dem man einfach einmal starten muss.

Dazu öffnet man die Seite www.lenovo.com/support und wählt sein Modell aus. Dort lädt man unter “Treiber und Software” das “Windows BIOS setting tool” herunter und extrahiert dieses.

Um einen bootfähigen USB-Stick zu erstellen kann man Rufus herunterladen und starten.

Und nun könnte man die srdos.exe Datei auf den Stick kopieren und über einen Batch aufrufen. Leider starten die neuesten Lenovo Geräte nicht von dem Stick, da sie auf “UEFI Only” gesetzt sind. Ich habe keinen Weg gefunden, wie man auf so einem System ein DOS System bootet. Und wenn man in die UEFI Einstellungen geht um das zu ändern, kann man genauso gut das Passwort manuell setzen. Also führt kein Weg daran vorbei…. Falls jemand eine Lösung hätte, die ich übersehen habe, bin ich natürlich um eine Rückmeldung dankbar.