Intel ME updaten
Intel ME updaten
Ich habe ein nettes Tool von Intel gefunden.
Es ist was für Sicherheitsfanatiker
Und zwar geht es um die Intel Management Engine (ME).
Die Intel ME befindet sich auf dem Mainboard und hat eine Firmware.
Diese Firmware kann man updaten um Sicherheitslücken zu schließen.
Ähnlich wie ein BIOS-Update...
Und zwar müsst ihr einfach nur das Intel CSME detection tool ausführen.
Dieses gibt es auch für Linux!
Es sagt euch, welche Version eure ME hat und ob ein Update nötig ist.
Das Update erhaltet ihr aber nicht von Intel sondern von eurem Mainboard- oder PC-Hersteller (falls verfügbar).
Die Begründung ist, dass der Hersteller die Firmware eventuell modifiziert hat.
Deshalb gibt es kein generisches Update von Intel.
Und bei meinem Mainboard-Hersteller war es so, dass das Update unter Windows ausgeführt werden muss.
Habt ihr schon eure Intel ME geupdatet... ?
Es ist was für Sicherheitsfanatiker
Und zwar geht es um die Intel Management Engine (ME).
Die Intel ME befindet sich auf dem Mainboard und hat eine Firmware.
Diese Firmware kann man updaten um Sicherheitslücken zu schließen.
Ähnlich wie ein BIOS-Update...
Und zwar müsst ihr einfach nur das Intel CSME detection tool ausführen.
Dieses gibt es auch für Linux!
Es sagt euch, welche Version eure ME hat und ob ein Update nötig ist.
Das Update erhaltet ihr aber nicht von Intel sondern von eurem Mainboard- oder PC-Hersteller (falls verfügbar).
Die Begründung ist, dass der Hersteller die Firmware eventuell modifiziert hat.
Deshalb gibt es kein generisches Update von Intel.
Und bei meinem Mainboard-Hersteller war es so, dass das Update unter Windows ausgeführt werden muss.
Habt ihr schon eure Intel ME geupdatet... ?
- OrangeJuice
- Beiträge: 625
- Registriert: 12.06.2017 15:12:40
Re: Intel ME updaten
Ich habe darüber nachgedacht. Ein Mainboard habe ich durch jzelectronic.de, der auch Beta-Bios für Asrock herausbringt, auf den aktuellen Stand gebracht.
Das andere Asus Board würde ein Update benötigen, das soll wohl nicht schwer sein, wenn man die richtige Intel ME bekommt. Da würde ich ggf. bei jz mal nachfragen, aber der hat wohl auch so schon viel zu tun. Den Asrock Support werde ich jedenfalls nicht nochmal anschreiben, das kann ich mir sparen.
Hier(Dos) und hier wurden die Möglichkeiten erklärt, wie man die Intel ME per Dos aktualisieren können soll.
Hier hat heise.de die Intel ME ganz gut erklärt. Die Intel ME ist doch von Intel signiert, da dürfte von den Mainboardherstellern nichts dran gemacht werden oder?
Das andere Asus Board würde ein Update benötigen, das soll wohl nicht schwer sein, wenn man die richtige Intel ME bekommt. Da würde ich ggf. bei jz mal nachfragen, aber der hat wohl auch so schon viel zu tun. Den Asrock Support werde ich jedenfalls nicht nochmal anschreiben, das kann ich mir sparen.
Hier(Dos) und hier wurden die Möglichkeiten erklärt, wie man die Intel ME per Dos aktualisieren können soll.
Hier hat heise.de die Intel ME ganz gut erklärt. Die Intel ME ist doch von Intel signiert, da dürfte von den Mainboardherstellern nichts dran gemacht werden oder?
Re: Intel ME updaten
Ein autark laufendes, nicht kontrollierbares System im System ist so ziemlich das schlimmste, was man einem Sicherheitsfanatiker antun kann.DaCoda hat geschrieben:05.02.2020 11:17:57Es ist was für Sicherheitsfanatiker
[...]
Habt ihr schon eure Intel ME geupdatet... ?
Re: Intel ME updaten
Genauso ist es, deshalb habe ich diese Funktion in meinem UEFI-Setup deaktiviert.
- OrangeJuice
- Beiträge: 625
- Registriert: 12.06.2017 15:12:40
Re: Intel ME updaten
Was hast du denn für ein System, dass du die Intel ME deaktivieren kannst? Ohne Anpassungen sollte es nicht möglich sein das System ohne Intel ME zu betreiben.KP97 hat geschrieben:05.02.2020 17:53:56Genauso ist es, deshalb habe ich diese Funktion in meinem UEFI-Setup deaktiviert.
