Door Anoniem: Bedankt dat je dit weer onder de aandacht brengt.
Voorheen was een van de eerste zaken bij binnenkomst van nieuwe PC's om de ATM uit te schakelen omdat we dit niet gebruikten en een risico factor was.
Voor win 11 is het nu min of meer noodzakelijk om op te starten. Ik vind dit ook een vreemde zaak.
Disabelen kan tegenwoordig niet meer. Niet zolang je met Flashrom, een Raspberry Pi en een clip op de BIOS ROM chip je de hele BIOS vervangt door een ondersteunde -zelf gecompileerde- coreboot/seabios met HAP bit optie.
Software updaten kan bij sommige systemen maar als je je mobo bricked, is het lastig deze terug te flashen.
Er zijn fabrikanten die klant en klare coreboot systemen verkopen, maar ik zou ze zelf niet vertrouwen. Het is toch weer gebakken code, gebakken door iemand anders. En soms is een kleine hobbytoko meer louche dan een grote 'vertrouwde' vendor als Microsoft.
Het probleem met de AMT/Intel Management Engine en de AMD PSP is dat er vulnerabilities in gevonden zijn, en er vast nog meer in zitten. Dus je hebt in principe geen controle over jouw eigen computer.
Beheer je ergens veel werkstations, dan is de IME wel fijn. De coprocessor runt een webservertje per werkstation, die onzichtbaar is voor het werkstation zelf, waarop je kunt inloggen en het werkstation kunt aanzetten/uitzetten/rebooten, en met een RDP verbinding kunt inloggen. Heel fijn om als software KVM te gebruiken in een medium-secure environment , voor niet belangrijke office systemen , je kunt zelfs op afstand een OS installeren.
Er zijn mensen die op Linux werken en niets hebben met Microsoft en Intel en denken dat dit geen risico voor ze is. Maar de IME is platform onafhankelijk. Je kunt evengoed een Linux server of een firewall overnemen bij een BIOS misconfiguratie, slecht admin wachtwoord, of gewoon bij een vulnerability in de IME blob zelf
Dit soort fratsen (Minix OS) in elke Intel cpu na 2008 ingebakken is onacceptabel. Ik snap niet waarom niemand dat wat interesseert.