Intel AMT auf T500 "disabled" - ist das sicher? Wie konfigurieren?

R

rollohoch

Member
Registriert
23 Mai 2016
Beiträge
32
Hallo,
Erstmal vielen Dank für das Forum und das Wiki, das war schon etwas hilfreich.
Ich habe mich nun extra angemeldet, um mal etwas zu fragen, und würde mich natürlich über Antworten freuen..
Vielleicht ist das eine einfache Frage, aber ich habe dazu irgendwie nicht wirklich etwas gefunden.
Meine Situation:
Ich habe ein gebrauchtes T500 gekauft und möchte damit den Hotspot nutzen, den die Stadt hier kostenlos anbietet.
Es sind keine Passwörter im BIOS gesetzt und wohl auch nicht in der Intel ME. (Nach Eingabe von admin werde
ich aufgefordert, ein neues Passwort anzugeben.) Das ganze Intel AMT brauche ich denke ich nicht, am liebsten
hätte ich es komplett deaktiviert.
Das Betriebssystem (Lubuntu 14.04 LTS) habe ich selber komplett neu installiert.
Und was ich dazu gerne wüsste: Ist das nun eine einigermassen sichere Angelegenheit (wie zum Beispiel ein Wlan-
netz zuhause, falls das denn ausreichend sicher ist?)?
Kann ich damit zum Beispiel Ebay-Geschäfte erledigen, wo ja auch meine Bankdaten letztlich mit drinstecken? Oder wäre das eher fahrlässig?
Sollte ich noch das BIOS updaten? Oder in der Intel ME irgendwelche Einstellungen vornehmen?
Ich habe ein bisschen gesucht und gelesen, aber zu dem Thenma auf die Schnelle keine eindeutigen Antworten
gefunden. (Irgendwo wurde empfohlen, für die Intel ME ein sicheres Passwort zusetzen und in der Konfiguration alles
abzuschalten bzw. die default-Werte zu nehmen oder so.)

Vielen Dank schonmal,
rollo
 
Die Management Engine ist eine Kombination aus einem extra Chip auf dem Mainboard und einer Erweiterung in der CPU. Daher ist vollständiges Deaktivieren gar nicht so einfach, du kannst aber alle dazu verfügbaren Optionen im BIOS deaktivieren, denn brauchen wirst du es vermutlich auch nicht. Das ist eher gedacht/geeignet als Management-Lösung im Enterprise/Firmen-Bereich, z.B. zur Fernwartung. So lange da nichts konfiguriert ist, läuft das aber nicht und "telefoniert nicht nach Hause" oder ähnliches. Da das Passwort noch auf "admin" steht, kann definitiv nichts konfiguriert sein. Denn admin geht nur als PW, wenn die ME noch auf Werkseinstellungen steht, danach wird das PW nicht mehr akzeptiert.

Kurz: Deaktiviere die ME soweit es geht. Unter Windows wird sie dann trotzdem noch gefunden und braucht einen einfachen Treiber, tut aber eben nichts mehr. Unter Linux brauchst du dich dann um gar nichts mehr kümmern.
Und ich denke, du kannst deinen Laptop mit einer frischen/neuen Betriebssysteminstallation bedenkenlos auch für Onlinebanking, eBay und Co. nutzen.
 
Als grundsätzliches Problem bei einem öffentlichen Hotspot bleibt mMn aber immer,dass man dem Betreiber vertrauen muss ! Außer wenn man eine VPN-Verbindung einsetzt,kann er alle Eingaben einsehen/protokollieren...

Gruss Uwe
 
Bzgl. der Nutzung eines öffentlichen Hotspots wäre ich - vor allem im Hinblick auf sensible Geschichten wie Online-Banking, Online-Shops bzw. generell alles, wo es um persönliche Daten und vor allem Geld geht - allerdings sehr vorsichtig! Ob und wie sicher das ist, hängt von mehreren Faktoren ab, unter anderem, ob und wie das fremde Netz verschlüsselt ist. Grundsätzlich würde ich in einem fremden/öffentlichen Netz eher nicht empfehlen, solche Dinge zu tun... Und wenn dann nur, wenn die Verbindung sicher SSL-verschlüsselt ist (https) oder noch besser, wenn ich eine vertrauenswürdige VPN-Verbindung nutzen kann.