- whisper
- Beiträge: 3185
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Intel ME updaten
Das interessiert mich, bitte DetailsKP97 hat geschrieben:05.02.2020 17:53:56Genauso ist es, deshalb habe ich diese Funktion in meinem UEFI-Setup deaktiviert.
Re: Intel ME updaten
Da war ich wohl etwas voreilig. Ich habe nochmal alles genau nachgelesen und dabei festgestellt, daß ich zwar Teile im ME deaktiviert habe, aber nicht das ganze ME ansich.
Im UEFI ist es Intel PTT und im Kernel u.a. der Parameter CONFIG_INTEL_MEI_ME
https://cateee.net/lkddb/web-lkddb/INTEL_MEI_ME.html
Komplett deaktivieren soll nicht ganz trivial sein bzw. fast nicht möglich.
Mein nächstes Gerät wird sicher kein Intel mehr sein, aber ob AMD besser ist, weiß man auch nicht. Die haben dann was anderes hinterhältiges...
Kleiner Überblick:
Im UEFI ist es Intel PTT und im Kernel u.a. der Parameter CONFIG_INTEL_MEI_ME
https://cateee.net/lkddb/web-lkddb/INTEL_MEI_ME.html
Komplett deaktivieren soll nicht ganz trivial sein bzw. fast nicht möglich.
Mein nächstes Gerät wird sicher kein Intel mehr sein, aber ob AMD besser ist, weiß man auch nicht. Die haben dann was anderes hinterhältiges...
Kleiner Überblick:
root@MB:/home/MB# inxi -F
System: Host: MB Kernel: 5.5.2 x86_64 bits: 64 Desktop: Xfce 4.14.2 Distro: Debian GNU/Linux bullseye/sid
Machine: Type: Desktop Mobo: ASRock model: KBL-NUC serial: N/A UEFI: American Megatrends v: P1.40B date: 12/15/2016
CPU: Topology: Dual Core model: Intel Core i3-7100U bits: 64 type: MT MCP L2 cache: 3072 KiB
- OrangeJuice
- Beiträge: 625
- Registriert: 12.06.2017 15:12:40
Re: Intel ME updaten
Genau das ist auch mein letzter Stand. Es gibt wohl von verschiedenen Herstellern deaktivierte Intel ME, aber bei den "normalen" Geräten kann man meistens nur ein paar Dinge deaktivieren. Ich kann bei mein Asus Board angeblich von UEFI bis zum Neustart die ME kurzzeitig deaktivieren, aber nach dem Neustart ist sie dann wohl direkt wieder aktiv. Wozu das gut ist, weiß ich nicht.
AMD scheint auch nicht besser zu sein(Link). Beim CCC wurde ein Vortrag gehalten wo es auch um die PSP geht "Uncover, Understand, Own - Regaining Control Over Your AMD CPU"(Link). AMD hatte auch ein paar weitere Probleme die sie in den Griff bekommen mussten.
AMD scheint auch nicht besser zu sein(Link). Beim CCC wurde ein Vortrag gehalten wo es auch um die PSP geht "Uncover, Understand, Own - Regaining Control Over Your AMD CPU"(Link). AMD hatte auch ein paar weitere Probleme die sie in den Griff bekommen mussten.
Re: Intel ME updaten
Danke für die Links, der gleiche MIst nur mit anderem Namen. Wir sind also auf jeden Fall und immer die Gelackmeierten...
Re: Intel ME updaten
https://www.howtogeek.com/334013/intel- ... -your-cpu/ Schreibt:
außer der Tatsache, das die Prozesse bereits vor dem Start des BIOS /UEFI ablaufen.:
https://i.blackhat.com/USA-19/Wednesday ... Engine.pdf
Das Tool schreibt nach gefühlten 2 Millisekunden::
Mein BIOS:
Mein Board- Hersteller aber schreibt:
Fazit:
BND /Behörde schreibt:
und hier im Forum die Seiten füllen können
Noch ein Paar Infos, von denen ich nur Bahnhof verstehe,In other words, this is a parallel operating system running on an isolated chip, but with access to your PC’s hardware. It runs when your computer is asleep, while it’s booting up, and while your operating system is running. It has full access to your system hardware, including your system memory, the contents of your display, keyboard input, and even the network.
außer der Tatsache, das die Prozesse bereits vor dem Start des BIOS /UEFI ablaufen.:
https://i.blackhat.com/USA-19/Wednesday ... Engine.pdf
Das Tool schreibt nach gefühlten 2 Millisekunden::
Code: Alles auswählen
Intel(R) CSME Version Detection Tool
Copyright(C) 2017-2019, Intel Corporation, All rights reserved.
