it-swarm-eu.dev

Cosa posso fare per Intel Management Engine?

Di recente ho letto di Intel ME (Management Engine), che è un'area speciale nei nuovi processori Intel che ha il controllo completo sul computer. Nessuno sa esattamente cosa contiene e ci sono molti problemi di sicurezza a riguardo. L'ho imparato qui:
https://stallman.org/intel.html

Cosa posso fare al riguardo? Ci sono modi per fermarlo o è senza speranza?

30
888

Non utilizzare la scheda di rete integrata, che è il modo in cui ME accede a Internet. Invece, usa un dispositivo LAN USB o anche uno collegato a uno slot PCI - ME non sa come usarli!

7
burrito

Puoi usare me_cleaner per cancellare tutte le parti tranne ME essenziali. Questo non è senza rischi, ovviamente.

Il NSA aveva Intel installato un interruttore per questo ; potresti essere in grado di far sì che il tuo OEM lo abiliti con uno speciale aggiornamento del BIOS (o potresti essere in grado per modificare il firmware da soli). Alcuni OEM (Purism, System76 e Dell) hanno iniziato a offrirlo come opzione con alcuni computer, sulla scia della vulnerabilità del 2017 .

7
Miles B Huff

Puoi provare a disabilitare la funzione AMT nel tuo BIOS.

  1. Vai su "Funzionalità avanzate del chipset" e poi "Intel AMT" (la dicitura esatta potrebbe essere diversa per te) e impostala su "Disabilitato". Salva ed esci dal BIOS.

  2. Quindi, quando il computer si riaccende, premere Ctrl + P per accedere al menu AMT e impostare "Intel ME Control State" su "Disabled".

Tuttavia, nessuno al di fuori di Intel sa con certezza cosa fanno questi toggle e se AMT può riattivare se stesso senza che tu lo sappia è un'altra domanda del tutto (ci sono molte voci su questo, ma rimango neutrale fino a quando sappi per certo. Almeno, sarai (per lo più) al sicuro finché sarai disconnesso da Internet.).

Un'altra opzione è utilizzare solo l'hardware pre-AMT.

Quoth Intel:

Integrato in molte piattaforme basate su chipset Intel® c'è un piccolo sottosistema di computer a basso consumo chiamato Intel® Management Engine (Intel® ME). Ciò esegue varie attività mentre il sistema è in modalità di sospensione, durante il processo di avvio e quando il sistema è in esecuzione. È importante che questo sottosistema funzioni correttamente per ottenere le massime prestazioni e capacità dal PC. Questa utility verifica che il sottosistema Intel® ME sia in esecuzione e comunichi correttamente fino al sistema operativo. Questo può dare al builder di sistema e all'utente una buona idea che in caso di problemi di avvio o di prestazioni del sistema, Intel® ME non è il punto problematico.

6
Lester T.

Secondo FAQ di LibreBoot , le CPU Intel non sono gli unici chip con questa "caratteristica" - AMD ha qualcosa di simile. Chiunque voglia essere più sicuro semplicemente non utilizzerà le CPU moderne. Nessuna delle CPU elencate sul sito Web di LibreBoot viene fornita con Intel ME.

4
gmlox

Disabilita completamente e in modo permanente (a meno che non venga reinstallato) disabilita la tecnologia Intel Active Management, la tecnologia Intel Small Business e la gestibilità standard Intel su Windows . Questi sono componenti del firmware di Intel Management Engine. Mentre Intel ME è ancora in esecuzione, i driver di Windows sono disabilitati e Intel ME non può più accedere a Windows.

1) Scarica Intel Setup and Configuration Software (Intel SCS) ed estrailo.

2) Apri un prompt dei comandi dell'amministratore e vai al punto in cui hai estratto i file nel passaggio 1

  • correre cd Configurator

3) Nel prompt dei comandi, eseguire ACUConfig.exe UnConfigure. Se ricevi un errore, prova una delle seguenti opzioni:

  • Annullamento della configurazione di un sistema in ACM senza integrazione RCS: ACUConfig.exe UnConfigure /AdminPassword <password> /Full

  • Annullamento della configurazione di un sistema con integrazione RCS: ACUConfig.exe UnConfigure /RCSaddress <RCSaddress> /Full

4) Sempre nel comando Richiedi, disabilita e/o rimuovi LMS (Servizio di gestione locale delle applicazioni di gestione e sicurezza Intel):

  • sc config LMS start=disabled
  • sc delete LMS
  • esegui anche sc qc LMS, che ti mostrerà il percorso di LMS.exe o FAIL. Se ti mostra il percorso, usa Explorer per eliminarlo. Se non è riuscito, non preoccuparti.

5) Riavvia

6) Controlla se c'è ancora un socket in ascolto sulle porte IANA (Intel ME Internet Assigned Names Authority) sul client: 16992, 16993, 16994, 16995, 623 e 664 (puoi anche farlo prima di te iniziare a verificare che sia in ascolto. Intel ME ascolta anche se la GUI di Intel AMT mostra che Intel ME è "Unconfigured")

  • in un prompt dei comandi (non è necessario che sia elevato), eseguire netstat -na | findstr "\<16993\> \<16992\> \<16994\> \<16995\> \<623\> \<664\>"

7) La GUI di Intel AMT dovrebbe ora mostrare "informazioni non disponibili su entrambe le schede rimanenti" (potresti aver avuto 3 o più schede prima di passare attraverso i passaggi precedenti)

enter image description hereenter image description here

Voilá, ti sei sbarazzato di Intel AMT. E hai fatto la cosa giusta , soprattutto dopo 2017-05-01 problema di escalation dei privilegi .

Da questo fonte (disclaimer, è il mio blog)

3
Gaia