Chciałbym przestrzec potencjalnych kupujących używanych laptopów.
Szczególnie chodzi o tzw. sprzęt po leasingowy, refurb, pokorporacyjny itp. takich marek jak Lenovo, Dell, HP.
Na własnym przykładzie pokaże jak można nadziać się na niezłą minę.
Ostatnio zakupiłem na allegro używany Thinkpad X1 Carbon.
Na laptoku zainstalowany był Win 10 Pro. System legalny, aktywowany.
Postanowiłem zrobić format, bo w sumie nie wiadomo co sprzedający mógł dodać w gratisie do systemu
Odpalam instalator i po chwili wyskakuje ekran logowania jak poniżej.
Zdziwiony co to takiego, poguglowałem trochę i okazało się, że laptop przypisany jest do konta Microsoft Azure MDM.
W skrócie to nic innego jak zdalny dostęp do sprzętu.
Sprzedający na bank o tym wiedzą i nie informują o tym kupujących.
Problem zaczyna się wtedy jeśli chcemy przeinstalować system.
Podczas instalacji Windowsa 10 jeszcze jakoś można ominąć okno logowana Azure wpisując dowolny adres e-mail w domenie example.com, a potem stworzyć konto lokalne. W Windows 11 jest to niemożliwe, jeśli nie podasz adresu e-mail i hasła to zostaniesz z nic niewartym złomem.
No chyba, że zainstalujesz Linuxa ( ͡° ͜ʖ ͡°)
Jednak admin sieci do której przypisany jest laptop ma pełny i nieograniczony dostęp do sprzętu. Zdalnie może przeglądać pliki, zablokować podzespoły lub cały sprzęt.
Co do mojego przypadku. Odesłałem laptopa, sprzedający wysłał mi nowego i tym samym problemem.
Jak mu to wygarnąłem to udawał, że nic o tym nie wie.
Teraz czekam na zwrot kasy.
Samego tematu Azure MDM nie zgłębiałem za bardzo. Z tego co doczytałem, blokadę może zdjąć jedynie admin, który przypisał laptopa do konta Azure.
#komputery #allegro #ciekawostki
a69a3ff5-e6fe-4bb9-ab0f-e9044a447f26
tellet

@Armo11 i co że pendrive z windowsem enterprise aktywowanym oemowo ma sobie z tym nie poradzić? Dobre sobie...

Armo11

@tellet to podziel się swoją wiedzą. Może przyda się innym.

DzikiKnur69

@Armo11 korpo oddając te laptopy powinno odpiąć je z MDM i tyle. Firma sprzedająca powinna wiedzieć jak rozwiązać problem, a nie walić w wuja

anervis

@Armo11 czy po zainstalowaniu linuxa też ta zdalna kontrola będzie działać?

dv52_32

@Armo11 Z tego co ja wiem to istnieje możliwość zrobienia instalacji systemu Windows na pendrive z już zdefiniowanym kontem i konfiguracją. Jednym z narzędzi, które to umożliwia, jest program Rufus. Po wykonaniu odpowiednich kroków podczas instalacji systemu, np. wykorzystując Rufusa, po pierwszym restarcie komputera będziesz miał dostęp do pulpitu bez konieczności logowania się, tworzenia nowego konta czy ustawiania preferencji.


Jeśli chodzi o wybór wersji systemu Windows, możesz dodać plik o rozszerzeniu ei.cfg do folderu "sources" na pendrive, który został wcześniej przygotowany za pomocą Rufusa. W tym pliku możesz zdefiniować, którą wersję systemu Windows chcesz zainstalować, nawet jeśli klucz produktu jest przypisany do innej edycji, np. klucz do wersji Home, a chcesz zainstalować wersję Education.

vealen

@Armo11 ciekawe nie spotkałem się z tym, pierun leci.

Ktoś wie, gdzie informacja o MDM jest przechowywana? BIOS?

Czy przeflashowanie biosa nie rozwiąże problemu?

Dalmierz_Ploza

Skoro koniecznie chcesz mieć W11 na lapku.. pewnie instalator łączy się z serwerem i sprawdza: "hej, ten nr seryjny laptopa przypisany jest do firmy X! Nie możesz użyć tutaj tego instalatora W11 Home Edition - skontaktuj się z działem technicznym firmy X"

Armo11

@anervis na Linuxie blokada nie będzie działać.

Armo11

@dv52_32 blokada Azure działa z poziomu sprzętu, a nie systemu. Masz to opisane w linku, który dałem w wpisie.

Armo11

@vealen zmiana biosu nic nie da. Jak tylko połączysz się z internetem sprzęt zostanie zablokowany. Masz to opisane w linku, który dałem w wpisie.

vealen

@Armo11 Przeczytałem to. Nie ma wzmianki w którym miejscu jest przechowana informacja o przynależności do Azure AD lub nawet w w jakiej formie jest pobierana. Niedoprecyzowane nawet jest to, czy to software czy hardware zawiera informacje. Za to jest dużo pieprzenia o tym jakie to jest cudowne i wspaniałe oraz ogólników rodem z broszury handlowej pokroju "specjalne", "różne".


Można jedynie wyciągać jakieś wnioski i wysnuwać hipotezy.

Skoro zmiana biosu, co według tego co tam jest napisane, nie pomaga i w momencie połączenia się z internetem następuje blokada. To może to każda dystrybucja Windowsa ma wbudowaną weryfikacje przynależności do AzureAD a sprawdza to po adresie MAC karty sieciowej czy jest w bazie i wtedy zakłada blokadę.

Nuszek

@Armo11 a jak to sprawdzić czy też mam takie coś? Kupiłem używkę w zeszłym roku i tak sobie działa ale nawet nie wiem czy też to ma

jaro45

@Armo11 najlepiej blokadę sprawdza się po prostu instalując Windowsa 10/11 i w trakcie instalacji nie pomijasz łączenia z WiFi (czasem od razu będzie to zablokowane) tylko łączysz się z netem i Ci pokaże, czy konfigurujesz sprzęt do użytku osobistego / firmowego czy już od razu Ci pokaże, że sprzęt należy do firmy XXY, czyli ma MDM-a.


Samo bawienie się w pendrive itd. z kontem nie ma sensu, ponieważ co jakiś czas odpytywany jest serwer MDM i firma będzie widziała ten komputer, że ma połączenie z netem. W grę tu wchodzi tylko unlock.


Ja osobiście odblokowywałem na stałe w T14s gen 4 tego typu blokadę w haslo-bios.pl, koszt 700 zł dla tego modelu ale i tak finalnie sprzęt kupiłem w dobrej cenie. Starsze modele typu T480, T490 mówił, że po 300-400 robi.

Nuszek

@Armo11 ok, dzięki na szczęście u mnie wszystko jest na 'NO'

Zaloguj się aby komentować