Application Version: 2.0.8.0
Scan date: 2020-02-08 09:40:47 GMT
*** Host Computer Information ***
Name: XFCE
Manufacturer: To Be Filled By O.E.M.
Model: To Be Filled By O.E.M.
Processor Name: Intel(R) Core(TM) i9-9900 CPU @ 3.10GHz
OS Version: debian bullseye/sid (5.4.0-3-amd64)
*** Intel(R) ME Information ***
Engine: Intel(R) Converged Security and Management Engine
Version: 12.0.31.1416
*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.
For more information refer to the Intel(R) CSME Version Detection Tool User Guide
or the related Intel Security Advisory list at:
https://www.intel.com/content/www/us/en/support/articles/000031784/technologies.html
Code: Alles auswählen
Date 07/29/2019
Hersteller American Megatrends Inc. (American Megatrends, www.ami.com)
Version P4.20
Code: Alles auswählen
4.30 2020/1/2 9.55MB
1. Update Intel Microcode and ME.
2. Update GOP
* We don't recommend users to update the BIOS if their system is already running normally.
BND /Behörde schreibt:
Intel Schreibt:Hallo Intel bitte mal ein Paar Infos von Firma XYZ / Rechner XYZ
Na dann wollen wir uns mal weiter um Crypto / sichere Firewalls und so weiter bemühen, damit wir was zu tun habenNull Problemo, wir demnächst geliefert
und hier im Forum die Seiten füllen können
Re: Intel ME updaten
Weiter oben wurde schon die Webseite des Libreboot-Projekts verlinkt. Dort wird ziemlich ausführlich beschrieben, was das ales zu bedeuten hat. Ein Auszug:willy4711 hat geschrieben:08.02.2020 10:58:57Noch ein Paar Infos, von denen ich nur Bahnhof verstehe
Sämtliche Verschlüsselung wird demnach ausgehebelt, weil auf den Schlüssel ganz einfach im Speicher zugegriffen werden kann.https://libreboot.org/faq.html#intel hat geschrieben: The ME consists of an ARC processor [...] including a cryptography engine, [...] and a direct memory access (DMA) engine to access the host operating system’s memory as well as to reserve a region of protected external memory [...].
Und weiter heißt es:
The ME also has network access with its own MAC address through an Intel Gigabit Ethernet Controller.
Weil AMD ähnliche Dinge verbaut, kommt das Projekt zu dem Schluss:
Ich werde dann mal demnächst meinen uralten AthlonXP reaktivierenhttps://libreboot.org/faq.html#amd-is-incompetent-and-uncooperative hat geschrieben:Given the current state of Intel hardware with the Management Engine, it is our opinion that all performant x86 hardware newer than the AMD Family 15h CPUs (on AMD’s side) or anything post-2009 on Intel’s side is defective by design and cannot safely be used to store, transmit, or process sensitive data.
- novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: Intel ME updaten
Gab es einen sehr interessanten Vortrag auf dem 36c3 zu, sehr englisch und sehr technisch:
https://media.ccc.de/v/36c3-10694-intel ... _deep_dive
https://media.ccc.de/v/36c3-10694-intel ... _deep_dive
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: Intel ME updaten
Ich finde die Sache mit der ME aber etwas übertrieben.
Schließlich haben BIOS, GraKa, Netzwerkkarte, CD-ROM-Laufwerk, Monitor,... auch eine proprietäre Firmware.
Das CD-ROM-Laufwerk hat wahrscheinlich nicht so viele Zugriffsmöglichkeiten (wenn es über SATA angeschlossen ist).
Aber BIOS oder GraKa?
Schließlich haben BIOS, GraKa, Netzwerkkarte, CD-ROM-Laufwerk, Monitor,... auch eine proprietäre Firmware.
Das CD-ROM-Laufwerk hat wahrscheinlich nicht so viele Zugriffsmöglichkeiten (wenn es über SATA angeschlossen ist).
Aber BIOS oder GraKa?
Re: Intel ME updaten
Wirklich?
Einige Leute stört das. Deshalb gibt es Coreboot/Libreboot.
Diese Firmwares liegen nicht umsonst in non-free.
