T4xx (T400-450 ohne "T440s/T450s") Intel AMT auf T420 vollständig deaktivieren

[Cyrix]

Hat bisher jemand eine Möglichkeit zum Blocken von Intel-AMT gefunden, ggf. über das OS selbst? Denn im deaktiviertem Zustand gibts ja bekanntlich Probleme bei einigen Modellen (siehe oben), trotz aktuellem Bios und neuster ME-Firmware. Reichen vielleicht bestimmte Einstellungen im MEBX aus, um AMT unschädlich zu machen, ohne es zu deaktivieren?

Grüße
Cyrix

 

[ThinkBrett]

Ich versuche eben gemäß den vorausgegangenen Hinweisen AMT auf einem T520 zu deaktivieren. AMT ist im BIOS enabled.

Mittels "Strg+P" beim Bootscreen komme ich in das AMT-Verwaltungsmenü, welches ein Passwort verlangt. Nach Eingabe von "admin" wird aber sofort ein neues Passwort verlangt. Nach mehreren Versuchen mit verschiedenen neuen Passwort-Vorschlägen erscheint aber immer die Meldung "Passwort change rejected" - ich komme also nicht in das Intel-AMT-Konfigurationsmenü hinein.

Riesenmist dieser Intel-AMT-Kram, wenn man diese Funktionen nicht benötigt und deaktivieren will.

Warum gibt es von Lenovo keinen Patch, der dies dem Privatuser problemlos ermöglicht?

EDIT: Nach ein wenig Recherche habe ich folgendes gefunden. Das neue Passwort unterliegt also bestimmten Konventionen, welche ich nicht eingehalten habe, werde es gleich nochmals neu versuchen.

->Ich bin drin! Aber da komme ich wirklich nicht weiter; was muss ich dort wo einstellen, um AMT und alles weitere (?) nicht benötigte Intel-Zeugs zu deaktivieren?

 

[Daniel.A.Maierhofer]

Mit diesen Einstellungen habe ich es auf einem T420 mit aktuellster ME Firmware Version 7.1.86.1221 (5MB) geschafft, den Web-Server zu deaktivieren:
https://thinkpad-forum.de/threads/1...-Bios-inside?p=2024498&viewfull=1#post2024498

 

[deckel]

Wow
und ich dachte ich hätte mich nach der Nummer noch nicht genug über Intel aufgeregt.
War gerade dabei mir ein passendes T430 zu suchen und bekomme schon wieder die Shoppinglaune vermiest.
Hat schon jemand die Deaktivierung mit einem T430 getestet?

Wie bereits oben erwähnt scheint AMT Bestandteil von vPro zu sein -> wiki.
Über ArkIntel kann man relativ gut filter. Wenn man aber die unten stehende Liste für vPro freie mobil Prozessoren der dritten Generation betrachtet, die einen rPGA Sockel haben ist die Auswahl nicht so prickelnd. Bei den unten genannten fehlt übrigens auch Vt-d. Die einzigen Prozessoren die Vt-d ohne vPro bieten sind die lowvoltage Modelle mit Endung Y oder U. Die sind aber afaik nicht verpflanzbar.

i7-3610QM
i7-3612QM
i7-3630QM
i7-3632QM
i5-3210M

- - - Beitrag zusammengeführt - - -

In diesem Text wieder in Kapitel 4 noch ein wenig auf ME, AMT und vPro eingegangen.

- - - Beitrag zusammengeführt - - -

Mit diesen Einstellungen habe ich es auf einem T420 mit aktuellster ME Firmware Version 7.1.86.1221 (5MB) geschafft, den Web-Server zu deaktivieren:
https://thinkpad-forum.de/threads/17...=1#post2024498

Danke für den Beitrag!
Das ist ja schade, dass man Vt-d deaktivieren muss um den AMT-Webserver auszubekommen.

 

[ThinkX]

Theoretisch ließe sich der AMT-Mist unschädlich machen, wenn man eine Nicht-Intel-Netzwerkkarte verwenden würde. Beim LAN ist das eher schwer machbar, beim WLAN hingegen schon. Siehe dazu auch:

https://www.fsf.org/blogs/community/active-management-technology

 

[Cyrix]

Verwendet man ein Modbios mit Advanced Menü, kann man unterschiedlichen AMT-Komponenten deaktivieren:

Config
    Intel AMT
        enabled (disabled = BIOS Interface disabled but AMT enabled!)
Security
    Anti-Theft
        Intel AT Module Activation - disabled
        Computrace Module Activation - disabled
Advanced
    AMT Configuration
        Intel AMT SPI Protected - enabled
        Intel AMT Password Write - enabled
        USB Provisioning - disabled
        USB-R Feature - disabled

Quelle hier: https://thinkpad-forum.de/threads/1...-Bios-inside?p=2024498&viewfull=1#post2024498

Grüße
Cyrix

 

[haarp]

In meinem W530 mit Mod-BIOS kann ich sogar die Intel ME ganz abschalten. Habe mich das aber bisher noch nicht getraut zu testen.

 

[deckel]

Mit diesen Einstellungen habe ich es auf einem T420 mit aktuellster ME Firmware Version 7.1.86.1221 (5MB) geschafft, den Web-Server zu deaktivieren:
https://thinkpad-forum.de/threads/17...=1#post2024498

Zu deiner Ausführung dort hätte ich noch zwei Fragen:
Der Eintrag "Network Boot - ATA HDD0" verwirrt mich etwas, hast du als Priorität Netzwerkboot>interne HDD eingestellt?
Diese User-Opt-Ins bzw Opt-In-events, hast du da schon rausgefunden was es ist? Ich werde aus den Quellen die ich bisher finden konnte nicht wirklich schlau.

 

[Daniel.A.Maierhofer]

Ehrlich gesagt, weiß ich nicht genau, was es mit Network Boot auf sich hat, ich habe mir aber gedacht, dass ich da anstatt eines potentiell unheilbringenden USB-Stick die interne Festplatte, auf der das OS ist, auswähle.

User-Consent Opt-In bedeuted, ob der Benutzer darüber (mit einem roten Rand am Monitor) informiert werden soll, wenn jemand Remote auf den PC zugreift.
Wenn er Opt-In All hat, dann würde er nicht informiert werden. Diese Einstellung ist lustigerweise aus der Ferne veränderbar. - D

PS.:
Nachdem man ein eigenes (ausreichend komplexes) Passwort gesetzt hat, kann man "Intel AMT Password Write" auf disabled setzen.

 

[deckel]

Ehrlich gesagt, weiß ich nicht genau, was es mit Network Boot auf sich hat, ich habe mir aber gedacht, dass ich da anstatt eines potentiell unheilbringenden USB-Stick die interne Festplatte, auf der das OS ist, auswähle.

Kann man das nicht einfach deaktivieren? Kann gerade nicht nachgucken aber bin mir relativ sicher, dass man Networkboot irgendwo im BIOS ausschalten kann. Ich nehme mal es ist das Booten übers Netzwerk.

 

[asc]

In meinem W530 mit Mod-BIOS kann ich sogar die Intel ME ganz abschalten. Habe mich das aber bisher noch nicht getraut zu testen.

Ich habe noch Garantie auf das Gerät deshalb will ich nicht mit Mod. Bios rumspielen. Was habe ich für einen AMT Zustand wenn ich nur die Treiberdatei TeeDriverW8x64.sys manuell über den Gerätemanger installiere und sonst nichts ?
Dann ist auf jeden Fall das Ausrufzeichen im Gerätemanger weg.

 

[SimonSt]

Sorry wenn ich hier diesen vor einer gefühlten Ewigkeit von mir gestarteten Thread wieder ausgrabe, aber ich glaube, das passt ganz gut hierher.

Ich bin heute beim Lesen der Readme zum aktuellen T420 BIOS (1.52) bzw. eigentlich beim Recherchieren, was sich bei Version 1.51 so alles geändert hat, auf diese Lenovo Seite gestoßen:
https://support.lenovo.com/lu/en/solutions/len-19568

Dort steht doch tatsächlich:

Option 2: Permanently disable AMT, which is supported on ThinkPad systems through the “Intel (R) AMT Control” BIOS setting.

Hat sich da was geändert, oder weiß Lenovo tatsächlich nicht, dass dadurch AMT nicht deaktiviert wird?

Danke und besten Gruß,

Simon