Ein BIOS-Update kannst du machen, musst es aber nicht. Solange alles sauber läuft und im Change Log nichts für dich Relevantes auftaucht, ist es eigentlich nicht nötig. Schaden kann es aber natürlich auch nicht.

Ansonsten hat cuco bereits alles gesagt.
 
rollohoch schrieb:
Das Betriebssystem (Lubuntu 14.04 LTS) habe ich selber komplett neu installiert.
Zum Vergrößern anklicken....
L-Ubuntu 14.04 ist nicht mehr aktuell. Mittlerweile gibt es die nächste LTS-Version (16.04), auf diese solltest du aktualisieren, oder neu installieren, wenn du alle Sicherheitsupdates haben willst.
Damit ist dann auch ebay, amazon und co kein Problem mehr, viel wichtiger ist meines Erachtens sowiso, sich vernünftig an- und abzumelden und wichtige Passwörter nicht blind überall zu hinterlegen.
Denn wer nicht lange online ist, kann auch nicht lange gehackt werden und zum Stöbern und Gucken brauch ich ja mein Konto noch nicht ;)
 
supertux schrieb:
L-Ubuntu 14.04 ist nicht mehr aktuell. Mittlerweile gibt es die nächste LTS-Version (16.04), auf diese solltest du aktualisieren, oder neu installieren, wenn du alle Sicherheitsupdates haben willst.
Zum Vergrößern anklicken....
(L-)Ubuntu 14.04 wird noch bis April 2019 mit Updates versorgt, bis dahin ist die Nutzung aus Sicherheitssicht unkritisch. Auf längere Sicht ist ein Update auf 16.04 aber natürlich ratsam.

Damit ist dann auch ebay, amazon und co kein Problem mehr, viel wichtiger ist meines Erachtens sowiso, sich vernünftig an- und abzumelden und wichtige Passwörter nicht blind überall zu hinterlegen.
Denn wer nicht lange online ist, kann auch nicht lange gehackt werden und zum Stöbern und Gucken brauch ich ja mein Konto noch nicht ;)
Zum Vergrößern anklicken....
Sorry, aber das eine hat mit dem anderen nichts zu tun ("Damit ist dann auch..."). Die Nutzung eines öffentlichen WLAN-Netzwerks ist unter 16.04 genauso risikobehaftet wie unter 14.04, völlig egal, wie ordentlich man sich an und abmeldet und wo man seine Passwörter hinterlegt (was auch immer du damit meinst?). Eine Sekunde auf der falschen Seite oder mit falscher Konfiguration im falschen Netz kann locker ausreichen, um sich was einzufangen oder "gehackt" zu werden. Der letzte Satz ist gelinde gesagt - sorry! - Stuss. ;)
 
Naja, klar muss man an öffentlichen Hotspots aufpassen. Aber Onlinebanking und ähnliches sind eigentlich immer per HTTPS gesichert und damit auch über Hotspots unkritisch. Immer mehr Seiten stellen ebenfalls auf HTTPS um, auch ohne, dass es gleich um Geld geht - spätestens seit Snowden weiß jeder, wie wichtig auch eine Verschlüsselung bei jeder "normalen" Seite ist. Klar, ein paar Metadaten kann man dann immer noch abfangen - aber das kann man immer, nicht nur über öffentliche Hotspots. Dann muss man halt an anderen Stellen abfangen. So lange die meisten (insbesondere die wichtigen/kritischen) Verbindungen per HTTPS abgesichert sind, würde ich mir auch am öffentlichen Hotspot wenig Sorgen machen.
 
cuco schrieb:
Naja, klar muss man an öffentlichen Hotspots aufpassen. Aber Onlinebanking und ähnliches sind eigentlich immer per HTTPS gesichert und damit auch über Hotspots unkritisch.
Zum Vergrößern anklicken....
Ich habe ja geschrieben, dass es mit SSL/HTTPS im Normalfall sicher ist. Trotzdem bleibt ein Restrisiko, denn man muss eben immer im Blick haben, dass kritische Verbindungen nicht nur eigentlich, sondern tatsächlich mit HTTPS arbeiten, und dann auch noch hoffen (oder überprüfen :huh:), dass das sauber und fehlerfrei implementiert wurde. Vermutlich würde man im Zweifelsfall sein Geld von der nachlässigen Bank, dem Shop o.ä. zurückbekommen, aber auf den Stress hätte ich gar keine Lust. Ich persönlich bin bei öffentlichen Netzwerken deshalb lieber vorsichtig und verlagere entsprechende Aktivitäten ins private (W)LAN (oder erledige sie via VPN).
 