Ersetze das Laufwerk gegen eine HDD und du bist bei "hddhack" [1].DaCoda hat geschrieben:10.02.2020 17:02:43Das CD-ROM-Laufwerk hat wahrscheinlich nicht so viele Zugriffsmöglichkeiten (wenn es über SATA angeschlossen ist).
Die Gefahr die von Intels ME bzw. AMDs PSP ausgeht kleinzureden, weil es genug andere Komponenten gibt, die ebenfalls zweifelhaft sind ist nichts weiter, als vor dem Missstand zu kapitulieren, dass man das "eigene" System nicht unter Kontrolle hat.
[1] https://spritesmods.com/?art=hddhack
- novalix
- Beiträge: 1909
- Registriert: 05.10.2005 12:32:57
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: elberfeld
Re: Intel ME updaten
Zumal: Mir ist kein BIOS und erst recht keine Firmware einer Graphikkarte, etc. bekannt, die *eigenständig* ohne laufendes installiertes Betriebssystem in der Lage wäre, das Netzwerk in Betrieb zu nehmen.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Darum ist das Richtige selten, lobenswert und schön.
Re: Intel ME updaten
Ich glaube schon, dass es einen Unterschied macht, ob da in meinem Rechner ein z.Z. von niemandem kontrollierbares
Betriebssystem mit eigenem Prozessor arbeitet, das anscheinend Zugriff auf alles hat was in meinem Rechner vor sich geht.
Es ist in der Lage, die Verschlüsselung auszuhebeln, hat eine eigene MAC Adresse, und kann auch während des Standby arbeiten,
solange ich nicht den Stecker ziehe und das Netzkabel vom Router abziehe.
Wahrscheinlich ist es in der Lage, einen verschlüsselten Rechner trotzdem booten, wenn entsprechende Stellen es wollen
(meine Vorstellung).
Das wäre gleichzusetzen mit der Erlaubnis, einem wildfremden Menschen das Passwort zu geben und
ihn mit meinem Rechner unbeaufsichtigt arbeiten zu lassen.
Die Geschichte mit dem Bundestrojaner hat sich somit erledigt oder ist eh nur eine Schimäre, die von den tatsächlichen
Gegebenheiten ablenken soll.
Bei Bedarf: Big Brother has always been watching you
Wäre das bei anderer unfreier Firmware (Treibern) so, wäre es - glaube ich zumindest - bekannt.
Leider ist Libreboot auf Architekturen bis 2009 beschränkt (https://libreboot.org/faq.html#intel):
Also nicht wirklich eine Alternative
Betriebssystem mit eigenem Prozessor arbeitet, das anscheinend Zugriff auf alles hat was in meinem Rechner vor sich geht.
Es ist in der Lage, die Verschlüsselung auszuhebeln, hat eine eigene MAC Adresse, und kann auch während des Standby arbeiten,
solange ich nicht den Stecker ziehe und das Netzkabel vom Router abziehe.
Wahrscheinlich ist es in der Lage, einen verschlüsselten Rechner trotzdem booten, wenn entsprechende Stellen es wollen
(meine Vorstellung).
Das wäre gleichzusetzen mit der Erlaubnis, einem wildfremden Menschen das Passwort zu geben und
ihn mit meinem Rechner unbeaufsichtigt arbeiten zu lassen.
Die Geschichte mit dem Bundestrojaner hat sich somit erledigt oder ist eh nur eine Schimäre, die von den tatsächlichen
Gegebenheiten ablenken soll.
Bei Bedarf: Big Brother has always been watching you
Wäre das bei anderer unfreier Firmware (Treibern) so, wäre es - glaube ich zumindest - bekannt.
Leider ist Libreboot auf Architekturen bis 2009 beschränkt (https://libreboot.org/faq.html#intel):
Also nicht wirklich eine Alternative
It is unlikely that any post-2008 Intel hardware will ever be supported in libreboot, due to severe security and freedom issues; so severe, that the libreboot project recommends avoiding all modern Intel hardware. If you have an Intel based system affected by the problems described below, then you should get rid of it as soon as possible. The main issues are as follows:
Re: Intel ME updaten
Ich behaupte trotzdem, daß sich trotzdem Spuren solcher Aktivitäten erkennen lassen müßten. Z.B. bräuchte so ein Eigenleben ja eine IP-Adresse, die es über DHCP bezieht? Wenn ja, dann müßte man dies im Log des DHCP-Servers sehen.willy4711 hat geschrieben:11.02.2020 14:26:45Es ist in der Lage, die Verschlüsselung auszuhebeln, hat eine eigene MAC Adresse,
Ich kann bisher jedenfalls keine derartigen Aktivitäten in den Logs meines Linuxrouters erkennen und der logt so ziemlich alles eingehen wie ausgehend.
