UEFI ja/nein?, secureBOOT ja/nein?, TPM/intel ManagementEngine ja/nein?

[spark888]

hello,
es sind prinzipielle Fragen.

Mein HP-Rechner war mit W11 pro 25H2 vorinstalliert.

1
Kann auf den UEFI-Modus verzichtet werden?

2
Das HP-BIOS fährt einen HP-secure-BOOT-Modus,
Angeblich wird dadurch das BIOS vor Manipulationen geschützt.
Soll das aktiv bleiben, oder kann darauf verzichtet werden?

3
SnappyD]riverOrigin meint:
intel Management Engine Interface,
intel Management and Security Application Local,
intel active Management Technology SOL,
intel Watchdog Timer Driver.

sollten Treiber-seitig aktualisiert werden.
HP listet keine Treiberaktualisierungen.
Die Windowsupdatesuche, optionale Updates, zeigt aber keine weiteren Treiber an.
Sollen die intel Treiber mit SDIO aktualisert werden?

4
kann auf "SOL", "iEMi", "TPM"
gänzlich verzichtet werden oder soll es sogar im BIOS deaktiviert werden?

5
im BIOS ist SECURE-BOOT mit Certificates disabled.

1. - 5. :
das ist mir unklar !

habt vorerst lieben Dank!
spark888

[Tante Google]

[Gast]

Wenn dein PC Windows 11 25H2 Pro vorinstalliert hat, dann ist es ja noch ein ziemlich aktueller PC. HP ist auch ein großer OEM Verkäufer, wird also seine Hardware mit Einstellungen ausliefern, die für die meisten Endbenutzer in Ordnung sind.

Du listest jetzt einige zusammenhanglose Einträge aus deinem BIOS oder deiner Windows Installation auf und fragst ob man sie ändern kann.

Kannst du uns erst einmal erklären, was du glaubst, welchen Vorteil eine Änderung der Einträge dir bringen würde?

[Gast2025]

Kann auf den UEFI-Modus verzichtet werden?
Heutige Mainboards werden nur noch mit UEFI ausgeliefert.
Voraussetzung für GPT-Partitionen, TPM und Verschlüsselungen
Was für ein Modell ist das genau?

[spark888]

vorerst Dank
und Entschuldigung fuer den aufgetischten "Haufen".
nochmals etwas aufgedroeselt

1
mir ist klar, win 11 will und (muss vielleicht auch) nur mit UEFI.
vielleicht wegen GPT. - egal, akzeptiert.
secure BOOT muss sein, so, oder so, oder so. - akzeptiert.

2
aber wozu brauch ich das TPM ?
was tut das für mich?

3
und was macht die "intel management maschine" für mich?

kann das weggehen (baba) - also ist das für standalone privat PC's verzichtbar?

wegen der Vorteile:
Firmwarekomponenten, welche ich weder wissentlich u/o unwissentlich nicht benutze u/o nicht in Gebrauch sind,
koennten rausfliegen und wuerden den BIOS.- und OS-Bootprozess eventunnel beschleunigen ....
verwende keinen MS-bitlocker oder opal oder sowas, wenn dann veracrypt oder truecrypt.

kind greetings
spark888

[Nanobot]

Zu 1)
Der originale Installer von Windows 11 verlangt UEFI und GPT. Mit Hilfe des Programmes WinNTSetup lässt sich Windows 11 jedoch auch im Legacy Mode und auf MBR partitionierten Datenträgern installieren und nutzen. Die aktuelle Version des Programmes ist 4.5.2 und findet sich hier: https://www.mediafire.com/folder/53um6k2nmhvd5/

Mit Hilfe dieses Programmes habe ich zum Beispiel Windows11 auf einer per USB angebundenen SSD installiert und kann diese Installation wahlweise im Legacy- oder im UEFI-Mode booten. Das Booten im UEFI-Mode geht dabei sowohl mit aktiviertem, als auch mit deaktiviertem Secureboot.
Nachtrag: Die SSD ist mit MBR partitioniert.