cyberjonny schrieb:
Die Nutzung eines öffentlichen WLAN-Netzwerks ist unter 16.04 genauso risikobehaftet wie unter 14.04
Zum Vergrößern anklicken....
Von "öffentlichen" Netzen war ja garnicht die Rede, das Problem haben erst morini22 und du in den Raum geworfen und eure Beiträge haben sich leider irgendwie mit meinem überschnitten (ich sollte öfter mal das Browserfenster aktualisieren in dem ich schreibe :rolleyes:)
Einzig "ein Wlan-netz zuhause" wurde erwähnt und da ging ich davon aus, dass entweder das Netz privat, oder zumindest der Betreiber bekannt sein dürfte.
Auch Onlinebanking scheint dem Threadersteller eher unwichtig zu sein, da er bereits bei EBAY-Geschäften sehr vorsichtig zu sein scheint => eine gute Einstellung ;)

cyberjonny schrieb:
völlig egal, wie ordentlich man sich an und abmeldet und wo man seine Passwörter hinterlegt (was auch immer du damit meinst?). Eine Sekunde auf der falschen Seite oder mit falscher Konfiguration im falschen Netz kann locker ausreichen, um sich was einzufangen oder "gehackt" zu werden. Der letzte Satz ist gelinde gesagt - sorry! - Stuss.
Zum Vergrößern anklicken....
Eine Sekunde reicht vielleicht um von einem Hacker gesnifft zu werden, der gezielt dich angreift, je länger man aber mit nachlässig konfigurierten Browsern und wenig Kontrolle mit Passwörtern um sich wirft, desto mehr Angriffsfläche bietet man dem Angreifer.
Du schreibst ja selbst, man solle kontrollieren, dass auch wirklich die gewohnte verschlüsselte Seite geöffnet ist, bevor man Passwörter losschickt: Genau das meinte ich auch, allerdings mit dem Zusatz, sich nur wirklich dann anzumelden, wenn das wirklich nötig ist.
In meinen Augen macht es wenig Sinn per zugegeben verlockender "Autologin"-Funktion des Browsers bei jedem ebay Besuch seine Passwörter durch's Land zu schicken und somit mit Rechten behaftete(also potentiell angreifbare) Sessions zu öffnen, wenn man nur 2 mal im Jahr auch wirklich was bestellt!
Der letzte Satz ist durchaus bewusst, wenn auch etwas überspitzt ausgedrückt: Denn selbst wenn jemand es schafft in eine meiner Transaktionen einzudringen, solange der Angreifer das "echte" Passwort nicht abgegriffen hat, ist dieser erstmal wieder ausgesperrt sobald man die offene Session wieder schließt.(Unter Anderem deswegen werden Passwörter auch verschlüsselt übertragen)
 
Zuletzt bearbeitet:
supertux schrieb:
Von "öffentlichen" Netzen war ja garnicht die Rede, das Problem haben erst morini22 und du in den Raum geworfen und eure Beiträge haben sich leider irgendwie mit meinem überschnitten (ich sollte öfter mal das Browserfenster aktualisieren in dem ich schreibe :rolleyes:)
Einzig "ein Wlan-netz zuhause" wurde erwähnt und da ging ich davon aus, dass entweder das Netz privat, oder zumindest der Betreiber bekannt sein dürfte.
Auch Onlinebanking scheint dem Threadersteller eher unwichtig zu sein, da er bereits bei EBAY-Geschäften sehr vorsichtig zu sein scheint => eine gute Einstellung ;)
Zum Vergrößern anklicken....
Zitat Thread-Ersteller:
rollohoch schrieb:
[...] und möchte damit den Hotspot nutzen, den die Stadt hier kostenlos anbietet. [...]
Und was ich dazu gerne wüsste: Ist das nun eine einigermassen sichere Angelegenheit (wie zum Beispiel ein Wlan-netz zuhause, falls das denn ausreichend sicher ist?)?
Kann ich damit zum Beispiel Ebay-Geschäfte erledigen, wo ja auch meine Bankdaten letztlich mit drinstecken? Oder wäre das eher fahrlässig? [...]
Zum Vergrößern anklicken....
:)