Re: Intel ME updaten
Du hast offensichtlich in den letzen 15 Jahren keinen Computer mehr gekauft. – Dh. da steht bekannt... Jedes Handy-Firmware kann dass. Fast jedes EFI. (Das du wahrscheinlich hast, auch wenn du es immer noch BIOS nennst.) Und die mit Abstand meisten Netzwerkkarten können das. Jede bessere Intel CPU seit Sandy Bridge (2011) Mindestens was Core2 Duo T oder P Serie ist und alles was i5 und i7 ist.novalix hat geschrieben:11.02.2020 14:05:16Zumal: Mir ist kein BIOS und erst recht keine Firmware einer Graphikkarte, etc. bekannt, die *eigenständig* ohne laufendes installiertes Betriebssystem in der Lage wäre, das Netzwerk in Betrieb zu nehmen.
Es gab mal Malware die einfach gewartet hat bis TCP Pakete kommen und dann da die Daten davorgehängt hat. Das ist aber nicht was offiziell vorgesehen ist. EFIs machen üblicherweise vier mal im Jahr DHCP. Fällt im Normalfall nicht auf, weil der Rechner das eh macht. (Debian bei standardinstallation schon zwei mal. Das fällt auch niemand auf. Wenn das EFI das dann beim Booten ein drittes mal macht. Wird ja auch für PXE benötigt.) Intels ME kommuniziert per SMS.Ich behaupte trotzdem, daß sich trotzdem Spuren solcher Aktivitäten erkennen lassen müßten. Z.B. bräuchte so ein Eigenleben ja eine IP-Adresse, die es über DHCP bezieht? Wenn ja, dann müßte man dies im Log des DHCP-Servers sehen.
Ich kann bisher jedenfalls keine derartigen Aktivitäten in den Logs meines Linuxrouters erkennen und der logt so ziemlich alles eingehen wie ausgehend.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Intel ME updaten
Hier mal ein recht übersichtlicher Überblick:
https://www.heise.de/select/ct/2018/6/1520827829694087
https://www.heise.de/select/ct/2018/6/1520827829694087
Re: Intel ME updaten
Solange das mit der "normalen" MAC-Adresse passiert, fällt das natürlich nicht auf. Aber, und so entnehme ich das einem der obigen Posts, hat die ME eine eigene MAC-Adresse.wanne hat geschrieben:11.02.2020 15:40:10EFIs machen üblicherweise vier mal im Jahr DHCP. Fällt im Normalfall nicht auf, weil der Rechner das eh macht.
Mir würde es jedenfalls auffallen, wenn plötzlich eine unbekannte MAC im Log des DHCP-Servers auftaucht. Auch Fritzboxen zeigen die vergebenen IP-Adressen und die zugehörigen MACs an. Die Zuordnung ist praktisch persistent, es sei denn, man hat mehr Clients als der DHCP-Pool hergibt, was im Privratbereich unwahrscheinlich ist. Mein DHCP-Pool ist 100-IPs groß und so viele Clients habe ich dann doch nicht.
Dem normalen Heimanwender fällt sowas natürlich nicht auf, der logt sich ja nie auf seinem Router ein, in die Logs schaut er schon gar nicht.
Re: Intel ME updaten
Das hatte ich aus dem Post von Tintom
viewtopic.php?f=37&t=176337#p1229671
viewtopic.php?f=37&t=176337#p1229671
Re: Intel ME updaten
Per default machen die aber sowieso nur SMS. Da siehst du an deiner Fritzbox gar nichts. Daneben haben sie noch einen zeroconf ähnlichen Mechanismus. Der tut aber nur im LAN. (Ein passender Server muss sich Annoncen.) Dafür kann man in teureren Modellen wohl auch ein primitives VPN konfigurieren. Das nutzt dann btw. einfach die IP, die sich das OS geholt hat ohne erneut selbst DHCP zu machen.MSfree hat geschrieben:11.02.2020 16:23:48Solange das mit der "normalen" MAC-Adresse passiert, fällt das natürlich nicht auf. Aber, und so entnehme ich das einem der obigen Posts, hat die ME eine eigene MAC-Adresse.
Das ist dann aber ne Sachen die du erst aktivieren musst. – Können tut sie das aber immer...
Was in seltenen Fällen selbst DHCP macht ist meistens das EFI.
Nein. Wer kein DHCP und kein mDNS macht wird nicht angezeigt.MSfree hat geschrieben:11.02.2020 16:23:48Auch Fritzboxen zeigen die vergebenen IP-Adressen und die zugehörigen MACs an.
rot: Moderator wanne spricht, default: User wanne spricht.
- OrangeJuice
- Beiträge: 625
- Registriert: 12.06.2017 15:12:40
Re: Intel ME updaten
Kannst du ein paar weitere Informationen geben, was genau dieses "Intel SMS" alles kann? Habe ich richtig verstanden(vorausgesetzt Intels ME weitet ihr "geheimes" Eigenleben aus), dass es so theoretisch möglich wäre für die Intel ME unabhängig vom System und durch Router hindurch zu kommunizieren oder ist das nur in bestimmten Intel CPUs möglich?wanne hat geschrieben:11.02.2020 16:48:36Per default machen die aber sowieso nur SMS. Da siehst du an deiner Fritzbox gar nichts. Daneben haben sie noch einen zeroconf ähnlichen Mechanismus. Der tut aber nur im LAN. (Ein passender Server muss sich Annoncen.) Dafür kann man in teureren Modellen wohl auch ein primitives VPN konfigurieren. Das nutzt dann btw. einfach die IP, die sich das OS geholt hat ohne erneut selbst DHCP zu machen.
Das ist dann aber ne Sachen die du erst aktivieren musst. – Können tut sie das aber immer...
Was in seltenen Fällen selbst DHCP macht ist meistens das EFI.
Re: Intel ME updaten
Puh so ganz gut bin ich auch nicht (mehr) informiert. Du kannst dir deine Thinkpads mit Intel CPU per SMS sperren lassen. Beim T400 war das noch so, dass dazu das UMTS-Modem nötig war. Bei neueren werben sie ausdrücklich damit, dass das auch funktioniert wen kein UMTS-Modem genutzt wird. Und wer SMS empfangen kann müsste selbstverständlich auch welche senden können. Es bleibt die warnung, dass das nur funktioniert, wenn der Laptop in der nähe eines Funkmasts ist und dass man für die anderen Fälle auch konfigurieren kann, dass er es über LAN und WLAN versucht. Ich habe mich nie wirklich für solche "Features" interessiert. Aber google mal nach Anti-Theft und Intel und du wirst bestimmt fündig.
rot: Moderator wanne spricht, default: User wanne spricht.
- Routerdilettantin
- Beiträge: 35
- Registriert: 09.11.2020 12:44:45
- Lizenz eigener Beiträge: GNU General Public License
Re: Intel ME updaten
Das ist für meinen Dell Optiplex 7050 korrekt. Der holt sich eine zusätzliche IP-Adresse vom DHCP-Server für die Intel ME und erneuert diese Lease regelmäßig. Eigentlich hat der Optiplex eine feste IP. Die ME meldet sich beim DHCP-Server netterweise mit einem aussagekräftigem Hostnamen (optiplex_me). Ich habe zur Beobachtung eine DHCP-MAC-IP-Reservation konfiguriert. Da ich Egress-Filtering per Firewall durchführe (nur bekannte Adressen und Ports dürfen), würde ich ausgehende IP-Verbindungen im Log für die Block-All-Regel am Ende sehen. Bislang war die Intel ME brav, was ausgehende Verbindungen betrifft. Wenn jedoch der Optiplex abgeschaltet ist, wird die Lease trotzdem regelmäßig erneuert.MSfree hat geschrieben:11.02.2020 16:23:48Solange das mit der "normalen" MAC-Adresse passiert, fällt das natürlich nicht auf. Aber, und so entnehme ich das einem der obigen Posts, hat die ME eine eigene MAC-Adresse.
@TO: Bei meinen Gerät wird die Intel ME bei einem BIOS-Update mit "hochgezogen". Solange oder so kurz es eben Updates gibt ...
Dann noch eine Idee: Beim Lesen von Release-Notes für BIOS-Updates von Dell und HP ist mir aufgefallen, dass Updates bei Schwachstellen der Intel ME eher für "Pro"-Geräte mit Fernwartung empfohlen werden. Wer keine Intel ME mag oder braucht, könnte mit Consumer-Geräten gut dran sein, da wird wohl nicht alles für Fernwartung und Intel ME im BIOS implementiert. Oder nutzt eben keine Intel Core i irgendwas, nehme stark an, Pentium und Celeron sind nicht fernwartungsfähig, haben keine oder nur Rudimente einer ME.