Zu 2)
Das TPM dient zur sicheren Erzeugung und Verwahrung kryptografischer Schlüssel, welche zum Beispiel vom Bitlocker verwendet werden. Windows 11 läuft aber bei mir, zumindestens derzeit, auch bei abgeschaltetem TPM problemlos. Vermutlich stehen dann bestimmte kryptografische Funktionen nicht zur Verfügung, wobei ich aber bisher keine Nachteile hierdurch feststellen konnte.

Zu 3)
Die Intel Managment Engine wird zum Beispiel hier https://www.giga.de/artikel/was-ist-die ... -erklaert/ erklärt. Sie wird als potentielles Sicherheitsrisiko angesehen, weil niemand weiß, welche Daten diese Engine überträgt. Daher würde ich sie, wenn möglich, im Bios abschalten, wenn ich eine Intel CPU nutzen würde

[Purgatory]

Also, das TPM Modul ist dafür da Signaturen abzugleichen. Funktioniert, im einfachen Sinne, eher Softwareseitig, auch wenn das sehr Laienhaft ausgedrückt ist. Wir stellen uns vor wir installieren Windows komplett neu. Es ist komplett frei von Schadsoftware. Windows schreibt Hashwerte in das TPM Modul. Treiber X hat den Hashwert, Treiber Y einen anderen. Eine wichtige Windowsdatei hat den Hashwert Z. Und so weiter. Jetzt benutzt Du das Betriebssystem und verirrst Dich ggf. auf eine Seite die nicht unbedingt Vertrauenswürdig ist. Du lädst Dir einen Treiber runter, bewusst, oder unbewusst irgendeine Schadsoftware die irgendwelche Systemdateien verändert. Ergo ist Dein System ab da infiziert, ohne dass Du es selber merkst.
Ab hier kommt das TPM Modul ins Spiel. Die Hashwerte stimmen nicht mehr, bzw. wurden so verändert, dass sie nicht mehr zu einer Signatur passen. Das TPM Modul kommuniziert jetzt mit Windows und erklärt das etwas nicht stimmt. Der Effekt ist das Windows nicht bootet (im Härtefall) oder, in den meißten Fällen, das Laden der falschen Signatur einfach unterbindet aber trotzdem bootet. Sprich, Dein System wird von dem TPM Modul vor sowas geschützt.

Die Intel ME macht ähnliches, wenn auch anders. Sie funktioniert komplett auf Hardware Ebene. Die Intel ME hat den großen Vorteil, dass man zwingende BIOS Updates nicht unbedingt machen muss, wie es z.B. bei AMD der Fall wäre. Die Intel ME greift in den Microcode der CPU ein, unterbindet Sicherheitslücken die an Windows oder dem TPM Modul vorbeigehen würden, weil sie direkt in der CPU passieren. Es gibt genug Sicherheitslücken innerhalb der Hardwareebenen, egal welchen Hersteller Du heranholst. Schädlicher Code kann in einer Hardwareebene der CPU ausgeführt werden von der ein Betriebssystem überhaupt nichts mitbekommt. Und darum gibt es die Intel ME. AMD regelt das komplett über BIOS Updates, Intel halt über die ME.

[spark888]

danke,
besonders an "Purgatory" und "nanobot",
das hat den Nebel mit dem TPM und der intelmanagement engine ein wenig gelichtet.

Tatsache ist es gibt Befürworter der Aktivierung, und welche die zumindest die iMNGMNTengine (falls es im BIOS erlaubt ist) eher dazu raten diese abzudrehen.
Nun ja, vielleicht ist es klueger die iMGMNTengine nicht umzustellen, da das System dzt. ganz gut funktioniert.

somit bleibt die letzte Frage:
Wenn windows 11-update fuer TPM bzw. f. die iMGMNTengine KEINE Treiber findet oder Aktualisierungen derer anbietet,
SnappyDriverInstallterOrigin (Stuart Glenn Delahoy) sehrwohl Aktualisierungen mit signierten intel-Treibern anbietet, sollen diese dann mit SDIO installiert werden?

thx again and kind regards to all
spark888

[Purgatory]

Windows selbst braucht keine Treiber für das TPM. Es wird in Windows lapidar als Firmware abgehandelt mit einem Standard MS Treiber der nur dafür sorgt (mehr braucht es ja auch nicht), dass Windows mit dem TPM Modul kommunizieren kann. Egal ob ein TPM Modul separat gesteckt ist oder sich in der CPU befindet (was seit vielen Jahren Standard ist).
Bei der Intel ME verhält es sich ähnlich, auch wenn es Treiber dafür gibt. Von der siebten Generation bis heute. Die sind aber nur wichtig wenn Du Remote Zugriff haben möchtest. Windows braucht auch keinerlei Zugriff auf die Intel ME da alles in Hardware geschieht. Die Intel ME kannst Du nur updaten über einen Zugriff auf die Firmware die irgendwo auf Deinem Mainboard verlötet ist. Es verhält sich ähnlich einem BIOS Update, völlig egal ob Du jetzt den Treiber installierst oder es lässt. Das Update funktioniert nur so.
Gerade was die kommenden UEFICA Updates betrifft müssen Intel Nutzer eigentlich "NUR" ihre ME Firmware upgraden damit innerhalb der CPU Sicherheitslücken gestopft werden. Manchmal, in seltenen Fällen, bedingt ein ME Update aber auch gleichzeitig ein BIOS Update. Gerade auf älteren Plattformen.

Schluss oder endlich, Du brauchst keinerlei Treiber für beides.

[spark888]

hello again,

secure BOOT ist jetzt soweit abgehakt,
TPM ist jetzt auch soweit abgehakt,
Danke!

Aber
warum sind dann schon Treiber f.d. intel ME°) installiert und es werden updates°°) angeboten?

°) intel iCLS Client
intel Management and Security Status
intel Management Engine Interface
intel Management and Security Application Local Management
intel iCLS Client

°°)
" https://www.intel.com/content/www/us/en ... ws-11.html " ,
" https://downloadmirror.intel.com/915636 ... 9.16.0.zip " .

All das obige ist "NUR" fuer einen remote Zugriff ?
Dann koennt ich das ja eventunnel im BIOS abdrehen ?

thx, kind regards and have a nice time
spark888

[Purgatory]

Deine Frage war ob es extra Treiber braucht. Die Antwort war, dass es sie nicht braucht. Natürlich installiert Windows seine eigenen Treiber, ich habe mich evtl. etwas falsch ausgedrückt. Natürlich gleicht Windows den Status mit der ME ab. Das muss es auch, gerade jetzt beim Hype um UEFICA, um von der ME erfahren zu können welche Sicherheitslücken in Hardwareebene gestopft wurden.

Im Prinzip arbeitet die ME auf zwei Ebenen (einfach ausgedrückt jetzt). Einmal die Softwarebasierte und einmal die Hardwarebasierte auf die nur sie Zugriff hat.
Zur Erkärung: Du initiierst einen Benutzerprozess (also in Windows) der direkt einen Angriffspunkt in der CPU adressiert. Windows kommuniziert mit der ME und die wiegelt ab, der Prozess darf nicht ausgeführt werden. Das ist die erste Ebene.
Die zweite Ebene ist komplett in Hardware, davon bekommt Windows auch nichts mit. Wir stellen uns vor das die ME ein gewisses Register in der CPU besitzt auf das nur sie exklusiv Zugriff hat und damit auf die gesamte Struktur inklusive Chipsatz. Im Prinzip schaltest Du Deinen Rechner ein, das UEFI lädt und genau hier greift die ME ein. Sind im UEFI (nicht die Benutzerkonfiguration wie Übertakten oder sonstwas) irgendwelche Eintrage nicht Regelkonform, sprich greifen das System an mit irgendwelchen Sicherheitslücken, dreht die ME den Hahn ab. Nicht im Sinne von der Rechner startet überhaupt nicht mehr, sondern die Signatur wird einfach blockiert. Davon bekommt Windows, das nach dem UEFI startet, auch überhaupt nichts mit. Dieser Bereich der ME ist für ein Betriebssystem einfach nicht sichtbar.

Kurzum kannst Du es Dir so vorstellen. Die ME greift VOR dem Boot von Windows ein, das TPM währenddessen. Dennoch ergänzen sich beide, inklusive Secure Boot. Auch wenn TPM und ME mit Windows kommunzieren brauchst Du keine speziellen Treiber.