it-swarm.com.de

Was kann ich gegen die Intel Management Engine tun?

Ich habe kürzlich über die Intel ME (Management Engine) gelesen, ein spezieller Bereich für neue Intel-Prozessoren, der die vollständige Kontrolle über den Computer hat. Niemand weiß genau, was es enthält, und es gibt viele Sicherheitsbedenken. Ich habe hier davon erfahren:
https://stallman.org/intel.html

Was kann ich dagegen tun? Gibt es Möglichkeiten, dies zu stoppen, oder ist es hoffnungslos?

30
888

Verwenden Sie nicht die integrierte Netzwerkkarte. Auf diese Weise greift ME auf das Internet zu. Verwenden Sie stattdessen ein USB-LAN-Gerät oder sogar ein Gerät, das an einen PCI-Steckplatz angeschlossen ist - ME weiß nicht, wie man sie verwendet!

7
burrito

Sie können me_cleaner verwenden, um alle bis auf die wichtigsten Teile des ME zu löschen. Das ist natürlich nicht ohne Risiken.

Der NSA ließ Intel einen Killswitch dafür installieren ; Möglicherweise können Sie Ihren OEM dazu bringen, dies mit einem speziellen BIOS-Update für Sie zu aktivieren (oder Sie können dies möglicherweise Einige OEMs (Purism, System76 und Dell) bieten dies nach der Sicherheitsanfälligkeit 2017 als Option für bestimmte Computer an.

7
Miles B Huff

Sie können versuchen, die AMT-Funktion in Ihrem BIOS zu deaktivieren.

  1. Gehen Sie zu "Erweiterte Chipsatzfunktionen" und dann zu "Intel AMT" (der genaue Wortlaut kann für Sie unterschiedlich sein) und setzen Sie ihn auf "Deaktiviert". Speichern und beenden Sie Ihr BIOS.

  2. Wenn sich Ihr Computer wieder einschaltet, drücken Sie Strg + P, um das AMT-Menü aufzurufen, und setzen Sie "Intel ME Control State" auf "Disabled".

Niemand außerhalb von Intel weiß jedoch genau, was diese Schalter tun und ob AMT sich selbst wieder aktivieren kann, ohne dass Sie es wissen, ist eine andere Frage (es gibt viele Gerüchte darüber, aber ich bleibe neutral, bis wir wissen Sie sicher. Zumindest sind Sie (meistens) sicher, solange Sie nicht mit dem Internet verbunden sind.).

Eine andere Möglichkeit besteht darin, nur Pre-AMT-Hardware zu verwenden.

Quoth Intel :

In viele Intel® Chipsatz-basierte Plattformen ist ein kleines Computersubsystem mit geringem Stromverbrauch integriert, das als Intel® Management Engine (Intel® ME) bezeichnet wird. Dies führt verschiedene Aufgaben aus, während sich das System im Ruhezustand befindet, während des Startvorgangs und wenn Ihr System ausgeführt wird. Es ist wichtig, dass dieses Subsystem ordnungsgemäß funktioniert, um die bestmögliche Leistung und Leistungsfähigkeit Ihres PCs zu erzielen. Dieses Dienstprogramm überprüft, ob das Intel® ME-Subsystem ausgeführt wird und ordnungsgemäß mit dem Betriebssystem kommuniziert. Dies kann dem System-Builder und dem Benutzer ein gutes Gefühl dafür vermitteln, dass Intel® ME im Falle eines Systemstarts oder eines Leistungsproblems nicht die Problemstelle ist.

6
Lester T.

Laut LibreBoot's FAQ sind Intel-CPUs nicht die einzigen Chips mit dieser "Funktion" - AMD hat so etwas. Wer besonders sicher sein will, verwendet einfach keine modernen CPUs. Keine der auf der LibreBoot-Website aufgeführten CPUs ist mit Intel ME ausgestattet.

4
gmlox

Vollständig und dauerhaft (sofern Sie es nicht erneut installieren) Deaktivieren Sie die Intel Active Management-Technologie, die Intel Small Business-Technologie und die Intel Standard-Verwaltbarkeit unter Windows . Dies sind Komponenten der Intel Management Engine-Firmware. Während Intel ME noch ausgeführt wird, sind die Windows-Treiber deaktiviert und Intel ME kann nicht mehr auf Windows zugreifen.

1) Laden Sie die Intel Setup- und Konfigurationssoftware (Intel SCS) herunter und extrahieren Sie sie.

2) Öffnen Sie ein Administratorbefehl Eingabeaufforderung und navigieren Sie zu dem Ort, an dem Sie die Dateien in Schritt 1 extrahiert haben

  • run cd Configurator

3) Führen Sie im Befehl Eingabeaufforderung ACUConfig.exe UnConfigure Aus. Wenn Sie eine Fehlermeldung erhalten, versuchen Sie eine der folgenden Optionen:

  • Dekonfigurieren eines Systems in ACM ohne RCS-Integration: ACUConfig.exe UnConfigure /AdminPassword <password> /Full

  • Dekonfigurieren eines Systems mit RCS-Integration: ACUConfig.exe UnConfigure /RCSaddress <RCSaddress> /Full

4) Deaktivieren und/oder entfernen Sie noch im Befehl Eingabeaufforderung LMS (Intel Management and Security Application Local Management Service):

  • sc config LMS start=disabled
  • sc delete LMS
  • führen Sie auch sc qc LMS aus, um entweder den Pfad zu LMS.exe oder FAIL anzuzeigen. Wenn der Pfad angezeigt wird, löschen Sie ihn mit dem Explorer. Wenn es fehlgeschlagen ist, seien Sie nicht besorgt.

5) Starten Sie neu

6) Überprüfen Sie, ob die IANA-Ports (Intel ME Internet Assigned Names Authority) auf dem Client noch von einem Socket überwacht werden: 16992, 16993, 16994, 16995, 623 und 664 (Sie können dies auch vor Ihnen tun Überprüfen Sie, ob es zuhört. Intel ME hört zu, auch wenn die Intel AMT-Benutzeroberfläche anzeigt, dass Intel ME "nicht konfiguriert" ist

  • führen Sie in einer Eingabeaufforderung (muss nicht erhöht werden muss) netstat -na | findstr "\<16993\> \<16992\> \<16994\> \<16995\> \<623\> \<664\>" aus.

7) Die Intel AMT-Benutzeroberfläche sollte jetzt "Informationen auf beiden verbleibenden Registerkarten nicht verfügbar" anzeigen (Sie hatten möglicherweise 3 oder mehr Registerkarten, bevor Sie die obigen Schritte ausgeführt haben)

(enter image description hereenter image description here

Voilá, Sie haben Intel AMT losgeworden. Und Sie haben das Richtige getan , insbesondere nach dem 2017-05-01 Privileg Eskalationsproblem .

Von diesem Quelle (Haftungsausschluss, es ist mein eigener Blog)

3
Gaia