Deskmodder.de

Hallo!
Ich bin ja noch mit SATA /PATA /BIOS und so aufgewachsen.
Meine alten Rechner hege und Pflege ich.
Jetzt aber habe ich hier so einen "hochmodernen" Thinkpad Laptop von Lenovo (5 Jahre alt) vor mir und da gibt es auf der Lenovo Seite die Updates für die Intel Management Software und ein Firmware Update.
Frage sollte ich / muss ich die installieren?
Der Rechner läuft soweit auch ohne die Updates einwandfrei.
Ist es aus Sicherheitsgründen angezeigt, die Software oder die Firmware zu installieren? Oder besser beides?
Ich habe irgendwo mal gelesen, dass die IME (Intel Management Engine) selbst ein Risiko darstellt. Besser also updaten oder sein lassen?
Wofür brauche ich die überhaupt? Und kann man die auch gefahrlos deaktivieren? Wie sind eure Erfahrungen?

Seeehr umstrttenes "Feature", seit 2008 in allen Prozessorchipsätzen von Intel integriert, nur sehr schwer oder auch gar nicht deinstallierbar, deaktivierbar teilweise. Kaum dokumentiert, läuft quasi als autonomes System - unterhalb des BS.
wiki-Artikel (engl.) klärt paar Hintergründe, da auch weitere links:
https://en.wikipedia.org/wiki/Intel_Management_Engine
enthalten ist auch die 'Intel Active Management Technology', dazu gibt es einen dt. Wikipe-Artikel. Gedacht u.a. zur Fernwartung, also v.a. Firmenrechner, sind damit wohl auch noch ganz andere Dinge möglich...

Danke soweit.
Dennoch bleibt die Frage:
Updates von Software und Firmware updaten?
Die meisten der hier Mitlesenden müßte mir ihren Rechnern ebenfalls von den Updates betroffen sein (weil neuere Rechner).

Auf dem Laptop brauche ich das nicht (bekomme dafür eh kein Update mehr) und am Tablet musste ich die Firmware selber Updaten, also mir mein eigenes UEFI erstellen, da Samsung in der Richtung nichts mehr bereit stellt. Bei der Gelegenheit auch gleich dem Microcode, GOP und SATA Treiber aktualisiert. Aber das ist eine Prozedur, die viel Nerven kostet.

Wenn der Hersteller des Gerätes ein Update zu Verfügung stellt, würde ich das auf einspielen. Falls das Gerät Fernwartung unterstützt, dann das alles im BIOS deaktivieren. Meist gibt es das aber nicht und die IME hängt da nur so rum und wird von einigen Herstellern für andere Sahen benutzt. In dem Falle braucht man auch nicht das große Treiberpaket installieren (das verursacht dann nur Fehler in der Ereignisanzeige), sondern nur den kleinen Treiber, damit der Gerätemanger sauber aussieht.

Die Updates kamen bei mir auch, bei der Firmware steht auch immer dabei, man solle den letzten ME Treiber installieren.

DK2000 hat geschrieben: ↑16.07.2020, 12:36 In dem Falle braucht man auch nicht das große Treiberpaket installieren (das verursacht dann nur Fehler in der Ereignisanzeige), sondern nur den kleinen Treiber, damit der Gerätemanger sauber aussieht.

Wenn das so auch gut ist, bin ich beruhigt.
Aber ich bekomme manchmal eine Fehlermeldung beim booten: "Error sending end of post message to ME : HECI disabled, proceeding with boot!", werde da aber nicht schlau draus. (zBsp.: Ist das noch Bios oder schon Windows)

Danke euch!

ecerer hat geschrieben: ↑16.07.2020, 15:00 Aber ich bekomme manchmal eine Fehlermeldung beim booten: "Error sending end of post message to ME : HECI disabled, proceeding with boot!", werde da aber nicht schlau draus. (zBsp.: Ist das noch Bios oder schon Windows)

Die ME benutzt einen Flashspeicher aus dem sie ihre nötigen Instruktionen holt. Die Meldung bedeuted nur, dass die ME aus dem Flashspeicher Informationen angefordert hat und diese gesendet wurden, aber nicht vollständig da ankamen da HECI deaktiviert ist.
Das ist also noch Bootprozess von der Hardware, hat nichts mit Windows zu tun.
Firmwareupdates würde ich, sofern noch angeboten, generell installieren. Weil die ME im Prinzip eigene Powerstages hat, fernab von denen die den eigentlichen Computer betreffen. Das bedeuted selbst wenn der Rechner aus ist, aber am Stromnetz angebunden, kann die ME dennoch angesprochen werden. Weil dafür ist sie da. Sie hat vollen Netzwerk- als auch Speicherzugriff. Im Umkehrschluss bedeuted das, dass auch sie angreifbar ist. In der Theorie wohlgemerkt. Und daher würde ich neue Firmware einspielen, allein schon der Fixes wegen.

@Purgatory
Danke, hätte nicht gedacht, dass mir da jemand weiter helfen kann.

Purgatory hat geschrieben: ↑16.07.2020, 17:07 ME aus dem Flashspeicher

Ähnlich dem Flashspeicher wo das Bios drauf ist?

Purgatory hat geschrieben: ↑16.07.2020, 17:07 Das ist also noch Bootprozess von der Hardware, hat nichts mit Windows zu tun.

Also Bios? ME selbst(ohne Bios)? oder doch die Matrix?

Purgatory hat geschrieben: ↑16.07.2020, 17:07 Das bedeuted selbst wenn der Rechner aus ist, aber am Stromnetz angebunden, kann die ME dennoch angesprochen werden. Weil dafür ist sie da. Sie hat vollen Netzwerk- als auch Speicherzugriff.

Ansprechen im Sinne von Guten Morgen, jemand da? oder Was machst du gerade...?
Aber bei mir wurde da nichts angefordert während der Rechner ausgeschalt war?

Purgatory hat geschrieben: ↑16.07.2020, 17:07 Die Meldung bedeuted nur, dass die ME aus dem Flashspeicher Informationen angefordert hat und diese gesendet wurden, aber nicht vollständig da ankamen da HECI deaktiviert ist.

Sowas habe ich mir schon vorgestellt, zum besseren Verständnis "post message" ist nicht die Post mit dem E-Mobil sondern? (Powerstages sagt mir leider auch nichts)
Naja ich lese halt nur "Error sending" und nicht "error receiving".
Hat also nicht mit Windows zutun, bedeutet es ist etwas im Bios eingestellt das HECI deaktiviert. Ist dann so eine Meldung angebracht?

Hier mal 3 Artikel zum Thema, die etwas die Kompliziertheit der Causa IME etc. verdeutlichen helfen:
1 Intel Management Engine (ME) weitgehend abschaltbar
2 Intel Management Engine (ME) abschalten
3 Disabling Intel ME 11 via undocumented mode

Interessant... Snowden lässt grüßen.
Hatte mich gezwungener maßen mal über HECI informiert. HECI überbringt also die "post message"?, bzw. in dem Fall eben gar nicht?
Es gibt so Funktionen wie "Wakeup on LAN" etc. sollte es im ausgeschalteten Zustand darüber hinausgehen?

und warum kommt es bloß manchmal?

Das ist eine gute Frage. Offensichtlich schaltet sich das HECI ab und zu aus und das BIOS meldet das an die ME nach dem POST und gibt besagte Meldung aus. Wenn das HECI abgeschaltet ist, hat Windows keinen Zugriff mehr auf die ME, weswegen es dann auch zu dem Fehler im Gerätemanager kommt. Sollten dazu auch noch weitere Einträge in der Ereignisanzeige existieren.

Aber warum das Interface da jetzt Probleme macht, gute Frage. Hatte die Meldung das letzte Mal bei einem leicht verunglücktem Update der ME Firmware. Konnte ich dann aber zum Glück noch hinbiegen. Ansonsten wüsste ich jetzt nicht, warum das kommt.

---

Aber praktisch, dass das Thema aufkam:
Wusste ich gar nicht. Na denn, die nächste Firmware aufspielen. *Daumendrück*

OK, hat geklappt. Ein paar Lücken geschlossen, ein paar bleiben übrig. Aber dafür bietet HP kein Update mehr an.

Ich wusste gar nicht wo das herkommt, da es nun nichts mit Windows zutun hat und es damit nach einem BIOS-Update anfing, liegt es für mich jetzt am BIOS (weswegen ich mich sogar schon an den Hersteller gewandt hatte, leider kam da Garnichts).
Mal sehn ob ich was verstellen kann, um die Meldung weg zubekommen...

Das BIOS Update hat auch gleich die ME Firmware aktualisiert? Bei mir (HP) sind das zwei getrennte Updates. Und falls die Firmware aktualisiert wurde, wurde ein Kaltstart durchgeführt?

Die Meldung bekommt man eigentlich nicht weg, da man das HECI eigentlich nicht deaktivieren kann. Wenn dann müsste man die ganze ME deaktivieren können, aber das bieten auch nur wenige BIOSe an.

DK2000 hat geschrieben: ↑22.07.2020, 17:45 Das BIOS Update hat auch gleich die ME Firmware aktualisiert? Bei mir (HP) sind das zwei getrennte Updates.

Interessant aber Ja.
Komisch ist das beim letzten BIOS-Update, ME Update da steht aber das ME vom Datum auch schon bei vorherigen dabei hätte sein können.
Werde das im Auge behalten, ob das auch nochmal aktualisiert wird.
Kaltstart das übernimmt der Jährliche Stromausfall... (an der Version wird es doch nichts ändern?)

DK2000 hat geschrieben: ↑22.07.2020, 14:03 weswegen es dann auch zu dem Fehler im Gerätemanager kommt. Sollten dazu auch noch weitere Einträge in der Ereignisanzeige existieren.

Aber warum das Interface da jetzt Probleme macht, gute Frage.

Du hattest Fehler im Geräte-Manager?
Welches Interface?