Hallo Forum,
vielleicht gibt es hier ja einen Experten für AMT auf ThinkPads, der kurz seinen Senf dazu geben kann:
Ich habe mir vor kurzem ein (gebrauchtes) ThinkPad T420 als Ersatz für mein T400 gekauft. Nachdem ich auf diesem Windows 7 prof. x64 (MSDNAA ISO Image), alle Treiber (Lenovo System Update) und Windows Updates neu installiert hatte, fielen mir die üblichen Intel AMT Geräte im Gerätemanager auf.
Da ich keine Verwendung für AMT habe, dachte ich mir, ich deaktiviere das ganze einfach im BIOS. Gesagt, getan: BIOS aufgerufen, den Punkt "Intel (R) AMT Control" gesucht und verwundert festgestellt, dass hier bereits Disabled ausgewählt ist. Anscheinend aktiviert / deaktiviert man bei Lenovo im BIOS nur die Möglichkeit, per Ctrl + P auf MEBx (also das Interface der ME Firmware) zuzugreifen. Ich habe daraufhin die BIOS Option "enabled" und im MEBx die Option "Manageability Feature Selection" auf "Disabled" gesetzt. Danach war dann tatsächlich eins der beiden Geräte im Gerätemanager verschwunden und das Intel Tool "Management and Security Status" meldet ein deaktiviertes AMT (Bestätigt durch "MEInfoWin"). Da ich grundsätzlich skeptisch bin, habe ich im Webbrowser den Port 16992 des localhost aufgerufen und musste leider feststellen, dass immer noch der Webserver des AMT antwortet. Zwar mit dem Hinweis, das der Webzugriff auf AMT deaktiviert ist, aber hey: Was soll das?! Nun ja, dies lies sich durch deaktivieren des Dienstes "Intel(R) Management and Security Application Local Management Service" beheben, auch eine kurzer Test mit einem Live Linux System zeigte, dass dies anscheinend nur ein Windows Dienst ist, der dort antwortet und nicht die Firmware selber.
Schön, dachte ich mir, dann kann ich ja die Zugriffsmöglichkeit auf MEBx per Ctrl + P wieder deaktivieren (was übrigens auch die BIOS default Einstellung ist). Also, "Intel (R) AMT Control" wieder "disabled" und den Rechner neu gestartet. Das BIOS spuckt dann auch noch kurz die Meldung "Intel ME unconfiguration in progress..." aus (hört sich doch gut an!), gefolgt von ein paar Zeilen Text die jedoch nur so kurz aufblitzen, dass ich sie erst später dank abgefilmtem Bildschirm lesen konnte ("Intel (R) AMT enabled", "Intel (R) AMT not configured"). Lange Rede, kurzer Sinn: Das Windows Intel Tool zeigt nun wieder an, dass Intel AMT aktiv ist... Anscheinend wird nach einem "disablen" im BIOS das MEBx wieder resettet (nach erneutem "enablend" gilt dort auch wieder das Standard Passwort "admin) und damit AMT wieder aktiviert.
Besonders ärgerlich ist, dass sowohl das Setzen der BIOS Option "Intel (R) AMT Control" auf "Disabled" als auch die daraufhin erscheinende Meldung "Intel ME unconfiguration in progress..." beim etwas weniger skeptischen User die Hoffnung wecken, dass AMT deaktiviert wurde (dies ist auch eine häufig in diversen Foren beschriebene Vorgehensweise, um AMT auf ThinkPads zu deaktiveren...).
Nun meine Frage an eventuell hier anwesende AMT Kenner:
Ist die Methode, im BIOS "Intel (R) AMT Control" auf "Enabeld" zu lassen, dann im MEBx "Manageability Feature Selection" auf "Disabled" zu setzen und im Windows jegliche Intel AMT Software zu deinstallieren ausreichend, um AMT vollständig zu deaktivieren?
Leider kann ich den Lenovo Support hierzu nicht kontaktieren, da mein T420 bereits aus der Garantie ist. Allerdings würde ich dort vermutlich eh nur eine Standard Textbaustein Antwort eines Call Center Mitarbeiters erhalten. Eine Nachfrage im Lenovo Forum blieb leider unbeantwortet (https://forums.lenovo.com/t5/ThinkP...-completely-deactivate-Intel-AMT/td-p/2131366). Im Forum der "Intel Developer Zone" habe ich meine Anfrage auch gestellt (https://software.intel.com/en-us/forums/topic/563988), wurde dann aber an Lenovo verwiesen...
Vielen Dank,
Simon
P.S. Bevor jetzt hier irgendwelche sarkastischen "Oh man, stell Dich nicht so an, die NSA weis eh alles über Dich" Kommentare kommen: Intel AMT ist alles andere als sicher (siehe z.B. https://people.kth.se/~maguire/DEGREE-PROJECT-REPORTS/100402-Vassilios_Ververis-with-cover.pdf). Besonders schwer wiegt dabei meiner Meinung nach, dass die meisten User gar nicht wissen, dass es standardmäßig aktiv ist und sich somit auch nicht um regelmäßige Updates der Firmware kümmern. Auf meinem T420 mit aktuellem BIOS (1.46) lief z.B. die Version 7.1.13.1088, aktuell ist aber momentan Version 7.1.86.1221. In der Zwischenzeit gab es min. zwei als "Important" gekennzeichnete Updates mit sicherheitsrelevantem Hintergrund (https://download.lenovo.com/ibmdl/pub/pc/pccbbs/mobiles/83rf45ww.txt) die auf den wenisten T420 installiert sein drüften.
vielleicht gibt es hier ja einen Experten für AMT auf ThinkPads, der kurz seinen Senf dazu geben kann:
Ich habe mir vor kurzem ein (gebrauchtes) ThinkPad T420 als Ersatz für mein T400 gekauft. Nachdem ich auf diesem Windows 7 prof. x64 (MSDNAA ISO Image), alle Treiber (Lenovo System Update) und Windows Updates neu installiert hatte, fielen mir die üblichen Intel AMT Geräte im Gerätemanager auf.
Da ich keine Verwendung für AMT habe, dachte ich mir, ich deaktiviere das ganze einfach im BIOS. Gesagt, getan: BIOS aufgerufen, den Punkt "Intel (R) AMT Control" gesucht und verwundert festgestellt, dass hier bereits Disabled ausgewählt ist. Anscheinend aktiviert / deaktiviert man bei Lenovo im BIOS nur die Möglichkeit, per Ctrl + P auf MEBx (also das Interface der ME Firmware) zuzugreifen. Ich habe daraufhin die BIOS Option "enabled" und im MEBx die Option "Manageability Feature Selection" auf "Disabled" gesetzt. Danach war dann tatsächlich eins der beiden Geräte im Gerätemanager verschwunden und das Intel Tool "Management and Security Status" meldet ein deaktiviertes AMT (Bestätigt durch "MEInfoWin"). Da ich grundsätzlich skeptisch bin, habe ich im Webbrowser den Port 16992 des localhost aufgerufen und musste leider feststellen, dass immer noch der Webserver des AMT antwortet. Zwar mit dem Hinweis, das der Webzugriff auf AMT deaktiviert ist, aber hey: Was soll das?! Nun ja, dies lies sich durch deaktivieren des Dienstes "Intel(R) Management and Security Application Local Management Service" beheben, auch eine kurzer Test mit einem Live Linux System zeigte, dass dies anscheinend nur ein Windows Dienst ist, der dort antwortet und nicht die Firmware selber.
Schön, dachte ich mir, dann kann ich ja die Zugriffsmöglichkeit auf MEBx per Ctrl + P wieder deaktivieren (was übrigens auch die BIOS default Einstellung ist). Also, "Intel (R) AMT Control" wieder "disabled" und den Rechner neu gestartet. Das BIOS spuckt dann auch noch kurz die Meldung "Intel ME unconfiguration in progress..." aus (hört sich doch gut an!), gefolgt von ein paar Zeilen Text die jedoch nur so kurz aufblitzen, dass ich sie erst später dank abgefilmtem Bildschirm lesen konnte ("Intel (R) AMT enabled", "Intel (R) AMT not configured"). Lange Rede, kurzer Sinn: Das Windows Intel Tool zeigt nun wieder an, dass Intel AMT aktiv ist... Anscheinend wird nach einem "disablen" im BIOS das MEBx wieder resettet (nach erneutem "enablend" gilt dort auch wieder das Standard Passwort "admin) und damit AMT wieder aktiviert.
Besonders ärgerlich ist, dass sowohl das Setzen der BIOS Option "Intel (R) AMT Control" auf "Disabled" als auch die daraufhin erscheinende Meldung "Intel ME unconfiguration in progress..." beim etwas weniger skeptischen User die Hoffnung wecken, dass AMT deaktiviert wurde (dies ist auch eine häufig in diversen Foren beschriebene Vorgehensweise, um AMT auf ThinkPads zu deaktiveren...).
Nun meine Frage an eventuell hier anwesende AMT Kenner:
Ist die Methode, im BIOS "Intel (R) AMT Control" auf "Enabeld" zu lassen, dann im MEBx "Manageability Feature Selection" auf "Disabled" zu setzen und im Windows jegliche Intel AMT Software zu deinstallieren ausreichend, um AMT vollständig zu deaktivieren?
Leider kann ich den Lenovo Support hierzu nicht kontaktieren, da mein T420 bereits aus der Garantie ist. Allerdings würde ich dort vermutlich eh nur eine Standard Textbaustein Antwort eines Call Center Mitarbeiters erhalten. Eine Nachfrage im Lenovo Forum blieb leider unbeantwortet (https://forums.lenovo.com/t5/ThinkP...-completely-deactivate-Intel-AMT/td-p/2131366). Im Forum der "Intel Developer Zone" habe ich meine Anfrage auch gestellt (https://software.intel.com/en-us/forums/topic/563988), wurde dann aber an Lenovo verwiesen...
Vielen Dank,
Simon
P.S. Bevor jetzt hier irgendwelche sarkastischen "Oh man, stell Dich nicht so an, die NSA weis eh alles über Dich" Kommentare kommen: Intel AMT ist alles andere als sicher (siehe z.B. https://people.kth.se/~maguire/DEGREE-PROJECT-REPORTS/100402-Vassilios_Ververis-with-cover.pdf). Besonders schwer wiegt dabei meiner Meinung nach, dass die meisten User gar nicht wissen, dass es standardmäßig aktiv ist und sich somit auch nicht um regelmäßige Updates der Firmware kümmern. Auf meinem T420 mit aktuellem BIOS (1.46) lief z.B. die Version 7.1.13.1088, aktuell ist aber momentan Version 7.1.86.1221. In der Zwischenzeit gab es min. zwei als "Important" gekennzeichnete Updates mit sicherheitsrelevantem Hintergrund (https://download.lenovo.com/ibmdl/pub/pc/pccbbs/mobiles/83rf45ww.txt) die auf den wenisten T420 installiert sein drüften.
Zuletzt bearbeitet: