Intel vPro (AMT) bzw. AMD Pro: Fernwartung besser deaktivieren?

D

dark_rider

Active member
Themenstarter
Registriert
7 Aug. 2008
Beiträge
1.986
Hallo zusammen,

irgendwo las ich kürzlich den Tipp, Fernwartungs-Technologien der Prozessorhersteller, die diese in manchen CPU-Modellen integrieren, besser zu deaktivieren, falls man sein Gerät nicht im Firmenumfeld mit zentraler Wartung durch eine IT-Abteilung verwendet.

Ist das bei solchen CPUs dann immer im BIOS möglich? Wie handhabt Ihr das?
 
Lösung
D
beastiesoft schrieb:
Meine persönliche Meinung: Alles, was Du nicht explizit brauchst, solltest Du deaktivieren, um mögliche Angriffsvektoren zu minimieren. Das gilt für die Managementfunktionen von Intel bzw. AMD genauso wie für PXE Boot oder Lenovo Cloud. Gerade Intel AMT ist in den letzten Jahren immer wieder mit Sicherheitslücken aufgefallen und auch nicht unbedingt laienfreundlich zu administrieren. Wenn Du kein geeignetes Anwendungsszenario dafür hast, würde ich es an Deiner Stelle abklemmen.


"vPro" ist ja eher der Intel-Marketingbegriff für einen ganzen Blumenstrauß voller Eigenschaften und Funktionen. Insofern HAT man entweder ein vPro-Gerät oder man hat eben keines, jedoch kann man vPro nicht einfach "deaktivieren". Was man hingegen bei allen...
Zum Vergrößern anklicken....
Das würde mich auch interessieren.

Ich würde auch gern verstehen, wie die „Intel ME“ (Management Engine?) in dieses Bild passt. Was tut dieses Stück Software/Firmware? Hat das auch etwas mit Fernwartung zu tun, oder geht es da nur um das lokale Handling des Prozessors und seiner Funktionen – und warum sind BIOS/UEFI und Intel ME überhaupt zwei Paar Schuhe, war das früher nicht alles eins?
 
Welche Einstellparameter das Bios/Uefi zur Verfügung stellt bestimmt der Mainboard OEM, in diesem Fall Lenovo. Aber mir ist noch keine Einstellung bekannt vPro zu deaktivieren. Intels ME ist ein Thema für sich und hat verschiedene Evolutionsstufen hinter sich. Im Übrigen ein ganz eigener Kaninchenbau. Mit ihren Unzulänglichkeiten beschäftigt sich ja auch gerade das Coreboot Projekt. Da diese Prozesse tief in der CPU Architektur eingebettet sind, kann man sie nicht wie einen Schalter ein und ausschalten, da der gesamte Bootprozess davon abhängig gemacht wurde. Ein leidiges Thema, wirklich. Hinzu kommen stets neue (Fehl)entwicklungen wie Pluton (speziell beim AMD) die das ganze Konstrukt weiter unnötig verkomplizieren und die Abhängigkeiten verdichten!
 
  • Like
Reaktionen: mtu
dark_rider schrieb:
Hallo zusammen,

irgendwo las ich kürzlich den Tipp, Fernwartungs-Technologien der Prozessorhersteller, die diese in manchen CPU-Modellen integrieren, besser zu deaktivieren, falls man sein Gerät nicht im Firmenumfeld mit zentraler Wartung durch eine IT-Abteilung verwendet.

Ist das bei solchen CPUs dann immer im BIOS möglich? Wie handhabt Ihr das?
Zum Vergrößern anklicken....
Meine persönliche Meinung: Alles, was Du nicht explizit brauchst, solltest Du deaktivieren, um mögliche Angriffsvektoren zu minimieren. Das gilt für die Managementfunktionen von Intel bzw. AMD genauso wie für PXE Boot oder Lenovo Cloud. Gerade Intel AMT ist in den letzten Jahren immer wieder mit Sicherheitslücken aufgefallen und auch nicht unbedingt laienfreundlich zu administrieren. Wenn Du kein geeignetes Anwendungsszenario dafür hast, würde ich es an Deiner Stelle abklemmen.

Ambrosius schrieb:
Aber mir ist noch keine Einstellung bekannt vPro zu deaktivieren.
Zum Vergrößern anklicken....
"vPro" ist ja eher der Intel-Marketingbegriff für einen ganzen Blumenstrauß voller Eigenschaften und Funktionen. Insofern HAT man entweder ein vPro-Gerät oder man hat eben keines, jedoch kann man vPro nicht einfach "deaktivieren". Was man hingegen bei allen modernen ThinkPads abschalten kann ist Intel AMT bzw. das korrespondierende AMD-Gegenstück "AIM-T" - sofern die betroffenen Geräte diese Technologien überhaupt mitbringen (Stichwort: "vPro-Gerät"). Interessanterweise ist im aktuellen ThinkPad Line-Up sogar möglich, Intel AMT DAUERHAFT zu deaktivieren. Laut BIOS-Meldung ist es dann auch nicht mehr möglich, AMT zu einem späteren Zeitpunkt wieder einzuschalten.
Intel.png

AMD.png
 
Zuletzt bearbeitet von einem Moderator:
Der Vorbesitzer meine X1 Nano hat AMT im Bios dauerhaft deaktiviert. Vantage versucht immer mal ein Update für die Intel ME zu installieren, dass schlägt allerdings immer fehl. Dem Lenovo-Support kann man es auch nicht reaktivieren, nur ein Tausch (kostenpflichtig) des Mainboard würde die Funktion zurückbringen.
 
Im BIOS gibt es den AMT-Punkt dann nicht mehr. Die automatischen Updates hab ich jetzt schon länger deaktiviert, seitdem ist da erstmal Ruhe. Ich habe es auch meist er beim Systemstart bemerkt, wenn er dann das ME Update durchführen wollte, aber am deaktivierten AMT gescheitert ist.

Ist in meinem Fall aber total egal, das X1N wird sowieso nur zu 100% zum Surfen auf der Couch benutzt
 
@beastiesoft: Super Auskunft, tausend Dank!

Ich las auch etwas davon, dass neben dem Sicherheitsgewinn das Hochfahren nach Deaktivierung spürbar schneller laufen soll. Kannst Du das eventuell auch bestätigen?
 
dark_rider schrieb:
Ich las auch etwas davon, dass neben dem Sicherheitsgewinn das Hochfahren nach Deaktivierung spürbar schneller laufen soll. Kannst Du das eventuell auch bestätigen?
Zum Vergrößern anklicken....
So pauschal würde ich das nicht bestätigen wollen. Es ist von vielen Faktoren abhängig, wie lange das Hochfahren eines konkreten Systems dauert. Natürlich KANN ein aktiviertes AMT negativen Einfluss auf die Bootgeschwindigkeit haben, insbesondere wenn es nicht ordnungsgemäß provisioniert ist.
 
Google-Suche nach "reenable amt thinkpad" - 1. Treffer:
Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

und



Ach, Suchmaschinen sind so etwas schönes! :love:
 
Zuletzt bearbeitet:
Ob das X1N vor der Deaktivierung von AMT schneller war kann ich leider nicht sagen, ich habe es so schon vom Vorgänger übernommen.
 
Ich kenn das genaue Zusammenspiel zwischen der IME und AMT nicht, kann daher nur Vermutungen anstellen. Auch wenn du AMT deaktivieren kannst (was zur Folge haben kann, dass sich dann die Management Engine {IME} nicht mehr richtig updaten lässt), so ändert das nichts daran dass die ME in deinem System verbleibt. Sie ist sogar so hartnäckig, dass man die nur auf der Hardware Ebene zurverlässig deaktivieren bzw entfernen lässt (siehe u.a. auch etliche Beiträge hier im Forum zum Theme ME_Cleaner). Es gibt auch Software Fixes. Die richten sich aber an entsprechende ME Versionen bzw Gerätegenerationen und deren Implementationen und sind nicht zu 100% wasserdicht. Ich deduziere daraus, dass es womöglich sogar kontraproduktiv ist die AMT permanent zu deaktivieren, denn es ist gewiss nicht besser eine ungepatche ME zu haben.
 
Bei mir ist vPro nie aktiviert worden und die ME hat den normalen Funktionsumfang der 1,5mbyte Firmware, die auch schon x-mal upgedatet wurde. Für vPro und AMT braucht es aber die große ME Fw mit etwa 5mbyte.
 
3960.jpg

Am Bsp eines deutlich älteren X230 mit ner alten ME Implementation, kann ich erst durch das Advanced Menue die Einstellungen für hier: AMT einsehen. Es lässt sich auch deaktivieren aber man beachte, was wirklich dabei geschieht.
 
beastiesoft schrieb:
Meine persönliche Meinung: Alles, was Du nicht explizit brauchst, solltest Du deaktivieren, um mögliche Angriffsvektoren zu minimieren. Das gilt für die Managementfunktionen von Intel bzw. AMD genauso wie für PXE Boot oder Lenovo Cloud. Gerade Intel AMT ist in den letzten Jahren immer wieder mit Sicherheitslücken aufgefallen und auch nicht unbedingt laienfreundlich zu administrieren. Wenn Du kein geeignetes Anwendungsszenario dafür hast, würde ich es an Deiner Stelle abklemmen.


"vPro" ist ja eher der Intel-Marketingbegriff für einen ganzen Blumenstrauß voller Eigenschaften und Funktionen. Insofern HAT man entweder ein vPro-Gerät oder man hat eben keines, jedoch kann man vPro nicht einfach "deaktivieren". Was man hingegen bei allen modernen ThinkPads abschalten kann ist Intel AMT bzw. das korrespondierende AMD-Gegenstück "AIM-T" - sofern die betroffenen Geräte diese Technologien überhaupt mitbringen (Stichwort: "vPro-Gerät"). Interessanterweise ist im aktuellen ThinkPad Line-Up sogar möglich, Intel AMT DAUERHAFT zu deaktivieren. Laut BIOS-Meldung ist es dann auch nicht mehr möglich, AMT zu einem späteren Zeitpunkt wieder einzuschalten.
Anhang anzeigen 200653

Anhang anzeigen 200654
Zum Vergrößern anklicken....
Hab nun nach produktiver Inbetriebnahme des T14s G3 AMD (Ryzen 6850U) mal geschaut, im BIOS gibt's den o.g. Punkt "AIM-T Control" gar nicht. Dann gibt's wohl auch nichts zu deaktivieren in dieser Hinsicht.
 
Lösung
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben