T4xx (T400-450 ohne "T440s/T450s") Intel AMT auf T420 vollständig deaktivieren

SimonSt

Member
Themenstarter
Registriert
30 Juli 2007
Beiträge
181
Hallo Forum,

vielleicht gibt es hier ja einen Experten für AMT auf ThinkPads, der kurz seinen Senf dazu geben kann:

Ich habe mir vor kurzem ein (gebrauchtes) ThinkPad T420 als Ersatz für mein T400 gekauft. Nachdem ich auf diesem Windows 7 prof. x64 (MSDNAA ISO Image), alle Treiber (Lenovo System Update) und Windows Updates neu installiert hatte, fielen mir die üblichen Intel AMT Geräte im Gerätemanager auf.
Da ich keine Verwendung für AMT habe, dachte ich mir, ich deaktiviere das ganze einfach im BIOS. Gesagt, getan: BIOS aufgerufen, den Punkt "Intel (R) AMT Control" gesucht und verwundert festgestellt, dass hier bereits Disabled ausgewählt ist. Anscheinend aktiviert / deaktiviert man bei Lenovo im BIOS nur die Möglichkeit, per Ctrl + P auf MEBx (also das Interface der ME Firmware) zuzugreifen. Ich habe daraufhin die BIOS Option "enabled" und im MEBx die Option "Manageability Feature Selection" auf "Disabled" gesetzt. Danach war dann tatsächlich eins der beiden Geräte im Gerätemanager verschwunden und das Intel Tool "Management and Security Status" meldet ein deaktiviertes AMT (Bestätigt durch "MEInfoWin"). Da ich grundsätzlich skeptisch bin, habe ich im Webbrowser den Port 16992 des localhost aufgerufen und musste leider feststellen, dass immer noch der Webserver des AMT antwortet. Zwar mit dem Hinweis, das der Webzugriff auf AMT deaktiviert ist, aber hey: Was soll das?! Nun ja, dies lies sich durch deaktivieren des Dienstes "Intel(R) Management and Security Application Local Management Service" beheben, auch eine kurzer Test mit einem Live Linux System zeigte, dass dies anscheinend nur ein Windows Dienst ist, der dort antwortet und nicht die Firmware selber.
Schön, dachte ich mir, dann kann ich ja die Zugriffsmöglichkeit auf MEBx per Ctrl + P wieder deaktivieren (was übrigens auch die BIOS default Einstellung ist). Also, "Intel (R) AMT Control" wieder "disabled" und den Rechner neu gestartet. Das BIOS spuckt dann auch noch kurz die Meldung "Intel ME unconfiguration in progress..." aus (hört sich doch gut an!), gefolgt von ein paar Zeilen Text die jedoch nur so kurz aufblitzen, dass ich sie erst später dank abgefilmtem Bildschirm lesen konnte ("Intel (R) AMT enabled", "Intel (R) AMT not configured"). Lange Rede, kurzer Sinn: Das Windows Intel Tool zeigt nun wieder an, dass Intel AMT aktiv ist... Anscheinend wird nach einem "disablen" im BIOS das MEBx wieder resettet (nach erneutem "enablend" gilt dort auch wieder das Standard Passwort "admin) und damit AMT wieder aktiviert.
Besonders ärgerlich ist, dass sowohl das Setzen der BIOS Option "Intel (R) AMT Control" auf "Disabled" als auch die daraufhin erscheinende Meldung "Intel ME unconfiguration in progress..." beim etwas weniger skeptischen User die Hoffnung wecken, dass AMT deaktiviert wurde (dies ist auch eine häufig in diversen Foren beschriebene Vorgehensweise, um AMT auf ThinkPads zu deaktiveren...).

Nun meine Frage an eventuell hier anwesende AMT Kenner:
Ist die Methode, im BIOS "Intel (R) AMT Control" auf "Enabeld" zu lassen, dann im MEBx "Manageability Feature Selection" auf "Disabled" zu setzen und im Windows jegliche Intel AMT Software zu deinstallieren ausreichend, um AMT vollständig zu deaktivieren?

