FDE Meldung Disk Interrupt Handler changed

Sie können dieses Forum auch in Deutscher Sprache verwenden. Um neue Beiträge oder Antworten zu erstellen, müssen Sie angemeldet sein.

Bitte beachten Sie, dass bei der Erstellung eines Beitrages Ihr Anzeigename (siehe oben links) verwendet wird.

Da die kurzfristige Beantwortung von Forenbeiträgen und -anfragen nicht garantiert werden kann, wenden Sie sich bitte bei zeitkritischen Supportanfragen direkt an unsere Support-Hotline (Telefon oder E-Mail).

You need to register or login in order to post new threads or replies.

When adding a post or a reply your display name (see top left corner) will be used.

Because answering a post may take a while, please contact our support staff directly (by phone or email) in urgent matters.

Suche Forenstartseite

Start

Diskussions

General Questio...

FDE Meldung Disk Interrupt Handler changed

Vorher

Weiter

18.02.2012 14:06

christoph.nagl@schenker.at

Beigetreten: 19.08.2011

Beiträge: 1

FDE Meldung Disk Interrupt Handler changed

Agent Version: 7.0.9.9718
FDE Version: 7.1.0

Auf 2 Notebooks wurde folgende Meldung beim Start der PBA und beim Windows-Start angezeigt: The disk interrupt handler has changed since installation. This may be the result of a virus infection, a hardware configuration change or a BIOS change.
Laut der lokalen IT wurde auf beiden Geräten kein BIOS-Update oder Hardware-Änderungen durchgeführt und Virus wurde ebenfalls keiner gefunden. Ein Gerät ist schon länger in Betrieb (User ohne Admin-Rechte) und wurde vor ca. 1,5 Wochen auf den neuesten Agent upgedatet, das 2. Gerät wurde gerade installiert und eingerichtet und die Meldung danach sofort angezeigt und bei jedem Neustart.

In den Einstellungen der Gruppenrichtlinie unter "CenterTools Drivelock - Erweiterte Konfiguration - Verschlüsselung - Full Disk Encryption - Einstellungen für die Verschlüsselung" gibt es den Punkt "System-Schutz - Festplatten-Interrupt ändern (schützen)". Den habe ich jetzt aktiviert und werde Montag feststellen, ob die Meldung damit nicht mehr auf den Clients erscheint.

Trotzdem wäre es aus Sicherheitsgründen wichtig, aus welchem Grund die Meldung angezeigt wurde. Kann es einen anderen Grund als die genannten geben oder lässt sich das in Logfiles prüfen (in den an den DES übertragenen Events der Geräte habe ich keine Meldung diesbezüglich gefunden)?

20.02.2012 10:17

Stefan Hönel

Beigetreten: 25.03.2011

Beiträge: 42

Re: FDE Meldung Disk Interrupt Handler changed

Die DriveLock FDE verwaltet einen Speicher für manche BIOS Interrupt-Vektor-Adressen. Das erlaubt es der DriveLock FDE, potenzielle Angriffe zu erkennen, die durch das Ändern der Interrupt-Vektor-Adressen gestartet werden können. Wird ein Unterschied zwischen der BIOS Interrupt-Vektor-Adresse und der zuvor gespeicherten Kopie erkannt, wird die angezeigte Fehlermeldung angezeigt. Wählen Sie die entsprechenden Checkboxen um die zusätzliche Systemsicherheit zu aktivieren.

Wenn sich die Interrupt-Vektor-Adresse ändert (z.B. durch ein BIOS Update oder ÄNnderung), wird der Fehler weiterhin angezeigt. Die System-Schutz Gruppe stellt einen Mechanismus zur Verfügung um berechtigte Änderungen, durch Aktualisierung der DriveLock FDE’s Kopie der Festplatte, Tastatur und Clock-Tick Interrupt-Vektor-Adressen, zu akzeptieren.

Ein BIOS Upodate ist nur eine Möglichkeit, die eine Änderung der genannten Adressen bewirken können. Es kann durachaus noch weitere Gründe, auch harmlose geben (z. B. BIOS Änderung, die evtl. auch vom gestarteten Betriebssystem bzw. einem Programm initiert wird).

Mit freundlichen Grüßen
Stefan Hönel

Seite 1 von 1

FDE Meldung Disk Interrupt Handler changed

Soforthilfe

Über das Fernwartungsprogramm kann unser Supportteam Sie direkt bei der Problemlösung unterstützen. Um das Programm zu starten, klicken Sie bitte hier und starten anschließend das Programm direkt aus Ihrem Browser (Download als ZIP-Datei). Eine Installation ist nicht notwendig. Die notwendige Sitzungsnummer erhalten Sie zeitgleich durch einen unserer Mitarbeiter.