Intel AMT/ME- wo aktiviert man dies?

[Marco Moock]

Hallo zusammen!

Normale Intel-Desktop-Boards haben sowieso die ME und manche davon AMT.
Doch wie wird das Ganze konfiguriert und wo?

Konkret: Ich will Dinge wie Serial over LAN nutzen, wenn das geht.
Systeme kommen verschiedene Infrage, ASRock J4125, Zbook 15.

--
Gruß
Marco Moock

[Kay Martinen]

Am 10.08.23 um 15:00 schrieb Marco Moock:

> Hallo zusammen!
>
> Normale Intel-Desktop-Boards haben sowieso die ME und manche davon AMT.
> Doch wie wird das Ganze konfiguriert und wo?

Über das BIOS-Setup. Würde ich meinen. Aber dazu braucht man ein
spezielles Passwort das wohl nicht mit einem Eventuell eingerichteten
BIOS-Passwort identisch ist.

So ist das bei einem älteren Board mit Intel (referenz?) Design das ich
hier habe. Da kann ich im Setup unter Intel ME ein loggen. Aber das war
ein ehemaliger Wortmann Firmen PC und ich hab das Kennwort nicht. Bios
Batterie entfernen setzt das auch nicht zurück.

> Konkret: Ich will Dinge wie Serial over LAN nutzen, wenn das geht.

Wenn es schon aktiv ist, versuchs mal mit ipmitools von einem linux aus.
Sonst hoffe das kein Passwort vergeben ist und du ohne oder mit
Default-PW (welches weiß ich nicht) rein kommst um es zu aktivieren.

> Systeme kommen verschiedene Infrage, ASRock J4125, Zbook 15.

-> GidF mal nach Manuals suchen in denen das BIOS erklärt wird...


Ｂｙｅ／
／Ｋａｙ

--
"Kann ein Wurstbrot die Welt retten?" :-)

[Bernd Mayer]

Am 10.08.23 um 15:00 schrieb Marco Moock:

Hallo,

sieh Dir mal die Einstellungen im BIOS dazu an.


Bernd Mayer

[Gerald E¡scher]

Marco Moock schrieb am 10/8/2023 15:00:

> Normale Intel-Desktop-Boards haben sowieso die ME und manche davon AMT.
> Doch wie wird das Ganze konfiguriert und wo?
>
> Konkret: Ich will Dinge wie Serial over LAN nutzen, wenn das geht.

Ich kann es nur für eine UEFI-Firmware von AMI und AMT Vers. 9 sagen:
Erst im UEFI-Setup AMT einschalten, Neustart, mit ctrl+P ins Setup vom
AMT. Zugangsdaten bitte ergurgeln, WIMRE admin/admin.
Das Passwort muss sofort geändert werden, mit Groß-/Kleinbuchstaben,
Ziffer und Sonderzeichen, sonst wird das Passwort ohne
aussagekräftigen Hinweis abgelehnt.
Im AMT-Setup muss man das Netzwerk einschalten und konfigurieren und
alle Funktionen, die man nutzen möchte, wie Serial-over-LAN,
Remotedesktop, usw., einschalten. IDE-Redirect, d.h. AMT emuliert ein
IDE-CD-ROM-Laufwerk und kann aus der Ferne von einem ISO-Image
gebootet werden, funktioniert bei mir nicht.
Für den Zugriff und weitere Konfiguration verwende ich MeshCommander,
zusätzlich kann man per Webinterface unter http://$hostname:16992 oder
https://§hostname:16993 einige Konfigurationen vornehmen.

--
Gerald

[Marco Moock]

Am 10.08.2023 um 16:02:31 Uhr schrieb Gerald E¡scher:

> Erst im UEFI-Setup AMT einschalten, Neustart, mit ctrl+P ins Setup vom
> AMT. Zugangsdaten bitte ergurgeln, WIMRE admin/admin.

Da gibt es bei mit im ASRock J4125 schon keine Einstellung dazu.

[Gerald E¡scher]

Ist das ein Board mit fest aufgelötetem, stromsparenden Prozessor?
Unterstützt der überhaupt die Intel vPro-Platform? Falls nicht, gibt es
keine ME.

--
Gerald

[Marco Moock]

Am 12.08.2023 um 18:35:29 Uhr schrieb Gerald E¡scher:

> Ist das ein Board mit fest aufgelötetem, stromsparenden Prozessor?

Ja.

> Unterstützt der überhaupt die Intel vPro-Platform?

Nein.

> Falls nicht, gibt es keine ME.

Gibt es die wirklich nicht oder ist die für den Anwender einfach nur
nicht nutzbar?

[Jörg Tewes]

Marco Moock schrieb:

>> Unterstützt der überhaupt die Intel vPro-Platform?
> Nein.
>
>> Falls nicht, gibt es keine ME.
> Gibt es die wirklich nicht oder ist die für den Anwender einfach nur
> nicht nutzbar?

Was wäre der Unterschied?
--


Bye Jörg


Religionskriege sind Konflikte zwischen erwachsenen Menschen, bei
denen es darum geht, wer den cooleren, imaginären Freund hat. Wenn
Jesus gevierteilt worden wäre, hätten wir heute dann Mobiles über der
Tür hängen?

[Gerald E¡scher]

Wenn es dich interessiert, kannst du das Layout des BIOS/UEFI-Chips mit
# flashrom -p internal --ifd
auslesen.

Bei einem Fujitsu D3222A ergibt sich:

FREG0: Flash Descriptor region (0x00000000-0x00000fff) is read-only.
FREG1: BIOS region (0x00500000-0x007fffff) is read-write.
FREG2: Management Engine region (0x00003000-0x004fffff) is locked.
FREG3: Gigabit Ethernet region (0x00001000-0x00002fff) is read-write.
Not all flash regions are freely accessible by flashrom. This is most likely
due to an active ME.

--
Gerald

[Marco Moock]

Am 12.08.2023 um 23:09:51 Uhr schrieb Jörg Tewes:

> Marco Moock schrieb:
> >> Unterstützt der überhaupt die Intel vPro-Platform?
> > Nein.
> >
> >> Falls nicht, gibt es keine ME.
> > Gibt es die wirklich nicht oder ist die für den Anwender einfach nur
> > nicht nutzbar?
>
> Was wäre der Unterschied?

Dass die ME ggf. noch als Hintertür genutzt werden kann, wie viele es
befürchten.
Sicherheitslücken gab es in der ME auch schon. Es ist für mich daher
schon interessant, ob ein MoBo oder Intel vPro die ME hat oder nicht.

[Marco Moock]

Am 12.08.2023 um 22:09:15 Uhr schrieb Gerald E¡scher:

> mit # flashrom -p internal --ifd
> auslesen.
>
> Bei einem Fujitsu D3222A ergibt sich:
>
> FREG0: Flash Descriptor region (0x00000000-0x00000fff) is read-only.
> FREG1: BIOS region (0x00500000-0x007fffff) is read-write.
> FREG2: Management Engine region (0x00003000-0x004fffff) is locked.
> FREG3: Gigabit Ethernet region (0x00001000-0x00002fff) is read-write.
> Not all flash regions are freely accessible by flashrom. This is most
> likely due to an active ME.

m@ryz:~$ sudo /sbin/flashrom -p internal --ifd
flashrom unknown on Linux 6.4.0-2-amd64 (x86_64)
flashrom is free software, get the source code at https://flashrom.org

Using clock_gettime for delay loops (clk_id: 1, resolution: 1ns).
No DMI table found.
Found chipset "Intel Gemini Lake".
Enabling flash write... SPI Configuration is locked down.

FREG0: Flash Descriptor region (0x00000000-0x00000fff) is read-only.

FREG1: BIOS region (0x00001000-0x00efefff) is read-write.
FREG5: Device Expansion region (0x00eff000-0x00ffffff) is locked.

Not all flash regions are freely accessible by flashrom. This is most likely

due to an active ME. Please see https://flashrom.org/ME for details.
At least some flash regions are read protected. You have to use a flash
layout and include only accessible regions. For write operations, you'll
additionally need the --noverify-all switch. See manpage for more details.
Enabling hardware sequencing because some important opcode is locked.
OK.
Found Programmer flash chip "Opaque flash chip" (16384 kB, Programmer-specific) on internal.
No operations were specified.
m@ryz:~$

Dann gibt es die Management Engine region hier gar nicht.

[Kay Martinen]

Am 13.08.23 um 10:13 schrieb Marco Moock:

> Am 12.08.2023 um 23:09:51 Uhr schrieb Jörg Tewes:
>
>> Marco Moock schrieb:
>>>> Unterstützt der überhaupt die Intel vPro-Platform?
>>> Nein.
>>>
>>>> Falls nicht, gibt es keine ME.
>>> Gibt es die wirklich nicht oder ist die für den Anwender einfach nur
>>> nicht nutzbar?
>>
>> Was wäre der Unterschied?
>
> Dass die ME ggf. noch als Hintertür genutzt werden kann, wie viele es
> befürchten.

Das ist besonders Perfide; weil unsichtbar; wenn der dauernd laufende
Steuerungsprozessor Shared-LAN verwendet. AFAIR ist dann nicht mal
gesichert das die LEDs des LAN Ports link und Activity melden wenn der
eigentliche PC aus, der ME Prozessor aber aktiv wäre.

> Sicherheitslücken gab es in der ME auch schon. Es ist für mich daher
> schon interessant, ob ein MoBo oder Intel vPro die ME hat oder nicht.

Vor Jahren hieß es noch die Intel ME würde nur mit einem vPro Prozessor
laufen. Offenbar weil der irgendwie eine Zweit-CPU an Bord hat, die SGX
das evtl. übernimmt oder anders. Jetzt lese ich zu AMT das seit 2010 ein
Quark Prozessor im Chipsatz säße - mindestens ab Intel i5.

Kann man also so verstehen das man keine vPro CPU mehr braucht und die
"Hintertür" immer offen ist.

Vorher gab es mit vPro Markierte CPUs die man meiden konnte - falls das
Board es kann.

Interessant finde ich das HP bei den älteren Proliants seinen BMC/ILO
anfangs auch mit Shared-Port dann aber mit eigenen LANport in der
Rückwand baute. Und davor gab's die (Compaq) rILOe Boards in denen AFAIR
fast die komplette Fernwartung steckte, inkl. KVM und Relais Für Power
und Reset,

Bei einem G4 kann man die ILO noch auf Shared Port einstellen. Bei einem
G5 erinnere ich mich nicht das bemerkt zu haben.

Letztere hat 2 Xeon Quadcore...und vermutlich keine Intel ME oder AMT.

Wie kommt es das man; trotz gelegentlicher Sicherheitslücken der ILO-x;
keine Software-hintertürchen dort drin vermutet? Ist auch nur ein
Firmware-Blob (ich weiß nur nicht wo) und die ML-Serie kann man u.a. im
Standgehäuse bekommen/konvertieren, oder eine Workstation nehmen die IMO
die gleichen Fernwartungs-features haben kann. Von wg. Desktop/Tower
vs. Server(Rack).

[Jörg Tewes]

Marco Moock schrieb:

Imho wird das von Intel deaktiviert, und nicht nur nicht verfügbar
gemacht. Meist bei Prozessoren die für die vPro Serie Ausschuß sind.
So wie damals beim 386er und 486er die SX ohne Coprozessor.

[Gerald E¡scher]

Marco Moock schrieb am 13/8/2023 10:16:

> m@ryz:~$ sudo /sbin/flashrom -p internal --ifd
> flashrom unknown on Linux 6.4.0-2-amd64 (x86_64)
> flashrom is free software, get the source code at https://flashrom.org
>
> Using clock_gettime for delay loops (clk_id: 1, resolution: 1ns).
> No DMI table found.
> Found chipset "Intel Gemini Lake".
> Enabling flash write... SPI Configuration is locked down.
> FREG0: Flash Descriptor region (0x00000000-0x00000fff) is read-only.
> FREG1: BIOS region (0x00001000-0x00efefff) is read-write.
> FREG5: Device Expansion region (0x00eff000-0x00ffffff) is locked.

[...]

> Dann gibt es die Management Engine region hier gar nicht.

Sieht so aus. "FREG5: Device Expansion region" dürfte ROM für eine GPU
oder ein anderes PCIe-Gerät (NVMe-SSD?) sein.

--
Gerald

[Marco Moock]

Am 13.08.2023 um 17:21:00 Uhr schrieb Gerald E¡scher:

> Sieht so aus. "FREG5: Device Expansion region" dürfte ROM für eine GPU
> oder ein anderes PCIe-Gerät (NVMe-SSD?) sein.

Ich habe weder ne dedizierte Grafikkarte noch ne NVME-SSD.
Letztere kann man auch gar nicht einbauen.

[Bernd Mayer]

Am 13.08.23 um 19:41 schrieb Marco Moock:

Hallo,

möglicherweise kann dies das ROM für das M.2 Modul Key E sein.


Bernd Mayer

[Gerald E¡scher]

Marco Moock schrieb am 13/8/2023 19:41:

> Am 13.08.2023 um 17:21:00 Uhr schrieb Gerald E¡scher:
>
>> Sieht so aus. "FREG5: Device Expansion region" dürfte ROM für eine GPU
>> oder ein anderes PCIe-Gerät (NVMe-SSD?) sein.
>
> Ich habe weder ne dedizierte Grafikkarte noch ne NVME-SSD.

Ist ja nur eine Vermutung meinerseits. Kann ja für die iGPU sein oder
ein RAID oder wird nicht verwendet oder ...

> Letztere kann man auch gar nicht einbauen.

Konnte man auf einer PCIe-Karte einbauen, wäre wegen PCIe 2.0 x1
aber nicht schneller als eine SATA-SSD.

--
Gerald

[Gerald E¡scher]

Bernd Mayer schrieb am 13/8/2023 20:53:

> Am 13.08.23 um 19:41 schrieb Marco Moock:
>> Am 13.08.2023 um 17:21:00 Uhr schrieb Gerald E¡scher:
>>
>>> Sieht so aus. "FREG5: Device Expansion region" dürfte ROM für eine GPU
>>> oder ein anderes PCIe-Gerät (NVMe-SSD?) sein.
>>
>> Ich habe weder ne dedizierte Grafikkarte noch ne NVME-SSD.
>> Letztere kann man auch gar nicht einbauen.
>

> möglicherweise kann dies das ROM für das M.2 Modul Key E sein.

Glaube ich eher nicht, da kann man je beliebige WLAN-Module hinein
stecken.

--
Gerald