Leider kann ich den Lenovo Support hierzu nicht kontaktieren, da mein T420 bereits aus der Garantie ist. Allerdings würde ich dort vermutlich eh nur eine Standard Textbaustein Antwort eines Call Center Mitarbeiters erhalten. Eine Nachfrage im Lenovo Forum blieb leider unbeantwortet (https://forums.lenovo.com/t5/ThinkP...-completely-deactivate-Intel-AMT/td-p/2131366). Im Forum der "Intel Developer Zone" habe ich meine Anfrage auch gestellt (https://software.intel.com/en-us/forums/topic/563988), wurde dann aber an Lenovo verwiesen...

Vielen Dank,

Simon

P.S. Bevor jetzt hier irgendwelche sarkastischen "Oh man, stell Dich nicht so an, die NSA weis eh alles über Dich" Kommentare kommen: Intel AMT ist alles andere als sicher (siehe z.B. https://people.kth.se/~maguire/DEGREE-PROJECT-REPORTS/100402-Vassilios_Ververis-with-cover.pdf). Besonders schwer wiegt dabei meiner Meinung nach, dass die meisten User gar nicht wissen, dass es standardmäßig aktiv ist und sich somit auch nicht um regelmäßige Updates der Firmware kümmern. Auf meinem T420 mit aktuellem BIOS (1.46) lief z.B. die Version 7.1.13.1088, aktuell ist aber momentan Version 7.1.86.1221. In der Zwischenzeit gab es min. zwei als "Important" gekennzeichnete Updates mit sicherheitsrelevantem Hintergrund (https://download.lenovo.com/ibmdl/pub/pc/pccbbs/mobiles/83rf45ww.txt) die auf den wenisten T420 installiert sein drüften.
 
Zuletzt bearbeitet:
Besonders schwer wiegt dabei meiner Meinung nach, dass die meisten User gar nicht wissen, dass es standardmäßig aktiv ist und sich somit auch nicht um regelmäßige Updates der Firmware kümmern.

Hallo Simon

Zu diesen Usern gehöre ich auch und ich werde diesen Thread mit großem Interesse verfolgen.

Gruß und Danke
Michael
 
Ich ergänze meine Frage dann nochmal etwas: Wie kann man Intel AT (Anti-Theft) deaktivieren? Anscheinend hat die Deaktivierung im BIOS...

Intel_AT_deactivated_BIOS.jpg

...keinen Einfluss auf den tatsächlichen Status der Funktion:

Intel_Managment_and_Security_Status_AMT_deactivated_small.png
 
Auch wenn die Resonanz hier leider sehr gering war, hier noch mal aktuelle Infos zu dem Thema: http://www.heise.de/newsticker/meld...i-Intels-Fernwartungstechnik-AMT-2792791.html
Passende Info des CERT dazu: https://www.cert-bund.de/advisoryshort/CB-K15-1256

Zitat des heise Artikels: "Doch bei manchen BIOS-Versionen, also manchen Systemen, reicht selbst das nicht: Sie setzen nämlich wieder das Default-Passwort ein, wenn man AMT per BIOS-Setup abschaltet. Für diesen Fall gibt das BSI keine Handlungsempfehlung."

Genau das ist die Situation beim T420 und anscheinend auch bei anderen Lenovo Geräten (-> http://forum.thinkpads.com/viewtopic.php?f=45&t=118602). Nur müsste es im Artikel für diese Geräte eigentlich heißen: "Sie setzen nämlich wieder das Default-Passwort ein und aktivieren AMT, wenn man das AMT-Interface per BIOS-Setup abschaltet".
 
Hi Simon,

alle Achtung was Du dir hier für arbeit machst. Aber anscheinend kann hier niemand ausreichende Kenntnisse beisteuern. Ich leider auch nicht, da ich technisch nicht ganz so versiert bin. Von Interesse wäre für mich nur, ob dieses von Dir beschriebene Verhalten unter Windows auch auf Linux übertragbar ist ? Oder reagiert Linux (Xubuntu) anders wenn die entsprechenden Optionen im BIOS deaktiviert sind ?

Danke & Gruß,
Frank
 
Hallo Frank,

Zitat Intel "With built-in manageability, Intel AMT allows IT to discover assets even while platforms are powered off"
(Quelle: http://www.intel.com/content/www/us...l?iid=technology_amtoverview+tabs_description)

Du kannst per AMT sogar aufs BIOS zugreifen (siehe auch Screenshot im c't Artikel), da spielt das OS vermutlich keine große Rolle ;-). Ansonsten google mal nach "Out-of-band system access".

Besten Gruß,

Simon
 
Gehst Du über DFÜ-Netzwerk ins Internet?
Oder hast Du Angst, daß ein Mitbewohner Zugriff erlangt?
Für gewöhnlich sitzt inzwischen jeder hinter einem Router. Damit ist der Rechner für Fremde quasi unsichtbar. Für den gewöhnlichen Homeuser also uninteressant, ob AMT aktiv ist. Zur Sicherheit könnte man im Router noch den Port 16992 sperren.
 
Gehst Du über DFÜ-Netzwerk ins Internet?
Oder hast Du Angst, daß ein Mitbewohner Zugriff erlangt?

Kommt ganz drauf an, wo ich mich gerade befinde! Ich verbinde mich regelmäßig mit größeren Netzwerken (Unis, Behörden, Firmennetzwerke, öffentliche Hotspots, usw.) auf die ich sowohl per WLAN als auch per Ethernet zugreife. Hin und wieder surfe ich auch mal per UMTS Stick. Auf die Konfiguration des Routers bzw. auf die der Rechner, die auf der "sicheren" Seite des Routers sitzen habe ich nur zu Hause Einfluss.
 
Bau einen CPU ohne vPro-Feature ein!

Ich habe einen i7 2670QM eingebaut und
mir werden keine AMT,... Einstellungen im BIOS angezeigt.
 
Am besten fänd ich, wenn man die ganzen Intel AMT Komponenten aus dem BIOS rauspatchen könnte, so ähnlich wie es mit der Whitelist gemacht wird.
 
Die verlinkte Master Thesis (von 2010!) ist ja sehr interessant. Nach kurzen Überfliegen sehe ich immer noch

  • Deaktivieren im BIOS, samt
  • Entfernen aller AMT-spezifischen Software aus dem Betriebssystem (Linux Default)
als die am wenigsten schlechte Variante an.

Es verbleiben dabei imho folgende Risiken/Angriffsszenarien:

  1. Evil Maid Attack: ein Angreifer mit physischem Zugriff auf das ThinkPad kann trotz BIOS-Passwort über das AMT Default Password "admin" auf AMT zugreifen – allerdings ist mir bei etwas Nachdenken nicht klar wie das vonstatten gehen soll ...?
  2. LAN: obwohl das Management Interface deaktiviert ist, verbleibt ZTC Remote Provisioning (Kap. 3.7, 3.7.6); jemand der einen "bösen" Provisioning Server in dem LAN betreibt, könnte die von AMT ausgesandten Requests abfangen und eine Fernkonfiguration vornehmen (Passwort s.o.)
  3. WLAN: da hier Mitwirkung des Betriebssystems nötig ist (Kap. 3.8), sollte sich dieses Risiko über das Entfernen von AMT-Software aus dem Betriebssystem ausschalten lassen

Zur Sicherheit könnte man im Router noch den Port 16992 sperren.
Deine Aussage ist unzutreffend und verwirrt Netzwerk-unerfahrene User nur. Bei einem NAT-Router (alle Home-Router) sperrt man keine Ports für von außen kommenden Traffic, da durch das NAT-ing ja schon alles abgeblockt wird. Ein Zugriff von außen auf das LAN – eben z.B. auf den AMT-Port 16992/tcp des ThinkPad – wäre nur möglich, falls man explizit ein Forwarding einrichtet.
 
Zuletzt bearbeitet:
[...]Deaktivieren im BIOS[...]

AMT kann (jedenfalls auf dem T420) NICHT im BIOS deaktiviert werden! Die BIOS Option "AMT Control" muss aktiviert und AMT dann im MEBx deaktiviert werden. Dies war ja überhaupt der Punkt, weswegen ich diesen Thread gestartet habe...

Am besten fänd ich, wenn man die ganzen Intel AMT Komponenten aus dem BIOS rauspatchen könnte, so ähnlich wie es mit der Whitelist gemacht wird.

Sehe ich genauso, ist anscheinend auch schon anderen Leuten durch den Kopf gegangen: https://www.bios-mods.com/forum/Thread-Disable-AMT
 
Unabhängig von der Art des "Deaktivierens" geht es doch stets um Remote Zugriff bzw. Angreifbarkeit. Wenn kein Port (nur 16992/tcp ?) offen ist, kann ich doch per LAN nicht zugreifen auf die Maschine – abgesehen von ZTC?

EDITH: weil in der Grundkonfiguration – egal ob im BIOS an oder aus – ist doch der Netzwerkzugriff nicht aktiviert.
 
Zuletzt bearbeitet:
Ersteinmal möchte ich SimonSt für seine Bemühungen danken, ohne diese wäre ich wohl nicht auf den Trichter gekommen all meine Thinkpads dem AMT zu entledigen. Dabei habe ich darauf geachtet, dass nach einer erfolreichen Deaktivierung von AMT im Windows-Gerätemanager das "SOL-Gerät" sowie das Systemgerät "Intel(R)-Management-Engine" nicht mehr vorzufinden ist.

Jetzt möchte ich meine Erfahrungen zur Deaktivierung von AMT mit meinen unterschiedlichen Thinkpads an Euch weitergeben (Bios jeweils das aktuellste):

X61:
- Egal ob man im Bios AMT auf "disabled" setzt oder es "enabled" und im mebx "disabled", beides führt zur Deaktivierung von AMT
- mebx erreicht man mittels ctrl+p beim Bootscreen, nachdem AMT im Bios "enabled"
- Deaktivierung über mebx oder Bios -> Erfolg: Kein AMT-Gerät ist im Gerätemanager gelistet

T400:
- Ist AMT im Bios "disabled" läuft AMT in der Standardeinstellung
- Im Bios muss AMT auf "enabled" gesetzt sein und kann über mebx "disabled" werden
- mebx erreicht man mittels F12 beim Bootscreen über den Bootauswahldialog, nachdem AMT im Bios "enabled"
- Deaktivierung über mebx -> Erfolg: Kein AMT-Gerät ist im Gerätemanager gelistet
- VORSICHT: Bei mir blieb das T400 bei einem warmen Neustart unabhängig vom OS mit schwarzem Bildschirm ohne Hintergrundbeleuchtung hängen. Nach dem Einschalten und einmal kurz STRG-ALT-ENTF drücken blieb das T400 ebenfalls mit schwarzem Bildschirm hängen. Nur ein Kaltstart, also direktes Einschalten durch den Powerknopf, war die einzige Möglichkeit zum Booten.

X201:
- Ist AMT im Bios "disabled" läuft AMT in der Standardeinstellung
- Im Bios muss AMT auf "enabled" gesetzt sein und kann über mebx "disabled" werden
- mebx erreicht man mittels ctrl+p beim Bootscreen, nachdem AMT im Bios "enabled"
- Deaktivierung über mebx -> Erfolg: Kein AMT-Gerät ist im Gerätemanager gelistet

- VORSICHT: hier gibt es wohl einen BUG (Habe es bei zwei meiner X201 getestet):
1. Stellt man AMT im Hauptmenü über "General Settings" auf "disabled" dauert das Booten sehr lange und die Lüftersteuerung funktioniert nicht richtig! TPfancontrol zeigt daraufhin permanent 0upm und 0°C an und die Geräte wurden sehr heiss... habe es mehrmals getestet, anscheinend ein Bug bei der Ansteuerung des EC?! Des Weiteren bleibt das Bios hängen (stürzt ab) wenn man in die Config-Settings des Bios wechseln möchte... *kurios! Abhilfe schafft nur das aktivieren der zuvor deaktivierten AMT über mebx, dann kommt man wieder in die Bios-Config-Settings...

2. Stellt man allerdings AMT im Hauptmenu über "Feature Selection" auf "disabled", dann funktioniert alles so wie es soll und AMT ist deaktiviert. Zusätzlich habe ich herausgefunden, dass man im Bios in die Config-Settings wechseln kann, aber beim Booten mit ctrl+p nicht mehr in mebx reinkommt... möchte man was in mebx einstellen hilft es nur im Bios AMT zu deaktivieren und zu speichern sowie AMT wieder zu aktivieren und zu speichern... jetzt kommt man wieder in mebx, aber alle Einstellungen sind natürlich zurückgesetzt...


X220:
- Ist AMT im Bios "disabled" läuft AMT in der Standardeinstellung
- Im Bios muss AMT auf "enabled" gesetzt sein und kann über mebx "disabled" werden
- mebx erreicht man mittels ctrl+p beim Bootscreen, nachdem AMT im Bios "enabled"
- Deaktivierung über mebx -> Misserfolg: AMT ist weiterhin aktiviert und erreichbar
VORSICHT: Im Gerätemanager sind alle AMT-Geräte (SOL/Intel-Management-Engine) noch vorhanden und man erreicht AMT über http://localhost:16992/logon.htm
Lösung: Stellt man allerdings AMT im mebx Hauptmenu über "Feature Selection" auf "disabled", dann funktioniert alles so wie es soll und AMT ist deaktiviert.

T420:
- Ist AMT im Bios "disabled" läuft AMT in der Standardeinstellung
- Im Bios muss AMT auf "enabled" gesetzt sein und kann über mebx "disabled" werden
- mebx erreicht man mittels ctrl+p beim Bootscreen, nachdem AMT im Bios "enabled"
- Deaktivierung über mebx -> Misserfolg: AMT ist weiterhin aktiviert und erreichbar
VORSICHT: Im Gerätemanager sind alle AMT-Geräte (SOL/Intel-Management-Engine) noch vorhanden und man erreicht AMT über http://localhost:16992/logon.htm
Lösung: Stellt man allerdings AMT im mebx Hauptmenu über "Feature Selection" auf "disabled", dann funktioniert alles so wie es soll und AMT ist deaktiviert.


Was mir bisher sich noch nicht erschlossen hat, wie deaktiviert man Intel AT bei ThinkPads??

Grüße
Cyrix
 
Zuletzt bearbeitet:
Ich möchte nochmal auf den ME-Analyzer verweisen

http://www.win-raid.com/t840f39-ME-Analyzer-Intel-Engine-Firmware-Analysis-Tool.html

sowie auf sehr interessante Infos zu den Management Engine Firmware Versionen

http://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools.html

denn nicht jede Chip ist kompatibel mit jeder Firmware, denn dort muss man noch zusätzlich unterscheiden zwischen ME Consumer und ME Business ;)

Ein Update auf die jeweils aktuelle Version wird stets dringend empfohlen, selbst, wenn man im Anschluss AMT deaktiviert! Für das Update muss AMT aktiviert, im mebx ein Firmware-Update erlaubt sein und der ME-Engine-Treiber im Windows installiert sein...

Grüße Cyrix
 
Zuletzt bearbeitet:
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben