Am 15.04.22 um 22:03 schrieb Arno Welzel:
> Gerald E¡scher:
>
>> Kay Martinen schrieb am 15/4/2022 19:52:
>>>
>>> Die IME kann man nur "ändern"
>>> wenn man das Kennwort hat oder? Aus schalten ist m.W. nicht vorgesehen.
>>
>> Die Intel ME dient zur Fernwartung und lässt sich selbstverständlich
>> ausschalten. WIMRE muss die ganz im Gegenteil im BIOS-Setup erst
>> eingeschaltet werden.
Was sie; bei Firmen-PCs; sicherlich von Haus aus sein wird. Außerdem las
ich berichte das sie auch im Angeblich ausgeschalteten Zustand noch
aktiv ist. Und sich damit prinzipiell in alles einmischen könnte. Die
Bugs werden da schon ihr Feature finden. :-/
<
https://de.wikipedia.org/wiki/Intel_Active_Management_Technology#Sicherheitsl%C3%BCcken>
> Nicht ganz. Ohne ME würde das System nicht starten. Man kann maximal die
> Fernwartung (AMT) abschalten.
Weil AFAIR im BIOS mehrere gepackte Firmware-BLOBs mit IME-Bezug stecken
die bei jedem Start zwangsweise aktiviert werden?
Ich habe hier einen Wortmann Terra PC mit Intel Mainboard (core 2, IMHO
i965 Chipset) der gebraucht 3.Hand aus einer Firma kam. Die IME ist dort
"möglicherweise" immer noch aktiv und im BIOS gibt es nur einen
Menüpunkt dazu. Der erfordert aber ein Kennwort das ich nicht habe. Und
das vermutlich generisch ist also würde die Firma aus der er stammt es
auch kaum raus rücken wenn ich fragen würde/könnte. Ergo: Kein
Kennwort=Kein Einfluß=Unsicher by Design. Mein Fazit.
Versuche mit einem wireshark auf diesem System evtl. an der integrierten
NIC auftretende Datenpakete anderer "Herkunft" zu finden schlugen fehl.
Liegt das nun an der Implementation der IME mit Shared Port, habe ich
den sniffer nicht lange genug laufen lassen (bei wem wollte/sollte sich
die IME denn melden wollen) oder muß ich das Nicht-finden als gläubiges
Nicht-Aktivsein interpretieren.
Das ist genau die Ungewißheit und Unglaubwürdigkeit die solche
Technologien wie IME, TPM u.a. produzieren.
Man muß alles glauben, kann aber nichts selbst genau nachprüfen.
Da ziehe ich eine HP (r)ILO doch vor. Von der alten r-Variante abgesehen
ist die auch komplett integriert. Von Design-mängel (da war mal was mit
"versehentlich" Shared Port) mal abgesehen kann man die von Shared Port
auf ihren eigenen vorhandenen LAN port umstellen und ohne extra Lizenz
kann die nicht mal eine Remote-Shell exportieren. Und bei bedarf kann
man die Logisch (hp-ilo) oder physisch (Jumper on Board) zurück setzen
und kommt mit den Aufgedruckten Daten wieder hinein. Abschalten kann man
sie m.W. nicht - aber ignorieren.
Den Dedizierten Management Port kann man dann entweder nicht, sporadisch
oder im Separaten LAN Segment nutzen - dem man eh die WAN Konnektivität
entziehen sollte. Jedenfalls Privat oder im kleinen Rahmen die beste Option.