supertux schrieb:
Eine Sekunde reicht vielleicht um von einem Hacker gesnifft zu werden, der gezielt dich angreift, je länger man aber mit nachlässig konfigurierten Browsern und wenig Kontrolle mit Passwörtern um sich wirft, desto mehr Angriffsfläche bietet man dem Angreifer.
Du schreibst ja selbst, man solle kontrollieren, dass auch wirklich die gewohnte verschlüsselte Seite geöffnet ist, bevor man Passwörter losschickt: Genau das meinte ich auch, allerdings mit dem Zusatz, sich nur wirklich dann anzumelden, wenn das wirklich nötig ist.
In meinen Augen macht es wenig Sinn per zugegeben verlockender "Autologin"-Funktion des Browsers bei jedem ebay Besuch seine Passwörter durch's Land zu schicken und somit mit Rechten behaftete(also potentiell angreifbare) Sessions zu öffnen, wenn man nur 2 mal im Jahr auch wirklich was bestellt!
Der letzte Satz ist durchaus bewusst, wenn auch etwas überspitzt ausgedrückt: Denn selbst wenn jemand es schafft in eine meiner Transaktionen einzudringen, solange der Angreifer das Passwort nicht abgegriffen hat, ist dieser erstmal wieder ausgesperrt sobald man die offene Session wieder schließt.
Zum Vergrößern anklicken....
Zwar teilweise etwas "konstruiert", aber so gesehen hast du natürlich prinzipiell Recht. Aber ob ich mich darauf verlassen würde, dass ich, wenn ich nur wenig genug online bin bzw. selten genug kritische Daten austausche, schon nicht "erwischt" werde... naja... ;)

Muss wohl jeder selbst wissen. HTTPS ist jedenfalls Pflicht in öffentlichen Netzwerken.
 
cyberjonny schrieb:
Zitat Thread-Ersteller: [...] :)
Zum Vergrößern anklicken....
Ich muss lesen lernen :facepalm:

cyberjonny schrieb:
Aber ob ich mich darauf verlassen würde [...]
Zum Vergrößern anklicken....
Verlassen nicht: Es ist nur ein Baustein von vielen die nötig sind um mit guten Gewissen im Netz unterwegs zu sein.
Der wichtigste Baustein ist immer "brain.exe" denn dieses ist dazu da die Bausteine (Updates, Virenschutz, https, Datensparsamkeit, nicht triviale Passwörter, Kontrolle der "Einstiegsseiten",... uvm.) zu koordinieren :p
 
Ja, aber das beste brain.exe hilft dir ohne zumindest einige der anderen genannten "Werkzeuge" in der heutigen Internetwelt leider überhaupt nichts. Zumindest wenn du dich nicht massivst einschränken, sondern das Netz halbwegs "normal" nutzen willst.

Und wie gesagt, bei allem brain.exe halte ich es für sehr fragwürdig, mein Sicherheitsgefühl darauf aufzubauen, wie lange ich online bin bzw. wieviele kritische Daten ich hin und her sende... ;)

Aber ich denke, der Thread-Ersteller wird verstanden haben, worum es uns im Kern beiden geht.
 
Hallo,

die meisten stark sicherheitsrelevanten Webseiten wie ebay, Onlinebanking usw. zwingen dich von sich aus zur Verwendung des HTTPS-Protokolls. Der WLAN-Betreiber kann dann zwar im Klartext sehen, dass du mit dieser Webseite telefonierst, aber nicht, was du mit ihr besprichst. Dein Passwort wird er dann so leicht nicht auslesen können. Anders kann das z.B. sein, wenn dein Email-Programm das Passwort im Klartext an den Server schickt. Und man will auch nicht unbedingt, dass der Betreiber weiß, mit wem man telefoniert, da das mitunter auch schon recht viel verrät. Daher ist VPN in offenen Netzwerken schon eine gute Idee, und VPN ist auch mittlerweile spottbillig (z.B. PIA bietet unlimitierte Jahreszugänge für 30€).

All das hat jedoch nichts mit AMT zu tun.
 
Leider ist das Deaktivieren von AMT über das BIOS anscheinend nur in den alten Thinkpads möglich. Du kannst es ja mal mit der Deaktivierung über MEBX ausprobieren. Das scheint aber hin und wieder Probleme zu bereiten.

Zwecks vollständiger Deaktivierung von AMT hatte ich damals diesen Post hier geschrieben:
https://thinkpad-forum.de/threads/1...deaktivieren?p=1931595&viewfull=1#post1931595

Kannst ja mal posten welche Variante bei deinem T500 funktioniert.

Grüße Cyrix
 
Zuletzt bearbeitet:
cyberjonny schrieb:
(L-)Ubuntu 14.04 wird noch bis April 2019 mit Updates versorgt, bis dahin ist die Nutzung aus Sicherheitssicht unkritisch. Auf längere Sicht ist ein Update auf 16.04 aber natürlich ratsam.
Zum Vergrößern anklicken....
Wer sagt denn sowas? Lubuntu wird nur noch bis April 2017 unterstützt, selbst Ubuntu wird meines Wissens nicht komplett, sondern nur in Teilen, bis April 2019 unterstützt. Wenn das System jetzt erst aufgesetzt wurde, am besten gleich aktualisieren oder neu mit 16.04 installieren.
 
kristatos schrieb:
Wer sagt denn sowas? Lubuntu wird nur noch bis April 2017 unterstützt, selbst Ubuntu wird meines Wissens nicht komplett, sondern nur in Teilen, bis April 2019 unterstützt. Wenn das System jetzt erst aufgesetzt wurde, am besten gleich aktualisieren oder neu mit 16.04 installieren.
Zum Vergrößern anklicken....
Also Ubuntu (ohne L) wird bis April 2019 (5 Jahre) supportet, sowohl in der Server- als auch in der Desktop-Version und soweit ich es sehe ohne Einschränkungen.
Aber für Lubuntu hast du wohl Recht: Das wird "nur" bis April 2017 (3 Jahre) unterstützt, obwohl es ja eigentlich denselben Unterbau hat...

Aber bei jetziger Neuinstallation würde ich natürlich auch 16.04 nehmen!
 
cyberjonny schrieb:
Also Ubuntu (ohne L) wird bis April 2019 (5 Jahre) supportet, sowohl in der Server- als auch in der Desktop-Version und soweit ich es sehe ohne Einschränkungen.
Zum Vergrößern anklicken....
Klick hier für Einschränkungen: Ubuntu LTS: Langzeitpflege gibt es nur für das Wichtigste

Und zum selbst-testen für zu Hause:
Code: 
ubuntu-support-status --show-unsupported

Wobei man die Liste mit "Vorsicht" genießen sollte. Unsupported heißt nicht zwingend, dass keine Patches (mehr) dafür kommen - es heißt erst einmal nur, dass kein fester Maintainer dafür eingetragen ist.
 
Hallo,
Vielen Dank für die Antworten! Intel AMT und Benutzung von öffentlichem Hotspot waren wohl eigentlich zwei verschiedene Themen, das stimmt.

Also ich werde dann das Intel ME einfach mal so lassen, nachdem es sich anscheinend im Originalzustand befindet. (Dem Bericht zufolge hatte ja beim T400 das komplette abschalten den Nachteil, dass der Neustart nicht klappte, wenn das richtig verstanden habe. Vielleicht teste ich das mal, aber momentan eher nicht.)

HTTPs haben die Seiten wohl alle, die für mich interesant sind (gmx, web.de, ebay, etc.), aber ich denke nochmal drüber nach, ob das nötig ist oder was davon.

Das Lubuntu 14.04 habe ich genommen, weil 16.04 nicht lief bzw. der erstellte USB-Stick nicht gebootet hat. Eventuell eines der Probleme einer neuen Version (Ich glaube es war ein Problem des "Startmedienerstellers", der standardmässig bei Xubuntu 14.04 drauf ist. Das habe ich auf einem anderen Computer.). Ich werde das Update zu 16.04 denke ich mit dem ersten "point release" versuchen.

Grüsse, rollo
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben